如何在域控制器上禁止USB盘

xuzech

在服務器端設置是不可能的，好像在組策略中也沒有此項。<br>
<br>
可以考慮寫一個程序來禁止。當用戶登入網域後，自動運行該程序來禁止。

steven_lai

组策略控制<br>
找找里面有讲吧，我忘了<br>
<A HREF="http://gnaw0725.blogdriver.com" TARGET=_blank>http://gnaw0725.blogdriver.com</A>

jackjian

我建了组策略，不行，<br>
我的方法是：在管理工具→域安全策略→添加这条拒绝users用户权限的usbstor项，start项设置为4，及文件系统里也添加了usbstor.inf,usbstor.pnf，但不见得有效果，客户端仍然可以使用usbstor，Why?<br>
<br>
再次请教?<br>
Thanks<br>

abcl777

希望得到高手指点..........<br>
我也想问楼上组策略在“域安全策略”上可以建？我印象好象是在“域用户和计算机”里面呀？

gnaw0725

不要在default domain policy 上指定您的策略，这里的策略一般都是用于整个域，且不需要频繁变化的策略。ad对于这个策略的刷新也是非常慢的，我们一般将针对整个域中计算机安全的一些策略放置在这里。如果这些计算机安全的项目是特别针对DC的，请编辑default domain controllers policy。<br>
而对于其他用户或者计算机的，可能需要频繁调整的，我们都放在自定义的ou上。<br>
关于策略应用的troubleshooting，请参考 <A HREF="http://support.microsoft.com/default.aspx?scid=kb;zh-cn;250842" TARGET=_blank>http://support.microsoft.com/default.aspx?scid=kb;zh-cn;250842</A><br>
<br>
关于disable usb的讨论，请参考 <A HREF="http://gnaw0725.blogdriver.com/gnaw0725/302835.html" TARGET=_blank>http://gnaw0725.blogdriver.com/gnaw0725/302835.html</A><br>
<A HREF="http://gnaw0725.blogdriver.com/gnaw0725/377171.html" TARGET=_blank>http://gnaw0725.blogdriver.com/gnaw0725/377171.html</A><br>
<br>
关于ou的建制，需要结合当前网络管理环境定义管理规则。比如在部门ou department下分别建立 Printers\Policies\Users\Computers ou，然后将各自的对象放置在各自的ou中，如果有其他的应用比如ftp等，再另外建制。养成好的管理习惯，会让ad的管理更加井井有条！

chaser

听说有另外的软件，可以实现这个功能，不过要破费的

jackjian

其实，像这样的文件已经很多了，但按足这样做都是无法实验的，如果你能实现，请把你的经历说一次吧，谢谢

tonyepaper

;USB Controller Security Template (JM 17/11/04)<br>
#if version <= 2<br>
#endif<br>
#if version >= 3<br>
CLASS MACHINE<br>
<br>
CATEGORY !!USBDevices<br>
<br>
POLICY !!usbstor<br>
#if version >= 4<br>
EXPLAIN !!Usbdeviceshelp<br>
#endif <br>
KEYNAME "System\CurrentControlSet\Services\USBSTOR"<br>
VALUENAME "Start"<br>
VALUEON NUMERIC 4<br>
VALUEOFF NUMERIC 2<br>
<br>
END POLICY<br>
<br>
POLICY !!usbhub<br>
#if version >= 4<br>
EXPLAIN !!Usbdeviceshelp2<br>
#endif<br>
KEYNAME "SYSTEM\CurrentControlSet\Services\usbhub"<br>
VALUENAME "Start"<br>
VALUEON NUMERIC 4<br>
VALUEOFF NUMERIC 2<br>
<br>
END POLICY<br>
<br>
POLICY !!usbehci<br>
#if version >= 4<br>
EXPLAIN !!Usbdeviceshelp3<br>
#endif<br>
KEYNAME "SYSTEM\CurrentControlSet\Services\usbehci"<br>
VALUENAME "Start"<br>
VALUEON NUMERIC 4<br>
VALUEOFF NUMERIC 2<br>
<br>
END POLICY<br>
END CATEGORY<br>
<br>
<br>
<br>
[strings]<br>
USBDevices="HBS USB Security Settings"<br>
usbstor="USB大容量存儲裝置"<br>
usbhub="USB總線"<br>
usbehci="USB EHCI"<br>
Usbdeviceshelp ="Contains settings to control the behavior of USB controller. Enabling this setting will disable USB for all users."<br>
Usbdeviceshelp2 ="Contains settings to control the behavior of USB Root Hub. Enabling this setting will disable USB for all users."<br>
Usbdeviceshelp3="USB Ehci"<br>
<br>
將以上內容保存為一個USB.ADM保存於域控制站的WINNT\INF目錄下.再匯入到AD的群組原則中使用即可...