Windows 2003 域控制器 組策略禁止USB的方法.doc

Windows 2003 域控制器 組策略禁止USB的方法我可以提供禁用usb的注冊(cè)表方法定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR右邊有一個(gè)叫start的鍵值雙擊他將值改成4 usb就禁用了下次要恢復(fù)只需將4改成3就好了把下段斜杠內(nèi)的內(nèi)容拷到文本文檔中，保存成.ADM文件，然后打開(kāi)你要做限制的OU的組策略，展開(kāi)“用戶配置,管理模板”,右擊管理模板,添加/刪除模板,然后把剛才保存的ADM文件導(dǎo)入!現(xiàn)在在這個(gè)OU下的所有用戶將無(wú)法使用USB存儲(chǔ)設(shè)備!/CLASS USERCATEGORY !ADMDescPOLICY !MMC_DeviceManagerXKEYNAME SoftwarePoliciesMicrosoftMMC90087284-d6d6-11d0-8353-00a0c90640bf#if version = 4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !MMC_Restrict_ExplainvalueNAME Restrict_RunvalueON NUMERIC 0valueOFF NUMERIC 1END POLICYPOLICY !MMC_DeviceManagerKEYNAME SoftwarePoliciesMicrosoftMMC74246bfc-4c96-11d0-abef-0020af6b0b7a#if version = 4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !DEVMGR_Restrict_ExplainvalueNAME Restrict_RunvalueON NUMERIC 0valueOFF NUMERIC 1END POLICYEnd CATEGORYCLASS MACHINECATEGORY !ADMDescPOLICY !USB_UHCD_PARAMSKEYNAME SYSTEMCurrentControlSetServicesuhcdEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_UHCI_PARAMSKEYNAME SYSTEMCurrentControlSetServicesusbuhciEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_EHCI_PARAMSKEYNAME SYSTEMCurrentControlSetServicesusbehciEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_HUBKEYNAME SYSTEMCurrentControlSetServicesusbhubEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !CD_ROMKEYNAME SYSTEMCurrentControlSetServicescdromEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !Floppy_DiskKEYNAME SYSTEMCurrentControlSetServicesflpydiskEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYEnd CATEGORYstringsADMDesc=自定義策略MMC_DeviceManagerX=設(shè)備管理器擴(kuò)展插件MMC_DeviceManager=設(shè)備管理器SUPPORTED_Win2k=至少使用Microsoft Windows 2000MMC_Restrict_Explain=Disable 禁用設(shè)備管理器擴(kuò)展插件；Enable 啟用設(shè)備管理器擴(kuò)展插件 DEVMGR_Restrict_Explain=Disable 禁用設(shè)備管理器；Enable 啟用設(shè)備管理器USB_UHCD_PARAMS=USB通用主控制器驅(qū)動(dòng)器STARTUPTYPE_HELP=啟動(dòng)類型，3-手動(dòng)，4-禁用STARTUPTYPE=啟動(dòng)類型USB_EHCI_PARAMS=Microsoft USB 2.0 Enhanced Host Controller Miniport DriverUSB_UHCI_PARAMS=Microsoft USB Universal Host