免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 33160 | 回复: 65

请问如何在域中建立封USB 的册略,禁止使用USB? [复制链接]

论坛徽章:
0
发表于 2008-08-02 19:43 |显示全部楼层
如题,请高**!

论坛徽章:
0
发表于 2008-08-02 19:48 |显示全部楼层
:36: 怎么后面的字变星号了,“如题,请高**!”

论坛徽章:
0
发表于 2008-08-02 20:26 |显示全部楼层
在域环境中使用组策略禁用USB\r\n\r\n\r\n策略1:\r\n\r\n
游客,如果您要查看本帖隐藏内容请回复
\r\n策略2:也就是问中的《如何禁用 USB 存储设备》\r\n\r\n内容如下:\r\n\r\n[hide]\r\n\r\n如果计算机上尚未安装 USB 存储设备,请向用户或组分配对下列文件的“拒绝”权限:\r\n\r\n%SystemRoot%\\Inf\\Usbstor.pnf\r\n\r\n%SystemRoot%\\Inf\\Usbstor.inf\r\n\r\n这样,用户将无法在计算机上安装 USB 存储设备。 要向用户或组分配对 Usbstor.pnf 和 Usbstor.inf 文件的“拒绝”权限,请按照下列步骤操作:\r\n\r\n启动 Windows 资源管理器,然后找到 %SystemRoot%\\Inf 文件夹。\r\n\r\n右键单击“Usbstor.pnf”文件,然后单击“属性”。\r\n\r\n单击“安全”选项卡。\r\n\r\n在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。\r\n\r\n在“用户名或组名 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。\r\n\r\n右键单击“Usbstor.inf”文件,然后单击“属性”。\r\n\r\n单击“安全”选项卡。\r\n\r\n在“组或用户名称”列表中,单击要为其设置“拒绝”权限的用户或组。\r\n\r\n在“用户名或组名 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。\r\n\r\n\r\n\r\n\r\n\r\n如果计算机上已经安装了 USB 存储设备\r\n\r\n\r\n\r\n\r\n\r\n警告: “注册表编辑器”使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因“注册表编辑器”使用不当而导致的问题。使用注册表编辑器需要您自担风险。 如果计算机上已经安装了 USB 存储设备,请将以下注册表项中的“Start”值设置为 4:\r\n\r\nHKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\UsbStor\r\n\r\n这样,当用户将 USB 存储设备连接到计算机时,该设备将无**行。要设置“Start”的值,请按照下列步骤操作:\r\n\r\n单击“开始”,然后单击**行”。\r\n\r\n在“打开”框中,键入“regedit”,然后单击“确定”。\r\n\r\n找到并单击下面的注册表项:\r\n\r\nHKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\UsbStor\r\n\r\n在右窗格中,双击“Start”。\r\n\r\n在“数值数据”框中,键入 4,单击“十六进制”(如果尚未选中),然后单击“确定”。\r\n\r\n退出“注册表编辑器”。\r\n至此,USB禁止策略实施成功。\r\n\r\n屏蔽U盘 \r\n\r\n 1、在域控制器上打开Active Directory用户和计算机,找到您要屏蔽U盘的组织单位(Organizational Unit 简称OU),右键查看此组织单位的属性,点击组策略页面,新建一个组策略,命名并保存为“屏蔽U盘”,建好后,双击“屏蔽U盘”(必需先打开一次,否则系统不会拷贝那几个模板文件),在打开的标题为“组策略”的窗口的左边,按以下顺序定位“用户配置-管理模板-Windows组件-Windows资源管理器”,选中Windows资源管理器 \r\n  \r\n    我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”,双击打开其中一项策略,选择“启用”,下面的下拉框会变亮,单击下拉框,如图2所示,您会发现系统提供了7种限制访问驱动器号的组合,其中也包括了“不限制驱动器”,显然,这些组合不能满足我们的要求(因为U盘的盘符通常是排在最后的,而且现在的硬盘比较大,少则也有**个分区)。\r\n\r\n  2、在域控制器上打开Active Directory 用户和计算机,在刚才我们新建的“屏蔽U盘”策略上单击右键选择查看属性,在如图3所示的位置找到\"屏蔽U盘\"的组策略的唯一的名称,此名称为一长串数字和字母组成,本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9},记下此字符串。\r\n\r\n\r\n\r\n  3、打开系统盘,定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹,此文件夹位于“C: WINNTSYSVOLbaling.com.cnPolicies”下(盘符依赖于您安装的操作系统所在的分区),注意其中baling.com.cn 是您的Windows 2000的域名,打开{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录,找到ADM目录下的system.adm文件,此文件是我们在实施组策略的模板文件,是一个纯文本文件,可用记事本打开,找到下面这两段代码:\r\n   * POLICY !!NoDrives \r\n           EXPLAIN !!NoDrives_Help\r\n         PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED\r\n     VALUENAME \"NoDrives\"\r\n     ITEMLIST\r\n   NAME !!ABOnly           VALUE NUMERIC 3\r\n   NAME !!COnly            VALUE NUMERIC 4\r\n   NAME !!DOnly            VALUE NUMERIC  8\r\n   NAME !!ABConly          VALUE NUMERIC  7\r\n   NAME !!ABCDOnly      VALUE NUMERIC 15\r\n   NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT \r\n         ; low 26 bits on (1 bit per drive)\r\n   NAME !!RestNoDrives     VALUE NUMERIC 0\r\n     END ITEMLIST\r\n        END PART   \r\n   END POLICY\r\n   * POLICY !!NoViewOnDrive\r\n           EXPLAIN !!NoViewOnDrive_Help\r\n        PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED\r\n     VALUENAME \"NoViewOnDrive\"\r\n     ITEMLIST\r\n   NAME !!ABOnly           VALUE NUMERIC 3\r\n   NAME !!COnly            VALUE NUMERIC 4\r\n   NAME !!DOnly            VALUE NUMERIC  8\r\n   NAME !!ABConly          VALUE NUMERIC  7\r\n   NAME !!ABCDOnly      VALUE NUMERIC 15\r\n   NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT    (C/D ONLY=67108851)\r\n             ; low 26 bits on (1 bit per drive)\r\n   NAME !!RestNoDrives     VALUE NUMERIC 0\r\n        END ITEMLIST\r\n        END PART   \r\n    END POLICY\r\n\r\n  说明:这是两个策略,第一个!!NoDrive,它的作用是在我的电脑中不显示指定的驱动器名,驱动器号代表的所有驱动器不出现在标准的打开对话框上,但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式,用户仍然可以访问该驱动器;第二个!!NoViewOnDrive的作用是阻止用户访问驱动器。可以阻止上**况的出现,但是仅仅用第二个的话,用户可以看见该驱动器的盘符,但不能访问,一**况,两个同时使用,可以达到比较理想的效果。 \r\n\r\n  仔细观察上述代码,不难发现,其中一共有7个NAME项,正好和我们图2下拉框中的一一对应,后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的规则取值,low 26 bits on的意思说值为26位的二进制,最多可指定26个驱动器盘符,而1 bit per drive则代表1位代表1个驱动器,举例说A=1,B=2,C=4,D=8,E=16,F=32,G=64,H=128,I=256,由低到高,以此类推。我们可根据我们的需要修改此代码段,假如我们要隐藏A、B、C、F、G、H、I,您可以根据您的需要而定,推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所有的USB接口数(防止有**插入几个U盘,呵呵!)。那么我们计算出VALUE NUMERIC的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487,在两个策略中的\r\nNAME !!ABCDOnly    VALUE NUMERIC   15\r\n  下插入一行\r\n  NAME !!ABCFGHIOnly   VALUE NUMERIC  487\r\n\r\n  随后,移到System.adm文件的末尾,\r\n在 ABConly=\"仅限制驱动器 A、B 和 C\" 下面插入一行数据,  \r\n  ABCFGHIOnly=\"仅限制驱动器A、B、C、F、G、H、I\"\r\n等于号后引号内的说明您可以根据自己的喜好定义,它将会显示在如图2的下拉框中。保存后,打开“屏蔽U盘”策略,定位“用户配置-管理模板- Windows 组件-Windows 资源管理器”,在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问驱动器”其中的一个,点击“启用”,再点击下拉框,哈哈,您会发现您多了一个选项(如图4)。\r\n\r\n\r\n  这时候,您只要在您想屏蔽的用户的组织单位上应用此策略(别忘了这两个策略都需要设置),保存后,包含于该组织单位下的用户登录时,便会发现他的U盘插上后,系统虽能识别并正确安装驱动,但在“我的电脑”中却无法看见,并且通过其他方法也无法访问,包括在地址栏中输入盘符。\r\n\r\n  至此,全部设置完毕,让您的客户段使用此OU下的用户登录看看吧!\r\n  其他注意事项:\r\n\r\n  1、这种方法在您的客户端很多的时候,很方便,您只要确保客户端登录用户属于您已应用此组策略的OU下即可,如果暂时需要允许他使用U盘,那只要把该用户移出此OU,该用户再注销重新登录一下就OK。\r\n\r\n  2、需要注意的是,您在OU中建立用户时,用户缺省是属于Domain users组,这对于大多数软件来说没有问题,但会使有些软件无法安装**行,您可以赋予这些用户在客户端本机的Power user组的权限,即可解决。\r\n\r\n  3、注意这种方法同时也屏

论坛徽章:
0
发表于 2008-08-04 10:59 |显示全部楼层
第一个问题,同意BZ的方法使用组策略禁用USB!\r\n第二个问题,你刚刚是不是说了“请高** ,现在只要出现了“**,好像就那样了。

论坛徽章:
0
发表于 2008-08-18 21:28 |显示全部楼层

回复 3 楼 grjboy30的帖子

我想知道啊 我 进去看看啊  高人
hikoniqiwa 该用户已被删除
发表于 2008-08-18 21:37 |显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

论坛徽章:
0
发表于 2008-08-19 11:30 |显示全部楼层
哈哈。好像用組策略上還是有點技術性,沒技術性的直接關bios

论坛徽章:
0
发表于 2008-08-19 14:48 |显示全部楼层
其实这样做是做好的啊!

论坛徽章:
0
发表于 2008-08-19 14:50 |显示全部楼层
我也想知道怎么设置的\r\n:tv: :tv:

论坛徽章:
0
发表于 2008-08-19 14:59 |显示全部楼层

回复 3 楼 grjboy30的帖子

你说的那么的详细啊!\r\n佩服!
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP