Windows 2003 域控制器 組策略禁止USB的方法我可以提供禁用usb的注冊表方法定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR右邊有一個叫start的鍵值雙擊他將值改成4 usb就禁用了下次要恢復只需將4改成3就好了把下段斜杠內的內容拷到文本文檔中，保存成.ADM文件，然后打開你要做限制的OU的組策略，展開“用戶配置,管理模板”,右擊管理模板,添加/刪除模板,然后把剛才保存的ADM文件導入!現在在這個OU下的所有用戶將無法使用USB存儲設備!/CLASS USERCATEGORY !ADMDescPOLICY !MMC_DeviceManagerXKEYNAME SoftwarePoliciesMicrosoftMMC90087284-d6d6-11d0-8353-00a0c90640bf#if version = 4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !MMC_Restrict_ExplainvalueNAME Restrict_RunvalueON NUMERIC 0valueOFF NUMERIC 1END POLICYPOLICY !MMC_DeviceManagerKEYNAME SoftwarePoliciesMicrosoftMMC74246bfc-4c96-11d0-abef-0020af6b0b7a#if version = 4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !DEVMGR_Restrict_ExplainvalueNAME Restrict_RunvalueON NUMERIC 0valueOFF NUMERIC 1END POLICYEnd CATEGORYCLASS MACHINECATEGORY !ADMDescPOLICY !USB_UHCD_PARAMSKEYNAME SYSTEMCurrentControlSetServicesuhcdEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_UHCI_PARAMSKEYNAME SYSTEMCurrentControlSetServicesusbuhciEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_EHCI_PARAMSKEYNAME SYSTEMCurrentControlSetServicesusbehciEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_HUBKEYNAME SYSTEMCurrentControlSetServicesusbhubEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !CD_ROMKEYNAME SYSTEMCurrentControlSetServicescdromEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !Floppy_DiskKEYNAME SYSTEMCurrentControlSetServicesflpydiskEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYEnd CATEGORYstringsADMDesc=自定義策略MMC_DeviceManagerX=設備管理器擴展插件MMC_DeviceManager=設備管理器SUPPORTED_Win2k=至少使用Microsoft Windows 2000MMC_Restrict_Explain=Disable 禁用設備管理器擴展插件；Enable 啟用設備管理器擴展插件 DEVMGR_Restrict_Explain=Disable 禁用設備管理器；Enable 啟用設備管理器USB_UHCD_PARAMS=USB通用主控制器驅動器STARTUPTYPE_HELP=啟動類型，3-手動，4-禁用STARTUPTYPE=啟動類型USB_EHCI_PARAMS=Microsoft USB 2.0 Enhanced Host Controller Miniport DriverUSB_UHCI_PARAMS=Microsoft USB Universal Host Controller Miniport DriverUSB_HUB=Microsoft USB Standard Hub DriverCD_ROM=光驅Floppy_Disk=軟驅/還有種方法就是讓每臺機子開機時導入一個注冊表文件（如何讓每臺機子開機導入注冊表文件，就不用我講了吧），文件內容為：Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTORstart=dword:00000004然后在OU的計算機配置-windows設置-安全設置-注冊表 里面添一條：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR在該注冊表項的權限設置中，將所有用戶刪除！只留 domainadministrator用戶！一、在WindowsXP中禁用和管理USB接口1. 計算機未安裝USB設備這種情況可以采取將%SystemRoot%Inf下的Usbstor.pnf和Usbstor.inf兩個文件設置其用戶的控制權限。Step1：右擊這兩個文件，選擇“屬性安全高級”，在“權限”頁面中取消“從父項繼承那些可以應用到子對象的權限項目，包括那些在此明確定義的項目”復選框。Step2：在“安全”頁面中，選擇要屏蔽的用戶或用戶組，在“完全控制”中選擇“拒絕”復選框，然后單擊“確定”。這種通過分配權限的方法，可以指定哪些用戶可以使用USB設備，哪些用戶不可以使用USB設備，和下面的“Windows NT以上系統通用方法”一樣，靈活性較大，所以建議采用該方法限制用戶安裝USB設備。2. 計算機已安裝了USB設備這種情況可以通過修改注冊表來實現。方法是修改注冊表中HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR下的“Start”值，改為十六位進制數值“4”。該方法修改后，當用戶將USB存儲設備連接到計算機時，該設備將無法運行。