版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
Windows2003域控制器組策略禁止USB的方法2010-10-2217:25我可以提供禁用usb的注冊表方法定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR右邊有一個叫start的鍵值雙擊他將值改成4usb就禁用了下次要恢復(fù)只需將4改成3就好了把下段斜杠內(nèi)的內(nèi)容拷到文本文檔中,保存成DM文件,然后打開你要做限制的U的組策略,展開“用戶配置,管理模板”,右擊管理模板,添加/刪除模板,然后把剛才保存的adm文件導(dǎo)入!現(xiàn)在在這個OU下的所有用戶將無法使用^8存儲設(shè)備!計算機(jī)未安裝USB設(shè)備這種情況可以采取將SystemRoot%Inf下的和兩個文件設(shè)置其用戶的控制權(quán)限。Stepl:右擊這兩個文件,選擇“屬性T安全T高級”,在“權(quán)限”頁面中取消“從父項繼承那些可以應(yīng)用到子對象的權(quán)限項目,包括那些在此明確定義的項目”復(fù)選框。Step2:在“安全”頁面中,選擇要屏蔽的用戶或用戶組,在“完全控制”中選擇“拒絕”復(fù)選框,然后單擊“確定”。這種通過分配權(quán)限的方法,可以指定哪些用戶可以使USB設(shè)備,哪些用戶不可以使用USB設(shè)備,和下面的“WindowsNT以上系統(tǒng)通用方法”一樣,靈活性較大,所以建議采用該方法限制用戶安裝USB設(shè)備。2.計算機(jī)已安裝了USB設(shè)備這種情況可以通過修改注冊表來實現(xiàn)。方法是修改注冊表中HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSUJR的“Start”值,改為十六位進(jìn)制數(shù)值“4”。該方法修改后,當(dāng)用戶將USB存儲設(shè)備連接到計算機(jī)時,該設(shè)備將無法運行。二、WindowsNT以上系統(tǒng)通用方法運行注冊表編輯器,找到HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR鍵,取消System的所有控制權(quán)。如果要分配控制權(quán),只需要對相應(yīng)用戶設(shè)置控制權(quán)限就可以了。小提示:Windows2000中要設(shè)置注冊表的控制權(quán)限,需用注冊表編輯器。三、禁止和管理域中多臺計算機(jī)58設(shè)備的使用方法很簡單,就是在域控制器上通過組策略限制用戶對Vi'hdowsNT以上系統(tǒng)通用方法”中注冊表鍵的控制權(quán)即可。如果是禁用光驅(qū),軟驅(qū),USB設(shè)備,第三方軟件同^LANGuardPortableStorage非常不錯,它可以在域環(huán)境中使用。如果使用組策略禁用內(nèi)8設(shè)備,可以按照以下辦法:禁止移動存儲設(shè)務(wù)的模板[胡義老師原創(chuàng)]將下列內(nèi)容保存為,在組策略的添加刪除模板中導(dǎo)入進(jìn)行設(shè)置。CLASSUSERCATEGORY!!ADMDescPOLICY!!MMC_DeviceManagerXKEYNAME"Software\Policies\Microsoft\MMC\{-d6d6-11d0-8353-00a0c90640bf}”#ifversion>=4SUPPORTED!!SUPPORTED_Win2k#endifEXPLAIN!!MMC_Restrict_ExplainvalueNAME"Restrict_Run"valueONNUMERIC0valueOFFNUMERIC1ENDPOLICYPOLICY!!MMC_DeviceManagerKEYNAME"Software\Policies\Microsoft\MMC\{74246bfc-4c96-11d0-abef-0020af6b0b7a}”#ifversion>=4SUPPORTED!!SUPPORTED_Win2k#endifEXPLAIN!!DEVMGR_Restrict_ExplainvalueNAME"Restrict_Run"valueONNUMERIC0valueOFFNUMERIC1ENDPOLICYEndCATEGORYCLASSMACHINECATEGORY!!ADMDescPOLICY!!USB_UHCD_PARAMSKEYNAME"SYSTEM\CurrentControlSet\Services\uhcd"EXPLAIN!!STARTUPTYPE_HELPPART!!STARTUPTYPENUMERICREQUIREDvalueNAME"START"MIN3MAX4DEFAULT3ENDPARTENDPOLICYPOLICY!!USB_UHCI_PARAMSKEYNAME"SYSTEM\CurrentControlSet\Services\usbuhciEXPLAIN!!STARTUPTYPE_HELPPART!!STARTUPTYPENUMERICREQUIREDvalueNAME"START"MIN3MAX4DEFAULT3ENDPARTENDPOLICYPOLICY!!USB_EHCI_PARAMSKEYNAME"SYSTEM\CurrentControlSet\Services\usbehciEXPLAIN!!STARTUPTYPE_HELPPART!!STARTUPTYPENUMERICREQUIREDvalueNAME"START"MIN3MAX4DEFAULT3ENDPARTENDPOLICYPOLICY!!USB_HUBKEYNAME"SYSTEM\CurrentControlSet\Services\usbhub"EXPLAIN!!STARTUPTYPE_HELPPART!!STARTUPTYPENUMERICREQUIREDvalueNAME"START"MIN3MAX4DEFAULT3ENDPARTENDPOLICYPOLICY!!CD_ROMKEYNAME"SYSTEM\CurrentControlSet\Services\cdrom"EXPLAIN!!STARTUPTYPE_HELPPART!!STARTUPTYPENUMERICREQUIREDvalueNAME"START"MIN3MAX4DEFAULT3ENDPARTENDPOLICYPOLICY!!Floppy_DiskKEYNAME"SYSTEM\CurrentControlSet\Services\flpydiskEXPLAIN!!STARTUPTYPE_HELPPART!!STARTUPTYPENUMERICREQUIREDvalueNAME"START"MIN3MAX4DEFAULT3ENDPARTENDPOLICYEndCATEGORY[strings]人口附口6$。二自定義策略"MMC_DeviceManagerX=設(shè)備管理器擴(kuò)展插件MMC_DeviceManager=設(shè)備管理器’SUPPORTED_Win2k=至少使用MicrosoftWindows2000”MMC_Restrict_Explain="Disable禁用設(shè)備管理器擴(kuò)展插件;Enable啟用設(shè)備管理器擴(kuò)展插件"DEVMGR_Restrict_Explain="Disable禁用設(shè)備管理器;Enable啟用設(shè)備管理器"USB_UHCD_PARAMS="USB通用主控制器驅(qū)動器STARTUPTYPE_HELP=啟動類型,3-手動,4-禁用”STARTUPTYPE二啟動類型,USB_EHCI_PARAMS="MicrosoftUSBEnhancedHostControllerMiniportDriver"USB_UHCI_PARAMS="MicrosoftUSBUniversalHostControllerMiniportDriver"USB_HUB="MicrosoftUSBStandardHubDriver"CD_ROM="光驅(qū)"Floppy_Disk=軟驅(qū)"者在一家區(qū)級法院網(wǎng)絡(luò)中心工作,為確保局域網(wǎng)內(nèi)的計算機(jī)安全,省高院要求全省聯(lián)網(wǎng)的法院客戶端的機(jī)器光軟驅(qū)都要拆除,而且禁止在局域網(wǎng)內(nèi)使鹿。我們知道,現(xiàn)在局域網(wǎng)中使用的操作系統(tǒng)絕大多數(shù)都霆indows系列,對于Windows98說,做到這些并不難,因為U盤第一次使用時需要安裝相應(yīng)的驅(qū)動程序,拆除了光、軟驅(qū)后,驅(qū)動無法安裝,U盤也就無法使用,但對刑indows200QWindowsXP來說,情況就不同了,用過U盤的人都知道這些操作系統(tǒng)不需要安裝驅(qū)動U盤即插即用。對于大多數(shù)用戶來說,這的確很方便,但對于單位有要求的網(wǎng)管來說,就頭疼了,現(xiàn)在新買的機(jī)器不能總是安裝ind。ws98吧,畢竟Wind。ws98就要“下崗”了,但面對U盤,卻沒有好的辦法,也許您會想到可以在105設(shè)置里屏蔽USB端口,但這是“寧可錯殺一千,不能放過一個”的辦法,如果您的單位客戶端沒有使相接口的鍵盤、鼠標(biāo)、打印機(jī)等設(shè)備,那您完全可以采用此方法,不過您以后采購設(shè)備的時候要注意了,最好不要采購SB設(shè)備,除非咱們網(wǎng)管自己用,哈哈!那有沒有簡單易行的辦法呢經(jīng)過一段時間摸索和試驗,筆者終于找到了使用修改組策略模板的方法實現(xiàn)此目標(biāo)。