邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: 如何在域控制器上禁止USB盘 [打印本页]

---

作者: jackjian    时间: 2005-4-29 21:09
标题: 如何在域控制器上禁止USB盘
请问如何在域控制器上建立策略禁止某些用户使用USB盘，<br>
<br>
“禁止和管理域中多台计算机USB设备的使用<br>
在域控制器上通过组策略限制用户对“Windows NT以上系统通用方法”中注册表键的控制权即可”<br>
<br>
这个组策略在哪里建，在下比较笨，寻找方法已久没能解决，请教各位达者，谢谢。

---

作者: jackjian    时间: 2005-4-30 10:38
标题: re:up
up

---

作者: jackjian    时间: 2005-5-4 17:30
标题: re:up
up

---

作者: chimu1977    时间: 2005-5-4 20:02
标题: re:有办法的, 好象是对 注册表 及 个别...
有办法的, 好象是对 注册表 及 个别 系统 文件 实施 NTFS 限制<br>
以前看过一篇贴子,讲得 很详细 , 暂时 找不到了

---

作者: jackjian    时间: 2005-5-4 23:21
标题: re:没用的，我实践过，对注册表中USBsto...
没用的，我实践过，对注册表中USBstor设置权限，但仍然没效，不知什么原因

---

作者: 83383    时间: 2005-5-8 14:08
标题: re:建议在BIOS上关闭USB口，在BIOS...
建议在BIOS上关闭USB口，在BIOS上加密码，我想就只有这个办法。<br>
其他兄弟有更好的方法，请共享下，谢谢

---

作者: jackjian    时间: 2005-5-8 15:09
标题: re:这个方法不行，BIOS？，打开机箱放电就...
这个方法不行，BIOS？，打开机箱放电就可以删除密码了，而且，BIOS里设置会将所有ＵＳＢ设备都禁止，再说，它不能针某个用户开放权限，对于一台电脑多用户的。

---

作者: mymail    时间: 2005-5-9 11:05
标题: re:限制盘符可以?
限制盘符可以?

---

作者: jackjian    时间: 2005-5-9 13:26
标题: re:盘符不能针对某些用户而设，只会限制全部
盘符不能针对某些用户而设，只会限制全部

---

作者: tonyepaper    时间: 2005-5-13 21:48
标题: re:没时间翻译...大家直接看吧..使用群组...
没时间翻译...大家直接看吧..使用群组原则关闭PC的USB PORT<br>
Custmom ADM temlpate for disabling USB<br>
Here is an adm file i have written. Import this into Active Direcotry the make two groups of<br>
allowed and disallowed PC's. Saves fiddling with 2000 PC's as we do this automatically<br>
through AD.<br>
Enable the GPO's for users you dont want to use usb and disable for those you do. Save the<br>
text below as a .adm file&#58;<br>
;USB Controller Security Template (JM 17/11/04)<br>
#if version <= 2<br>
#endif<br>
#if version >= 3<br>
CLASS MACHINE<br>
CATEGORY !!USBDevices<br>
POLICY !!usbehci<br>
#if version >= 4<br>
EXPLAIN !!Usbdeviceshelp<br>
#endif<br>
KEYNAME "SYSTEM\CurrentControlSet\Services\usbehci"<br>
VALUENAME "Start"<br>
VALUEON NUMERIC 4<br>
VALUEOFF NUMERIC 0<br>
END POLICY<br>
POLICY !!usbhub<br>
#if version >= 4<br>
EXPLAIN !!Usbdeviceshelp2<br>
#endif<br>
KEYNAME "SYSTEM\CurrentControlSet\Services\usbhub"<br>
VALUENAME "Start"<br>
VALUEON NUMERIC 4<br>
VALUEOFF NUMERIC 0<br>
END POLICY<br>
END CATEGORY<br>
[strings]<br>
USBDevices="HBS USB Security Settings"<br>
usbehci="USB Controller Security"<br>
usbhub="USB Root Hub Security"<br>
Usbdeviceshelp ="Contains settings to control the behavior of USB controller. Enabling this<br>
setting will disable USB for all users."<br>
Usbdeviceshelp2 ="Contains settings to control the behavior of USB Root Hub. Enabling this<br>
setting will disable USB for all users."

