thomashan 2008-4-2 14:24
禁用光驱和USB的组策略是什么,请高手指点!
我想在域的环境下禁用光驱和USB口,请问组策略该如何设置?
rugao 2008-4-8 16:28
要禁用USB方法相当多.我为你提供以下几种方法
1.右键点击我的电脑-->管理,然后选择设备管理器-->通用串行总线控制器-->有两个usb root hub 禁用这两个项目里面 :常规-->设备方法-->停用
2. 打开开始“运行”输入regedit回车
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Start",4,"REG_DWORD"
把键值start由3改为4即可。
3.重新启动系统,按Delete,进入BIOS,禁用USB 由于BIOS种类比较多,就不说啦,具体禁用方法很简单的~~
4.下载超级兔子最新版本,选择-->超级兔子魔法设置-->文件及媒体-->U盘-->禁止使用U盘储蓄功能
yidgv 2008-4-12 15:22
[quote]原帖由 [i]thomashan[/i] 于 2008-4-2 14:24 发表 [url=http://www.sharecenter.net/redirect.php?goto=findpost&pid=2141985&ptid=208761][img]http://www.sharecenter.net/images/common/back.gif[/img][/url]
我想在域的环境下禁用光驱和USB口,请问组策略该如何设置? [/quote]
最好的方法从BOIS中禁用,一了百了
组策略好像没这项吧,反正俺公司都是BOIS中禁,加密码,定期检查,谁没bois没密码或改密码了罚谁。。
zyfjeff 2008-4-12 20:39
解决方案
作为 .adm 文件导入到组策略管理模板。 如果您不清楚如何执行此请参见详细信息部分中链接。
CLASS MACHINE
CATEGORY ! 类别
CATEGORY ! categoryname
POLICY ! policynameusb
KEYNAME " SYSTEM\CurrentControlSet\Services\USBSTOR "
EXPLAIN ! explaintextusb
PART ! DROPDOWNLIST 要求 labeltextusb
VALUENAME " 开始 "
ITEMLIST
NAME ! 禁用 VALUE NUMERIC 3 DEFAULT
NAME ! 启用 VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY ! policynamecd
KEYNAME " SYSTEM\CurrentControlSet\Services\Cdrom "
EXPLAIN ! explaintextcd
PART ! DROPDOWNLIST 要求 labeltextcd
VALUENAME " 开始 "
ITEMLIST
NAME ! 禁用 VALUE NUMERIC 1 DEFAULT
NAME ! 启用 VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY ! policynameflpy
KEYNAME " SYSTEM\CurrentControlSet\Services\Flpydisk "
EXPLAIN ! explaintextflpy
PART ! DROPDOWNLIST 要求 labeltextflpy
VALUENAME " 开始 "
ITEMLIST
NAME ! 禁用 VALUE NUMERIC 3 DEFAULT
NAME ! 启用 VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY ! policynamels120
KEYNAME " SYSTEM\CurrentControlSet\Services\Sfloppy "
EXPLAIN ! explaintextls120
PART ! DROPDOWNLIST labeltextls120 要求
VALUENAME " 开始 "
ITEMLIST
NAME ! 禁用 VALUE NUMERIC 3 DEFAULT
NAME ! 启用 VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY
[ strings ]
类别 = " 自定义策略设置 "
Categoryname = " 限制驱动器 "
policynameusb = " 禁用 USB "
policynamecd = " " 禁用 CD-ROM
policynameflpy = " 禁用软盘 "
policynamels120 = " 禁用高容量软盘 "
explaintextusb = 通过禁用 usbstor.sys 驱动程序 " 禁用计算机 USB 端口 "
explaintextcd = 通过禁用 cdrom.sys 驱动程序 " 禁用计算机 CD-ROM 驱动器 "
explaintextflpy = 通过禁用 flpydisk.sys 驱动程序 " 禁用计算机软盘驱动器 "
explaintextls120 = 通过禁用 sfloppy.sys 驱动程序 " 禁用计算机高容量软盘驱动器 "
labeltextusb = " 禁用 USB 端口 "
labeltextcd = " " 禁用 CD-ROM 驱动器
labeltextflpy = " 禁用软盘驱动器 "
labeltextls120 = " 禁用高容量软盘驱动器 "
启用 = " 启用 "
禁用 = " 禁用 "
适用于2003
thomashan 2008-4-18 13:39
回复 5楼 的帖子
有机会试一下,谢谢了
wangcheng2005 2008-4-23 16:28
可以试 一下
基本原理
组策略实现的原理实际上就是修改注册表,当域用户登录到域上时,系统会对指定的客户端实施组策略,也即修改客户端的注册表,当我们新建了一个组策略时,系统实际上是拷贝了三个模板文件,在您修改组策略时,实际上是在修改这些模板的副本,然后把这些策略应用到指定的客户端中去,然而Windows 2000 Server系统提供的组策略模板中并没有我们想要的屏蔽U盘的策略,但我们可以手动修改系统的模板文件,使组策略模板具备屏蔽U盘的策略,实际上根据其原理,凡是修改注册表能做到的,基本上都可以在域中使用组策略实现。
实现方法