實現(xiàn)條件當(dāng)然這是有前提條件的,首先,您的局域網(wǎng)必須以域為架構(gòu)(我們知Widows2000、WindowsXP自己都自帶有組策略編輯器,使用組策略編輯器可單獨編輯每臺機(jī)器的策略,而使用域時,只要用戶登錄到域,就會自動應(yīng)用策略,在服務(wù)器端修改一次,就可以在全域?qū)崿F(xiàn)管理目標(biāo),如果不采用域模式,您需要每臺都要設(shè)置組策略,失去了效率,也就沒有采用的必要了)。其次,客戶端必須以域用戶的身份登錄網(wǎng)絡(luò),且不能被賦予客戶端本機(jī)管理員的權(quán)限??蛻舳瞬僮飨到y(tǒng)推薦使用indows2000和WindowsXP雖然Windows98也能在域環(huán)境下應(yīng)用組策略,但Endows2000Serve組策略對Windows98的支持并不完全,且需要采用兩種完全不同的方法分別管理他們,會對您以后的網(wǎng)絡(luò)管理帶來不便。特別說明:這里介紹的方法并不適用于indows98只適用于服務(wù)器端安裝Windows2000Server或WindowsServer2003只要您的網(wǎng)絡(luò)滿足以上條件,我們就可以利用組策略屏觥盤,而對于其做58設(shè)備卻無任何影響,筆者在單位實施年多來,效果很好,現(xiàn)將詳細(xì)方法介紹出來,希望能給眾多網(wǎng)管們提供一點借鑒。基本原理組策略實現(xiàn)的原理實際上就是修改注冊表,當(dāng)域用戶登錄到域上時,系統(tǒng)會對指定的客戶端實施組策略,也即修改客戶端的注冊表,當(dāng)我們新建了一個組策略時,系統(tǒng)實際上是拷貝了三個模板文件,在您修改組策略時,實際上是在修改這些模板的副本,然后把這些策略應(yīng)用到指定的客戶端中去,然而ndows2000$676系統(tǒng)提供的組策略模板中并沒有我們想要的屏蔽盤的策略,但我們可以手動修改系統(tǒng)的模板文件,使組策略模板具備屏蔽盤的策略,實際上根據(jù)其原理,凡是修改注冊表能做到的,基本上都可以在域中使用組策略實現(xiàn)。實現(xiàn)方法1、在域控制器上打刑ctiveDirectory用戶和計算機(jī),找到您要屏蔽盤的組織單位(OrganizationalUnit簡稱OU),右鍵查看此組織單位的屬性,點擊組策略頁面,新建一個組策略,命名并保存為“屏蔽盤”,建好后,雙擊“屏蔽盤”(必需先打開一次,否則系統(tǒng)不會拷貝那幾個模板文件),在打開的標(biāo)題為“組策略”的窗口的左邊,按以下順序定位“用戶配置一管理模板^^組件2遍也資源管理器”,選中Windows資源管理器,在右邊的窗口中會顯示如圖所示。我們可以看到有“隱藏我的電腦中的這些指定的驅(qū)動器”和“防止從我的電腦訪問驅(qū)動器”,雙擊打開其中一項策略,選擇“啟用”,下面的下拉框會變亮,單擊下拉框,如圖2所示,您會發(fā)現(xiàn)系統(tǒng)提供了7種限制訪問驅(qū)動器號的組合,其中也包括了“不限制驅(qū)動器”,顯然,這些組合不能滿足我們的要求(因為盤的盤符通常是排在最后的,而且現(xiàn)在的硬盤比較大,少則也有三四個分區(qū))。
弄甘而四喜伴土:粕tsmaM_#rt電題中,.尊為:fcMTBL蝌熟;2、在域控制器上打刑ctiveDirectory用戶和計算機(jī),在剛才我們新建的“屏蔽U盤”策略上單擊右鍵選擇查看屬性,在如圖所示的位置找到屏蔽U盤”的組策略的唯一的名稱,此名稱為一長串?dāng)?shù)字和字母組成,本例中{為2F86A8E-B345-4DDC-A304-E448F6E900A9,記下此字符串。EiR-ry;;r耳?EiR-ry;;r耳?則片』:由*修■■pk-m*八?口■嗎t(yī)ji卡bm3、打開系統(tǒng)盤,定位以82F86A8E-B345-4DDC-A304-E448F6E900A:g的文件夾,此文件夾位于C:下(盤符依賴于您安裝的操作系統(tǒng)所在的分區(qū)),注意其中是
您的Windows2000的域名,打開{82F86A8E-B345-4DDC-A304-E448F6E900A目錄,找到人口附目錄下的文件,此文件是我們在實施組策略的模板文件,是一個純文本文件,可用記事本打開,找到下面這兩段代碼:*POLICY!!NoDrivesEXPLAIN!!NoDrives_HelpPART!!NoDrivesDropdownDROPDOWNLISTNOSORTREQUIREDVALUENAME"NoDrivesITEMLISTNAME!!ABOnlyNAME!!COnlyNAME!!DOnlyNAME!!ABOnlyNAME!!COnlyNAME!!DOnlyNAME!!ABConlyNAME!!ABCDOnlyVALUENUMERIC4VALUENUMERIC8VALUENUMERIC7