1、2010-10-22 17:25我可以提供禁用usb 的注冊(cè)表方法定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR右邊有一個(gè)叫 start 的鍵值雙擊他將值改成4 usb 就禁用了下次要恢復(fù)只需將4 改成 3 就好了把下段斜杠內(nèi)的內(nèi)容拷到文本文檔中，保存成.ADM文件，然后打開你要做限制的OU勺組策略，展開“用戶配置, 管理模板” , 右擊管理模板, 添加 / 刪除模板 , 然后把剛才保存的ADMfc件導(dǎo)入！現(xiàn)在在這個(gè)OUF的所有用戶將無(wú)法使用US的儲(chǔ)設(shè)備！計(jì)算機(jī)未安裝US股備這種情況可以采取將SystemRoot%InfF

2、的和兩個(gè)文件設(shè)置其用戶的控制權(quán)限。Steph右擊這兩個(gè)文件，選擇“屬性-安全-高級(jí)”，在“權(quán)限”頁(yè)面中取消“從父項(xiàng)繼承那些可以應(yīng)用到子對(duì)象的權(quán)限項(xiàng)目，包括那些在此明確定義的項(xiàng)目”復(fù)選框。Step2：在“安全”頁(yè)面中，選擇要屏蔽的用戶或用戶組，在“完全控制”中選擇“拒絕”復(fù)選框，然后單擊“確定”。這種通過分配權(quán)限的方法，可以指定哪些用戶可以使用 US艱備，哪些用戶不可以使用US殷備，和下面的“Windows NT以上系統(tǒng)通用方法” 一樣，靈活性較大，所以建議采用該方法限制用戶安裝US殷備。2.計(jì)算機(jī)已安裝了 US股備這種情況可以通過修改注冊(cè)表來實(shí)現(xiàn)。方法是修改注冊(cè)表中HKEY_LOCAL_MAC

3、HINESYSTEMCurrentControlSetServicesUSBSTORStart ” 值，改為十六位進(jìn)制數(shù)值“4”。該方法修改后，當(dāng)用戶將US的儲(chǔ)設(shè)備連接到計(jì)算機(jī)時(shí)，該設(shè)備將無(wú)法運(yùn)行。二、Windows N©上系統(tǒng)通用方法運(yùn)行注冊(cè)表編輯器，找到 HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR鍵，取消System的所有控制權(quán)。如果要分配控制權(quán)，只需要對(duì)相應(yīng)用戶設(shè)置控制權(quán)限就可以了。小提示：Windows 2000中要設(shè)置注冊(cè)表的控制權(quán)限，需用注冊(cè)表編輯器。三、禁止和管理域中多臺(tái)計(jì)算機(jī)US艱備的使用方法很簡(jiǎn)單，就是在

4、域控制器上通過組策略限制用戶對(duì)“ Windows NT以上系統(tǒng)通用方法”中注冊(cè)表鍵的控制權(quán)即可。如果是禁用光驅(qū)，軟驅(qū)，US股備，第三方軟件GFI LANGuard Portable Storage 非常不錯(cuò)，它可以在域環(huán)境中使用。如果使用組策略禁用USBK：備,可以按照以下辦法：禁止移動(dòng)存儲(chǔ)設(shè)務(wù)的模板 胡義老師原創(chuàng) 將下列內(nèi)容保存為，在組策略的添加 / 刪除模板中導(dǎo)入進(jìn)行設(shè)置。CLASS USERCATEGORY !ADMDescPOLICY !MMC_DeviceManagerXKEYNAME "SoftwarePoliciesMicrosoftMMC-d6d6-11d0-8353

5、-00a0c90640bf#if version >= 4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !MMC_Restrict_ExplainvalueNAME "Restrict_Run"valueON NUMERIC 0valueOFF NUMERIC 1END POLICYPOLICY !MMC_DeviceManagerKEYNAME "SoftwarePoliciesMicrosoftMMC74246bfc-4c96-11d0-abef- 0020af6b0b7a"#if version >=

6、4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !DEVMGR_Restrict_ExplainvalueNAME "Restrict_Run" valueON NUMERIC 0valueOFF NUMERIC 1END POLICYEnd CATEGORYCLASS MACHINECATEGORY !ADMDescPOLICY !USB_UHCD_PARAMSKEYNAME "SYSTEMCurrentControlSetServicesuhcd"EXPLAIN !STARTUPTYPE_HELPPART !STAR

