《组策略禁用u盘》由会员分享,可在线阅读,更多相关《组策略禁用u盘(5页珍藏版)》请在金锄头文库上搜索。
1、组策略禁用组策略禁用 U U 盘盘到这里,其实封闭工作也做的的差不多了。假设还不放心,如果用户打开 Windows 组策略,更改设置怎么办?那我们通过运行注册表,打开:HKEY_CURRENT_USERSoftwarePoliciesMicrosoftMMC8FC0B734-A0E1-11D1-A7D3-0000F87571E3下的“Restrict_Run”的键值,改为“1” 。当有的用户想运行 Windows 组策略时,就出现了如下图7 提示:实现方法 1、在域控制器上打开 Active Directory 用户和计算机,找到您要屏蔽 U 盘的组织单位(Organizational Uni
2、t 简称 OU) ,右键查看此组织单位的属性,点击组策略页面,新建一个组策略,命名并保存为“屏蔽 U 盘” ,建好后,双击“屏蔽 U 盘” (必需先打开一次,否则系统不会拷贝那几个模板文件) ,在打开的标题为“组策略”的窗口的左边,按以下顺序定位“用户配置管理模板-Windows 组件-Windows 资源管理器” ,选中 Windows 资源管理器,在右边的窗口中会显示如图 1 所示。 我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器” ,双击打开其中一项策略,选择“启用” ,下面的下拉框会变亮,单击下拉框,如图 2 所示,您会发现系统提供了 7 种限制访问驱动
3、器号的组合,其中也包括了“不限制驱动器” ,显然,这些组合不能满足我们的要求(因为 U 盘的盘符通常是排在最后的,而且现在的硬盘比较大,少则也有三四个分区) 。 2、在域控制器上打开 Active Directory 用户和计算机,在刚才我们新建的“屏蔽 U 盘”策略上单击右键选择查看属性,在如图3 所示的位置找到“屏蔽 U 盘“的组策略的唯一的名称,此名称为一长串数字和字母组成,本例中为82F86A8E-B345-4DDC-A304-E448F6E900A9,记下此字符串。 3、打开系统盘,定位以82F86A8E-B345-4DDC-A304-E448F6E900A9命名的文件夹,此文件夹位
4、于“C:WINNTSYSVOLPolicies”下(盘符依赖于您安装的操作系统所在的分区) ,注意其中 是您的 Windows 2000 的域名,打开82F86A8E-B345-4DDC-A304-E448F6E900A9目录,找到 ADM 目录下的 system.adm 文件,此文件是我们在实施组策略的模板文件,是一个纯文本文件,可用记事本打开,找到下面这两段代码:* POLICY !NoDrives EXPLAIN !NoDrives_Help PART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED VALUENAME “NoDrives“
5、 ITEMLISTNAME !ABOnly VALUE NUMERIC 3NAME !COnly VALUE NUMERIC 4NAME !DOnly VALUE NUMERIC 8NAME !ABConly VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0 END ITEMLIST END PART END POLICY
6、* POLICY !NoViewOnDrive EXPLAIN !NoViewOnDrive_Help PART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED VALUENAME “NoViewOnDrive“ ITEMLISTNAME !ABOnly VALUE NUMERIC 3NAME !COnly VALUE NUMERIC 4NAME !DOnly VALUE NUMERIC 8NAME !ABConly VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC 15NAME !ALLDrives VALU
