Windows 2003 域控制器 組策略禁止USB的方法.doc

Windows 2003 域控制器 組策略禁止USB的方法我可以提供禁用usb的注冊表方法定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR右邊有一個叫start的鍵值雙擊他將值改成4 usb就禁用了下次要恢復(fù)只需將4改成3就好了把下段斜杠內(nèi)的內(nèi)容拷到文本文檔中，保存成.ADM文件，然后打開你要做限制的OU的組策略，展開“用戶配置,管理模板”,右擊管理模板,添加/刪除模板,然后把剛才保存的ADM文件導(dǎo)入!現(xiàn)在在這個OU下的所有用戶將無法使用USB存儲設(shè)備!/CLASS USERCATEGORY !ADMDescPOLICY !MMC_DeviceManagerXKEYNAME SoftwarePoliciesMicrosoftMMC90087284-d6d6-11d0-8353-00a0c90640bf#if version = 4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !MMC_Restrict_ExplainvalueNAME Restrict_RunvalueON NUMERIC 0valueOFF NUMERIC 1END POLICYPOLICY !MMC_DeviceManagerKEYNAME SoftwarePoliciesMicrosoftMMC74246bfc-4c96-11d0-abef-0020af6b0b7a#if version = 4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !DEVMGR_Restrict_ExplainvalueNAME Restrict_RunvalueON NUMERIC 0valueOFF NUMERIC 1END POLICYEnd CATEGORYCLASS MACHINECATEGORY !ADMDescPOLICY !USB_UHCD_PARAMSKEYNAME SYSTEMCurrentControlSetServicesuhcdEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_UHCI_PARAMSKEYNAME SYSTEMCurrentControlSetServicesusbuhciEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_EHCI_PARAMSKEYNAME SYSTEMCurrentControlSetServicesusbehciEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_HUBKEYNAME SYSTEMCurrentControlSetServicesusbhubEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !CD_ROMKEYNAME SYSTEMCurrentControlSetServicescdromEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !Floppy_DiskKEYNAME SYSTEMCurrentControlSetServicesflpydiskEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYEnd CATEGORYstringsADMDesc=自定義策略MMC_DeviceManagerX=設(shè)備管理器擴展插件MMC_DeviceManager=設(shè)備管理器SUPPORTED_Win2k=至少使用Microsoft Windows 2000MMC_Restrict_Explain=Disable 禁用設(shè)備管理器擴展插件；Enable 啟用設(shè)備管理器擴展插件 DEVMGR_Restrict_Explain=Disable 禁用設(shè)備管理器；Enable 啟用設(shè)備管理器USB_UHCD_PARAMS=USB通用主控制器驅(qū)動器STARTUPTYPE_HELP=啟動類型，3-手動，4-禁用STARTUPTYPE=啟動類型USB_EHCI_PARAMS=Microsoft USB 2.0 Enhanced Host Controller Miniport DriverUSB_UHCI_PARAMS=Microsoft USB Universal Host Controller Miniport DriverUSB_HUB=Microsoft USB Standard Hub DriverCD_ROM=光驅(qū)Floppy_Disk=軟驅(qū)/還有種方法就是讓每臺機子開機時導(dǎo)入一個注冊表文件（如何讓每臺機子開機導(dǎo)入注冊表文件，就不用我講了吧），文件內(nèi)容為：Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTORstart=dword:00000004然后在OU的計算機配置-windows設(shè)置-安全設(shè)置-注冊表 里面添一條：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR在該注冊表項的權(quán)限設(shè)置中，將所有用戶刪除！