文档及模板可在 http://pan.baidu.com/s/1qYTcjTy  下载

pro_usb_users.adm  此模板可禁用到 指定盘符,针对用户策略

pro_usb_computers.adm  此模板 针对计算机,一般只要它就好了。

可以从 3 个方面下手

  1. adm 配置 文件。
  2. 注册表
  3. usb驱动

其实 adm配置文件,看起来是修改了本地组策略,其实最后还是通过修改注册表实现的。

我们只保留可以查看ABCDE 盘。其他的盘符,不可查看,不可读写。

服务端  Server 2003 \

客户端  XP 的版本为 sp3,  E盘为光驱,F盘为U

第一种方法 (不推荐这种,虽 可图像化访问,但可以用DOS访问)

要用到两个键

NoDrives  禁止显示(不显示在我的电脑里、如果NoViewOnDrive设置为访问时,可以通过直接访问完全路径进行访问)

NoViewOnDrive  禁止访问(其实可以通过命令行访问的),

值为0 时,为启用功能, 为1时是不启用。

可以在 excel 中弄好自己想要隐藏的,复制到计算器内,转成16进制就好了

结果为  3FFFFE0

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDrives"=dword:03ffffe0

"NoViewOnDrive"=dword:03ffffe0

这样,除了ABCDE 其他磁盘,为不显示,不可读写(但命令行可以访问)

第二 种呢、就是 修改   usbhub(旧系统)   USBSTOR 现在的系统

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\USBSTOR]

"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\usbhub]

"Start"=dword:00000004

https://support.microsoft.com/zh-cn/kb/823732 官方文档

此处需要注意一下

修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

的Start为4时,每次接入新设备时,还会变为3,只有策略再次刷新过后,下次接入该USB才不可被识别.

当然清理过USB 痕迹,就也再次被识别, 例如使用 usbviewer 工具

知道 注册表修改了 什么,我们就开始写 adm 文件

https://support.microsoft.com/en-us/kb/555324  可以下载模板文件,但注意开头为CLASS MACHINE 也就是说,它是计算机配置的模板,针对计算机的配置,需要重启PC的。

第一种禁用到盘符的,是针对用户的,注销用户就可,adm文件编码请使用UCS-2,否则会乱码

之前 修改注册表的 16进制、在adm文件要转为10进制。

在 域控上 建立一个 GPO 用户模板引用 此规则 ,保存为 xx.adm 即可

----------------复制以下----------------------------

CLASS USER

CATEGORY !!category

CATEGORY !!categoryname

KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"

POLICY !!policyNoDrives

EXPLAIN !!explaindrives

PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "NoDrives"

ITEMLIST

NAME !!ABOnly           VALUE NUMERIC     3

NAME !!COnly            VALUE NUMERIC      4

NAME !!DOnly            VALUE NUMERIC    8

NAME !!ABConly          VALUE NUMERIC    7

NAME !!ABCDOnly         VALUE NUMERIC    15

NAME !!ALLDrives        VALUE NUMERIC       67108863 DEFAULT

;此处隐藏除ABCDE外所有的盘符

NAME !!ExceptABCDE      VALUE NUMERIC     67108832

END ITEMLIST

END PART

END POLICY

POLICY !!policyNoViewOnDrives

EXPLAIN !!NoViewOnDrive_Help

PART !!NoDrivesDropdown     DROPDOWNLIST NOSORT REQUIRED

VALUENAME "NoViewOnDrive"

ITEMLIST

NAME !!ABOnly           VALUE NUMERIC     3

NAME !!COnly            VALUE NUMERIC      4

NAME !!DOnly            VALUE NUMERIC    8

NAME !!ABConly          VALUE NUMERIC    7

NAME !!ABCDOnly         VALUE NUMERIC    15

NAME !!ALLDrives        VALUE NUMERIC       67108863 DEFAULT

; low 26 bits on (1 bit per drive)

;此处禁用除ABCDE外所有的盘符

NAME !!ExceptABCDE      VALUE NUMERIC     67108832

END ITEMLIST

END PART

END POLICY

END CATEGORY

END CATEGORY

[strings]

ABOnly="仅限制驱动器 A 和 B"

ABCDOnly="仅限制驱动器 A、B、C 和 D"

COnly="仅限制驱动器 C"

DOnly="仅限制驱动器 D"

ABConly="仅限制驱动器 A、B 和 C"

ALLDrives="限制所有驱动器"

ExceptABCDE="限制除A、B、C、D、E外所有驱动器"

category="禁用盘符"

categoryname="Restrict Drives"

policyNoDrives="在我的电脑中隐藏这些盘符"

explaindrives="请根据自己的情况选择要禁用的盘符"

labeltextusb="选择禁用盘符"

policyNoViewOnDrives="防止从“我的电脑”访问驱动器"

NoViewOnDrive_Help="防止用户使用我的电脑访问所选驱动器的内容。

NoDrivesDropdown="选择下列组合中的一个"