Controller Miniport DriverUSB_HUB=Microsoft USB Standard Hub DriverCD_ROM=光驅(qū)Floppy_Disk=軟驅(qū)/還有種方法就是讓每臺(tái)機(jī)子開(kāi)機(jī)時(shí)導(dǎo)入一個(gè)注冊(cè)表文件（如何讓每臺(tái)機(jī)子開(kāi)機(jī)導(dǎo)入注冊(cè)表文件，就不用我講了吧），文件內(nèi)容為：Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTORstart=dword:00000004然后在OU的計(jì)算機(jī)配置-windows設(shè)置-安全設(shè)置-注冊(cè)表 里面添一條：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR在該注冊(cè)表項(xiàng)的權(quán)限設(shè)置中，將所有用戶刪除！只留 domainadministrator用戶！一、在WindowsXP中禁用和管理USB接口1. 計(jì)算機(jī)未安裝USB設(shè)備這種情況可以采取將%SystemRoot%Inf下的Usbstor.pnf和Usbstor.inf兩個(gè)文件設(shè)置其用戶的控制權(quán)限。Step1：右擊這兩個(gè)文件，選擇“屬性安全高級(jí)”，在“權(quán)限”頁(yè)面中取消“從父項(xiàng)繼承那些可以應(yīng)用到子對(duì)象的權(quán)限項(xiàng)目，包括那些在此明確定義的項(xiàng)目”復(fù)選框。Step2：在“安全”頁(yè)面中，選擇要屏蔽的用戶或用戶組，在“完全控制”中選擇“拒絕”復(fù)選框，然后單擊“確定”。這種通過(guò)分配權(quán)限的方法，可以指定哪些用戶可以使用USB設(shè)備，哪些用戶不可以使用USB設(shè)備，和下面的“Windows NT以上系統(tǒng)通用方法”一樣，靈活性較大，所以建議采用該方法限制用戶安裝USB設(shè)備。2. 計(jì)算機(jī)已安裝了USB設(shè)備這種情況可以通過(guò)修改注冊(cè)表來(lái)實(shí)現(xiàn)。方法是修改注冊(cè)表中HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR下的“Start”值，改為十六位進(jìn)制數(shù)值“4”。該方法修改后，當(dāng)用戶將USB存儲(chǔ)設(shè)備連接到計(jì)算機(jī)時(shí)，該設(shè)備將無(wú)法運(yùn)行。二、Windows NT以上系統(tǒng)通用方法運(yùn)行注冊(cè)表編輯器，找到HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR鍵，取消System的所有控制權(quán)。如果要分配控制權(quán)，只需要對(duì)相應(yīng)用戶設(shè)置控制權(quán)限就可以了。小提示：Windows 2000中要設(shè)置注冊(cè)表的控制權(quán)限，需用Regedt32.exe注冊(cè)表編輯器。三、禁止和管理域中多臺(tái)計(jì)算機(jī)USB設(shè)備的使用方法很簡(jiǎn)單，就是在域控制器上通過(guò)組策略限制用戶對(duì)“Windows NT以上系統(tǒng)通用方法”中注冊(cè)表鍵的控制權(quán)即可。如果是禁用光驅(qū)，軟驅(qū)，USB設(shè)備，第三方軟件GFI LANGuard Portable Storage Control.v2.0非常不錯(cuò)，它可以在域環(huán)境中使用。如果使用組策略禁用USB設(shè)備,可以按照以下辦法：禁止移動(dòng)存儲(chǔ)設(shè)務(wù)的模板胡義老師原創(chuàng)將下列內(nèi)容保存為DisableDevice.adm，在組策略的添加/刪除模板中導(dǎo)入進(jìn)行設(shè)置。