域中禁用USB等移动硬盘.pdfVIP

Windows 2003 域控制器 组策略禁止 USB 的方法 2010-10-22 17:25 我可以提供禁用usb 的注册表方法 定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR 右边有一个叫start的键值 双击他将值改成4 usb就禁用了 下次要恢复只需将4 改成3 就好了 把下段斜杠内的内容拷到文本文档中，保存成.ADM文件，然后打开你要做限制的OU 的 组策略，展开“用户配置,管理模板”,右击管理模板,添加/删除模板,然后把刚才保存 的ADM 文件导入!现在在这个OU 下的所有用户将无法使用USB存储设备! 计算机未安装USB设备 这种情况可以采取将%SystemRoot%Inf下的和两个文件设置其用户的控制权 限。 Step1：右击这两个文件，选择“属性→安全→高级”，在“权限”页面中取消“从父 项继承那些可以应 用到子对象的权限项目，包括那些在此明确定义的项目”复选框。 Step2：在“安全”页面中，选择要屏蔽的用户或用户组，在“完全控制”中选择“拒 绝”复选框，然后 单击“确定”。 这种通过分配权限的方法，可以指定哪些用户可以使用USB设备，哪些用户不可以使 用 USB设备，和下面的 “Windows NT以上系统通用方法”一样，灵活性较大，所以建议采用该方法限制用户 安装USB设备。 2. 计算机已安装了USB设备 这种情况可以通过修改注册表来实现。方法是修改注册表中 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR下的“Start”值，改 为十六位进制 数值“4”。 该方法修改后，当用户将USB存储设备连接到计算机时，该设备将无法运行。 二、Windows NT以上系统通用方法 运行注册表编辑器，找到HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR 键，取消 System的所有控制权。如果要分配控制权，只需要对相应用户设置控制权限就可以 了。 小提示：Windows 2000中要设置注册表的控制权限，需用注册表编辑器。 三、禁止和管理域中多台计算机USB设备的使用 方法很简单，就是在域控制器上通过组策略限制用户对“Windows NT以上系统通用方 法”中注册表键的控 制权即可。 如果是禁用光驱，软驱，USB设备，第三方软件GFI LANGuard Portable Storage非 常不错，它可以在域环境中使用。 如果使用组策略禁用USB设备,可以按照以下办法： 禁止移动存储设务的模板[胡义老师原创] 将下列内容保存为，在组策略的添加/删除模板中导入进行设置。 =========================================================================== == CLASS USER CATEGORY !!ADMDesc POLICY !!MMC_DeviceManagerX KEYNAME Software\Policies\Microsoft\MMC\{-d6d6-11d0-8353-00a0c90640bf} #if version = 4 SUPPORTED !!SUPPORTED_Win2k #endif EXPLAIN !!MMC_Restrict_Explain valueNAME Restrict_Run valueON NUMERIC 0 valueOFF NUMERIC 1 END POLICY POLICY !!MMC_DeviceManager KEYNAME Software\Policies\Microsoft\MMC\{74246bfc-4c96-11d0-abef- 0020af6b0b7a} #if version = 4 SUPPORTED !!SUPPORTED_Win2k #endif EXPLAIN !!DEVMGR_Restrict_Explain valueNAME Restrict_Run valueON NUMERIC 0 valueOFF NUMERIC 1 END POLIC End CATEGOR CLASS MACHINE CATEGORY !!ADMDesc POLICY !!USB_UHCD_PARAMS KEYNAME SYSTEM\CurrentControlSet\Services\uhcd EXPLAIN !!STARTUPTYPE_