----------------复制以上----------------------------

然后,我们启用禁用 "限制除A、B、C、D、E外所有驱动器" , 客户端gpupdate /force ,然后 rsop.msc 查看获取策略的结果

此 策略 再 配上 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

Start 等于4 的策略,能应付一般的 使用人员了。

---------------复制以下—这是 计算机策略----

CLASS MACHINE

CATEGORY !!category

CATEGORY !!categoryname

POLICY !!policynameusb

KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"

EXPLAIN !!explaintextusb

PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"

ITEMLIST

NAME !!Disabled VALUE NUMERIC 3 DEFAULT

NAME !!Enabled VALUE NUMERIC 4

END ITEMLIST

END PART

END POLICY

POLICY !!Allusb_usbhub

KEYNAME "SYSTEM\ControlSet001\Services\usbhub"

EXPLAIN !!explain_USBSTOR

PART !!labusb_USBSTOR DROPDOWNLIST REQUIRED

VALUENAME "Start"

ITEMLIST

NAME !!Disabled VALUE NUMERIC 3 DEFAULT

NAME !!Enabled VALUE NUMERIC 4

END ITEMLIST

END PART

END POLICY

POLICY !!Allusb_USBSTOR

KEYNAME "SYSTEM\ControlSet001\Services\USBSTOR"

EXPLAIN !!explain_USBSTOR

PART !!labusb_USBSTOR DROPDOWNLIST REQUIRED

VALUENAME "Start"

ITEMLIST

NAME !!Disabled VALUE NUMERIC 3 DEFAULT

NAME !!Enabled VALUE NUMERIC 4

END ITEMLIST

END PART

END POLICY

POLICY !!policynamecd

KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"

EXPLAIN !!explaintextcd

PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"

ITEMLIST

NAME !!Disabled VALUE NUMERIC 1 DEFAULT

NAME !!Enabled VALUE NUMERIC 4

END ITEMLIST

END PART

END POLICY

POLICY !!policynameflpy

KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"

EXPLAIN !!explaintextflpy

PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"

ITEMLIST

NAME !!Disabled VALUE NUMERIC 3 DEFAULT

NAME !!Enabled VALUE NUMERIC 4

END ITEMLIST

END PART

END POLICY

POLICY !!policynamels120

KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"

EXPLAIN !!explaintextls120

PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"

ITEMLIST

NAME !!Disabled VALUE NUMERIC 3 DEFAULT

NAME !!Enabled VALUE NUMERIC 4

END ITEMLIST

END PART

END POLICY

END CATEGORY

END CATEGORY

[strings]

category="Disable_USB"

categoryname="Restrict Drives"

Allusb_USBSTOR="disable USBSTOR"

Allusb_usbhub="disable usbhub"

policynameusb="Disable USB"

policynamecd="Disable CD-ROM"

policynameflpy="Disable Floppy"

policynamels120="Disable High Capacity Floppy"

explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"

explain_USBSTOR="Disables usb"

explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"

explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"

explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"

labeltextusb="Disable USB Ports"

labusb_USBSTOR="Disable USB Ports"

labeltextcd="Disable CD-ROM Drive"

labeltextflpy="Disable Floppy Drive"

labeltextls120="Disable High Capacity Floppy Drive"

Enabled="Enabled"

Disabled="Disabled"

---------------复制以上----------

其实 都是 修改注册表 也可以用 批处理 来完成、个人喜欢写 adm文件,写好后,可动态选择,不死板。

------------用户-------

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDrives /t reg_dword /d 67108832 /f

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoViewOnDrive /t reg_dword /d 67108832 /f

-----------计算机---------

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t reg_dword /d 4 /f

第二种,就是从驱动下手啦,这要放到 计算机 配置下手。

从文件系统中 ,禁用下面两个文件

(我只留下administrators 与system 这两个组可读取,其他的都没读取权限,但一定要加入Everyone这个组,并拒绝读取  普通域用户为 power user)

%SystemRoot%\inf\usbstor.inf

%SystemRoot%\inf\usbstor.PNF

然后去 客户端 看看结果

不过此 方案下,如果换usb的键盘、鼠标、打印机,也会弹出此窗体,输入有读取 usbstor.inf、usbstor.PNF文件权限的 用户及密码即可。

第二种方案 在win7 的客户端 下不能生效,要注意。

但第一种可以 在win7下生效

当启用 计算机配置后, 就可以在win7上禁用 usb了

--------------------------我是分割线-----------------------------

现在 换成

服务器2008 r2

客户端xp sp3

然后用禁用 usb的 计算机模板,可以禁用 xp上的 usb

我们在2008 r2 设置一个禁用usb 驱动的 gpo (如下图)

然后看XP 的结果集 ,是生效的,如下图

但 当 win7 做为客户端时,就不会有效禁用 usb.

2008 r2 对移动存储 新加入了新功能选项,我们可以用它来禁用USB.

