域組策禁用U 盤的使用方法1、 首先你要具備一臺(tái)裝有Windows Server2003操作系統(tǒng)服務(wù)器，再次你要配置域服務(wù)器，如下圖：2、找到域控制器（Active Dire

域組策禁用U 盤的使用方法

1、 首先你要具備一臺(tái)裝有Windows Server2003操作系統(tǒng)服

務(wù)器，再次你要配置域服務(wù)器，如下圖：

2、找到域控制器（Active Directory）, 我簡(jiǎn)稱它為AD, 點(diǎn)擊管

理AD 中的用戶和計(jì)算機(jī)，會(huì)出現(xiàn)下圖：

3、右擊Domain Controllers后，點(diǎn)擊屬性會(huì)出現(xiàn)下圖：

4、選擇“組策略”，點(diǎn)擊組策略對(duì)象鏈接，再雙擊它，會(huì)出現(xiàn)下圖：

5、照?qǐng)D點(diǎn)擊到“注冊(cè)表”，右擊“注冊(cè)表”后點(diǎn)擊“添加項(xiàng)”，照?qǐng)D上的路徑添加那兩項(xiàng)。注意添加圖上那兩項(xiàng)時(shí)的前提是你的域服務(wù)器注冊(cè)表（“開始”→“運(yùn)行”→輸入命令“regedit”

就會(huì)打開注冊(cè)表）將圖上那兩項(xiàng)修改了。我具體說明下它們的修改值。

第一項(xiàng)如圖:

它項(xiàng)中的WriteProtect 值默認(rèn)為“0”,更改為“1”。

第二項(xiàng)如下圖：

將其中的Start 的值改為“4”,默認(rèn)值為“3”表示啟用。

6、添加完“注冊(cè)表”的那兩項(xiàng)后，關(guān)閉所有，在“開始”→“運(yùn)行”→輸入命令“gpupdate”后完成。

7、所有加入域中的計(jì)算機(jī)的U 盤就被禁用了。另外還有種腳本法也可禁用U 盤，我沒有采用那種方法，一是它的腳本語(yǔ)言復(fù)雜，二是我想用最簡(jiǎn)單的方法去實(shí)現(xiàn)禁止U 盤的使用。

上述方法本人在虛擬機(jī)中已經(jīng)實(shí)現(xiàn)U 盤的禁用。

可以用組策略屏蔽U 盤(操作說明比較長(zhǎng)需要點(diǎn)耐心看完)

實(shí)現(xiàn)方法：

1、在域控制器上打開Active Directory用戶和計(jì)算機(jī)，找到您要屏蔽U 盤的組織單位（Organizational Unit 簡(jiǎn)稱OU ），右鍵-屬性，點(diǎn)擊組策略頁(yè)面，新建一個(gè)組策略，命名并保存為“屏蔽U 盤”，建好后，雙擊“屏蔽U 盤”（必需先打開一次，否則系統(tǒng)不會(huì)拷貝那幾個(gè)模板文件），在打開的標(biāo)題為“組策略”的窗口的左邊，按以下順序定位“用戶配置－管理模板-Windows 組件-Windows 資源管理器”，我們可以看到有“隱藏我的電腦中的這些指定的驅(qū)動(dòng)器”和“防止從我的電腦訪問驅(qū)動(dòng)器”，雙擊打開其中一項(xiàng)策略，選擇“啟用”，下面的下拉框會(huì)變亮，單擊下拉框，您會(huì)發(fā)現(xiàn)系統(tǒng)提供了7種限制訪問驅(qū)動(dòng)器號(hào)的組合，其中也包括了“不限制驅(qū)動(dòng)器”，顯然，這些組合不能滿足要求（因?yàn)閁 盤的盤符通常是排在最后的，而且現(xiàn)在的硬盤比較大，少則也有三四個(gè)分區(qū)）。

2、在域控制器上打開Active Directory 用戶和計(jì)算機(jī)，在剛才新建的“屏蔽U 盤”策略上單擊右鍵選擇查看屬性，找到" 屏蔽U 盤" 的組策略的唯一的名稱，此名稱為一長(zhǎng)串?dāng)?shù)字和字母組成，記下此字符串。