7、E NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0 END ITEMLIST END PART END POLICY 说明:这是两个策略,第一个!NoDrive,它的作用是在我的电脑中不显示指定的驱动器名,驱动器号代表的所有驱动器不出现在标准的打开对话框上,但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式,用户仍然可以访问该驱动器;第二个!NoViewOnDrive 的作用是阻止用户访问驱动器。可以阻止上述情况的出现,但是仅仅用第二个的话,用户可以看
8、见该驱动器的盘符,但不能访问,一般情况,两个同时使用,可以达到比较理想的效果。仔细观察上述代码,不难发现,其中一共有 7 个 NAME 项,正好和我们图 2 下拉框中的一一对应,后面的 VALUE NUMERIC 按照 low 26 bits on (1 bit per drive)的规则取值,low 26 bits on 的意思说值为 26 位的二进制,最多可指定 26 个驱动器盘符,而 1 bit per drive 则代表 1 位代表 1 个驱动器,举例说A=1,B=2,C=4,D=8,E=16,F=32,G=64,H=128,I=256,由低到高,以此类推。我们可根据我们的需要修改此代
9、码段,假如我们要隐藏 A、B、C、F、G、H、I,您可以根据您的需要而定,推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所有的 USB 接口数(防止有人同时插入几个 U 盘,呵呵!) 。那么我们计算出VALUE NUMERIC 的数值 A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487,在两个策略中的NAME !ABCDOnly VALUE NUMERIC 15下插入一行NAME !ABCFGHIOnly VALUE NUMERIC 487 随后,移到 System.adm 文件的末尾,在 ABConly=“仅限制驱动器 A、B 和 C“ 下面插入一行数据
10、, ABCFGHIOnly=“仅限制驱动器 A、B、C、F、G、H、I“ 等于号后引号内的说明您可以根据自己的喜好定义,它将会显示在如图 2 的下拉框中。保存后,打开“屏蔽 U 盘”策略,定位“用户配置-管理模板-Windows 组件-Windows 资源管理器” ,在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问驱动器”其中的一个,点击“启用” ,再点击下拉框,哈哈,您会发现您多了一个选项(如图 4) 。 这时候,您只要在您想屏蔽的用户的组织单位上应用此策略(别忘了这两个策略都需要设置) ,保存后,包含于该组织单位下的用户登录时,便会发现他的 U 盘插上后,系统虽
11、能识别并正确安装驱动,但在“我的电脑”中却无法看见,并且通过其他方法也无法访问,包括在地址栏中输入盘符。 至此,全部设置完毕,让您的客户段使用此 OU 下的用户登录看看吧! 其他注意事项: 1、这种方法在您的客户端很多的时候,很方便,您只要确保客户端登录用户属于您已应用此组策略的 OU 下即可,如果暂时需要允许他使用 U 盘,那只要把该用户移出此 OU,该用户再注销重新登录一下就 OK。 2、需要注意的是,您在 OU 中建立用户时,用户缺省是属于Domain users 组,这对于大多数软件来说没有问题,但会使有些软件无法安装或运行,您可以赋予这些用户在客户端本机的 Power user 组的
12、权限,即可解决。 3、注意这种方法同时也屏蔽了您的光驱盘符,光驱也是不能访问的。当然 U 盘都屏蔽了,我想光驱就更该屏蔽了,呵呵!如果实在要访问,可以在计算机管理中的磁盘管理中赋予光驱一个*后的盘符即可。 4、OU 是可以嵌套的,客户端组策略的应用是从域根到 OU 再到子 OU,而且是可以覆盖的,除非您选定了“阻止策略继承” 。如果您在父 OU 上设置了屏蔽 U 盘,但在子 OU 中又取消了屏蔽,那么客户端的 U 盘是不会被屏蔽的。 5、如果您在一个 OU 中设置了此屏蔽策略,但您又要在其他同级的 OU 中要开放一些用户的 U 盘时,您需要重新建一个策略,而不是直接在“屏蔽 U 盘”的策略上修改成不屏蔽 U 盘,因为这是个链接到“屏蔽 U 盘”的策略,您实际修改的是“屏蔽 U 盘”策略,这会影响到他管理下的所有的 OU,他们都将会应用您修改后的策略。 6、在域中应用组策略时,系统只能对整个域、组织单位实施组策略,不能对单个的用户或者计算机指定组策略,在实际应用的时候,可多建立几个组织单位来管理用户。