此处应该把 策略 挂在用户OU下,(我挂在计算机OU下,gpresult /v 没查看到获取成功)

XP 可以 接收到域策略,却不能执行,估计是版本太老,没这功能。

可是win7 的效果就很好。

所以、如果想兼容xp 与win7还是写模板文件好点。。

请选择  pro_usb_computers.adm  模板,挂在 计算机策略下,不论服务器是 2003 或是2008 r2 ,客户端是 xp 还是win7 都会生效。

域策略禁用usb的更多相关文章

  1. Windows Server 2008 R2域控组策略设置禁用USB

    问题: Windows Server 2008 R2域控服务器如何禁用客户端使用USB移动存储(客户端操作系统需要 Windows Vista以上的操作系统,XP以下的操作系统不能禁用USB移动存储) ...

  2. AD域控制器通过组策略禁止USB设备

    问题:域环境下如何禁用USB口设备? 第一种:用传统的办法,在Bios中禁用USB. 第二种: 微软技术支持回答:根据您的需求, Windows识别USB设备主要通过两个文件,一个是Usbstor.p ...

  3. [ActionScript 3.0] 跨域策略文件crossdomain.xml配置详解

    1.简介 flash在跨域时唯一的限制策略就是crossdomain.xml文件,该文件限制了flash是否可以跨域读写数据以及允许从什么地方跨域读写数据. 位于www.a.com域中的SWF文件要访 ...

  4. 禁用USB存储设备(不重启)

    Title:禁用USB存储设备(不重启) -- 2012-09-13 12:08 在win2003实验,USB存储禁止,无需重启! stop usbrw.reg ------------------- ...

  5. flash跨域策略文件crossdomain.xml

    flash在跨域时唯一的限制策略就是crossdomain.xml文件,该文件限制了flash是否可以跨域读写数据以及允许从什么地方跨域读写数据. 位于www.a.com域中的SWF文件要访问www. ...

  6. flash跨域策略文件crossdomain.xml配置详解

    来源:http://www.2cto.com/Article/201108/100008.html 0x01 简介 flash在跨域时唯一的限制策略就是crossdomain.xml文件,该文件限制了 ...

  7. 跨域策略文件crossdomain.xml文件

    使用crossdomain.xml让Flash可以跨域传输数据 一.crossdomain.xml文件的作用    跨域,顾名思义就是需要的资源不在自己的域服务器上,需要访问其他域服务器.跨域策略文件 ...

  8. 启用禁用USB接口

    一个小工具,功能有启用禁用外网.USB接口,可由服务端socket长链接进行操控客户端从而达到实现前边的这些功能,这里贴上核心代码,先给上启用禁用USB接口吧,这个方法可随时启用禁用,之前用过一个改u ...

  9. ubuntu14.04禁用USB外存储设备

    ubuntu 14.04中禁用usb外存储设备: 在网上找了很多方法,大概都是下面的命令,而实际测试的时候没有什么作用. gsettings set org.gnome.desktop.media-h ...

随机推荐

  1. Setting up your App domain for SharePoint 2013

    from:http://sharepointchick.com/archive/2012/07/29/setting-up-your-app-domain-for-sharepoint-2013.as ...

  2. Android项目实战(八):列表右侧边栏拼音展示效果

    之前忙着做项目,好久之前的技术都没有时间总结,而发现自己的博客好多写的技术都比自己掌握的时候晚了很多.不管怎么样,写技术博客一定是一个想成为优秀程序猿或者已经是优秀程序猿必须做的.好吧,下面进行学习阶 ...

  3. IOS程序开发中-跳转到 发送短信界面 实现发短信

    前言:我发现我标题取的不好,谁帮我取个承接上下文的标题?评论一下,我改 项目需求:在程序开发中,我们需要在某个程序里面发送一些短信验证(不是接收短信验证,关于短信验证,传送门:http://www.c ...

  4. iOS 通过二进制判断图片类型

    + (NSString *)typeForImageData:(NSData *)data { uint8_t c; [data getBytes:&c length:1]; switch ( ...

  5. nginx location匹配规则

    谢谢作者的分享精神,原文地址:http://www.nginx.cn/115.html location匹配命令 ~      #波浪线表示执行一个正则匹配,区分大小写~*    #表示执行一个正则匹 ...

  6. android多种布局的列表实现

    最近有一个列表效果,需要一个列表有多种布局,最终效果如下: 这个我也问了同事以及开发群里的朋友,居然都没得到最优的实现方式的回答,看来这种复杂列表的需求还是比较少的,我自己也走了一些弯路,把我几个实现 ...

  7. qsort

    /*** *qsort.c - quicksort algorithm; qsort() library function for sorting arrays * Copyright (c) Mic ...

  8. Force.com平台基础--前言

    云计算平台 云计算模式有三种:(下面介绍来自百科) 1. SaaS:提供给客户的服务是运营商运行在云计算基础设施上的应用程序,用户可以在各种设备上通过客户端界面访问,如浏览器.消费者不需要管理或控制任 ...

  9. C# 日志框架的添加

    .NET中 记录日志的比较好的主要是Log4Net和Enterprise Library的Logging 复杂一点的还可以实现自动化Log日志 教程 首先是第二种方式 1.需要添加以下几个DLL  下 ...

  10. [嵌入式学习资料]ARM开发学习详解iTOP-4412开发板使用手册

    拿到的最新4412开发板学习使用手册,完全免费,分享一下 下载地址:http://pan.baidu.com/s/1ntrJA8h