AD組策略禁用U盤

1、.：.；Windows組戰(zhàn)略屏蔽U盤有妙法(圖)Windows組戰(zhàn)略屏蔽U盤有妙法(圖)$ G$ z& h/ ?) K9 L& s8 l j% ) ?4 ( C% y# Y & ( HYPERLINK windows.chinaitlab/strategy/354355.html t _blank ChinaITLab搜集整理 0 y/ ?3 s) r# W. p# u6 | x; t& - _) 5 Y9 O筆者在一家區(qū)級法院網(wǎng)絡(luò)中心任務(wù)，為確保局域網(wǎng)內(nèi)的計算機平安，省高院要求全省聯(lián)網(wǎng)的法院客戶端的機器光軟驅(qū)都要撤除，而且制止在局域網(wǎng)內(nèi)運用U盤。我們知道，如今局域網(wǎng)中運用的操作系統(tǒng)絕大多數(shù)都

2、是Windows系列，對于Windows 98說，做到這些并不難，由于U盤第一次運用時需求安裝相應(yīng)的驅(qū)動程序，撤除了光、軟驅(qū)后，驅(qū)動無法安裝，U盤也就無法運用，但對于Windows 2000、Windows XP來說，情況就不同了，用過U盤的人都知道這些操作系統(tǒng)不需求安裝驅(qū)動，U盤即插即用。/ M# Q y6 H; x u+ V9 a ; K2 S* m1 s3 f0 3 n6 k對于大多數(shù)用戶來說，這確實很方便，但對于單位有要求的網(wǎng)管來說，就頭疼了，如今新買的機器不能總是安裝Windows 98吧，畢竟Windows 98就要“下崗了，但面對U盤，卻沒有好的方法，也許您會想到可以在BIOS設(shè)

3、置里屏蔽USB端口，但這是“寧可錯殺一千，不能放過一個的方法，假設(shè)您的單位客戶端沒有運用USB接口的鍵盤、鼠標、打印機等設(shè)備，那您完全可以采用此方法，不過您以后采購設(shè)備的時候要留意了，最好不要采購USB設(shè)備，除非我們網(wǎng)管本人用，哈哈！那有沒有簡單易行的方法呢？經(jīng)過一段時間探求和實驗，筆者終于找到了運用修正組戰(zhàn)略模板的方法實現(xiàn)此目的。 9 d9 R! 1 B- D$ o1 Q$ x+ X- ?4 F3 R4 Z實現(xiàn)條件! B; s& f. S) U, t7 f% I6 c$ C3 l2 X; T/ w當然這是有前提條件的，首先，您的局域網(wǎng)必需以域為架構(gòu)我們知道Windows 2000、Windo

4、ws XP本人都自帶有組戰(zhàn)略編輯器，運用組戰(zhàn)略編輯器可單獨編輯每臺機器的戰(zhàn)略，而運用域時，只需用戶登錄到域，就會自動運用戰(zhàn)略，在效力器端修正一次，就可以在全域?qū)崿F(xiàn)管理目的，假設(shè)不采用域方式，您需求每臺都要設(shè)置組戰(zhàn)略，失去了效率，也就沒有采用的必要了。, |( M- c: a, _, Y* b2 c5 H& a: j6 1 E其次，客戶端必需以域用戶的身份登錄網(wǎng)絡(luò)，且不能被賦予客戶端本機管理員的權(quán)限?？蛻舳瞬僮飨到y(tǒng)引薦運用Windows 2000和Windows XP，雖然Windows 98也能在域環(huán)境下運用組戰(zhàn)略，但Windows 2000 Server組戰(zhàn)略對Windows 98的支持并不

