Windows 2003 域控制器用组策略禁止USB的方法如下所述:
一:直接办法,禁用usb的注册表方法
定位到
- HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/USBSTOR
右边有一个叫start的键值
双击他将值改成4 usb就禁用了
下次要恢复只需将4改成3就好了
二:间接法
把下段斜杠内的内容拷到文本文档中,保存成.ADM文件,然后打开你要做限制的OU的组策略,展开“用户配置,管理模板”,右击管理模板,添加/删除模板,然后把刚才保存的ADM文件导入!现在在这个OU下的所有用户将无法使用USB存储设备! (第三方软件GFI LANGuard Portable Storage Control.v2.0也可以在域环境中使用)。
//////////////////////////////////////////////////////
- CLASS USER
- CATEGORY !!ADMDesc
- POLICY !!MMC_DeviceManagerX
- KEYNAME "Software/Policies/Microsoft/MMC/{90087284-d6d6-11d0-8353-00a0c90640bf}"
- #if version >= 4
- SUPPORTED !!SUPPORTED_Win2k
- #endif
- EXPLAIN !!MMC_Restrict_Explain
- valueNAME "Restrict_Run"
- valueON NUMERIC 0
- valueOFF NUMERIC 1
- END POLICY
- POLICY !!MMC_DeviceManager
- KEYNAME "Software/Policies/Microsoft/MMC/{74246bfc-4c96-11d0-abef-0020af6b0b7a}"
- #if version >= 4
- SUPPORTED !!SUPPORTED_Win2k
- #endif
- EXPLAIN !!DEVMGR_Restrict_Explain
- valueNAME "Restrict_Run"
- valueON NUMERIC 0
- valueOFF NUMERIC 1
- END POLICY
- End CATEGORY
- CLASS MACHINE
- CATEGORY !!ADMDesc
- POLICY !!USB_UHCD_PARAMS
- KEYNAME "SYSTEM/CurrentControlSet/Services/uhcd"
- EXPLAIN !!STARTUPTYPE_HELP
- PART !!STARTUPTYPE NUMERIC REQUIRED
- valueNAME "START"
- MIN 3 MAX 4 DEFAULT 3
- END PART
- END POLICY
- POLICY !!USB_UHCI_PARAMS
- KEYNAME "SYSTEM/CurrentControlSet/Services/usbuhci"
- EXPLAIN !!STARTUPTYPE_HELP
- PART !!STARTUPTYPE NUMERIC REQUIRED
- valueNAME "START"
- MIN 3 MAX 4 DEFAULT 3
- END PART
- END POLICY
- POLICY !!USB_EHCI_PARAMS
- KEYNAME "SYSTEM/CurrentControlSet/Services/usbehci"
- EXPLAIN !!STARTUPTYPE_HELP
- PART !!STARTUPTYPE NUMERIC REQUIRED
- valueNAME "START"
- MIN 3 MAX 4 DEFAULT 3
- END PART
- END POLICY
- POLICY !!USB_HUB
- KEYNAME "SYSTEM/CurrentControlSet/Services/usbhub"
- EXPLAIN !!STARTUPTYPE_HELP
- PART !!STARTUPTYPE NUMERIC REQUIRED
- valueNAME "START"
- MIN 3 MAX 4 DEFAULT 3
- END PART
- END POLICY
- POLICY !!CD_ROM
- KEYNAME "SYSTEM/CurrentControlSet/Services/cdrom"
- EXPLAIN !!STARTUPTYPE_HELP
- PART !!STARTUPTYPE NUMERIC REQUIRED
- valueNAME "START"
- MIN 3 MAX 4 DEFAULT 3
- END PART
- END POLICY
- POLICY !!Floppy_Disk
- KEYNAME "SYSTEM/CurrentControlSet/Services/flpydisk"
- EXPLAIN !!STARTUPTYPE_HELP
- PART !!STARTUPTYPE NUMERIC REQUIRED
- valueNAME "START"
- MIN 3 MAX 4 DEFAULT 3
- END PART
- END POLICY
- End CATEGORY
- [strings]
- ADMDesc="自定义策略"
- MMC_DeviceManagerX="设备管理器扩展插件"
- MMC_DeviceManager="设备管理器"
- SUPPORTED_Win2k="至少使用Microsoft Windows 2000"
- MMC_Restrict_Explain="Disable —— 禁用设备管理器扩展插件;Enable —— 启用设备管理器扩展插件 "
- DEVMGR_Restrict_Explain="Disable —— 禁用设备管理器;Enable —— 启用设备管理器"
- USB_UHCD_PARAMS="USB通用主控制器驱动器"
- STARTUPTYPE_HELP="启动类型,3-手动,4-禁用"
- STARTUPTYPE="启动类型"
- USB_EHCI_PARAMS="Microsoft USB 2.0 Enhanced Host Controller Miniport Driver"
- USB_UHCI_PARAMS="Microsoft USB Universal Host Controller Miniport Driver"
- USB_HUB="Microsoft USB Standard Hub Driver"
- CD_ROM="光驱"
- Floppy_Disk="软驱"
//////////////////////////////////////////////////////////
#p#
三:还有种方法就是让每台机子开机时导入一个注册表文件
文件内容为:
- Windows Registry Editor Version 5.00
- [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/USBSTOR]
- "start"=dword:00000004
然后在OU的计算机配置--windows设置--安全设置-注册表 里面添一条:
- HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/USBSTOR
在该注册表项的权限设置中,将所有用户删除!只留 domain/administrator用户!
四、在WindowsXP中禁用和管理USB接口
1. 计算机未安装USB设备
这种情况可以采取将%SystemRoot%Inf下的Usbstor.pnf和Usbstor.inf两个文件设置其用户的控制权
限。
***步:右击这两个文件,选择“属性→安全→高级”,在“权限”页面中取消“从父项继承那些可以应
用到子对象的权限项目,包括那些在此明确定义的项目”复选框。
第二步:在“安全”页面中,选择要屏蔽的用户或用户组,在“完全控制”中选择“拒绝”复选框,然后
单击“确定”。
这种通过分配权限的方法,可以指定哪些用户可以使用USB设备,哪些用户不可以使用USB设备,和下面的
“Windows NT以上系统通用方法”一样,灵活性较大,所以建议采用该方法限制用户安装USB设备。
2. 计算机已安装了USB设备
这种情况可以通过修改注册表来实现。方法是修改注册表中
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR下的“Start”值,改为十六位进制
数值“4”。
该方法修改后,当用户将USB存储设备连接到计算机时,该设备将无法运行。
五、Windows NT以上系统通用方法
运行注册表编辑器,找到HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR键,取消
System的所有控制权。如果要分配控制权,只需要对相应用户设置控制权限就可以了。
小提示:Windows 2000中要设置注册表的控制权限,需用Regedt32.exe注册表编辑器。
域控制器中用组策略禁止USB的这五种方法大家可以都尝试一下,尽量五种方法都能熟练掌握。
【编辑推荐】
