在域控上禁止u盘的视频.docVIP

在域控上禁止U盘的视频 实现条件　　当然这是有前提条件的，首先，您的局域网必须以域为架构（我们知道Windows 2000、Windows XP自己都自带有组策略编辑器，使用组策略编辑器可单独编辑每台机器的策略，而使用域时，只要用户登录到域，就会自动应用策略，在服务器端修改一次，就可以在全域实现管理目标，如果不采用域模式，您需要每台都要设置组策略，失去了效率，也就没有采用的必要了）。　　其次，客户端必须以域用户的身份登录网络，且不能被赋予客户端本机管理员的权限。客户端操作系统推荐使用Windows 2000和Windows XP，虽然Windows 98也能在域环境下应用组策略，但Windows 2000 Server组策略对Windows 98的支持并不完全，且需要采用两种完全不同的方法分别管理他们，会对您以后的网络管理带来不便。　　特别说明：这里介绍的方法并不适用于Windows 98，只适用于服务器端安装Windows 2000 Server或Windows Server 2003。只要您的网络满足以上条件，我们就可以利用组策略屏蔽U盘，而对于其它USB设备却无任何影响，笔者在单位实施1年多来，效果很好，现将详细方法介绍出来，希望能给众多网管们提供一点借鉴。　　基本原理　　组策略实现的原理实际上就是修改注册表，当域用户登录到域上时，系统会对指定的客户端实施组策略，也即修改客户端的注册表，当我们新建了一个组策略时，系统实际上是拷贝了三个模板文件，在您修改组策略时，实际上是在修改这些模板的副本，然后把这些策略应用到指定的客户端中去，然而Windows 2000 Server系统提供的组策略模板中并没有我们想要的屏蔽U盘的策略，但我们可以手动修改系统的模板文件，使组策略模板具备屏蔽U盘的策略，实际上根据其原理，凡是修改注册表能做到的，基本上都可以在域中使用组策略实现。　　实现方法　　1、在域控制器上打开Active Directory用户和计算机，找到您要屏蔽U盘的组织单位（Organizational Unit 简称OU），右键查看此组织单位的属性，点击组策略页面，新建一个组策略，命名并保存为“屏蔽U盘”，建好后，双击“屏蔽U盘”（必需先打开一次，否则系统不会拷贝那几个模板文件），在打开的标题为“组策略”的窗口的左边，按以下顺序定位“用户配置－管理模板-Windows组件-Windows资源管理器”，选中Windows资源管理器，在右边的窗口中会显示。　　我们可以看到有“隐藏我的计算机中的这些指定的驱动器”和“防止从我的计算机访问驱动器”，双击打开其中一项策略，选择“启用”，下面的下拉列表会变亮，单击下拉列表，如图2所示，您会发现系统提供了7种限制访问驱动器号的组合，其中也包括了“不限制驱动器”，显然，这些组合不能满足我们的要求（因为U盘的盘符通常是排在最后的，而且现在的硬盘比较大，少则也有三四个分区）。　　2、在蚩刂破魃洗蚩狝ctive Directory 用户和计算机，在刚才我们新建的“屏蔽U盘”策略上单击右键选择查看属性，在如图3所示的位置找到屏蔽U盘的组策略的唯一的名称，此名称为一长串数字和字母组成，本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9}，记下此字符串。　　3、打开系统盘，定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的档夹，此档夹位于“C:WINNTSYSVOLPolicies”下（盘符依赖于您安装的操作系统所在的分区），注意其中是您的Windows 2000的域名，打开{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录，找到ADM目录下的system.adm档，此档是我们在实施组策略的模板文件，是一个纯文本文件，可用记事本打开，找到下面这两段代码：　　　* POLICY !!NoDrives ? ? 　　　EXPLAIN !!NoDrives_Help??　　　　PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED　　　VALUENAME NoDrives　　　ITEMLIST　　　NAME !!ABOnly? ?? ? VALUE NUMERIC 3　　　NAME !!COnly? ?? ?? ?VALUE NUMERIC 4　　　NAME !!DOnly? ?? ?? ?VALUE NUMERIC 8　　　NAME !!ABConly? ?? ? VALUE NUMERIC 7　　　NAME !!ABCDOnly? ???VALUE NUMERIC 15　　　NAME !!ALLDr