3、打開系統(tǒng)盤，定位以命名的文件夾，此文件夾位于

“C:WINNTSYSVOLbaling.com.cnPolicies”下（盤符依賴于您安裝的操作系統(tǒng)所在的分區(qū)），注意其中baling.com.cn 是您的Windows 2000的域名，打開目錄，找到ADM 目錄下的system.adm 文件，此文件是我們?cè)趯?shí)施組策略的模板文件，是一個(gè)純文本文件，可用記事本打開，找到下面這兩段代碼：

* POLICY !!NoDrives

EXPLAIN !!NoDrives_Help

PART !!NoDrivesDropdown DROPDOWNLIST NOSORT

REQUIRED

VALUENAME "NoDrives"

ITEMLIST

NAME !!ABOnly VALUE NUMERIC 3

NAME !!COnly VALUE NUMERIC 4

NAME !!DOnly VALUE NUMERIC 8

NAME !!ABConly VALUE NUMERIC 7

NAME !!ABCDOnly VALUE NUMERIC 15

NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT

; low 26 bits on (1 bit per drive)

NAME !!RestNoDrives VALUE NUMERIC 0

END ITEMLIST

END PART

END POLICY

* POLICY !!NoViewOnDrive

EXPLAIN !!NoViewOnDrive_Help

PART !!NoDrivesDropdown DROPDOWNLIST NOSORT

REQUIRED

VALUENAME "NoViewOnDrive"

ITEMLIST

NAME !!ABOnly VALUE NUMERIC 3

NAME !!COnly VALUE NUMERIC 4

NAME !!DOnly VALUE NUMERIC 8

NAME !!ABConly VALUE NUMERIC 7

NAME !!ABCDOnly VALUE NUMERIC 15

NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT

; low 26 bits on (1 bit per drive)

NAME !!RestNoDrives VALUE NUMERIC 0

END ITEMLIST

END PART

END POLICY

說明：這是兩個(gè)策略，第一個(gè)!!NoDrive ，它的作用是在我的電腦中不顯示指定的驅(qū)動(dòng)器名，驅(qū)動(dòng)器號(hào)代表的所有驅(qū)動(dòng)器不出現(xiàn)在標(biāo)準(zhǔn)的打開對(duì)話框上，但是在地址欄中輸入盤符或新建一個(gè)指向硬盤盤符的快捷方式，用戶仍然可以訪問該驅(qū)動(dòng)器；第二個(gè)!!NoViewOnDrive 的作用是阻止用戶訪問驅(qū)動(dòng)器。可以阻止上述情況的出現(xiàn)，但是僅僅用第二個(gè)的話，用戶可以看見該驅(qū)動(dòng)器的盤符，但不能訪問，一般情況，兩個(gè)同時(shí)使用，可以達(dá)到比較理想的效果。

仔細(xì)觀察上述代碼，不難發(fā)現(xiàn)，其中一共有7個(gè)NAME 項(xiàng)，正好和我們圖2下拉框中的一一對(duì)應(yīng)，后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive) 的規(guī)則取值，low 26 bits on的意思說值為26位的二進(jìn)制，最多可指定26個(gè)驅(qū)動(dòng)器盤符，而1 bit per drive則代表1位代表1個(gè)驅(qū)動(dòng)器，舉例說A=1，B=2，C=4，D=8，E=16，F(xiàn)=32，G=64，H=128，I=256，由低到高，以此類推。我們可根據(jù)我們的需要修改此代碼段，假如我們要隱藏A 、B 、C 、F 、G 、H 、I ，您可以根據(jù)您的需要而定，推薦隱藏的盤符數(shù)量應(yīng)該大于您的現(xiàn)有的盤符數(shù)加上您客戶端所有的USB 接口數(shù)（防止有人同時(shí)插入幾個(gè)U 盤）。那么我們計(jì)算出VALUE NUMERIC的數(shù)值A(chǔ) B C F G H I = 1 2 4 32 64 128 256 =487，在兩個(gè)策略中的

