AD组策略禁用U盘.docx

  1. 1、本文档共7页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
AD组策略禁用U盘

Windows组策略屏蔽U盘有妙法(图)Windows组策略屏蔽U盘有妙法(图)$ G$ z h/ ?) K9 L s8 l j% ~) ?4 ]( C% y# Y ^ ^( ^ChinaITLab收集整理0 y/ ?3 s) r# W. p# u6 | x; t {- _) }5 Y9 O  笔者在一家区级法院网络中心工作,为确保局域网内的计算机安全,省高院要求全省联网的法院客户端的机器光软驱都要拆除,而且禁止在局域网内使用U盘。我们知道,现在局域网中使用的操作系统绝大多数都是Windows系列,对于Windows 98说,做到这些并不难,因为U盘第一次使用时需要安装相应的驱动程序,拆除了光、软驱后,驱动无法安装,U盘也就无法使用,但对于Windows 2000、Windows XP来说,情况就不同了,用过U盘的人都知道这些操作系统不需要安装驱动,U盘即插即用。/ M# Q y6 H; x u+ V9 a }; K2 S* m1 s3 f0 ~3 n6 k  对于大多数用户来说,这的确很方便,但对于单位有要求的网管来说,就头疼了,现在新买的机器不能总是安装Windows 98吧,毕竟Windows 98就要“下岗”了,但面对U盘,却没有好的办法,也许您会想到可以在BIOS设置里屏蔽USB端口,但这是“宁可错杀一千,不能放过一个”的办法,如果您的单位客户端没有使用USB接口的键盘、鼠标、打印机等设备,那您完全可以采用此方法,不过您以后采购设备的时候要注意了,最好不要采购USB设备,除非咱们网管自己用,哈哈!那有没有简单易行的办法呢?经过一段时间摸索和试验,笔者终于找到了使用修改组策略模板的方法实现此目标。 9 d9 R! [1 B- D$ { o1 Q$ x+ X- ?4 F3 R4 Z实现条件! B; s f. S) U, t7 f% I6 c$ C3 l2 X; T/ w  当然这是有前提条件的,首先,您的局域网必须以域为架构(我们知道Windows 2000、Windows XP自己都自带有组策略编辑器,使用组策略编辑器可单独编辑每台机器的策略,而使用域时,只要用户登录到域,就会自动应用策略,在服务器端修改一次,就可以在全域实现管理目标,如果不采用域模式,您需要每台都要设置组策略,失去了效率,也就没有采用的必要了)。, |( M- c: a, _, Y* b2 c5 H a: j6 `1 E  其次,客户端必须以域用户的身份登录网络,且不能被赋予客户端本机管理员的权限。客户端操作系统推荐使用Windows 2000和Windows XP,虽然Windows 98也能在域环境下应用组策略,但Windows 2000 Server组策略对Windows 98的支持并不完全,且需要采用两种完全不同的方法分别管理他们,会对您以后的网络管理带来不便。; f7 z2 h9 ~) P5 b# e1 @# y9 i- V5 B7 h; \ _  特别说明:这里介绍的方法并不适用于Windows 98,只适用于服务器端安装Windows 2000 Server或Windows Server 2003。只要您的网络满足以上条件,我们就可以利用组策略屏蔽U盘,而对于其他USB设备却无任何影响,笔者在单位实施1年多来,效果很好,现将详细方法介绍出来,希望能给众多网管们提供一点借鉴。 n3 G ]/ n6 ?8 G9 V$ d: d j0 }3 h V+ L基本原理( A( E! z5 m4 G( P O: ~4 N) ?0 ^* b0 h: W. m$ _9 w3 `  组策略实现的原理实际上就是修改注册表,当域用户登录到域上时,系统会对指定的客户端实施组策略,也即修改客户端的注册表,当我们新建了一个组策略时,系统实际上是拷贝了三个模板文件,在您修改组策略时,实际上是在修改这些模板的副本,然后把这些策略应用到指定的客户端中去,然而Windows 2000 Server系统提供的组策略模板中并没有我们想要的屏蔽U盘的策略,但我们可以手动修改系统的模板文件,使组策略模板具备屏蔽U盘的策略,实际上根据其原理,凡是修改注册表能做到的,基本上都可以在域中使用组策略实现。# I+ Y- H \1 A9 z9 x( X7 u/ A6 i2 r) [实现方法* C( w* u3 |/ ^! ]8 @  1、在域控制器上打开Active Directory用户和计算机,找到您要屏蔽U盘的组织单位(Organizational Unit 简称OU),右键查看此组织单位的属性,点击组策略页面,新建一个组策略,命名并保存为“屏蔽U盘”,建好后,双击“屏蔽U盘”(必需先打开一次,否则系统不会拷贝那几个模板文件),在打开的标题为“组策略”的窗口的左边,按以下顺序定位“用户

文档评论(0)

2017ll + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档