域中禁用USB等移动硬盘.docx
- 文档编号:3987098
- 上传时间:2022-11-26
- 格式:DOCX
- 页数:10
- 大小:20.56KB
域中禁用USB等移动硬盘.docx
《域中禁用USB等移动硬盘.docx》由会员分享,可在线阅读,更多相关《域中禁用USB等移动硬盘.docx(10页珍藏版)》请在冰豆网上搜索。
域中禁用USB等移动硬盘
2010-10-2217:
25
我可以提供禁用usb的注册表方法
定位到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
右边有一个叫start的键值
双击他将值改成4usb就禁用了
下次要恢复只需将4改成3就好了
把下段斜杠内的内容拷到文本文档中,保存成.ADM文件,然后打开你要做限制的OU的组策略,展开“用户配置,管理模板”,右击管理模板,添加/删除模板,然后把刚才保存的ADM文件导入!
现在在这个OU下的所有用户将无法使用USB存储设备!
计算机未安装USB设备
这种情况可以采取将%SystemRoot%Inf下的和两个文件设置其用户的控制权
限。
Step1:
右击这两个文件,选择“属性→安全→高级”,在“权限”页面中取消“从父项继承那些可以应
用到子对象的权限项目,包括那些在此明确定义的项目”复选框。
Step2:
在“安全”页面中,选择要屏蔽的用户或用户组,在“完全控制”中选择“拒绝”复选框,然后
单击“确定”。
这种通过分配权限的方法,可以指定哪些用户可以使用USB设备,哪些用户不可以使用USB设备,和下面的
“WindowsNT以上系统通用方法”一样,灵活性较大,所以建议采用该方法限制用户安装USB设备。
2.计算机已安装了USB设备
这种情况可以通过修改注册表来实现。
方法是修改注册表中
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR下的“Start”值,改为十六位进制
数值“4”。
该方法修改后,当用户将USB存储设备连接到计算机时,该设备将无法运行。
二、WindowsNT以上系统通用方法
运行注册表编辑器,找到HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR键,取消
System的所有控制权。
如果要分配控制权,只需要对相应用户设置控制权限就可以了。
小提示:
Windows2000中要设置注册表的控制权限,需用注册表编辑器。
三、禁止和管理域中多台计算机USB设备的使用
方法很简单,就是在域控制器上通过组策略限制用户对“WindowsNT以上系统通用方法”中注册表键的控
制权即可。
如果是禁用光驱,软驱,USB设备,第三方软件GFILANGuardPortableStorage非常不错,它可以在域环境中使用。
如果使用组策略禁用USB设备,可以按照以下办法:
禁止移动存储设务的模板[胡义老师原创]
将下列内容保存为,在组策略的添加/删除模板中导入进行设置。
=============================================================================
CLASSUSER
CATEGORY!
!
ADMDesc
POLICY!
!
MMC_DeviceManagerX
KEYNAME"Software\Policies\Microsoft\MMC\{-d6d6-11d0-8353-00a0c90640bf}"
#ifversion>=4
SUPPORTED!
!
SUPPORTED_Win2k
#endif
EXPLAIN!
!
MMC_Restrict_Explain
valueNAME"Restrict_Run"
valueONNUMERIC0
valueOFFNUMERIC1
ENDPOLICY
POLICY!
!
MMC_DeviceManager
KEYNAME"Software\Policies\Microsoft\MMC\{74246bfc-4c96-11d0-abef-0020af6b0b7a}"
#ifversion>=4
SUPPORTED!
!
SUPPORTED_Win2k
#endif
EXPLAIN!
!
DEVMGR_Restrict_Explain
valueNAME"Restrict_Run"
valueONNUMERIC0
valueOFFNUMERIC1
ENDPOLICY
EndCATEGORY
CLASSMACHINE
CATEGORY!
!
ADMDesc
POLICY!
!
USB_UHCD_PARAMS
KEYNAME"SYSTEM\CurrentControlSet\Services\uhcd"
EXPLAIN!
!
STARTUPTYPE_HELP
PART!
!
STARTUPTYPENUMERICREQUIRED
valueNAME"START"
MIN3MAX4DEFAULT3
ENDPART
ENDPOLICY
POLICY!
!
USB_UHCI_PARAMS
KEYNAME"SYSTEM\CurrentControlSet\Services\usbuhci"
EXPLAIN!
!
STARTUPTYPE_HELP
PART!
