域中建立封USB策略.docVIP

域中建立封USB策略 EB7C4389-EC78-4ABD-8F17-5E9277850D0C 请问如何在域中建立封USB 的请问如何在域中建立封USB 的策略，禁止使用USB？ 字体: 小 中 大 | 打印 发表于: 2008-8-02 19:43 作者: terry_leung 来源: IXPUB技术博客 如题，请高**！ 我也来说两句 查看全部回复 最新回复 terry_leung (2008-8-02 19:48:16) :36: 怎么后面的字变星号了，“如题，请高**！” grjboy30 (2008-8-02 20:26:29) 在域环境中使用组策略禁用USB 策略1: *** Hidden to visitors *** 策略2:也就是问中的《如何禁用 USB 存储设备》 内容如下: [hide] 如果计算机上尚未安装 USB 存储设备，请向用户或组分配对下列文件的“拒绝”权限： %SystemRoot%\Inf\Usbstor.pnf %SystemRoot%\Inf\Usbstor.inf 这样，用户将无法在计算机上安装 USB 存储设备。 要向用户或组分配对 Usbstor.pnf 和 Usbstor.inf 文件的“拒绝”权限，请按照下列步骤操作： 启动 Windows 资源管理器，然后找到 %SystemRoot%\Inf 文件夹。 右键单击“Usbstor.pnf”文件，然后单击“属性”。 单击“安全”选项卡。 在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。 在“用户名或组名 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。 右键单击“Usbstor.inf”文件，然后单击“属性”。 单击“安全”选项卡。 在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。 在“用户名或组名 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。 如果计算机上已经安装了 USB 存储设备 警告： “注册表编辑器”使用不当可导致严重问题，可能需要重新安装操作系统。Microsoft 不能保证您可以解决因“注册表编辑器”使用不当而导致的问题。使用注册表编辑器需要您自担风险。 如果计算机上已经安装了 USB 存储设备，请将以下注册表项中的“Start”值设置为 4： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor 这样，当用户将 USB 存储设备连接到计算机时，该设备将无**行。要设置“Start”的值，请按照下列步骤操作： 单击“开始”，然后单击**行”。 在“打开”框中，键入“regedit”，然后单击“确定”。 找到并单击下面的注册表项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor 在右窗格中，双击“Start”。 在“数值数据”框中，键入 4，单击“十六进制”（如果尚未选中），然后单击“确定”。 退出“注册表编辑器”。 至此，USB禁止策略实施成功。 屏蔽U盘 　1、在域控制器上打开Active Directory用户和计算机，找到您要屏蔽U盘的组织单位（Organizational Unit 简称OU），右键查看此组织单位的属性，点击组策略页面，新建一个组策略，命名并保存为“屏蔽U盘”，建好后，双击“屏蔽U盘”（必需先打开一次，否则系统不会拷贝那几个模板文件），在打开的标题为“组策略”的窗口的左边，按以下顺序定位“用户配置－管理模板-Windows组件-Windows资源管理器”，选中Windows资源管理器 我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”，双击打开其中一项策略，选择“启用”，下面的下拉框会变亮，单击下拉框，如图2所示，您会发现系统提供了7种限制访问驱动器号的组合，其中也包括了“不限制驱动器”，显然，这些组合不能满足我们的要求（因为U盘的盘符通常是排在最后的，而且现在的硬盘比较大，少则也有**个分区）。 　　2、在域控制器上打开Active Directory 用户和计算机，在刚才我们新建的“屏蔽U盘”策略上单击右键选择查看属性，在如图3所示的位置找到屏蔽U盘的组策略的唯一的名称，此名称为一长串数字和字母组成，本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9}，记下此字符串。 　　3、打开系统盘，定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹，此文件夹位于“C: WINNTSYSVOLPolicies”下（盘符依赖于您