《(战略管理)AD组策略禁用U盘》由会员分享,可在线阅读,更多相关《(战略管理)AD组策略禁用U盘(7页珍藏版)》请在金锄头文库上搜索。
1、Windows组策略屏蔽U盘有妙法(图)Windows组策略屏蔽U盘有妙法(图)$ G$ z& h/ ?) K9 L& s8 l j% ) ?4 ( C% y# Y & ( ChinaITLab收集整理 0 y/ ?3 s) r# W. p# u6 | x; t& - _) 5 Y9 O笔者在一家区级法院网络中心工作,为确保局域网内的计算机安全,省高院要求全省联网的法院客户端的机器光软驱都要拆除,而且禁止在局域网内使用U盘。我们知道,现在局域网中使用的操作系统绝大多数都是Windows系列,对于Windows 98说,做到这些并不难,因为U盘第一次使用时需要安装相应的驱动程序,拆除了光、软驱后
2、,驱动无法安装,U盘也就无法使用,但对于Windows 2000、Windows XP来说,情况就不同了,用过U盘的人都知道这些操作系统不需要安装驱动,U盘即插即用。/ M# Q y6 H; x u+ V9 a ; K2 S* m1 s3 f0 3 n6 k对于大多数用户来说,这的确很方便,但对于单位有要求的网管来说,就头疼了,现在新买的机器不能总是安装Windows 98吧,毕竟Windows 98就要“下岗”了,但面对U盘,却没有好的办法,也许您会想到可以在BIOS设置里屏蔽USB端口,但这是“宁可错杀一千,不能放过一个”的办法,如果您的单位客户端没有使用USB接口的键盘、鼠标、打印机等设
3、备,那您完全可以采用此方法,不过您以后采购设备的时候要注意了,最好不要采购USB设备,除非咱们网管自己用,哈哈!那有没有简单易行的办法呢?经过一段时间摸索和试验,笔者终于找到了使用修改组策略模板的方法实现此目标。 9 d9 R! 1 B- D$ o1 Q$ x+ X- ?4 F3 R4 Z实现条件! B; s& f. S) U, t7 f% I6 c$ C3 l2 X; T/ w当然这是有前提条件的,首先,您的局域网必须以域为架构(我们知道Windows 2000、Windows XP自己都自带有组策略编辑器,使用组策略编辑器可单独编辑每台机器的策略,而使用域时,只要用户登录到域,就会自动应用
4、策略,在服务器端修改一次,就可以在全域实现管理目标,如果不采用域模式,您需要每台都要设置组策略,失去了效率,也就没有采用的必要了)。, |( M- c: a, _, Y* b2 c5 H& a: j6 1 E其次,客户端必须以域用户的身份登录网络,且不能被赋予客户端本机管理员的权限。客户端操作系统推荐使用Windows 2000和Windows XP,虽然Windows 98也能在域环境下应用组策略,但Windows 2000 Server组策略对Windows 98的支持并不完全,且需要采用两种完全不同的方法分别管理他们,会对您以后的网络管理带来不便。; f7 z2 h9 ) P5 b# e
5、1 # y9 i- V5 B7 h; _特别说明:这里介绍的方法并不适用于Windows 98,只适用于服务器端安装Windows 2000 Server或Windows Server 2003。只要您的网络满足以上条件,我们就可以利用组策略屏蔽U盘,而对于其他USB设备却无任何影响,笔者在单位实施1年多来,效果很好,现将详细方法介绍出来,希望能给众多网管们提供一点借鉴。 n3 G& / n6 ?8 G9 V$ d: d& j0 3 h V+ L基本原理( A( E! z5 m4 G( P O: 4 N) ?0 * b0 h: W. m$ _9 w3 组策略实现的原理实际上就是修改注册表,当域
6、用户登录到域上时,系统会对指定的客户端实施组策略,也即修改客户端的注册表,当我们新建了一个组策略时,系统实际上是拷贝了三个模板文件,在您修改组策略时,实际上是在修改这些模板的副本,然后把这些策略应用到指定的客户端中去,然而Windows 2000 Server系统提供的组策略模板中并没有我们想要的屏蔽U盘的策略,但我们可以手动修改系统的模板文件,使组策略模板具备屏蔽U盘的策略,实际上根据其原理,凡是修改注册表能做到的,基本上都可以在域中使用组策略实现。# I+ Y- H 1 A9 z9 x( X7 u/ A6 i2 r) 实现方法* C( w* u3 |/ ! 8 1、在域控制器上打开Acti
7、ve Directory用户和计算机,找到您要屏蔽U盘的组织单位(Organizational Unit 简称OU),右键查看此组织单位的属性,点击组策略页面,新建一个组策略,命名并保存为“屏蔽U盘”,建好后,双击“屏蔽U盘”(必需先打开一次,否则系统不会拷贝那几个模板文件),在打开的标题为“组策略”的窗口的左边,按以下顺序定位“用户配置管理模板-Windows组件-Windows资源管理器”,选中Windows资源管理器,在右边的窗口中会显示如图1所示。4 s! Q! & 9 9 J b6 M N, U# H* ?1 r6 M 0 e7 F1 k5 / M- y4 ?/ P5 ?3 W0 g
8、我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”,双击打开其中一项策略,选择“启用”,下面的下拉框会变亮,单击下拉框,如图2所示,您会发现系统提供了7种限制访问驱动器号的组合,其中也包括了“不限制驱动器”,显然,这些组合不能满足我们的要求(因为U盘的盘符通常是排在最后的,而且现在的硬盘比较大,少则也有三四个分区)。- T4 u7 s( w2 / x g8 ; P$ G- / e! t1 l* N, f2 f B+ i3 V$ N1 D- m& F; U B* J2、在域控制器上打开Active Directory 用户和计算机,在刚才我们新建的“屏蔽U盘”策略上