7、TUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_UHCI_PARAMSKEYNAME "SYSTEMCurrentControlSetServicesusbuhci"EXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIRED valueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOL

8、ICY !USB_EHCI_PARAMSKEYNAME "SYSTEMCurrentControlSetServicesusbehci"EXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_HUBKEYNAME "SYSTEMCurrentControlSetServicesusbhub"EXPLAIN !STARTUPTYPE_HELP

9、PART !STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !CD_ROMKEYNAME "SYSTEMCurrentControlSetServicescdrom"EXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLIC

10、Y !Floppy_DiskKEYNAME "SYSTEMCurrentControlSetServicesflpydisk"EXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYEnd CATEGORYstringsADMDesc型定義策略"MMC_DeviceManagerX段備管理器擴(kuò)展插件"MMC_DeviceManage假備管理器"SUPPO

11、RTED_Win2k="'使用 Microsoft Windows 2000"MMC_Restrict_Explain="Disable 禁用設(shè)備管理器擴(kuò)展插件； Enable 啟用設(shè)備管理器擴(kuò)展插件"DEVMGR_Restrict_Explain="Disable 禁用設(shè)備管理器； Enable 啟用設(shè)備管理器 "USB_UHCD_PARAMS=®S在控制器驅(qū)動(dòng)器"STARTUPTYPE_HEL®="類型，3-手動(dòng)，4-禁用”STARTUPTYPOt；類型"USB_EHCI_

12、PARAMS="Microsoft USB Enhanced Host Controller Miniport Driver"USB_UHCI_PARAMS="Microsoft USB Universal Host Controller Miniport Driver"USB_HUB="Microsoft USB Standard Hub Driver"CD_ROM="W"Floppy_Disk="軟驅(qū)"者在一家區(qū)級(jí)法院網(wǎng)絡(luò)中心工作，為確保局域網(wǎng)內(nèi)的計(jì)算機(jī)安全，省高院要求全省聯(lián)網(wǎng)的法院客戶端的

13、機(jī)器光軟驅(qū)都要拆除，而且禁止在局域網(wǎng)內(nèi)使用U 盤。我們知道，現(xiàn)在局域網(wǎng)中使用的操作系統(tǒng)絕大多數(shù)都是 Windows系列，對(duì)于Windows 98說，做到這些并不又t,因?yàn)閁盤第一次使用時(shí)需要安裝相應(yīng)的驅(qū)動(dòng)程序，拆除了光、軟驅(qū)后，驅(qū)動(dòng)無(wú)法安裝，U盤也就無(wú)法使用，但對(duì)于 Windows 200。Windows X瞇說，情況就不同了，用過U盤的人都知道這些操作系統(tǒng)不需要安裝驅(qū)動(dòng)，U盤即插即用。對(duì)于大多數(shù)用戶來說，這的確很方便，但對(duì)于單位有要求的網(wǎng)管來說，就頭疼了，現(xiàn)在新買的機(jī)器不能總是安裝Windows 98 吧，畢竟Windows 98就要“下崗”了，但面對(duì)U盤，卻沒有好的辦法，也許您會(huì)想到可以在

14、BIOS設(shè)置里屏蔽US端口，但這是“寧可錯(cuò)殺一千，不能放過一個(gè)”的辦法，如果您的單位客戶端沒有使用 USB接口的鍵盤、鼠標(biāo)、打印機(jī)等設(shè)備，那您完全可以采用此方法，不過您以后采購(gòu)設(shè)備的時(shí)候要注意了，最好不要采購(gòu)US艱備，除非咱們網(wǎng)管自己用，哈哈！那有沒有簡(jiǎn)單易行的辦法呢？經(jīng)過一段時(shí)間摸索和試驗(yàn)，筆者終于找到了使用修改組策略模板的方法實(shí)現(xiàn)此目標(biāo)。實(shí)現(xiàn)條件當(dāng)然這是有前提條件的，首先，您的局域網(wǎng)必須以域?yàn)榧軜?gòu)（我們知道Windows2000、Windows XP自己都自帶有組策略編輯器，使用組策略編輯器可單獨(dú)編輯每臺(tái)機(jī) 器的策略，而使用域時(shí)，只要用戶登錄到域，就會(huì)自動(dòng)應(yīng)用策略，在服務(wù)器端修改一次，就可