=CLASS USERCATEGORY !ADMDescPOLICY !MMC_DeviceManagerXKEYNAME SoftwarePoliciesMicrosoftMMC90087284-d6d6-11d0-8353-00a0c90640bf#if version = 4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !MMC_Restrict_ExplainvalueNAME Restrict_RunvalueON NUMERIC 0valueOFF NUMERIC 1END POLICYPOLICY !MMC_DeviceManagerKEYNAME SoftwarePoliciesMicrosoftMMC74246bfc-4c96-11d0-abef-0020af6b0b7a#if version = 4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !DEVMGR_Restrict_ExplainvalueNAME Restrict_RunvalueON NUMERIC 0valueOFF NUMERIC 1END POLICYEnd CATEGORYCLASS MACHINECATEGORY !ADMDescPOLICY !USB_UHCD_PARAMSKEYNAME SYSTEMCurrentControlSetServicesuhcdEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_UHCI_PARAMSKEYNAME SYSTEMCurrentControlSetServicesusbuhciEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_EHCI_PARAMSKEYNAME SYSTEMCurrentControlSetServicesusbehciEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_HUBKEYNAME SYSTEMCurrentControlSetServicesusbhubEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !CD_ROMKEYNAME SYSTEMCurrentControlSetServicescdromEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !Floppy_DiskKEYNAME SYSTEMCurrentControlSetServicesflpydiskEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYEnd CATEGORYstringsADMDesc=自定義策略MMC_DeviceManagerX=設(shè)備管理器擴(kuò)展插件MMC_DeviceManager=設(shè)備管理器SUPPORTED_Win2k=至少使用Microsoft Windows 2000MMC_Restrict_Explain=Disable 禁用設(shè)備管理器擴(kuò)展插件；Enable 啟用設(shè)備管理器擴(kuò)展插件 DEVMGR_Restrict_Explain=Disable 禁用設(shè)備管理器；Enable 啟用設(shè)備管理器USB_UHCD_PARAMS=USB通用主控制器驅(qū)動(dòng)器STARTUPTYPE_HELP=啟動(dòng)類型，3-手動(dòng)，4-禁用STARTUPTYPE=啟動(dòng)類型USB_EHCI_PARAMS=Microsoft USB 2.0 Enhanced Host Controller Miniport DriverUSB_UHCI_PARAMS=Microsoft USB Universal Host Controller Miniport DriverUSB_HUB=Microsoft USB Standard Hub DriverCD_ROM=光驅(qū)Floppy_Disk=軟驅(qū)者在一家區(qū)級(jí)法院網(wǎng)絡(luò)中心工作，為確保局域網(wǎng)內(nèi)的計(jì)算機(jī)安全，省高院要求全省聯(lián)網(wǎng)的法院客戶端的機(jī)器光軟驅(qū)都要拆除，而且禁止在局域網(wǎng)內(nèi)使用U盤。我們知道，現(xiàn)在局域網(wǎng)中使用的操作系統(tǒng)絕大多數(shù)都是Windows系列，對(duì)于Windows 98說(shuō)，做到這些并不難，因?yàn)閁盤第一次使用時(shí)需要安裝相應(yīng)的驅(qū)動(dòng)程序，拆除了光、軟驅(qū)后，驅(qū)動(dòng)無(wú)法安裝，U盤也就無(wú)法使用，但對(duì)于Windows 2000、Windows XP來(lái)說(shuō)，情況就不同了，用過(guò)U盤的人都知道這些操作系統(tǒng)不需要安裝驅(qū)動(dòng)，U盤即插即用。對(duì)于大多數(shù)用戶來(lái)說(shuō)，這的確很方便，但對(duì)于單位有要求的網(wǎng)管來(lái)說(shuō)，就頭疼了，現(xiàn)在新買的機(jī)器不能總是安裝Windows 98吧，畢竟Windows 98就要“下崗”了，但面對(duì)U盤，卻沒(méi)有好的辦法，也許您會(huì)想到可以在BIOS設(shè)置里屏蔽USB端口，但這是“寧可錯(cuò)殺一千，不能放過(guò)一個(gè)”的辦法，如果您的單位客戶端沒(méi)有使用USB接口的鍵盤、鼠標(biāo)、打印機(jī)等設(shè)備，那您完全可以采用此方法，不過(guò)您以后采購(gòu)設(shè)備的時(shí)候要注意了，最好不要采購(gòu)USB設(shè)備，除非咱們網(wǎng)管自己用，哈哈！那有沒(méi)有簡(jiǎn)單易行的辦法呢？經(jīng)過(guò)一段時(shí)間摸索和試驗(yàn)，筆者終于找到了使用修改組策略模板的方法實(shí)現(xiàn)此目標(biāo)。實(shí)現(xiàn)條件當(dāng)然這是有前提條件的，首先，您的局域網(wǎng)必須以域?yàn)榧軜?gòu)（我們知道Windows 2000、Windows XP自己都自帶有組策略編輯器，使用組策略編輯器可單獨(dú)編輯每臺(tái)機(jī)器的策略，而使用域時(shí)，只要用戶登錄到域，就會(huì)自動(dòng)應(yīng)用策略，在服務(wù)器端修改一次，就可以在全域?qū)崿F(xiàn)管理目標(biāo)，如果不采用域模式，您需要每臺(tái)都要設(shè)置組策略，失去了效率，也就沒(méi)有采用的必要了）。其次，客戶端必須以域用戶的身份登錄網(wǎng)絡(luò)，且不能被賦予客戶端本機(jī)管理員的權(quán)限?？蛻舳瞬僮飨到y(tǒng)推薦使用Windows 2000和Windows XP，雖然Windows 98也能在域環(huán)境下應(yīng)用組策略，但Windows 2000 Server組策略對(duì)Windows 98的支持并不完全，且需要采用兩種完全不同的方法分別管理他們，會(huì)對(duì)您以后的網(wǎng)絡(luò)管理帶來(lái)不便。特別說(shuō)明：這里介紹的方法并不適用于Windows 98，只適用于服務(wù)器端安裝Windows 2000 Server或Windows Server 2003。只要您的網(wǎng)絡(luò)滿足以上條件，我們就可以利用組策略屏蔽U盤，而對(duì)于其他USB設(shè)備卻無(wú)任何影響，筆者在單位實(shí)施1年多來(lái)，效果很好，現(xiàn)將詳細(xì)方法介紹出來(lái)，希望能給眾多網(wǎng)管們提供一點(diǎn)借鑒?；驹斫M策略實(shí)現(xiàn)的原理實(shí)際上就是修改注冊(cè)表，當(dāng)域用戶登錄到域上時(shí)，系統(tǒng)會(huì)對(duì)指定的客戶端實(shí)施組策略，也即修改客戶端的注冊(cè)表，當(dāng)我們新建了一個(gè)組策略時(shí)，系統(tǒng)實(shí)際上是拷貝了三個(gè)模板文件，在您修改組策略時(shí)，實(shí)際上是在修改這些模板的副本，然后把這些策略應(yīng)用到指定的客戶端中去，然而Windows 2000 Server系統(tǒng)提供的組策略模板中并沒(méi)有我們想要的屏蔽U盤的策略，但我們可以手動(dòng)修改系統(tǒng)的模板文件，使組策略模板具備屏蔽U盤的策略，實(shí)際上根據(jù)其原理，凡是修改注冊(cè)表能做到的，基本上都可以在域中使用組策略實(shí)現(xiàn)。實(shí)現(xiàn)方法1、在域控制器上打開(kāi)Active Directory用戶和計(jì)算機(jī)，找到您要屏蔽U盤的組織單位（Organizational Unit 簡(jiǎn)稱OU），右鍵查看此組織單位的屬性，點(diǎn)擊組策略頁(yè)面，新建一個(gè)組策略，命名并保存為“屏蔽U盤”，建好后，雙擊“屏蔽U盤”（必需先打開(kāi)一次，否則系統(tǒng)不會(huì)拷貝那幾個(gè)模板文件），在打開(kāi)的標(biāo)題為“組策略”的窗口的左邊，按以下順序定位“用戶配置管理模板-Windows組件-Windows資源管理器”，選中Windows資源管理器，在右邊的窗口中會(huì)顯示如圖1所示。我們可以看到有“隱藏我的電腦中的這些指定的驅(qū)動(dòng)器”和“防止從我的電腦訪問(wèn)驅(qū)動(dòng)器”，雙擊打開(kāi)其中一項(xiàng)策略，選擇“啟用”，下面的下拉框會(huì)變亮，單擊下拉框，如圖2所示，您會(huì)發(fā)現(xiàn)系統(tǒng)提供了7種限制訪問(wèn)驅(qū)動(dòng)器號(hào)的組合，其中也包括了“不限制驅(qū)動(dòng)器”，顯然，這些組合不能滿足我們的要求（因?yàn)閁盤的盤符通常是排在最后的，而且現(xiàn)在的硬盤比較大，少則也有三四個(gè)分區(qū)）。