AD组策略禁用U盘.docx

Windows组策略屏蔽U盘有妙法(图)Windows组策略屏蔽U盘有妙法(图)$ G$ z h/ ?) K9 L s8 l j% ~) ?4 ]( C% y# Y ^ ^( ^ChinaITLab收集整理0 y/ ?3 s) r# W. p# u6 | x; t {- _) }5 Y9 O　　笔者在一家区级法院网络中心工作，为确保局域网内的计算机安全，省高院要求全省联网的法院客户端的机器光软驱都要拆除，而且禁止在局域网内使用U盘。我们知道，现在局域网中使用的操作系统绝大多数都是Windows系列，对于Windows 98说，做到这些并不难，因为U盘第一次使用时需要安装相应的驱动程序，拆除了光、软驱后，驱动无法安装，U盘也就无法使用，但对于Windows 2000、Windows XP来说，情况就不同了，用过U盘的人都知道这些操作系统不需要安装驱动，U盘即插即用。/ M# Q y6 H; x u+ V9 a }; K2 S* m1 s3 f0 ~3 n6 k　　对于大多数用户来说，这的确很方便，但对于单位有要求的网管来说，就头疼了，现在新买的机器不能总是安装Windows 98吧，毕竟Windows 98就要“下岗”了，但面对U盘，却没有好的办法，也许您会想到可以在BIOS设置里屏蔽USB端口，但这是“宁可错杀一千，不能放过一个”的办法，如果您的单位客户端没有使用USB接口的键盘、鼠标、打印机等设备，那您完全可以采用此方法，不过您以后采购设备的时候要注意了，最好不要采购USB设备，除非咱们网管自己用，哈哈！那有没有简单易行的办法呢？经过一段时间摸索和试验，笔者终于找到了使用修改组策略模板的方法实现此目标。 9 d9 R! [1 B- D$ { o1 Q$ x+ X- ?4 F3 R4 Z实现条件! B; s f. S) U, t7 f% I6 c$ C3 l2 X; T/ w　　当然这是有前提条件的，首先，您的局域网必须以域为架构（我们知道Windows 2000、Windows XP自己都自带有组策略编辑器，使用组策略编辑器可单独编辑每台机器的策略，而使用域时，只要用户登录到域，就会自动应用策略，在服务器端修改一次，就可以在全域实现管理目标，如果不采用域模式，您需要每台都要设置组策略，失去了效率，也就没有采用的必要了）。, |( M- c: a, _, Y* b2 c5 H a: j6 `1 E　　其次，客户端必须以域用户的身份登录网络，且不能被赋予客户端本机管理员的权限。客户端操作系统推荐使用Windows 2000和Windows XP，虽然Windows 98也能在域环境下应用组策略，但Windows 2000 Server组策略对Windows 98的支持并不完全，且需要采用两种完全不同的方法分别管理他们，会对您以后的网络管理带来不便。; f7 z2 h9 ~) P5 b# e1 @# y9 i- V5 B7 h; \ _　　特别说明：这里介绍的方法并不适用于Windows 98，只适用于服务器端安装Windows 2000 Server或Windows Server 2003。只要您的网络满足以上条件，我们就可以利用组策略屏蔽U盘，而对于其他USB设备却无任何影响，笔者在单位实施1年多来，效果很好，现将详细方法介绍出来，希望能给众多网管们提供一点借鉴。 n3 G ]/ n6 ?8 G9 V$ d: d j0 }3 h V+ L基本原理( A( E! z5 m4 G( P O: ~4 N) ?0 ^* b0 h: W. m$ _9 w3 `　　组策略实现的原理实际上就是修改注册表，当域用户登录到域上时，系统会对指定的客户端实施组策略，也即修改客户端的注册表，当我们新建了一个组策略时，系统实际上是拷贝了三个模板文件，在您修改组策略时，实际上是在修改这些模板的副本，然后把这些策略应用到指定的客户端中去，然而Windows 2000 Server系统提供的组策略模板中并没有我们想要的屏蔽U盘的策略，但我们可以手动修改系统的模板文件，使组策略模板具备屏蔽U盘的策略，实际上根据其原理，凡是修改注册表能做到的，基本上都可以在域中使用组策略实现。# I+ Y- H \1 A9 z9 x( X7 u/ A6 i2 r) [实现方法* C( w* u3 |/ ^! ]8 @　　1、在域控制器上打开Active Directory用户和计算机，找到您要屏蔽U盘的组织单位（Organizational Unit 简称OU），右键查看此组织单位的属性，点击组策略页面，新建一个组策略，命名并保存为“屏蔽U盘”，建好后，双击“屏蔽U盘”（必需先打开一次，否则系统不会拷贝那几个模板文件），在打开的标题为“组策略”的窗口的左边，按以下顺序定位“用户