2008R2域控环境中 应用组策略 实现禁用USB设备使用

本文介绍如何在Windows Server 2008 AD中禁用客户端USB端口。
本文使用的系统：Windows Server 2008 R2 企业版。
域功能级别：Windows Server 2008 R2
在Windows Server 2008 AD中的组策略编辑器，依次找到Computer Configuration\Administrative Templates\System\Removable Storage Access,然后点击其中的“All Removable Storage Classes: Deny all access.将此设置启用。


此时我们到域客户端A（OS:Windows 7 64bit），使用gpupdate/force，更新策略。

已成功进行了策略的更新，此时插入U盘，进行测试。

由此可以看出，U盘已经无法读取，但是不影响非存储USB设备的使用。
但是如果再次进入客户端B （OS: Windows XP SP3），USB存储却正常使用。因为大家知道此策略只针对Vista 之后的OS起效。那么在Windows Server 2008 R2域中如何禁用Vista之前的OS的USB存储呢？其实也很简单，就是利用之前在Windows Server 2003的方法来再一次对Vista之前的OS进行USB存储禁用操作！
首先在Administrative Templates 中导入USB的adm。
依次打开组策略编辑器：Computer Configuration\Administrative Templates,然后右击该选项，点击”Add/Remove Templates”,添加USB的管理模版。


*此模板可以下载，下载地址：http://support.microsoft.com/kb/555324/en-us，将其中的代码部分复制到记事本，之后另存为名如：usb.adm格式的文件。
选中USB2008，选择关闭。
接下来在Administrative Templates 下的Classic Administrative Templates(ADM)\Custom Policy Settings\Restrict Drives中选择Disable USB，选择启用，并将”Disable USB Ports”选择为”Enable”


接下来就是在文件系统中奖Usbtor.inf和Usbtor.pnf,权限设为全部禁用。
依次打开Computer Configuration\Windows Settings\Security Settings\File Sytem,右击添加文件。
依次添加Usbtor.inf和Usbtor.pnf两个文件。具体设置如下图。

设定之后策略报告如下：

至此之后，XP的客户端USB并无法识别。
当然网上也有很多关于USB的禁用方法，但是个人认为此方法是在域环境中比较方便部署的了。
希望此文章给各位带来一定的帮助！

---

你应用的是哪一个策略？WIN2008 R2的AD有两个内置的GPO: Default Domain Policy策略是针对域所有的计算机及用户，
Default Domain Controllers Policy策略是针对默认域控，这两个内置GPO的策略如果没有必要尽量不要改；要做策略
尽量新建OU，然后把计算机、用户、或者组添加到OU里，然后再针对OU应就策略；应用策略时还要注意：计算机配合是针
对计算机的，用户配置是针对用户的。

---

（8）设置完域功能级别之后呢就是您AD中比较重要的DNS服务器的安装了，默认情况下是推荐DC跟DNS装在一台服务器上的，
DNS不占啥资源，您也不用担心它耗了你服务器的资源，跟DC装在一起了也能便于后续的维护及数据的同步与备份，强烈推荐！
在到达这步的时候，童鞋们一定要检查一下自己服务器的配置，服务器的DNS是否指向的是自己，这个很重要，不然你的DNS
安装会有问题的。