---

作者: qiaoqi    时间: 2005-5-15 09:28
标题: re:这些都是计标不计本的方法，还是得在每台电...
这些都是计标不计本的方法，还是得在每台电脑上禁用BIOS。

---

作者: jackjian    时间: 2005-5-18 10:13
标题: re:tonyepaper ,你是在哪里定义这...
tonyepaper ,你是在哪里定义这些的；还有，我看你哪些语句好像把所有usb设备都禁止了，应该是只禁止usbstor才对啊<br>
最重要的是，我不知道你这些语句是在哪里输入的。

---

作者: 85501188    时间: 2005-5-20 16:01
标题: re:此贴已被85501188用户删除
此贴已被85501188用户删除

---

作者: songtao    时间: 2005-5-21 07:48
标题: re:如果你是工作站！那应该是服务器没有给你相...
如果你是工作站！那应该是服务器没有给你相关的权限！！请求管理员给你相应的权限就OK了！！

---

作者: eremiter    时间: 2005-5-31 23:54
标题: re:看来都是入门级，使用landesk不就O...
看来都是入门级，使用landesk不就OK

---

作者: 524100jing    时间: 2005-6-1 17:29
标题: re:没见过！！！高难度了
没见过！！！高难度了

---

作者: songtao    时间: 2005-6-3 18:51
标题: re:没弄过！顶下！
没弄过！顶下！

---

作者: jackjian    时间: 2005-7-7 15:02
标题: re:landesk，上一层楼上的，能说说吗，...
landesk，上一层楼上的，能说说吗，<br>
<br>
小弟谢了

---

作者: abcl777    时间: 2005-7-9 08:13
标题: re:关注中..........
关注中..........

---

作者: abcl777    时间: 2005-7-9 08:53
标题: re:最好有从服务器端设置的办法，否则工作站太...
最好有从服务器端设置的办法，否则工作站太多麻烦............

---

作者: xuzech    时间: 2005-7-9 11:55
标题: re:在服務器端設置是不可能的，好像在組策略中...
在服務器端設置是不可能的，好像在組策略中也沒有此項。<br>
<br>
可以考慮寫一個程序來禁止。當用戶登入網域後，自動運行該程序來禁止。

---

作者: steven_lai    时间: 2005-7-10 11:31
标题: re:组策略控制找找里面有讲吧，我忘了...
组策略控制<br>
找找里面有讲吧，我忘了<br>
<A HREF="http://gnaw0725.blogdriver.com" TARGET=_blank>http://gnaw0725.blogdriver.com</A>

---

作者: jackjian    时间: 2005-7-11 22:14
标题: re:我建了组策略，不行，我的方法是：在管...
我建了组策略，不行，<br>
我的方法是：在管理工具→域安全策略→添加这条拒绝users用户权限的usbstor项，start项设置为4，及文件系统里也添加了usbstor.inf,usbstor.pnf，但不见得有效果，客户端仍然可以使用usbstor，Why?<br>
<br>
再次请教?<br>
Thanks<br>

---

作者: abcl777    时间: 2005-7-12 16:08
标题: re:希望得到高手指点.............
希望得到高手指点..........<br>
我也想问楼上组策略在“域安全策略”上可以建？我印象好象是在“域用户和计算机”里面呀？