!
STARTUPTYPENUMERICREQUIRED
valueNAME"START"
MIN3MAX4DEFAULT3
ENDPART
ENDPOLICY
POLICY!
!
USB_EHCI_PARAMS
KEYNAME"SYSTEM\CurrentControlSet\Services\usbehci"
EXPLAIN!
!
STARTUPTYPE_HELP
PART!
!
STARTUPTYPENUMERICREQUIRED
valueNAME"START"
MIN3MAX4DEFAULT3
ENDPART
ENDPOLICY
POLICY!
!
USB_HUB
KEYNAME"SYSTEM\CurrentControlSet\Services\usbhub"
EXPLAIN!
!
STARTUPTYPE_HELP
PART!
!
STARTUPTYPENUMERICREQUIRED
valueNAME"START"
MIN3MAX4DEFAULT3
ENDPART
ENDPOLICY
POLICY!
!
CD_ROM
KEYNAME"SYSTEM\CurrentControlSet\Services\cdrom"
EXPLAIN!
!
STARTUPTYPE_HELP
PART!
!
STARTUPTYPENUMERICREQUIRED
valueNAME"START"
MIN3MAX4DEFAULT3
ENDPART
ENDPOLICY
POLICY!
!
Floppy_Disk
KEYNAME"SYSTEM\CurrentControlSet\Services\flpydisk"
EXPLAIN!
!
STARTUPTYPE_HELP
PART!
!
STARTUPTYPENUMERICREQUIRED
valueNAME"START"
MIN3MAX4DEFAULT3
ENDPART
ENDPOLICY
EndCATEGORY
[strings]
ADMDesc="自定义策略"
MMC_DeviceManagerX="设备管理器扩展插件"
MMC_DeviceManager="设备管理器"
SUPPORTED_Win2k="至少使用MicrosoftWindows2000"
MMC_Restrict_Explain="Disable——禁用设备管理器扩展插件;Enable——启用设备管理器扩展插件"
DEVMGR_Restrict_Explain="Disable——禁用设备管理器;Enable——启用设备管理器"
USB_UHCD_PARAMS="USB通用主控制器驱动器"
STARTUPTYPE_HELP="启动类型,3-手动,4-禁用"
STARTUPTYPE="启动类型"
USB_EHCI_PARAMS="MicrosoftUSBEnhancedHostControllerMiniportDriver"
USB_UHCI_PARAMS="MicrosoftUSBUniversalHostControllerMiniportDriver"
USB_HUB="MicrosoftUSBStandardHubDriver"
CD_ROM="光驱"
Floppy_Disk="软驱"
者在一家区级法院网络中心工作,为确保局域网内的计算机安全,省高院要求全省联网的法院客户端的机器光软驱都要拆除,而且禁止在局域网内使用U盘。
我们知道,现在局域网中使用的操作系统绝大多数都是Windows系列,对于Windows98说,做到这些并不难,因为U盘第一次使用时需要安装相应的驱动程序,拆除了光、软驱后,驱动无法安装,U盘也就无法使用,但对于Windows2000、WindowsXP来说,情况就不同了,用过U盘的人都知道这些操作系统不需要安装驱动,U盘即插即用。
对于大多数用户来说,这的确很方便,但对于单位有要求的网管来说,就头疼了,现在新买的机器不能总是安装Windows98吧,毕竟Windows98就要“下岗”了,但面对U盘,却没有好的办法,也许您会想到可以在BIOS设置里屏蔽USB端口,但这是“宁可错杀一千,不能放过一个”的办法,如果您的单位客户端没有使用USB接口的键盘、鼠标、打印机等设备,那您完全可以采用此方法,不过您以后采购设备的时候要注意了,最好不要采购USB设备,除非咱们网管自己用,哈哈!
那有没有简单易行的办法呢?