5、完全，且需求采用兩種完全不同的方法分別管理他們，會對您以后的網(wǎng)絡(luò)管理帶來不便。; f7 z2 h9 ) P5 b# e1 # y9 i- V5 B7 h; _特別闡明：這里引見的方法并不適用于Windows 98，只適用于效力器端安裝Windows 2000 Server或Windows Server 2003。只需您的網(wǎng)絡(luò)滿足以上條件，我們就可以利用組戰(zhàn)略屏蔽U盤，而對于其他USB設(shè)備卻無任何影響，筆者在單位實施1年多來，效果很好，現(xiàn)將詳細方法引見出來，希望能給眾多網(wǎng)管們提供一點自創(chuàng)。 n3 G& / n6 ?8 G9 V$ d: d& j0 3 h V+ L根本原理( A( E! z5 m

6、4 G( P O: 4 N) ?0 * b0 h: W. m$ _9 w3 組戰(zhàn)略實現(xiàn)的原理實踐上就是修正注冊表，當域用戶登錄到域上時，系統(tǒng)會對指定的客戶端實施組戰(zhàn)略，也即修正客戶端的注冊表，當我們新建了一個組戰(zhàn)略時，系統(tǒng)實踐上是拷貝了三個模板文件，在您修正組戰(zhàn)略時，實踐上是在修正這些模板的副本，然后把這些戰(zhàn)略運用到指定的客戶端中去，然而Windows 2000 Server系統(tǒng)提供的組戰(zhàn)略模板中并沒有我們想要的屏蔽U盤的戰(zhàn)略，但我們可以手動修正系統(tǒng)的模板文件，使組戰(zhàn)略模板具備屏蔽U盤的戰(zhàn)略，實踐上根據(jù)其原理，凡是修正注冊表能做到的，根本上都可以在域中運用組戰(zhàn)略實現(xiàn)。# I+ Y- H 1 A

7、9 z9 x( X7 u/ A6 i2 r) 實現(xiàn)方法* C( w* u3 |/ ! 8 1、在域控制器上翻開Active Directory用戶和計算機，找到您要屏蔽U盤的組織單位Organizational Unit 簡稱OU，右鍵查看此組織單位的屬性，點擊組戰(zhàn)略頁面，新建一個組戰(zhàn)略，命名并保管為“屏蔽U盤，建好后，雙擊“屏蔽U盤必需先翻開一次，否那么系統(tǒng)不會拷貝那幾個模板文件，在翻開的標題為“組戰(zhàn)略的窗口的左邊，按以下順序定位“用戶配置管理模板-Windows組件-Windows資源管理器，選中Windows資源管理器，在右邊的窗口中會顯示如圖1所示。4 s! Q! & 9 9 J b6

8、 M N, U# H* ?1 r6 M 0 e7 F1 k5 / M- y4 ?/ P5 ?3 W0 g我們可以看到有“隱藏我的電腦中的這些指定的驅(qū)動器和“防止從我的電腦訪問驅(qū)動器，雙擊翻開其中一項戰(zhàn)略，選擇“啟用，下面的下拉框會變亮，單擊下拉框，如圖2所示，您會發(fā)現(xiàn)系統(tǒng)提供了7種限制訪問驅(qū)動器號的組合，其中也包括了“不限制驅(qū)動器，顯然，這些組合不能滿足我們的要求由于U盤的盤符通常是排在最后的，而且如今的硬盤比較大，少那么也有三四個分區(qū)。- T4 u7 s( w2 / x g8 ; P$ G- / e! t1 l* N, f2 f B+ i3 V$ N1 D- m& F; U B* J2、在域

9、控制器上翻開Active Directory 用戶和計算機，在剛剛我們新建的“屏蔽U盤戰(zhàn)略上單擊右鍵選擇查看屬性，在如圖3所示的位置找到屏蔽U盤的組戰(zhàn)略的獨一的稱號，此稱號為一長串數(shù)字和字母組成，本例中為82F86A8E-B345-4DDC-A304-E448F6E900A9，記下此字符串。 V, g1 H1 L0 j3 4 l H1 O. ?+ j: s+ f( x m- V, s& z c W$ K( w, B8 b9 Y; t1 q7 D3、翻開系統(tǒng)盤，定位以82F86A8E-B345-4DDC-A304-E448F6E900A9命名的文件夾，此文件夾位于“C:WINNTSYSVOLba