只留 domainadministrator用戶！一、在WindowsXP中禁用和管理USB接口1. 計算機未安裝USB設(shè)備這種情況可以采取將%SystemRoot%Inf下的Usbstor.pnf和Usbstor.inf兩個文件設(shè)置其用戶的控制權(quán)限。Step1：右擊這兩個文件，選擇“屬性安全高級”，在“權(quán)限”頁面中取消“從父項繼承那些可以應(yīng)用到子對象的權(quán)限項目，包括那些在此明確定義的項目”復(fù)選框。Step2：在“安全”頁面中，選擇要屏蔽的用戶或用戶組，在“完全控制”中選擇“拒絕”復(fù)選框，然后單擊“確定”。這種通過分配權(quán)限的方法，可以指定哪些用戶可以使用USB設(shè)備，哪些用戶不可以使用USB設(shè)備，和下面的“Windows NT以上系統(tǒng)通用方法”一樣，靈活性較大，所以建議采用該方法限制用戶安裝USB設(shè)備。2. 計算機已安裝了USB設(shè)備這種情況可以通過修改注冊表來實現(xiàn)。方法是修改注冊表中HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR下的“Start”值，改為十六位進制數(shù)值“4”。該方法修改后，當用戶將USB存儲設(shè)備連接到計算機時，該設(shè)備將無法運行。二、Windows NT以上系統(tǒng)通用方法運行注冊表編輯器，找到HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR鍵，取消System的所有控制權(quán)。如果要分配控制權(quán)，只需要對相應(yīng)用戶設(shè)置控制權(quán)限就可以了。小提示：Windows 2000中要設(shè)置注冊表的控制權(quán)限，需用Regedt32.exe注冊表編輯器。三、禁止和管理域中多臺計算機USB設(shè)備的使用方法很簡單，就是在域控制器上通過組策略限制用戶對“Windows NT以上系統(tǒng)通用方法”中注冊表鍵的控制權(quán)即可。如果是禁用光驅(qū)，軟驅(qū)，USB設(shè)備，第三方軟件GFI LANGuard Portable Storage Control.v2.0非常不錯，它可以在域環(huán)境中使用。如果使用組策略禁用USB設(shè)備,可以按照以下辦法：禁止移動存儲設(shè)務(wù)的模板胡義老師原創(chuàng)將下列內(nèi)容保存為DisableDevice.adm，在組策略的添加/刪除模板中導(dǎo)入進行設(shè)置。=CLASS USERCATEGORY !ADMDescPOLICY !MMC_DeviceManagerXKEYNAME SoftwarePoliciesMicrosoftMMC90087284-d6d6-11d0-8353-00a0c90640bf#if version = 4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !MMC_Restrict_ExplainvalueNAME Restrict_RunvalueON NUMERIC 0valueOFF NUMERIC 1END POLICYPOLICY !MMC_DeviceManagerKEYNAME SoftwarePoliciesMicrosoftMMC74246bfc-4c96-11d0-abef-0020af6b0b7a#if version = 4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !DEVMGR_Restrict_ExplainvalueNAME Restrict_RunvalueON NUMERIC 0valueOFF NUMERIC 1END POLICYEnd CATEGORYCLASS MACHINECATEGORY !ADMDescPOLICY !USB_UHCD_PARAMSKEYNAME SYSTEMCurrentControlSetServicesuhcdEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_UHCI_PARAMSKEYNAME SYSTEMCurrentControlSetServicesusbuhciEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_EHCI_PARAMSKEYNAME SYSTEMCurrentControlSetServicesusbehciEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_HUBKEYNAME SYSTEMCurrentControlSetServicesusbhubEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !CD_ROMKEYNAME SYSTEMCurrentControlSetServicescdromEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !Floppy_DiskKEYNAME