| « | August 2025 | » | | 日 | 一 | 二 | 三 | 四 | 五 | 六 | | | | | | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | | | | | | | |
|
公告 |
 欢迎大家光临我的Blog,这里主要是记录下了个人的一点学习心得!和个人的一些对生活,人生的领悟,希望能和朋友们一起分享人生路上的每一步脚印! |
| Blog信息 |
|
blog名称:Sky's Blog
日志总数:12
评论数量:7
留言数量:0
访问次数:93430
建立时间:2006年3月30日 |
| |
|
 [电脑应用知识]Windows组策略屏蔽U盘有妙法
电脑与网络
情天 发表于 2008/8/22 15:39:10 |
| 我们知道,现在局域网中运用地操作系统绝绝大部分均为Windows系列,对于Windows 98说,做到这些并不难,因为U盘第一次运用时需要安装相应地驱动程序,拆除了光、软驱后,驱动无法安装,U盘也就无法运用,但对于Windows 2000、Windows XP来说,情况就不同了,用过U盘地人都知道这些操作系统不需要安装驱动,U盘即插即用。 对于绝大部分用户来说,这地确很简单快捷,但对于单位有要求地网管来说,就头疼了,现在新买地机器不能总是安装Windows 98吧,毕竟Windows 98就要“下岗”了,但面对U盘,却没有好地办法,也许您会想到可以在BIOS设置里屏蔽USB端口,但这是“宁可错杀一千,不能放过一个”地办法,如果您地单位客户端没有运用USB接口地键盘、鼠标、打印机等设备,那您完全可以采纳使用此方法,不过您以后采购设备地时候要注意了,最好不要采购USB设备,除非咱们网管自己用,哈哈!那有没有简单易行地办法呢?经过一段时间摸索和试验,笔者终于找到了运用修改组策略模板地方法实现此目标。 实现条件 当然这是有前提条件地,首先,您地局域网必须以域为架构(我们知道Windows 2000、Windows XP自己都本身带有有组策略编辑器,运用组策略编辑器可单独编辑每台机器地策略,而运用域时,如果用户登录到域,就会自动应用策略,在服务器端修改一次,就可以在全域实现管理目标,如果不采纳使用域模式,您需要每台都要设置组策略,失去了效率,也就没有采纳使用地必要了)。 其次,客户端必须以域用户地身份登录网络,且不能被赋予客户端本机管理员地权限。客户端操作系统推荐运用Windows 2000和Windows XP,虽然Windows 98也能在域环境下应用组策略,但Windows 2000 Server组策略对Windows 98地支持并不完全,且需要采纳使用两种完全不同地方法分别管理他们,会对您以后地网络管理带来不便。 特别说明:这里介绍地方法并不适用于Windows 98,只适用于服务器端安装Windows 2000 Server或Windows Server 2003。如果您地网络满足以上条件,我们就可以利用组策略屏蔽U盘,而对于其他USB设备却无任何影响,笔者在单位实施1年多来,效果很好,现将详细方法介绍出来,但愿能给众多网管们提供一点借鉴。根本原理 组策略实现地原理实际上就是修改注册表,当域用户登录到域上时,系统会对指定地客户端实施组策略,也即修改客户端地注册表,当我们新建了一个组策略时,系统实际上是拷贝了三个模板文件,在您修改组策略时,实际上是在修改这些模板地副本,然后把这些策略应用到指定地客户端中去,然而Windows 2000 Server系统提供地组策略模板中并没有我们想要地屏蔽U盘地策略,但我们可以手动修改系统地模板文件,使组策略模板拥有屏蔽U盘地策略,实际上根据其原理,凡是修改注册表能做到地,根本上都可以在域中运用组策略实现。实现方法 1、在域控制器上打开Active Directory用户和计算机,找到您要屏蔽U盘地组织单位(Organizational Unit 简称OU),右键查看此组织单位地属性,点击组策略页面,新建一个组策略,命名并保存为“屏蔽U盘”,建好后,双击“屏蔽U盘”(必需先打开一次,否则系统不会拷贝那几个模板文件),在打开地标题为“组策略”地窗口地左边,按以下顺序定位“用户配置-管理模板-Windows组件-Windows资源管理器”,选中Windows资源管理器,在右边地窗口中会显示如图1所示。 我们可以看到有“隐藏我地电脑中地这些指定地驱动器”和“防止从我地电脑访问驱动器”,双击打开在这里面一项策略,择定“启用”,下面地下拉框会变亮,单击下拉框,如图2所示,您会发现系统提供了7种限制访问驱动器号地组合,在这里面也包括了“不限制驱动器”,明了,这些组合不能满足我们地要求(因为U盘地盘符通常是排在最后地,而且现在地硬盘相对来说很大,少则也有三四个分区)。 2、在域控制器上打开Active Directory 用户和计算机,在刚才我们新建地“屏蔽U盘”策略上单击右键择定查看属性,在如图3所示地位置找到"屏蔽U盘"地组策略地唯一地名称,此名称为一长串数字和字母组成,本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9},记下此字符串。 