15、以在全域?qū)崿F(xiàn)管理目標(biāo)，如果不采用域模式，您需要每臺(tái)都要設(shè)置組策略，失去了效率，也就沒有采用的必要了）。其次，客戶端必須以域用戶的身份登錄網(wǎng)絡(luò)，且不能被賦予客戶端本機(jī)管理員的權(quán)限。客戶端操彳系統(tǒng)推薦使用 Windows 2000和Windows XP雖然Windows 98也能在域環(huán)境下應(yīng)用組策略，但Windows 2000 Server 組策略對(duì) Windows 98的支持并不完全，且需要采用兩種完全不同的方法分別管理他們，會(huì)對(duì)您以后的網(wǎng)絡(luò)管理帶來不便。特別說明：這里介紹的方法并不適用于Windows 98，只適用于服務(wù)器端安裝Windows 2000 Server 或 Windows Ser

16、ver 2003 。只要您的網(wǎng)絡(luò)滿足以上條件，我們就可以利用組策略屏蔽U盤，而對(duì)于其他US殷備卻無(wú)任何影響，筆者在單位實(shí)施1年 多來，效果很好，現(xiàn)將詳細(xì)方法介紹出來，希望能給眾多網(wǎng)管們提供一點(diǎn)借鑒。基本原理組策略實(shí)現(xiàn)的原理實(shí)際上就是修改注冊(cè)表，當(dāng)域用戶登錄到域上時(shí)，系統(tǒng)會(huì)對(duì)指定的客戶端實(shí)施組策略，也即修改客戶端的注冊(cè)表，當(dāng)我們新建了一個(gè)組策略時(shí)，系統(tǒng)實(shí)際上是拷貝了三個(gè)模板文件，在您修改組策略時(shí)，實(shí)際上是在修改這些模板的副本，然后把這些策略應(yīng)用到指定的客戶端中去，然而Windows 2000 Server 系統(tǒng)提供的組策略模板中并沒有我們想要的屏蔽U 盤的策略，但我們可以手動(dòng)修改系統(tǒng)的模板文件，

17、使組策略模板具備屏蔽U 盤的策略，實(shí)際上根據(jù)其原理，凡是修改注冊(cè)表能做到的，基本上都可以在域中使用組策略實(shí)現(xiàn)。實(shí)現(xiàn)方法1、在域控制器上打開Active Directory用戶和計(jì)算機(jī)，找到您要屏蔽U盤的組織單位（Organizational Unit 簡(jiǎn)稱OU ,右鍵查看此組織單位的屬性，點(diǎn)擊組策略 頁(yè)面，新建一個(gè)組策略，命名并保存為“屏蔽 U盤”，建好后，雙擊“屏蔽U盤” （必需先打開一次，否則系統(tǒng)不會(huì)拷貝那幾個(gè)模板文件），在打開的標(biāo)題為“組策略”的窗口的左邊，按以下順序定位“用戶配置管理模板-Windows組件-Windows資 源管理器”，選中Windows資源管理器，在右邊白窗口中會(huì)顯

18、示如圖1所示。我們可以看到有“隱藏我的電腦中的這些指定的驅(qū)動(dòng)器”和“防止從我的電腦訪問驅(qū)動(dòng)器”，雙擊打開其中一項(xiàng)策略，選擇“啟用”，下面的下拉框會(huì)變亮，單擊下拉框，如圖 2 所示，您會(huì)發(fā)現(xiàn)系統(tǒng)提供了 7 種限制訪問驅(qū)動(dòng)器號(hào)的組合，其中也包括了“不限制驅(qū)動(dòng)器”，顯然，這些組合不能滿足我們的要求（因?yàn)閁 盤的盤符通常是排在最后的，而且現(xiàn)在的硬盤比較大，少則也有三四個(gè)分區(qū)）。2、在域控制器上打開Active Directory 用戶和計(jì)算機(jī)，在剛才我們新建的“屏蔽U盤”策略上單擊右鍵選擇查看屬性，在如圖3所示的位置找到“屏蔽U盤”的組策 略的唯一的名稱，此名稱為一長(zhǎng)串?dāng)?shù)字和字母組成，本例中為 82F

19、86A8E-B345-4DDC- A304-E448F6E900A9記下此字符串。3、打開系統(tǒng)盤，定位以82F86A8E-B345-4DDC-A304-E448F6E900A9洛的文件 夾，此文件夾位于“ C:下（盤符依賴于您安裝的操作系統(tǒng)所在的分區(qū)），注意其中是 您的 Windows 2000的域名，打開82F86A8E-B345-4DDC-A304-E448F6E900A9錄，找 到ADW錄下的文件，此文件是我們?cè)趯?shí)施組策略的模板文件，是一個(gè)純文本文件， 可用記事本打開，找到下面這兩段代碼：* POLICY !NoDrivesPART !NoDrivesDropdown DROPDOWNL