二、Windows NT以上系統通用方法運行注冊表編輯器，找到HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR鍵，取消System的所有控制權。如果要分配控制權，只需要對相應用戶設置控制權限就可以了。小提示：Windows 2000中要設置注冊表的控制權限，需用Regedt32.exe注冊表編輯器。三、禁止和管理域中多臺計算機USB設備的使用方法很簡單，就是在域控制器上通過組策略限制用戶對“Windows NT以上系統通用方法”中注冊表鍵的控制權即可。如果是禁用光驅，軟驅，USB設備，第三方軟件GFI LANGuard Portable Storage Control.v2.0非常不錯，它可以在域環境中使用。如果使用組策略禁用USB設備,可以按照以下辦法：禁止移動存儲設務的模板胡義老師原創將下列內容保存為DisableDevice.adm，在組策略的添加/刪除模板中導入進行設置。=CLASS USERCATEGORY !ADMDescPOLICY !MMC_DeviceManagerXKEYNAME SoftwarePoliciesMicrosoftMMC90087284-d6d6-11d0-8353-00a0c90640bf#if version = 4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !MMC_Restrict_ExplainvalueNAME Restrict_RunvalueON NUMERIC 0valueOFF NUMERIC 1END POLICYPOLICY !MMC_DeviceManagerKEYNAME SoftwarePoliciesMicrosoftMMC74246bfc-4c96-11d0-abef-0020af6b0b7a#if version = 4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !DEVMGR_Restrict_ExplainvalueNAME Restrict_RunvalueON NUMERIC 0valueOFF NUMERIC 1END POLICYEnd CATEGORYCLASS MACHINECATEGORY !ADMDescPOLICY !USB_UHCD_PARAMSKEYNAME SYSTEMCurrentControlSetServicesuhcdEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_UHCI_PARAMSKEYNAME SYSTEMCurrentControlSetServicesusbuhciEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_EHCI_PARAMSKEYNAME SYSTEMCurrentControlSetServicesusbehciEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_HUBKEYNAME SYSTEMCurrentControlSetServicesusbhubEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !CD_ROMKEYNAME SYSTEMCurrentControlSetServicescdromEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !Floppy_DiskKEYNAME SYSTEMCurrentControlSetServicesflpydiskEXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME STARTMIN 3 MAX 4 DEFAULT 3END PARTEND POLICYEnd CATEGORYstringsADMDesc=自定義策略MMC_DeviceManagerX=設備管理器擴展插件MMC_DeviceManager=設備管理器SUPPORTED_Win2k=至少使用Microsoft Windows 2000MMC_Restrict_Explain=Disable 禁用設備管理器擴展插件；Enable 啟用設備管理器擴展插件 DEVMGR_Restrict_Explain=Disable 禁用設備管理器；Enable 啟用設備管理器USB_UHCD_PARAMS=USB通用主控制器驅動器STARTUPTYPE_HELP=啟動類型，3-手動，4-禁用STARTUPTYPE=啟動類型USB_EHCI_PARAMS=Microsoft USB 2.0 Enhanced Host Controller Miniport DriverUSB_UHCI_PARAMS=Microsoft USB Universal Host Controller Miniport DriverUSB_HUB=Microsoft USB Standard Hub DriverCD_ROM=光驅Floppy_Disk=軟驅者在一家區級法院網絡中心工作，為確保局域網內的計算機安全，省高院要求全省聯網的法院客戶端的機器光軟驅都要拆除，而且禁止在局域網內使用U盤。我們知道，現在局域網中使用的操作系統絕大多數都是Windows系列，對于Windows 98說，做到這些并不難，因為U盤第一次使用時需要安裝相應的驅動程序，拆除了光、軟驅后，驅動無法安裝，U盤也就無法使用，但對于Windows 2000、Windows XP來說，情況就不同了，用過U盤的人都知道這些操作系統不需要安裝驅動，U盤即插即用。對于大多數用戶來說，這的確很方便，但對于單位有要求的網管來說，就頭疼了，現在新買的機器不能總是安裝Windows 98吧，畢竟Windows 98就要“下崗”了，但面對U盤，卻沒有好的辦法，也許您會想到可以在BIOS設置里屏蔽USB端口，但這是“寧可錯殺一千，不能放過一個”的辦法，如果您的單位客戶端沒有使用USB接口的鍵盤、鼠標、打印機等設備，那您完全可以采用此方法，不過您以后采購設備的時候要注意了，最好不要采購USB設備，除非咱們網管自己用，哈哈！那有沒有簡單易行的辦法呢？經過一段時間摸索和試驗，筆者終于找到了使用修改組策略模板的方法實現此目標。實現條件當然這是有前提條件的，首先，您的局域網必須以域為架構（我們知道Windows 2000、Windows XP自己都自帶有組策略編輯器，使用組策略編輯器可單獨編輯每臺機器的策略，而使用域時，只要用戶登錄到域，就會自動應用策略，在服務器端修改一次，就可以在全域實現管理目標，如果不采用域模式，您需要每臺都要設置組策略，失去了效率，也就沒有采用的必要了）。