经过一段时间摸索和试验,笔者终于找到了使用修改组策略模板的方法实现此目标。
实现条件
当然这是有前提条件的,首先,您的局域网必须以域为架构(我们知道Windows2000、WindowsXP自己都自带有组策略编辑器,使用组策略编辑器可单独编辑每台机器的策略,而使用域时,只要用户登录到域,就会自动应用策略,在服务器端修改一次,就可以在全域实现管理目标,如果不采用域模式,您需要每台都要设置组策略,失去了效率,也就没有采用的必要了)。
其次,客户端必须以域用户的身份登录网络,且不能被赋予客户端本机管理员的权限。
客户端操作系统推荐使用Windows2000和WindowsXP,虽然Windows98也能在域环境下应用组策略,但Windows2000Server组策略对Windows98的支持并不完全,且需要采用两种完全不同的方法分别管理他们,会对您以后的网络管理带来不便。
特别说明:
这里介绍的方法并不适用于Windows98,只适用于服务器端安装Windows2000Server或WindowsServer2003。
只要您的网络满足以上条件,我们就可以利用组策略屏蔽U盘,而对于其他USB设备却无任何影响,笔者在单位实施1年多来,效果很好,现将详细方法介绍出来,希望能给众多网管们提供一点借鉴。
基本原理
组策略实现的原理实际上就是修改注册表,当域用户登录到域上时,系统会对指定的客户端实施组策略,也即修改客户端的注册表,当我们新建了一个组策略时,系统实际上是拷贝了三个模板文件,在您修改组策略时,实际上是在修改这些模板的副本,然后把这些策略应用到指定的客户端中去,然而Windows2000Server系统提供的组策略模板中并没有我们想要的屏蔽U盘的策略,但我们可以手动修改系统的模板文件,使组策略模板具备屏蔽U盘的策略,实际上根据其原理,凡是修改注册表能做到的,基本上都可以在域中使用组策略实现。
实现方法
1、在域控制器上打开ActiveDirectory用户和计算机,找到您要屏蔽U盘的组织单位(OrganizationalUnit简称OU),右键查看此组织单位的属性,点击组策略页面,新建一个组策略,命名并保存为“屏蔽U盘”,建好后,双击“屏蔽U盘”(必需先打开一次,否则系统不会拷贝那几个模板文件),在打开的标题为“组策略”的窗口的左边,按以下顺序定位“用户配置-管理模板-Windows组件-Windows资源管理器”,选中Windows资源管理器,在右边的窗口中会显示如图1所示。
我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”,双击打开其中一项策略,选择“启用”,下面的下拉框会变亮,单击下拉框,如图2所示,您会发现系统提供了7种限制访问驱动器号的组合,其中也包括了“不限制驱动器”,显然,这些组合不能满足我们的要求(因为U盘的盘符通常是排在最后的,而且现在的硬盘比较大,少则也有三四个分区)。
2、在域控制器上打开ActiveDirectory用户和计算机,在刚才我们新建的“屏蔽U盘”策略上单击右键选择查看属性,在如图3所示的位置找到"屏蔽U盘"的组策略的唯一的名称,此名称为一长串数字和字母组成,本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9},记下此字符串。
3、打开系统盘,定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹,此文件夹位于“C:
下(盘符依赖于您安装的操作系统所在的分区),注意其中是您的Windows2000的域名,打开{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录,找到ADM目录下的文件,此文件是我们在实施组策略的模板文件,是一个纯文本文件,可用记事本打开,找到下面这两段代码:
*POLICY!
!
NoDrives
EXPLAIN!
!
NoDrives_Help
PART!
!
NoDrivesDropdownDROPDOWNLISTNOSORTREQUIRED
VALUENAME"NoDrives"
ITEMLIST
NAME!
!
ABOnly VALUENUMERIC3
NAME!
!
COnly VALUENUMERIC4
NAME!
!
DOnly VALUENUMERIC 8
NAME!
!
ABConly VALUENUMERIC 7
NAME!
!
ABCDOnly VALUENUMERIC15
NAME!
!
ALLDrivesVALUENUMERICDEFAULT
;low26bitson(1bitperdrive)
NAME!
!
RestNoDrives VALUENUMERIC0
ENDITEMLIST
ENDPART
ENDPOLICY
*POLICY!
!
NoViewOnDrive
EXPLAIN!
!
NoViewOnDrive_Help
PART!
!
NoDrivesDropdownDROPDOWNLISTNOSORTREQUIRED
VALUENAME"NoViewOnDrive"
ITEMLIST
NAME!
!
ABOnly VALUENUMERIC3
NAME!
!
COnly VALUENUMERIC4
NAME!
!
DOnly VALUENUMERIC 8
NAME!
!
ABConly VALUENUMERIC 7
NAME!
!
ABCDOnly VALUENUMERIC15
NAME!
!
ALLDrivesVALUENUMERICDEFAULT
;low26bitson(1bitperdrive)
NAME!
!