9、单击右键选择查看属性,在如图3所示的位置找到屏蔽U盘的组策略的唯一的名称,此名称为一长串数字和字母组成,本例中为82F86A8E-B345-4DDC-A304-E448F6E900A9,记下此字符串。 V, g1 H1 L0 j3 4 l H1 O. ?+ j: s+ f( x m- V, s& z c W$ K( w, B8 b9 Y; t1 q7 D3、打开系统盘,定位以82F86A8E-B345-4DDC-A304-E448F6E900A9命名的文件夹,此文件夹位于“C:WINNTSYSVOLPolicies”下(盘符依赖于您安装的操作系统所在的分区),注意其中是您的Windows 20
10、00的域名,打开82F86A8E-B345-4DDC-A304-E448F6E900A9目录,找到ADM目录下的system.adm文件,此文件是我们在实施组策略的模板文件,是一个纯文本文件,可用记事本打开,找到下面这两段代码:* H$ V$ q a5 P* M3 V2 5 G 引用:0 S- d7 L* e+ J3 N3 M* POLICY !NoDrives H- : u9 Q R9 D7 _7 X* c- EXPLAIN !NoDrives_Help _7 u& R$ % d( J# tPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
11、- U2 V! y$ ( K DVALUENAME NoDrives: g& C r5 D6 K) h9 cITEMLIST5 i- A4 h: B9 n) L3 NAME !ABOnly VALUE NUMERIC 3) t2 i/ a( ?3 rNAME !COnly VALUE NUMERIC 4, Z, S! e4 F: r3 q7 dNAME !DOnly VALUE NUMERIC 83 ( F/ j3 6 x3 U+ a d NAME !ABConly VALUE NUMERIC 7. & e+ W& g5 N7 e% f- dNAME !ABCDOnly VALUE NUMER
12、IC 15% Y1 Z2 K, 0 c+ HNAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT 4 l; Z! r4 X7 U( w( 4 N: F( z2 s; low 26 bits on (1 bit per drive)- n+ y B% # 2 NAME !RestNoDrives VALUE NUMERIC 0# d9 r/ , P: g: b9 e6 yEND ITEMLISTk% Y. 8 i$ C9 g+ Q END PART ( c+ x0 F* A0 z : v) mEND POLICY) l2 r& f) D& v1 A1 v8
13、 S% M: v* POLICY !NoViewOnDrive9 m/ j/ a t EXPLAIN !NoViewOnDrive_Help+ M# m: / s# O( N1 |( F( D- ?! vPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED, q I ?$ b/ e# A+ pVALUENAME NoViewOnDrive# s5 t0 $ b, o7 % Y& t: rITEMLIST8 x6 N/ c% t& P7 z# u) F- oNAME !ABOnly VALUE NUMERIC 38 P5 C- Q, F% o2
14、F- X2 lNAME !COnly VALUE NUMERIC 4; . t5 h: W6 K) # NAME !DOnly VALUE NUMERIC 89 D! s) e u! u J+ % wNAME !ABConly VALUE NUMERIC 7, X% , G* Y. U9 JNAME !ABCDOnly VALUE NUMERIC 151 2 V% # a. oNAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT r& b$ d1 o1 A6 z( s* e ; low 26 bits on (1 bit per drive)F! A:
15、J9 g# 8 h9 $ W. RNAME !RestNoDrives VALUE NUMERIC 0: / s& h2 * X/ q: I END ITEMLIST1 M, a2 Q- 9 END PART 3 F8 u; q$ O+ L6 y& |. g3 l% u! b. MEND POLICY% c% G/ L1 p% Y+ ) H. q8 * U: v/ d: t说明:这是两个策略,第一个!NoDrive,它的作用是在我的电脑中不显示指定的驱动器名,驱动器号代表的所有驱动器不出现在标准的打开对话框上,但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式,用户仍然可以访问该驱动器;第二个!NoViewOnDrive的作用是阻止用户访问驱动器。可以阻止上述情况的出现,但是仅仅用第二个的话,用户可以看见该驱动
