win server 2008r2域环境下禁止xp客户端USB权限
环境:win server 2008 r2域控制器、win xp客户端,繁体系统
安全
要求:限制用户使用USBdom
难点:2008r2中限制存储装置的策略要求至少vista或win 7以上ide
实现方法:测试
经过档案系统设定安全性3d
a.新建GPO,定位到电脑设定-原则-Windows设定-安全性设定-档案系统(公司为台企,系统都是繁体,简体系统的本身对应).server
b.右键新增档案,找到usbstor.inf和usbstor.pnf,blog
c.双击或右键-内容,打开安全性原则设定继承
根据须要设定继承权,点击"编辑安全性设定"ci
将domain users用户组的权限都设定为拒绝,若有其它需求,可自行设定。文档
重复以上操做对usbstor.pnf文档设定
经过传统系统模板设定
微软为解决此问题,给出了解决方案。使用传统系统模板限制USB,模板可在官网(时间久了,忘记了)找到。模板内容以下:
-------------------------------------------------------
類別機器
類別!!類別
類別!!類別名稱
原則!!policynameusb
KEYNAME"SYSTEM\CurrentControlSet\Services\USBSTOR"
說明!!explaintextusb
組件!!DROPDOWNLIST 所需的 labeltextusb
數值"開始時間"
ITEMLIST
名稱!!已停用數字 3 的值預設值
名稱!!啟用的值數字 4
結束 ITEMLIST
結束組件
結束原則
原則!!policynamecd
KEYNAME"SYSTEM\CurrentControlSet\Services\Cdrom"
說明!!explaintextcd
組件!!DROPDOWNLIST 所需的 labeltextcd
數值"開始時間"
ITEMLIST
名稱!!已停用數字 1 的值預設值
名稱!!啟用的值數字 4
結束 ITEMLIST
結束組件
結束原則
原則!!policynameflpy
KEYNAME"SYSTEM\CurrentControlSet\Services\Flpydisk"
說明!!explaintextflpy
組件!!DROPDOWNLIST 所需的 labeltextflpy
數值"開始時間"
ITEMLIST
名稱!!已停用數字 3 的值預設值
名稱!!啟用的值數字 4
結束 ITEMLIST
結束組件
結束原則
原則!!policynamels120
KEYNAME"SYSTEM\CurrentControlSet\Services\Sfloppy"
說明!!explaintextls120
組件!!labeltextls120 DROPDOWNLIST 所需
數值"開始時間"
ITEMLIST
名稱!!已停用數字 3 的值預設值
名稱!!啟用的值數字 4
結束 ITEMLIST
結束組件
結束原則
末端類別
末端類別
[字串]
類別 ="自訂原則設定值"
類別名稱 ="限制磁碟"
policynameusb ="停用 USB"
policynamecd ="停用 CD-ROM"
policynameflpy ="停用軟碟機"
policynamels120 ="停用高容量軟碟機"
explaintextusb ="停用電腦的 USB 連接埠,藉由停用 usbstor.sys 驅動程式"
explaintextcd ="停用電腦的光碟機,藉由停用 cdrom.sys 驅動程式"
explaintextflpy ="停用停用 flpydisk.sys 驅動程式的電腦軟碟機"
explaintextls120 ="停用磁碟高容量軟碟機的電腦,停用 sfloppy.sys 驅動程式"
labeltextusb ="停用 USB 連接埠 」
labeltextcd ="停用 CD-ROM 磁碟機]
labeltextflpy = [停用磁碟軟碟機]
labeltextls120 ="停用高容量軟碟機"
啟用 ="啟用"
已停用 ="停用"
--------------------------------------------------------------------------------
将虚线内容复制保存的.adm文档中。打开GPO,电脑设定-原则-系统管理范本,右键-新增/移除范本,新增此范本。新增后,将在系统管理范本下看到传统系统管理范本(ADM)
打开Disable USB,
Disable USB Ports选择Enabled.
以上两种方法,我是一块儿使用的,单独使用是否生效还没测试。因环境中还有win7客户端,因此同时也使用了2008r2自带的策略。
模板内容给的是繁体的,还不知道在简体中适不适用,各位可测试下。
上传附件时报非法的类型,将.adm改为了.txt,下载后再改会.adm便可
- 1. 域用户usb禁用
- 2. 域环境权限配置
- 3. 简单设置open***服务器,win xp客户端centos客户端测试;
- 4. Sql Server 2008R2分配数据库权限
- 5. 在域环境下禁用USB存储设备的方法
- 6. Windows XP客户端加域操作手册下
- 7. CentOS7+win搭建git服务器+客户端环境
- 8. Android权限禁止及友好提示用户开通必要权限
- 9. LINUX环境下VNC服务端与客户端配置
- 10. MySQL客户端访问权限配置
- 更多相关文章...
- • XSLT - 在客户端 - XSLT 教程
- • MySQL删除用户权限(REVOKE) - MySQL教程
- • Docker容器实战(一) - 封神Server端技术
- • PHP Ajax 跨域问题最佳解决方案
-
每一个你不满意的现在,都有一个你没有努力的曾经。