VALUENUMERIC15NAME!!ALLDrivesVALUENUMERICDEFAULT;low26bitson(1bitperdrive)NAME!!RestNoDrivesVALUENUMERIC0ENDITEMLISTENDPARTENDPOLICY*POLICY!!NoViewOnDriveEXPLAIN!!NoViewOnDrive_HelpPART!!NoDrivesDropdownDROPDOWNLISTNOSORTREQUIREDVALUENAME"NoViewOnDrive"ITEMLISTNAME!!ABOnlyVALUENUMERIC3NAME!!COnlyVALUENUMERIC4NAME!!DOnlyVALUENUMERIC8NAME!!ABConlyVALUENUMERIC7NAME!!ABCDOnlyVALUENUMERIC15NAME!!ALLDrivesVALUENUMERICDEFAULT;low26bitson(1bitperdrive)NAME!!RestNoDrivesVALUENUMERIC0ENDITEMLISTENDPARTENDPOLICY說明:這是兩個策略,第一々!NoDrive它的作用是在我的電腦中不顯示指定的驅(qū)動器名,驅(qū)動器號代表的所有驅(qū)動器不出現(xiàn)在標(biāo)準(zhǔn)的打開對話框上,但是在地址欄中輸入盤符或新建一個指向硬盤盤符的快捷方式,用戶仍然可以訪問該驅(qū)動器;第二個??!NoViewOnDrive的作用是阻止用戶訪問驅(qū)動器。可以阻止上述情況的出現(xiàn),但是僅僅用第二個的話,用戶可以看見該驅(qū)動器的盤符,但不能訪問,一般情況,兩個同時使用,可以達(dá)到比較理想的效果。仔細(xì)觀察上述代碼,不難發(fā)現(xiàn),其中一共有個NAME項,正好和我們圖2下拉框中的——對應(yīng),后面的/ALUENUMERIC按照low26bitson(1bitperdrive的規(guī)
則取值,low26bitson的意思說值為26位的二進(jìn)制,最多可指定6個驅(qū)動器盤符,而1bitperdrive則代表1位代表1個驅(qū)動器,舉例說A=1,B=2,C=4,D=8,E=16,F=32,G=64,H=128,I=256,由低到高,以此類推。我們可根據(jù)我們的需要修改此代碼段,假如我們要隱藏、B、C、F、G、H、I,您可以根據(jù)您的需要而定,推薦隱藏的盤符數(shù)量應(yīng)該大于您的現(xiàn)有的盤符數(shù)加上您客戶端所有做接口數(shù)(防止有人同時插入幾個0盤,呵呵?。?。那么我們計算出VALUENUMERIC的數(shù)值A(chǔ)+B+C+F+G+H+I=1+2+4+32+64+128+256=48,7在兩個策略中的NAME!!ABCDOnlyVALUENUMERIC15下插入一行NAME!!ABCFGHIOnlyVALUENUMERIC487隨后,移到文件的末尾,在ABConly="僅限制驅(qū)動器A、B和C"下面插入一行數(shù)據(jù),ABCFGHIOnly二僅限制驅(qū)動器人、B、C、F、G、H、I"等于號后引號內(nèi)的說明您可以根據(jù)自己的喜好定義,它將會顯示在如2圖下拉框等于號后引號內(nèi)的說明您可以根據(jù)自己的喜好定義,它將會顯示在如2圖下拉框中。保存后,打開“屏蔽U盤”策略,定位“用戶配置管理模標(biāo)Windows組件-Windows資源管理器”,
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 高中語文《人的正確思想是從哪里來的?》隨堂練習(xí)(含答案)
- 2023年政府引導(dǎo)基金資金籌措計劃書
- 2024年DDN線路密碼機(jī)項目資金申請報告代可行性研究報告
- 涂料供料合同模板
- 招標(biāo)代理度合同模板
- 簡約車輛托運合同模板
- 買賣肉牛合同模板
- 租船意向合同模板
- 鋼筋運輸附屬合同模板
- 代工硅藻泥合同模板
- 【少數(shù)民族服飾文化研究文獻(xiàn)綜述2400字】
- 屋面防水動火施工方案范本
- 聚是一團(tuán)火散是滿天星增強(qiáng)班級凝聚力主題班會 課件(共27張PPT)
- 四川綿陽中學(xué)小升初數(shù)學(xué)試卷
- 2023年中考?xì)v史真題分項匯編(全國通用):專題10 新民主主義革命的開始(第01期)(原卷版)
- 部編版八年級歷史上冊 (五四運動)教學(xué)課件
- 淺圓倉滑模及倉頂板施工方案002
- 2023年國考銀保監(jiān)會財會真題與解析
- 領(lǐng)導(dǎo)干部調(diào)查研究制度
- 勞動促進(jìn)人的成長與發(fā)展匯總課件
- 溫度儀表-員工培訓(xùn)教學(xué)課件
評論
0/150
提交評論