10、lingPolicies下盤符依賴于您安裝的操作系統(tǒng)所在的分區(qū)，留意其中baling是您的Windows 2000的域名，翻開82F86A8E-B345-4DDC-A304-E448F6E900A9目錄，找到ADM目錄下的system.adm文件，此文件是我們在實施組戰(zhàn)略的模板文件，是一個純文本文件，可用記事本翻開，找到下面這兩段代碼：* H$ V$ q a5 P* M3 V2 5 G 援用:0 S- d7 L* e+ J3 N3 M* POLICY !NoDrives H- : u9 Q R9 D7 _7 X* c- EXPLAIN !NoDrives_Help _7 u& R$ % d(

11、J# tPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED- U2 V! y$ ( K DVALUENAME NoDrives: g& C r5 D6 K) h9 cITEMLIST5 i- A4 h: B9 n) L3 NAME !ABOnly VALUE NUMERIC 3) t2 i/ a( ?3 rNAME !COnly VALUE NUMERIC 4, Z, S! e4 F: r3 q7 dNAME !DOnly VALUE NUMERIC 83 ( F/ j3 6 x3 U+ a d NAME !ABConly VALUE NUM

12、ERIC 7. & e+ W& g5 N7 e% f- dNAME !ABCDOnly VALUE NUMERIC 15% Y1 Z2 K, 0 c+ HNAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT 4 l; Z! r4 X7 U( w( 4 N: F( z2 s; low 26 bits on (1 bit per drive)- n+ y B% # 2 NAME !RestNoDrives VALUE NUMERIC 0# d9 r/ , P: g: b9 e6 yEND ITEMLISTk% Y. 8 i$ C9 g+ Q END PART

13、 ( c+ x0 F* A0 z : v) mEND POLICY) l2 r& f) D& v1 A1 v8 S% M: v* POLICY !NoViewOnDrive9 m/ j/ a t EXPLAIN !NoViewOnDrive_Help+ M# m: / s# O( N1 |( F( D- ?! vPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED, q I ?$ b/ e# A+ pVALUENAME NoViewOnDrive# s5 t0 $ b, o7 % Y& t: rITEMLIST8 x6 N/ c% t& P7

14、z# u) F- oNAME !ABOnly VALUE NUMERIC 38 P5 C- Q, F% o2 F- X2 lNAME !COnly VALUE NUMERIC 4; . t5 h: W6 K) # NAME !DOnly VALUE NUMERIC 89 D! s) e u! u J+ % wNAME !ABConly VALUE NUMERIC 7, X% , G* Y. U9 JNAME !ABCDOnly VALUE NUMERIC 151 2 V% # a. oNAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT r& b$ d1

15、 o1 A6 z( s* e ; low 26 bits on (1 bit per drive)F! A: J9 g# 8 h9 $ W. RNAME !RestNoDrives VALUE NUMERIC 0: / s& h2 * X/ q: I END ITEMLIST1 M, a2 Q- 9 END PART 3 F8 u; q$ O+ L6 y& |. g3 l% u! b. MEND POLICY% c% G/ L1 p% Y+ ) H. q8 * U: v/ d: t闡明：這是兩個戰(zhàn)略，第一個!NoDrive，它的作用是在我的電腦中不顯示指定的驅(qū)動器名，驅(qū)動器號代表的一切驅(qū)動器不