SYSTEMCurrentControlSetServicesflpydiskEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYEnd CATEGORYstringsADMDesc=自定義策略MMC_DeviceManagerX=設(shè)備管理器擴展插件MMC_DeviceManager=設(shè)備管理器SUPPORTED_Win2k=至少使用Microsoft Windows 2000MMC_Restrict_Explain=Disable 禁用設(shè)備管理器擴展插件；Enable 啟用設(shè)備管理器擴展插件 DEVMGR_Restrict_Explain=Disable 禁用設(shè)備管理器；Enable 啟用設(shè)備管理器USB_UHCD_PARAMS=USB通用主控制器驅(qū)動器STARTUPTYPE_HELP=啟動類型，3-手動，4-禁用STARTUPTYPE=啟動類型USB_EHCI_PARAMS=Microsoft USB 2.0 Enhanced Host Controller Miniport DriverUSB_UHCI_PARAMS=Microsoft USB Universal Host Controller Miniport DriverUSB_HUB=Microsoft USB Standard Hub DriverCD_ROM=光驅(qū)Floppy_Disk=軟驅(qū)者在一家區(qū)級法院網(wǎng)絡(luò)中心工作，為確保局域網(wǎng)內(nèi)的計算機安全，省高院要求全省聯(lián)網(wǎng)的法院客戶端的機器光軟驅(qū)都要拆除，而且禁止在局域網(wǎng)內(nèi)使用U盤。我們知道，現(xiàn)在局域網(wǎng)中使用的操作系統(tǒng)絕大多數(shù)都是Windows系列，對于Windows 98說，做到這些并不難，因為U盤第一次使用時需要安裝相應(yīng)的驅(qū)動程序，拆除了光、軟驅(qū)后，驅(qū)動無法安裝，U盤也就無法使用，但對于Windows 2000、Windows XP來說，情況就不同了，用過U盤的人都知道這些操作系統(tǒng)不需要安裝驅(qū)動，U盤即插即用。對于大多數(shù)用戶來說，這的確很方便，但對于單位有要求的網(wǎng)管來說，就頭疼了，現(xiàn)在新買的機器不能總是安裝Windows 98吧，畢竟Windows 98就要“下崗”了，但面對U盤，卻沒有好的辦法，也許您會想到可以在BIOS設(shè)置里屏蔽USB端口，但這是“寧可錯殺一千，不能放過一個”的辦法，如果您的單位客戶端沒有使用USB接口的鍵盤、鼠標、打印機等設(shè)備，那您完全可以采用此方法，不過您以后采購設(shè)備的時候要注意了，最好不要采購USB設(shè)備，除非咱們網(wǎng)管自己用，哈哈！那有沒有簡單易行的辦法呢？經(jīng)過一段時間摸索和試驗，筆者終于找到了使用修改組策略模板的方法實現(xiàn)此目標。實現(xiàn)條件當然這是有前提條件的，首先，您的局域網(wǎng)必須以域為架構(gòu)（我們知道Windows 2000、Windows XP自己都自帶有組策略編輯器，使用組策略編輯器可單獨編輯每臺機器的策略，而使用域時，只要用戶登錄到域，就會自動應(yīng)用策略，在服務(wù)器端修改一次，就可以在全域?qū)崿F(xiàn)管理目標，如果不采用域模式，您需要每臺都要設(shè)置組策略，失去了效率，也就沒有采用的必要了）。其次，客戶端必須以域用戶的身份登錄網(wǎng)絡(luò)，且不能被賦予客戶端本機管理員的權(quán)限?？蛻舳瞬僮飨到y(tǒng)推薦使用Windows 2000和Windows XP，雖然Windows 98也能在域環(huán)境下應(yīng)用組策略，但Windows 2000 Server組策略對Windows 98的支持并不完全，且需要采用兩種完全不同的方法分別管理他們，會對您以后的網(wǎng)絡(luò)管理帶來不便。特別說明：這里介紹的方法并不適用于Windows 98，只適用于服務(wù)器端安裝Windows 2000 Server或Windows Server 2003。只要您的網(wǎng)絡(luò)滿足以上條件，我們就可以利用組策略屏蔽U盤，而對于其他USB設(shè)備卻無任何影響，筆者在單位實施1年多來，效果很好，現(xiàn)將詳細方法介紹出來，希望能給眾多網(wǎng)管們提供一點借鑒?；驹斫M策略實現(xiàn)的原理實際上就是修改注冊表，當域用戶登錄到域上時，系統(tǒng)會對指定的客戶端實施組策略，也即修改客戶端的注冊表，當我們新建了一個組策略時，系統(tǒng)實際上是拷貝了三個模板文件，在您修改組策略時，實際上是在修改這些模板的副本，然后把這些策略應(yīng)用到指定的客戶端中去，然而Windows 2000 Server系統(tǒng)提供的組策略模板中并沒有我們想要的屏蔽U盤的策略，但我們可以手動修改系統(tǒng)的模板文件，使組策略模板具備屏蔽U盤的策略，實際上根據(jù)其原理，凡是修改注冊表能做到的，基本上都可以在域中使用組策略實現(xiàn)。