1、在域控制器上打开Active Directory用户和计算机,找到您要屏蔽U盘的组织单位(Organizational Unit 简称OU),右键查看此组织单位的属性,点击组策略页面,新建一个组策略,命名并保存为“屏蔽U盘”,建好后,双击“屏蔽U盘”(必需先打开一次,否则系统不会拷贝那几个模板文件),在打开的标题为“组策略”的窗口的左边,按以下顺序定位“用户配置-管理模板-Windows组件-Windows资源管理器”,选中Windows资源管理器,在右边的窗口中会显示如图1所示。
我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”,双击打开其中一项策略,选择“启用”,下面的下拉框会变亮,单击下拉框,如图2所示,您会发现系统提供了7种限制访问驱动器号的组合,其中也包括了“不限制驱动器”,显然,这些组合不能满足我们的要求(因为U盘的盘符通常是排在最后的,而且现在的硬盘比较大,少则也有三四个分区)。
2、在域控制器上打开Active Directory 用户和计算机,在刚才我们新建的“屏蔽U盘”策略上单击右键选择查看属性,在如图3所示的位置找到"屏蔽U盘"的组策略的唯一的名称,此名称为一长串数字和字母组成,本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9},记下此字符串。
3、打开系统盘,定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹,此文件夹位于“C:WINNTSYSVOLbaling.com.cnPolicies”下(盘符依赖于您安装的操作系统所在的分区),注意其中baling.com.cn是您的Windows 2000的域名,打开{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录,找到ADM目录下的system.adm文件,此文件是我们在实施组策略的模板文件,是一个纯文本文件,可用记事本打开,找到下面这两段代码:
* POLICY !!NoDrives
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
* POLICY !!NoViewOnDrive
EXPLAIN !!NoViewOnDrive_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoViewOnDrive"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
说明:这是两个策略,第一个!!NoDrive,它的作用是在我的电脑中不显示指定的驱动器名,驱动器号代表的所有驱动器不出现在标准的打开对话框上,但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式,用户仍然可以访问该驱动器;第二个!!NoViewOnDrive的作用是阻止用户访问驱动器。可以阻止上述情况的出现,但是仅仅用第二个的话,用户可以看见该驱动器的盘符,但不能访问,一般情况,两个同时使用,可以达到比较理想的效果。
仔细观察上述代码,不难发现,其中一共有7个NAME项,正好和我们图2下拉框中的一一对应,后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的规则取值,low 26 bits on的意思说值为26位的二进制,最多可指定26个驱动器盘符,而1 bit per drive则代表1位代表1个驱动器,举例说A=1,B=2,C=4,D=8,E=16,F=32,G=64,H=128,I=256,由低到高,以此类推。我们可根据我们的需要修改此代码段,假如我们要隐藏A、B、C、F、G、H、I,您可以根据您的需要而定,推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所有的USB接口数(防止有人同时插入几个U盘,呵呵!)。那么我们计算出VALUE NUMERIC的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487,在两个策略中的
NAME !!ABCDOnly VALUE NUMERIC 15
下插入一行
NAME !!ABCFGHIOnly VALUE NUMERIC 487
随后,移到System.adm文件的末尾,在 ABConly="仅限制驱动器 A、B 和 C" 下面插入一行数据, ABCFGHIOnly="仅限制驱动器A、B、C、F、G、H、I"
等于号后引号内的说明您可以根据自己的喜好定义,它将会显示在如图2的下拉框中。保存后,打开“屏蔽U盘”策略,定位“用户配置-管理模板-Windows 组件-Windows 资源管理器”,在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问驱动器”其中的一个,点击“启用”,再点击下拉框,哈哈,您会发现您多了一个选项(如图4)。
这时候,您只要在您想屏蔽的用户的组织单位上应用此策略(别忘了这两个策略都需要设置),保存后,包含于该组织单位下的用户登录时,便会发现他的U盘插上后,系统虽能识别并正确安装驱动,但在“我的电脑”中却无法看见,并且通过其他方法也无法访问,包括在地址栏中输入盘符。
flybird08 2008-4-24 12:28
好像要跑很多step,满复杂一下,只好把它抄下来,以后再试。
XZJFL 2008-5-13 14:46
我最近也在烦这个事情!
我现在是先用组策略的启动脚本里面加REG文件,禁止写入USB设备。
看有没有其它好办法。
WIN2008的组策略是可以很灵活的控制USB设备的。
天上飘的猫 2008-5-14 09:40
有个问题,现在的键盘,鼠票,都是USB接口的, 如果统统禁掉,
连键,鼠都没法用了。最可恶DELL的机器都没留PS2的键鼠接口。
slyforever2004 2008-5-15 09:33
光驱好禁用~~~
mengfq29 2008-5-18 12:38
我个人觉得还是12楼的方法好,简单,把一楼的那个用注册表禁用的方法结合,做成一个启动脚本,在组策略中应用这个启动脚本就O了!
JACK1314 2008-5-18 20:05
没试过,按上面的方法应该可以在组策略中对OU实现的。有时间试下。
judasz 2008-5-19 12:59
暂用Cisco CSA来实现
如13L,还没什么经济高效的方法.
sbkenshin 2008-6-16 03:26
学习一下方法。谢谢。
alchk 2008-6-20 17:53
楼上发的策略,第一个带中文的,根本不能用,完全是策略被机器翻译过来的。第二个策略倒是能用,进到组策略里面,什么都没有