16、出如今規(guī)范的翻開對話框上，但是在地址欄中輸入盤符或新建一個指向硬盤盤符的快捷方式，用戶依然可以訪問該驅(qū)動器；第二個!NoViewOnDrive的作用是阻止用戶訪問驅(qū)動器。可以阻止上述情況的出現(xiàn)，但是僅僅用第二個的話，用戶可以看見該驅(qū)動器的盤符，但不能訪問，普通情況，兩個同時運用，可以到達比較理想的效果。 * m7 d y r6 S% M Z. 0 X( t1 b! i5 ?0 l仔細察看上述代碼，不難發(fā)現(xiàn)，其中一共有7個NAME項，正好和我們圖2下拉框中的一一對應(yīng)，后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的規(guī)那么取值，low 26 b

17、its on的意思說值為26位的二進制，最多可指定26個驅(qū)動器盤符，而1 bit per drive那么代表1位代表1個驅(qū)動器，舉例說A=1，B=2，C=4，D=8，E=16，F(xiàn)=32，G=64，H=128，I=256，由低到高，以此類推。我們可根據(jù)我們的需求修正此代碼段，假設(shè)我們要隱藏A、B、C、F、G、H、I，您可以根據(jù)您的需求而定，引薦隱藏的盤符數(shù)量應(yīng)該大于您的現(xiàn)有的盤符數(shù)加上您客戶端一切的USB接口數(shù)防止有人同時插入幾個U盤，呵呵！。那么我們計算出VALUE NUMERIC的數(shù)值A(chǔ)+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487，在兩個戰(zhàn)略中的5 m6 X

18、 D7 k. L; o Z) 1 j# KNAME !ABCDOnly VALUE NUMERIC 159 ?/ y : e) |下插入一行9 N( u4 ?; & W0 DNAME !ABCFGHIOnly VALUE NUMERIC 4874 i% E8 v S! k3 T, R- ! Y0 O- ?. z9 I1 u& q( g隨后，移到System.adm文件的末尾，在 ABConly=僅限制驅(qū)動器 A、B 和 C 下面插入一行數(shù)據(jù)，ABCFGHIOnly=僅限制驅(qū)動器A、B、C、F、G、H、I( T2 G L: D: f7 # l等于號后引號內(nèi)的闡明您可以根據(jù)本人的喜好定義，它將會顯

19、示在如圖2的下拉框中。保管后，翻開“屏蔽U盤戰(zhàn)略，定位“用戶配置-管理模板-Windows 組件-Windows 資源管理器，在右邊的窗口中雙擊“隱藏我的電腦中的這些指定的驅(qū)動器或“防止從我的電腦訪問驅(qū)動器其中的一個，點擊“啟用，再點擊下拉框，哈哈，您會發(fā)現(xiàn)您多了一個選項如圖4。, x m2 v; 8 + n9 j9 t# - N8 I# b4 i( i/ a: $ t8 a! s: r4 N- v) p% W9 O% J( ; 這時候，您只需在您想屏蔽的用戶的組織單位上運用此戰(zhàn)略別忘了這兩個戰(zhàn)略都需求設(shè)置，保管后，包含于該組織單位下的用戶登錄時，便會發(fā)現(xiàn)他的U盤插上后，系統(tǒng)雖能識別并正確安裝

20、驅(qū)動，但在“我的電腦中卻無法看見，并且經(jīng)過其他方法也無法訪問，包括在地址欄中輸入盤符。; m% * c h; v+ |1 I+ n h9 s$ I/ _7 b至此，全部設(shè)置終了，讓您的客戶段運用此OU下的用戶登錄看看吧！: N# u* ( Q7 y: A8 r; 2 W9 o+ l! K: v; x: N( 4 o2 N$ Y+ k2 m其他本卷須知：8 L3 Z9 ?% K* t/ V. s+ t- f$ J. e- f5 q6 ( S5 B4 q: k1 e2 S1、這種方法在您的客戶端很多的時候，很方便，您只需確?？蛻舳说卿浻脩魧儆谀堰\用此組戰(zhàn)略的OU下即可，假設(shè)暫時需求允許他運用U盤，那只需把該用戶移出此OU，該用戶再注銷重新登錄一下就OK。; 2 P5 r! V N; r8 Q( q5 H! z: z H e* j2、需