實現(xiàn)方法1、在域控制器上打開Active Directory用戶和計算機，找到您要屏蔽U盤的組織單位（Organizational Unit 簡稱OU），右鍵查看此組織單位的屬性，點擊組策略頁面，新建一個組策略，命名并保存為“屏蔽U盤”，建好后，雙擊“屏蔽U盤”（必需先打開一次，否則系統(tǒng)不會拷貝那幾個模板文件），在打開的標題為“組策略”的窗口的左邊，按以下順序定位“用戶配置管理模板-Windows組件-Windows資源管理器”，選中Windows資源管理器，在右邊的窗口中會顯示如圖1所示。我們可以看到有“隱藏我的電腦中的這些指定的驅(qū)動器”和“防止從我的電腦訪問驅(qū)動器”，雙擊打開其中一項策略，選擇“啟用”，下面的下拉框會變亮，單擊下拉框，如圖2所示，您會發(fā)現(xiàn)系統(tǒng)提供了7種限制訪問驅(qū)動器號的組合，其中也包括了“不限制驅(qū)動器”，顯然，這些組合不能滿足我們的要求（因為U盤的盤符通常是排在最后的，而且現(xiàn)在的硬盤比較大，少則也有三四個分區(qū)）。2、在域控制器上打開Active Directory 用戶和計算機，在剛才我們新建的“屏蔽U盤”策略上單擊右鍵選擇查看屬性，在如圖3所示的位置找到屏蔽U盤的組策略的唯一的名稱，此名稱為一長串數(shù)字和字母組成，本例中為82F86A8E-B345-4DDC-A304-E448F6E900A9，記下此字符串。3、打開系統(tǒng)盤，定位以82F86A8E-B345-4DDC-A304-E448F6E900A9命名的文件夾，此文件夾位于“C:WINNTSYSVOLPolicies”下（盤符依賴于您安裝的操作系統(tǒng)所在的分區(qū)），注意其中是您的Windows 2000的域名，打開82F86A8E-B345-4DDC-A304-E448F6E900A9目錄，找到ADM目錄下的system.adm文件，此文件是我們在實施組策略的模板文件，是一個純文本文件，可用記事本打開，找到下面這兩段代碼：* POLICY !NoDrives EXPLAIN !NoDrives_Help PART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED VALUENAME NoDrives ITEMLISTNAME !ABOnly VALUE NUMERIC 3NAME !COnly VALUE NUMERIC 4NAME !DOnly VALUE NUMERIC 8NAME !ABConly VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0 END ITEMLIST END PARTEND POLICY* POLICY !NoViewOnDrive EXPLAIN !NoViewOnDrive_Help PART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED VALUENAME NoViewOnDrive ITEMLISTNAME !ABOnly VALUE NUMERIC 3NAME !COnly VALUE NUMERIC 4NAME !DOnly VALUE NUMERIC 8NAME !ABConly VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0 END ITEMLIST END PARTEND POLICY說明：這是兩個策略，第一個!NoDrive，它的作用是在我的電腦中不顯示指定的驅(qū)動器名，驅(qū)動器號代表的所有驅(qū)動器不出現(xiàn)在標準的打開對話框上，但是在地址欄中輸入盤符或新建一個指向硬盤盤符的快捷方式，用戶仍然可以訪問該驅(qū)動器；第二個!NoViewOnDrive的作用是阻止用戶訪問驅(qū)動器。可以阻止上述情況的出現(xiàn)，但是僅僅用第二個的話，用戶可以看見該驅(qū)動器的盤符，但不能訪問，一般情況，兩個同時使用，可以達到比較理想的效果。仔細觀察上述代碼，不難發(fā)現(xiàn)，其中一共有7個NAME項，正好和我們圖2下拉框中的一一對應(yīng)，后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的規(guī)則取值，low 26 bits on的意思說值為26位的二進制，最多可指定26個驅(qū)動器盤符，而1 bit per drive則代表1位代表1個驅(qū)動器，舉例說A=1，B=2，C=4，D=8，E=16，F(xiàn)=32，G=64，H=128，I=256，由低到高，以此類推。我們可根據(jù)我們的需要修改此代碼段，假如我們要隱藏A、B、C、F、G、H、I，您可以根據(jù)您的需要而定，推薦隱藏的盤符數(shù)量應(yīng)該大于您的現(xiàn)有的盤符數(shù)加上您客戶端所有的USB接口數(shù)（防止有人同時插入幾個U盤，呵呵！）。那么我們計算出VALUE NUMERIC的數(shù)值A(chǔ)+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487，在兩個策略中的NAME !ABCDOnly VALUE NUMERIC 15下插入一行NAME !ABCFGHIOnly VALUE NUMERIC