RestNoDrives VALUENUMERIC0
ENDITEMLIST
ENDPART
ENDPOLICY
说明:
这是两个策略,第一个!
!
NoDrive,它的作用是在我的电脑中不显示指定的驱动器名,驱动器号代表的所有驱动器不出现在标准的打开对话框上,但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式,用户仍然可以访问该驱动器;第二个!
!
NoViewOnDrive的作用是阻止用户访问驱动器。
可以阻止上述情况的出现,但是仅仅用第二个的话,用户可以看见该驱动器的盘符,但不能访问,一般情况,两个同时使用,可以达到比较理想的效果。
仔细观察上述代码,不难发现,其中一共有7个NAME项,正好和我们图2下拉框中的一一对应,后面的VALUENUMERIC按照low26bitson(1bitperdrive)的规则取值,low26bitson的意思说值为26位的二进制,最多可指定26个驱动器盘符,而1bitperdrive则代表1位代表1个驱动器,举例说A=1,B=2,C=4,D=8,E=16,F=32,G=64,H=128,I=256,由低到高,以此类推。
我们可根据我们的需要修改此代码段,假如我们要隐藏A、B、C、F、G、H、I,您可以根据您的需要而定,推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所有的USB接口数(防止有人同时插入几个U盘,呵呵!
)。
那么我们计算出VALUENUMERIC的数值A+B+C+F+G+H+I=1+2+4+32+64+128+256=487,在两个策略中的
NAME!
!
ABCDOnly VALUENUMERIC 15
下插入一行
NAME!
!
ABCFGHIOnly VALUENUMERIC 487
随后,移到文件的末尾,在ABConly="仅限制驱动器A、B和C"下面插入一行数据, ABCFGHIOnly="仅限制驱动器A、B、C、F、G、H、I"
等于号后引号内的说明您可以根据自己的喜好定义,它将会显示在如图2的下拉框中。
保存后,打开“屏蔽U盘”策略,定位“用户配置-管理模板-Windows组件-Windows资源管理器”,在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问驱动器”其中的一个,点击“启用”,再点击下拉框,哈哈,您会发现您多了一个选项(如图4)。
这时候,您只要在您想屏蔽的用户的组织单位上应用此策略(别忘了这两个策略都需要设置),保存后,包含于该组织单位下的用户登录时,便会发现他的U盘插上后,系统虽能识别并正确安装驱动,但在“我的电脑”中却无法看见,并且通过其他方法也无法访问,包括在地址栏中输入盘符。
至此,全部设置完毕,让您的客户段使用此OU下的用户登录看看吧!
其他注意事项:
1、这种方法在您的客户端很多的时候,很方便,您只要确保客户端登录用户属于您已应用此组策略的OU下即可,如果暂时需要允许他使用U盘,那只要把该用户移出此OU,该用户再注销重新登录一下就OK。
2、需要注意的是,您在OU中建立用户时,用户缺省是属于Domainusers组,这对于大多数软件来说没有问题,但会使有些软件无法安装或运行,您可以赋予这些用户在客户端本机的Poweruser组的权限,即可解决。
3、注意这种方法同时也屏蔽了您的光驱盘符,光驱也是不能访问的。
当然U盘都屏蔽了,我想光驱就更该屏蔽了,呵呵!
如果实在要访问,可以在计算机管理中的磁盘管理中赋予光驱一个靠后的盘符即可。
4、OU是可以嵌套的,客户端组策略的应用是从域根到OU再到子OU,而且是可以覆盖的,除非您选定了“阻止策略继承”。
如果您在父OU上设置了屏蔽U盘,但在子OU中又取消了屏蔽,那么客户端的U盘是不会被屏蔽的。
5、如果您在一个OU中设置了此屏蔽策略,但您又要在其他同级的OU中要开放一些用户的U盘时,您需要重新建一个策略,而不是直接在“屏蔽U盘”的策略上修改成不屏蔽U盘,因为这是个链接到“屏蔽U盘”的策略,您实际修改的是“屏蔽U盘”策略,这会影响到他管理下的所有的OU,他们都将会应用您修改后的策略。
6、在域中应用组策略时,系统只能对整个域、组织单位实施组策略,不能对单个的用户或者计算机指定组策略,在实际应用的时候,可多建立几个组织单位来管理用户。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 域中 禁用 USB 移动硬盘
![提示](https://static.bdocx.com/images/bang_tan.gif)