AD域控制器通过组策略禁止USB设备

问题：域环境下如何禁用USB口设备？

第一种：用传统的办法，在Bios中禁用USB。

第二种：

微软技术支持回答：根据您的需求， Windows识别USB设备主要通过两个文件，一个是Usbstor.pnf、另外一个是Usbstor.inf，当在电脑第一次使用USB设备之前禁用这两个文件即可达到我们的目标。
1、打开Active Directory用户和计算机；
2、选择需要禁用USB设备的OU，并点击鼠标右键进行组策略；
3、创建一个针对USB的GPO，并点击编辑，打开组策略编辑器；
4、进入组策略编辑器，依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”；
5、右键点击“添加文件”，弹出“添加文件和文件夹”，在“文件夹”栏输入“%systemroot%\inf\usbstor.inf“，确定；您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1
6、在“数据库安全设置”中，删除所有的用户，并添加“Everyone”，去掉默认的允许“读取和执行”、“列出文件夹内容”、“读取”，添加拒绝“完全控制”；应用、确定；
7、“添加对象”窗口，默认当前设置，若要重新编辑安全权限，则可点击“编辑安全设置”进行重新设置；确认，退出设置；
8、除此之外，重复5、6、7步，对“%systemroot%\inf\usbstor.PNF“进行设置；
9、关闭组策略编辑器；
10、使用“gpupdate /force”，强行刷新策略。

以上方法只能针对还没有使用过USB的计算机才能生效，若企业中的部分计算机已经使用过U盘等设备，那还需要修改注册表来达到目的。需要修改的注册表键值位于：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
Windows 2000下，键值在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub，
打开上面注册表位置，我们可以看到start的键值，需要将该键值修改为4，默认情况下为3（3表示手动、2表示自动、4表示停用），若要使用组策略来部署，需要使用脚本来加以运行即可。

另外，下面的微软文档也提供了相关信息：
823732：如何禁用 USB 存储设备
http://support.microsoft.com/kb/823732/zh-cn

赵莹(Ken Zhao) 微软全球技术支持中心