NAME !!ABCDOnly VALUE NUMERIC 15

下插入一行

NAME !!ABCFGHIOnly VALUE NUMERIC 487

隨后，移到System.adm 文件的末尾，在 ABConly="僅限制驅(qū)動(dòng)器 A 、B 和 C" 下面插入一行數(shù)據(jù)， ABCFGHIOnly="僅限制驅(qū)動(dòng)器A 、B 、C 、F 、G 、H 、I"

等于號(hào)后引號(hào)內(nèi)的說明您可以根據(jù)自己的喜好定義，它將會(huì)顯示在如圖2的下拉框中。保存后，打開“屏蔽U 盤”策略，定位“用戶配置-管理模板-Windows 組件-Windows 資源管理器”，在右邊的窗口中雙擊“隱藏我的電腦中的這些指定的驅(qū)動(dòng)器”或“防止從我的電腦訪問驅(qū)動(dòng)器”其中的一個(gè)，點(diǎn)擊“啟用”，再點(diǎn)擊下拉框，您會(huì)發(fā)現(xiàn)您多了一個(gè)選項(xiàng)。

這時(shí)候，您只要在您想屏蔽的用戶的組織單位上應(yīng)用此策略，保存后，包含于該組織單位下的用戶登錄時(shí)，便會(huì)發(fā)現(xiàn)他的U 盤插上后，系統(tǒng)雖能識(shí)別并正確安裝驅(qū)動(dòng)，但在“我的電腦”中卻無法看見，并且通過其他方法也無法訪問，包括在地址欄中輸入盤符。

至此，全部設(shè)置完畢，讓你的客戶段使用此OU 下的用戶登錄就可以了

其他注意事項(xiàng)：

1、這種方法在您的客戶端很多的時(shí)候，很方便，您只要確保客戶端登錄用戶屬于您已應(yīng)用此組策略的OU 下即可，如果暫時(shí)需要允許他使用U 盤，那只要把該用戶移出此OU ，該用戶再注銷重新登錄一下就OK 。

2、需要注意的是，您在OU 中建立用戶時(shí)，用戶缺省是屬于Domain users組，這對(duì)于大多數(shù)軟件來說沒有問題，但會(huì)使有些軟件無法安裝或運(yùn)行，您可以賦予這些用戶在客戶端本機(jī)的Power user組的權(quán)限，即可解決。

3、注意這種方法同時(shí)也屏蔽了您的光驅(qū)盤符，光驅(qū)也是不能訪問的。當(dāng)然U 盤都屏蔽了，我想光驅(qū)就更該屏蔽了，呵呵！如果實(shí)在要訪問，可以在計(jì)算機(jī)管理中的磁盤管理中賦予光驅(qū)一個(gè)靠后的盤符即可。

4、OU 是可以嵌套的，客戶端組策略的應(yīng)用是從域根到OU 再到子OU ，而且是可以覆蓋的，除非您選定了“阻止策略繼承”。如果您在父OU 上設(shè)置了屏蔽U 盤，但在子OU 中又取消了屏蔽，那么客戶端的U 盤是不會(huì)被屏蔽的。

5、如果您在一個(gè)OU 中設(shè)置了此屏蔽策略，但您又要在其他同級(jí)的OU 中要開放一些用戶的U 盤時(shí)，您需要重新建一個(gè)策略，而不是直接在“屏蔽U 盤”的策略上修改成不屏蔽U 盤，因?yàn)檫@是個(gè)鏈接到“屏蔽U 盤”的策略，您實(shí)際修改的是“屏蔽U 盤”策略，這會(huì)影響到他管理下的所有的OU ，他們都將會(huì)應(yīng)用您修改后的策略。

6、在域中應(yīng)用組策略時(shí)，系統(tǒng)只能對(duì)整個(gè)域、組織單位實(shí)施組策略，不能對(duì)單個(gè)的用戶或者計(jì)算機(jī)指定組策略，在實(shí)際應(yīng)用的時(shí)候，可多建立幾個(gè)組織單位來管理用戶。