20、IST NOSORT REQUIREDVALUENAME "NoDrives"ITEMLISTNAME !ABOnlyVALUE NUMERIC 3NAME !COnlyVALUE NUMERIC 4NAME !DOnlyVALUE NUMERIC 8NAME !ABConlyVALUE NUMERIC 7NAME !ABCDOnlyVALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC DEFAULT; low 26 bits on (1 bit per drive)NAME !RestNoDrivesVALUE NUMERIC 0EN

21、D ITEMLISTEND PARTEND POLICY* POLICY !NoViewOnDriveEXPLAIN !NoViewOnDrive_HelpPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME "NoViewOnDrive"ITEMLISTNAME !ABOnlyVALUE NUMERIC 3NAME !COnlyNAME !DOnlyNAME !ABConlyNAME !ABCDOnlyVALUE NUMERIC 4VALUE NUMERIC 8VALUE NUMERIC 7VALUE N

22、UMERIC 15NAME !ALLDrives VALUE NUMERIC DEFAULT; low 26 bits on (1 bit per drive)NAME !RestNoDrivesVALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY說明：這是兩個(gè)策略，第一個(gè)!NoDrive ，它的作用是在我的電腦中不顯示指定的驅(qū)動(dòng)器名，驅(qū)動(dòng)器號(hào)代表的所有驅(qū)動(dòng)器不出現(xiàn)在標(biāo)準(zhǔn)的打開對(duì)話框上，但是在地址欄中輸入盤符或新建一個(gè)指向硬盤盤符的快捷方式，用戶仍然可以訪問該驅(qū)動(dòng)器；第二個(gè)!NoViewOnDrive的作用是阻止用戶訪問驅(qū)動(dòng)器。可以阻止上述情況的出現(xiàn)，但是

23、僅僅用第二個(gè)的話，用戶可以看見該驅(qū)動(dòng)器的盤符，但不能訪問，一般情況，兩個(gè)同時(shí)使用，可以達(dá)到比較理想的效果。仔細(xì)觀察上述代碼，不難發(fā)現(xiàn)，其中一共有7個(gè)NAME：,正好和我們圖2下拉框中的對(duì)應(yīng)，后面的 VALUE NUMER4CK low 26 bits on (1 bit per drive) 的規(guī)則取值， low 26 bits on 的意思說值為 26位的二進(jìn)制，最多可指定26個(gè)驅(qū)動(dòng)器盤符，而 1 bit per drive 則代表 1 位代表 1 個(gè)驅(qū)動(dòng)器，舉例說A=1， B=2， C=4， D=8，E=16, F=32, G=64 H=128 I=256,由低到高，以此類推。我們可根據(jù)我

24、們的需要修改此代碼段，假如我們要隱藏A、 B、 C、 F、 G、 H、 I ，您可以根據(jù)您的需要而定，推薦隱藏的盤符數(shù)量應(yīng)該大于您的現(xiàn)有的盤符數(shù)加上您客戶端所有的USB8口數(shù)(防止有人同時(shí)插入幾個(gè)U盤，呵呵！)。那么我們計(jì)算出VALUE NUMERW值A(chǔ)+B+C+F+G+H+I = 1+2+4+32+64+128+256 =4，在兩個(gè)策略中的87NAME !ABCDOnly VALUE NUMERIC 15下插入一行NAME !ABCFGHIOnly VALUE NUMERIC 487隨后，移到文件的末尾，在ABConly="僅限制驅(qū)動(dòng)器A、B和C"下面插入一行數(shù)據(jù)，ABCFGHIOnly收限制驅(qū)動(dòng)器A B C F、G H、I"等于號(hào)后引號(hào)內(nèi)的說明您可以根據(jù)自己的喜好定義，它將會(huì)顯示在如圖 2 的下拉框中。保存后，打開“屏蔽U盤”策略，定位“用戶配置-管理模板-Windows組件-Windows資源管理器”，在右邊的窗口中雙擊“隱藏我的電腦中的這些指定的驅(qū)動(dòng)器”或“防止從我的電腦訪問驅(qū)動(dòng)器”其中的一個(gè)，點(diǎn)擊“啟用”，再點(diǎn)擊下拉框，哈哈