2、在域控制器上打開(kāi)Active Directory 用戶和計(jì)算機(jī)，在剛才我們新建的“屏蔽U盤”策略上單擊右鍵選擇查看屬性，在如圖3所示的位置找到屏蔽U盤的組策略的唯一的名稱，此名稱為一長(zhǎng)串?dāng)?shù)字和字母組成，本例中為82F86A8E-B345-4DDC-A304-E448F6E900A9，記下此字符串。3、打開(kāi)系統(tǒng)盤，定位以82F86A8E-B345-4DDC-A304-E448F6E900A9命名的文件夾，此文件夾位于“C:WINNTSYSVOLPolicies”下（盤符依賴于您安裝的操作系統(tǒng)所在的分區(qū)），注意其中是您的Windows 2000的域名，打開(kāi)82F86A8E-B345-4DDC-A304-E448F6E900A9目錄，找到ADM目錄下的system.adm文件，此文件是我們?cè)趯?shí)施組策略的模板文件，是一個(gè)純文本文件，可用記事本打開(kāi)，找到下面這兩段代碼：* POLICY !NoDrives EXPLAIN !NoDrives_Help PART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED VALUENAME NoDrives ITEMLISTNAME !ABOnly VALUE NUMERIC 3NAME !COnly VALUE NUMERIC 4NAME !DOnly VALUE NUMERIC 8NAME !ABConly VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0 END ITEMLIST END PARTEND POLICY* POLICY !NoViewOnDrive EXPLAIN !NoViewOnDrive_Help PART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED VALUENAME NoViewOnDrive ITEMLISTNAME !ABOnly VALUE NUMERIC 3NAME !COnly VALUE NUMERIC 4NAME !DOnly VALUE NUMERIC 8NAME !ABConly VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0 END ITEMLIST END PARTEND POLICY說(shuō)明：這是兩個(gè)策略，第一個(gè)!NoDrive，它的作用是在我的電腦中不顯示指定的驅(qū)動(dòng)器名，驅(qū)動(dòng)器號(hào)代表的所有驅(qū)動(dòng)器不出現(xiàn)在標(biāo)準(zhǔn)的打開(kāi)對(duì)話框上，但是在地址欄中輸入盤符或新建一個(gè)指向硬盤盤符的快捷方式，用戶仍然可以訪問(wèn)該驅(qū)動(dòng)器；第二個(gè)!NoViewOnDrive的作用是阻止用戶訪問(wèn)驅(qū)動(dòng)器?？梢宰柚股鲜銮闆r的出現(xiàn)，但是僅僅用第二個(gè)的話，用戶可以看見(jiàn)該驅(qū)動(dòng)器的盤符，但不能訪問(wèn)，一般情況，兩個(gè)同時(shí)使用，可以達(dá)到比較理想的效果。仔細(xì)觀察上述代碼，不難發(fā)現(xiàn)，其中一共有7個(gè)NAME項(xiàng)，正好和我們圖2下拉框中的一一對(duì)應(yīng)，后面的VALUE NUMERIC按照l(shuí)ow 26 bits on (1 bit per drive)的規(guī)則取值，low 26 bits on的意思說(shuō)值為26位的二進(jìn)制，最多可指定26個(gè)驅(qū)動(dòng)器盤符，而1 bit per drive則代表1位代表1個(gè)驅(qū)動(dòng)器，舉例說(shuō)A=1，B=2，C=4，D=8，E=16，F(xiàn)=32，G=64，H=128，I=256，由低到高，以此類推。我們可根據(jù)我們的需要修改此代碼段，假如我們要隱藏A、B、C、F、G、H、I，您可以根據(jù)您的需要而定，推薦隱藏的盤符數(shù)量應(yīng)該大于您的現(xiàn)有的盤符數(shù)加上您客戶端所有的USB接口數(shù)（防止有人同時(shí)插入幾個(gè)U盤，呵呵?。?。那么我們計(jì)算出VALUE NUMERIC的數(shù)值A(chǔ)+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487，在兩個(gè)策略中的NAME !ABCDOnly VALUE NUMERIC 15下插入一行NAME !ABCFGHIOnly VALUE NUMERIC