win2003域使用组策略禁用USB

屏蔽U盘

　一、在域控制器上打开Active Directory用户和计算机，找到您要屏蔽U盘的组织单位（Organizational Unit 简称OU），右键查看此组织单位的属性，点击组策略页面，新建一个组策略，命名并保存为“屏蔽U盘”，建好后，双击“屏蔽U盘”（必需先打开一次，不然系统不会拷贝那几个模板文件），在打开的标题为“组策略”的窗口的左边，按如下顺序定位“用户配置－管理模板-Windows组件-Windows资源管理器”，选中Windows资源管理器
  
    咱们能够看到有“隐藏个人电脑中的这些指定的驱动器”和“防止从个人电脑访问驱动器”，双击打开其中一项策略，选择“启用”，下面的下拉框会变亮，单击下拉框，如图2所示，您会发现系统提供了7种限制访问驱动器号的组合，其中也包括了“不限制驱动器”，显然，这些组合不能知足咱们的要求（由于U盘的盘符一般是排在最后的，并且如今的硬盘比较大，少则也有**个分区）。

　　二、在域控制器上打开Active Directory 用户和计算机，在刚才咱们新建的“屏蔽U盘”策略上单击右键选择查看属性，在如图3所示的位置找到"屏蔽U盘"的组策略的惟一的名称，此名称为一长串数字和字母组成，本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9}，记下此字符串。



　　三、打开系统盘，定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹，此文件夹位于“C: WINNTSYSVOLbaling.com.cnPolicies”下（盘符依赖于您安装的操做系统所在的分区），注意其中baling.com.cn 是您的Windows 2000的域名，打开{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录，找到ADM目录下的system.adm文件，此文件是咱们在实施组策略的模板文件，是一个纯文本文件，可用记事本打开，找到下面这两段代码：
　　　* POLICY !!NoDrives
        　　　EXPLAIN !!NoDrives_Help
     　　　　PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
  　　　VALUENAME "NoDrives"
  　　　ITEMLIST
　　　NAME !!ABOnly           VALUE NUMERIC 3
　　　NAME !!COnly            VALUE NUMERIC 4
　　　NAME !!DOnly            VALUE NUMERIC  8
　　　NAME !!ABConly          VALUE NUMERIC  7
　　　NAME !!ABCDOnly      VALUE NUMERIC 15
　　　NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
         ; low 26 bits on (1 bit per drive)
　　　NAME !!RestNoDrives     VALUE NUMERIC 0
  　　　END ITEMLIST
     　　　END PART   
　　　END POLICY
　　　* POLICY !!NoViewOnDrive
        　　　EXPLAIN !!NoViewOnDrive_Help
     　　　PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
  　　　VALUENAME "NoViewOnDrive"
  　　　ITEMLIST
　　　NAME !!ABOnly           VALUE NUMERIC 3
　　　NAME !!COnly            VALUE NUMERIC 4
　　　NAME !!DOnly            VALUE NUMERIC  8
　　　NAME !!ABConly          VALUE NUMERIC  7
　　　NAME !!ABCDOnly      VALUE NUMERIC 15
　　　NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT    （C/D ONLY=67108851）
         　　　 ; low 26 bits on (1 bit per drive)
　　　NAME !!RestNoDrives     VALUE NUMERIC 0
     　　　END ITEMLIST
     　　　END PART   
　　　　END POLICY

　　说明：这是两个策略，第一个!!NoDrive，它的做用是在个人电脑中不显示指定的驱动器名，驱动器号表明的全部驱动器不出如今标准的打开对话框上，可是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式，用户仍然能够访问该驱动器；第二个!!NoViewOnDrive的做用是阻止用户访问驱动器。能够阻止上**况的出现，可是仅仅用第二个的话，用户能够看见该驱动器的盘符，但不能访问，一**况，两个同时使用，能够达到比较理想的效果。

　　仔细观察上述代码，不难发现，其中一共有7个NAME项，正好和咱们图2下拉框中的一一对应，后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的规则取值，low 26 bits on的意思说值为26位的二进制，最多可指定26个驱动器盘符，而1 bit per drive则表明1位表明1个驱动器，举例说A=1，B=2，C=4，D=8，E=16，F=32，G=64，H=128，I=256，由低到高，以此类推。咱们可根据咱们的须要修改此代码段，假如咱们要隐藏A、B、C、F、G、H、I，您能够根据您的须要而定，推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端全部的USB接口数（防止有**插入几个U盘，呵呵！）。那么咱们计算出VALUE NUMERIC的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487，在两个策略中的
NAME !!ABCDOnly    VALUE NUMERIC   15
　　下插入一行
　　NAME !!ABCFGHIOnly   VALUE NUMERIC  487

　　随后，移到System.adm文件的末尾，
在 ABConly="仅限制驱动器 A、B 和 C" 下面插入一行数据，　　
　　ABCFGHIOnly="仅限制驱动器A、B、C、F、G、H、I"
等于号后引号内的说明您能够根据本身的喜爱定义，它将会显示在如图2的下拉框中。保存后，打开“屏蔽U盘”策略，定位“用户配置-管理模板- Windows 组件-Windows 资源管理器”，在右边的窗口中双击“隐藏个人电脑中的这些指定的驱动器”或“防止从个人电脑访问驱动器”其中的一个，点击“启用”，再点击下拉框，哈哈，您会发现您多了一个选项（如图4）。


　　这时候，您只要在您想屏蔽的用户的组织单位上应用此策略（别忘了这两个策略都须要设置），保存后，包含于该组织单位下的用户登陆时，便会发现他的U盘插上后，系统虽能识别并正确安装驱动，但在“个人电脑”中却没法看见，而且经过其余方法也没法访问，包括在地址栏中输入盘符。

　　至此，所有设置完毕，让您的客户段使用此OU下的用户登陆看看吧！
　　其余注意事项：

　　一、这种方法在您的客户端不少的时候，很方便，您只要确保客户端登陆用户属于您已应用此组策略的OU下便可，若是暂时须要容许他使用U盘，那只要把该用户移出此OU，该用户再注销从新登陆一下就OK。

　　二、须要注意的是，您在OU中创建用户时，用户缺省是属于Domain users组，这对于大多数软件来讲没有问题，但会使有些软件没法安装**行，您能够赋予这些用户在客户端本机的Power user组的权限，便可解决。

　　三、注意这种方法同时也屏

转载于:https://blog.51cto.com/alan860515/934463