---

作者: gnaw0725    时间: 2005-7-13 08:44
标题: re:不要在default domain po...
不要在default domain policy 上指定您的策略，这里的策略一般都是用于整个域，且不需要频繁变化的策略。ad对于这个策略的刷新也是非常慢的，我们一般将针对整个域中计算机安全的一些策略放置在这里。如果这些计算机安全的项目是特别针对DC的，请编辑default domain controllers policy。<br>
而对于其他用户或者计算机的，可能需要频繁调整的，我们都放在自定义的ou上。<br>
关于策略应用的troubleshooting，请参考 <A HREF="http://support.microsoft.com/default.aspx?scid=kb;zh-cn;250842" TARGET=_blank>http://support.microsoft.com/default.aspx?scid=kb;zh-cn;250842</A><br>
<br>
关于disable usb的讨论，请参考 <A HREF="http://gnaw0725.blogdriver.com/gnaw0725/302835.html" TARGET=_blank>http://gnaw0725.blogdriver.com/gnaw0725/302835.html</A><br>
<A HREF="http://gnaw0725.blogdriver.com/gnaw0725/377171.html" TARGET=_blank>http://gnaw0725.blogdriver.com/gnaw0725/377171.html</A><br>
<br>
关于ou的建制，需要结合当前网络管理环境定义管理规则。比如在部门ou department下分别建立 Printers\Policies\Users\Computers ou，然后将各自的对象放置在各自的ou中，如果有其他的应用比如ftp等，再另外建制。养成好的管理习惯，会让ad的管理更加井井有条！

---

作者: chaser    时间: 2005-7-13 11:52
标题: re:听说有另外的软件，可以实现这个功能，不过...
听说有另外的软件，可以实现这个功能，不过要破费的

---

作者: jackjian    时间: 2005-7-15 08:14
标题: re:其实，像这样的文件已经很多了，但按足这样...
其实，像这样的文件已经很多了，但按足这样做都是无法实验的，如果你能实现，请把你的经历说一次吧，谢谢

---

作者: tonyepaper    时间: 2005-7-15 11:35
标题: re:;USB Controller Secu...
;USB Controller Security Template (JM 17/11/04)<br>
#if version <= 2<br>
#endif<br>
#if version >= 3<br>
CLASS MACHINE<br>
<br>
CATEGORY !!USBDevices<br>
<br>
POLICY !!usbstor<br>
#if version >= 4<br>
EXPLAIN !!Usbdeviceshelp<br>
#endif <br>
KEYNAME "System\CurrentControlSet\Services\USBSTOR"<br>
VALUENAME "Start"<br>
VALUEON NUMERIC 4<br>
VALUEOFF NUMERIC 2<br>
<br>
END POLICY<br>
<br>
POLICY !!usbhub<br>
#if version >= 4<br>
EXPLAIN !!Usbdeviceshelp2<br>
#endif<br>
KEYNAME "SYSTEM\CurrentControlSet\Services\usbhub"<br>
VALUENAME "Start"<br>
VALUEON NUMERIC 4<br>
VALUEOFF NUMERIC 2<br>
<br>
END POLICY<br>
<br>
POLICY !!usbehci<br>
#if version >= 4<br>
EXPLAIN !!Usbdeviceshelp3<br>
#endif<br>
KEYNAME "SYSTEM\CurrentControlSet\Services\usbehci"<br>
VALUENAME "Start"<br>
VALUEON NUMERIC 4<br>
VALUEOFF NUMERIC 2<br>
<br>
END POLICY<br>
END CATEGORY<br>
<br>
<br>
<br>
[strings]<br>
USBDevices="HBS USB Security Settings"<br>
usbstor="USB大容量存儲裝置"<br>
usbhub="USB總線"<br>
usbehci="USB EHCI"<br>
Usbdeviceshelp ="Contains settings to control the behavior of USB controller. Enabling this setting will disable USB for all users."<br>
Usbdeviceshelp2 ="Contains settings to control the behavior of USB Root Hub. Enabling this setting will disable USB for all users."<br>
Usbdeviceshelp3="USB Ehci"<br>
<br>
將以上內容保存為一個USB.ADM保存於域控制站的WINNT\INF目錄下.再匯入到AD的群組原則中使用即可...

---

欢迎光临 邮件服务器-邮件系统-邮件技术论坛(BBS) (http://bbs.5dmail.net/)

Powered by Discuz! X3.2