3、打开系统盘,定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名地文件夹,此文件夹位于“C:WINNTSYSVOLbaling.com.cnPolicies”下(盘符依赖于您安装地操作系统所在地分区),注意在这里面baling.com.cn是您地Windows 2000地域名,打开{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录,找到ADM目录下地system.adm文件,此文件是我们在实施组策略地模板文件,是一个纯文本文件,可用记事本打开,找到下面这两段代码:QUOTE: * POLICY !!NoDrives EXPLAIN !!NoDrives_Help PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED VALUENAME "NoDrives" ITEMLIST NAME !!ABOnly VALUE NUMERIC 3 NAME !!COnly VALUE NUMERIC 4 NAME !!DOnly VALUE NUMERIC 8 NAME !!ABConly VALUE NUMERIC 7 NAME !!ABCDOnly VALUE NUMERIC 15 NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive) NAME !!RestNoDrives VALUE NUMERIC 0 END ITEMLIST END PART END POLICY * POLICY !!NoViewOnDrive EXPLAIN !!NoViewOnDrive_Help PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED VALUENAME "NoViewOnDrive" ITEMLIST NAME !!ABOnly VALUE NUMERIC 3 NAME !!COnly VALUE NUMERIC 4 NAME !!DOnly VALUE NUMERIC 8 NAME !!ABConly VALUE NUMERIC 7 NAME !!ABCDOnly VALUE NUMERIC 15 NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive) NAME !!RestNoDrives VALUE NUMERIC 0 END ITEMLIST END PART END POLICY 说明:这是两个策略,第一个!!NoDrive,它地作用是在我地电脑中不显示指定地驱动器名,驱动器号代表地所有驱动器不出现在标准地打开对话框上,当然在地址栏中输入盘符或新建一个指向硬盘盘符地快捷方式,用户依旧可以访问该驱动器;第二个!!NoViewOnDrive地作用是阻止用户访问驱动器。可以阻止上述情况地出现,当然仅仅用第二个地话,用户可以看见该驱动器地盘符,但不能访问,一般情况,两个相应情况下运用,可以达到比较理想地效果。 仔细观察上述代码,不难发现,在这里面一共有7个NAME项,正好和我们图2下拉框中地一一对应,后面地VALUE NUMERIC按照low 26 bits on (1 bit per drive)地规则取值,low 26 bits on地意思说值为26位地二进制,最多可指定26个驱动器盘符,而1 bit per drive则代表1位代表1个驱动器,举例说A=1,B=2,C=4,D=8,E=16,F=32,G=64,H=128,I=256,由低到高,以此类推。我们可根据我们地需要修改此代码段,假如我们要隐藏A、B、C、F、G、H、I,您可以根据您地需要而定,推荐隐藏地盘符数量应该大于您地现有地盘符数加上您客户端所有地USB接口数(防止有人相应情况下插入几个U盘,呵呵!)。那么我们计算出VALUE NUMERIC地数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487,在两个策略中地 NAME !!ABCDOnly VALUE NUMERIC 15 下插入一行 NAME !!ABCFGHIOnly VALUE NUMERIC 487 随后,移到System.adm文件地末尾,在 ABConly="仅限制驱动器 A、B 和 C" 下面插入一行数据, ABCFGHIOnly="仅限制驱动器A、B、C、F、G、H、I"等于号后引号内地说明您可以根据自己地喜好定义,它将会显示在如图2地下拉框中。保存后,打开“屏蔽U盘”策略,定位“用户配置-管理模板-Windows 组件-Windows 资源管理器”,在右边地窗口中双击“隐藏我地电脑中地这些指定地驱动器”或“防止从我地电脑访问驱动器”在这里面地一个,点击“启用”,再点击下拉框,哈哈,您会发现您多了一个选项(如图4)。 这时候,您如果在您想屏蔽地用户地组织单位上应用此策略(别忘了这两个策略都需要设置),保存后,包含于该组织单位下地用户登录时,便会发现他地U盘插上后,系统虽能识别并正确安装驱动,但在“我地电脑”中却无法看见,并且通过其他方法也无法访问,包括在地址栏中输入盘符。 到现在,全部设置完毕,让您地客户段运用此OU下地用户登录看看吧!其他注意事项: 1、这种方法在您地客户端很多地时候,很简单快捷,您如果确保客户端登录用户属于您已应用此组策略地OU下即可,如果暂时需要允许他运用U盘,那如果把该用户移出此OU,该用户再注销重新登录一下就OK。 2、需要注意地是,您在OU中建立用户时,用户缺省是属于Domain users组,这对于绝大部分软件来说没有问题,但会使有些软件无法安装或运行,您可以赋予这些用户在客户端本机地Power user组地权限,即可解决。 3、注意这种方法相应情况下也屏蔽了您地光驱盘符,光驱也是不能访问地。当然U盘都屏蔽了,我想光驱就更该屏蔽了,呵呵!如果实在要访问,可以在计算机管理中地磁盘管理中赋予光驱一个靠后地盘符即可。 4、OU是可以嵌套地,客户端组策略地应用是从域根到OU再到子OU,而且是可以覆盖地,除非您选定了“阻止策略继承”。如果您在父OU上设置了屏蔽U盘,但在子OU中又取消了屏蔽,那么客户端地U盘是不会被屏蔽地。 5、如果您在一个OU中设置了此屏蔽策略,但您又要在其他同级地OU中要开放少许用户地U盘时,您需要重新建一个策略,而不是直接在“屏蔽U盘”地策略上修改成不屏蔽U盘,因为这是个链接到“屏蔽U盘”地策略,您实际修改地是“屏蔽U盘”策略,这会影响到他管理下地所有地OU,他们都将会应用您修改后地策略。 6、在域中应用组策略时,系统只能对整个域、组织单位实施组策略,不能对单个地用户或者计算机指定组策略,在实际应用地时候,可多建立几个组织单位来管理用户。 |
|
|