其次，客戶端必須以域用戶的身份登錄網絡，且不能被賦予客戶端本機管理員的權限。客戶端操作系統推薦使用Windows 2000和Windows XP，雖然Windows 98也能在域環境下應用組策略，但Windows 2000 Server組策略對Windows 98的支持并不完全，且需要采用兩種完全不同的方法分別管理他們，會對您以后的網絡管理帶來不便。特別說明：這里介紹的方法并不適用于Windows 98，只適用于服務器端安裝Windows 2000 Server或Windows Server 2003。只要您的網絡滿足以上條件，我們就可以利用組策略屏蔽U盤，而對于其他USB設備卻無任何影響，筆者在單位實施1年多來，效果很好，現將詳細方法介紹出來，希望能給眾多網管們提供一點借鑒。基本原理組策略實現的原理實際上就是修改注冊表，當域用戶登錄到域上時，系統會對指定的客戶端實施組策略，也即修改客戶端的注冊表，當我們新建了一個組策略時，系統實際上是拷貝了三個模板文件，在您修改組策略時，實際上是在修改這些模板的副本，然后把這些策略應用到指定的客戶端中去，然而Windows 2000 Server系統提供的組策略模板中并沒有我們想要的屏蔽U盤的策略，但我們可以手動修改系統的模板文件，使組策略模板具備屏蔽U盤的策略，實際上根據其原理，凡是修改注冊表能做到的，基本上都可以在域中使用組策略實現。實現方法1、在域控制器上打開Active Directory用戶和計算機，找到您要屏蔽U盤的組織單位（Organizational Unit 簡稱OU），右鍵查看此組織單位的屬性，點擊組策略頁面，新建一個組策略，命名并保存為“屏蔽U盤”，建好后，雙擊“屏蔽U盤”（必需先打開一次，否則系統不會拷貝那幾個模板文件），在打開的標題為“組策略”的窗口的左邊，按以下順序定位“用戶配置管理模板-Windows組件-Windows資源管理器”，選中Windows資源管理器，在右邊的窗口中會顯示如圖1所示。我們可以看到有“隱藏我的電腦中的這些指定的驅動器”和“防止從我的電腦訪問驅動器”，雙擊打開其中一項策略，選擇“啟用”，下面的下拉框會變亮，單擊下拉框，如圖2所示，您會發現系統提供了7種限制訪問驅動器號的組合，其中也包括了“不限制驅動器”，顯然，這些組合不能滿足我們的要求（因為U盤的盤符通常是排在最后的，而且現在的硬盤比較大，少則也有三四個分區）。2、在域控制器上打開Active Directory 用戶和計算機，在剛才我們新建的“屏蔽U盤”策略上單擊右鍵選擇查看屬性，在如圖3所示的位置找到屏蔽U盤的組策略的唯一的名稱，此名稱為一長串數字和字母組成，本例中為82F86A8E-B345-4DDC-A304-E448F6E900A9，記下此字符串。3、打開系統盤，定位以82F86A8E-B345-4DDC-A304-E448F6E900A9命名的文件夾，此文件夾位于“C:WINNTSYSVOLPolicies”下（盤符依賴于您安裝的操作系統所在的分區），注意其中是您的Windows 2000的域名，打開82F86A8E-B345-4DDC-A304-E448F6E900A9目錄，找到ADM目錄下的system.adm文件，此文件是我們在實施組策略的模板文件，是一個純文本文件，可用記事本打開，找到下面這兩段代碼：* POLICY !NoDrives EXPLAIN !NoDrives_Help PART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED VALUENAME NoDrives ITEMLISTNAME !ABOnly VALUE NUMERIC 3NAME !COnly VALUE NUMERIC 4NAME !DOnly VALUE NUMERIC 8NAME !ABConly VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0 END ITEMLIST END PARTEND POLICY* POLICY !NoViewOnDrive EXPLAIN !NoViewOnDrive_Help PART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED VALUENAME NoViewOnDrive ITEMLISTNAME !ABOnly VALUE NUMERIC 3NAME !COnly VALUE NUMERIC 4NAME !DOnly VALUE NUMERIC 8NAME !ABConly VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0 END ITEMLIST END PARTEND POLICY說明：這是兩個策略，第一個!NoDrive，它的作用是在我的電腦中不顯示指定的驅動器名，驅動器號代表的所有驅動器不出現在標準的打開對話框上，但是在地址欄中輸入盤符或新建一個指向硬盤盤符的快捷方式，用戶仍然可以訪問該驅動器；第二個!NoViewOnDrive的作用是阻止用戶訪問驅動器。可以阻止上述情況的出現，但是僅僅用第二個的話，用戶可以看見該驅動器的盤符，但不能訪問，一般情況，兩個同時使用，可以達到比較理想的效果。仔細觀察上述代碼，不難發現，其中一共有7個NAME項，正好和我們圖2下拉框中的一一對應，后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的規則取值，low 26 bits on的意思說值為26位的二進制，最多可指定26個驅動器盤符，而1 bit per drive則代表1位代表1個驅動器，舉例說A=1，B=2，C=4，D=8，E=16，F=32，G=64，H=128，I=256，由低到高，以此類推。我們可根據我們的需要修改此代碼段，假如我們要隱藏A、B、C、F、G、H、I，您可以根據您的需要而定，推薦隱藏的盤符數量應該大于您的現有的盤符數加上您客戶端所有的USB接口數（防止有人同時插入幾個U盤，呵呵！）。那么我們計算出VALUE NUMERIC的數值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487，在兩個策略中的NAME !ABCDOnly VALUE NUMERIC 15下插入一行NAME !ABCFGHIOnly VALUE NUMERIC