您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 资本运营 > Windows2003域控制器组策略禁止USB的方法
Windows2003域控制器组策略禁止USB的方法我可以提供禁用usb的注册表方法定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR右边有一个叫start的键值双击他将值改成4usb就禁用了下次要恢复只需将4改成3就好了把下段斜杠内的内容拷到文本文档中,保存成.ADM文件,然后打开你要做限制的OU的组策略,展开“用户配置,管理模板”,右击管理模板,添加/删除模板,然后把刚才保存的ADM文件导入!现在在这个OU下的所有用户将无法使用USB存储设备!//////////////////////////////////////////////////////CLASSUSERCATEGORY!!ADMDescPOLICY!!MMC_DeviceManagerXKEYNAMESoftware\Policies\Microsoft\MMC\{90087284-d6d6-11d0-8353-00a0c90640bf}#ifversion=4SUPPORTED!!SUPPORTED_Win2k#endifEXPLAIN!!MMC_Restrict_ExplainvalueNAMERestrict_RunvalueONNUMERIC0valueOFFNUMERIC1ENDPOLICYPOLICY!!MMC_DeviceManagerKEYNAMESoftware\Policies\Microsoft\MMC\{74246bfc-4c96-11d0-abef-0020af6b0b7a}#ifversion=4SUPPORTED!!SUPPORTED_Win2k#endifEXPLAIN!!DEVMGR_Restrict_ExplainvalueNAMERestrict_RunvalueONNUMERIC0valueOFFNUMERIC1ENDPOLICYEndCATEGORYCLASSMACHINECATEGORY!!ADMDescPOLICY!!USB_UHCD_PARAMSKEYNAMESYSTEM\CurrentControlSet\Services\uhcdEXPLAIN!!STARTUPTYPE_HELPPART!!STARTUPTYPENUMERICREQUIREDvalueNAMESTARTMIN3MAX4DEFAULT3ENDPARTENDPOLICYPOLICY!!USB_UHCI_PARAMSKEYNAMESYSTEM\CurrentControlSet\Services\usbuhciEXPLAIN!!STARTUPTYPE_HELPPART!!STARTUPTYPENUMERICREQUIREDvalueNAMESTARTMIN3MAX4DEFAULT3ENDPARTENDPOLICYPOLICY!!USB_EHCI_PARAMSKEYNAMESYSTEM\CurrentControlSet\Services\usbehciEXPLAIN!!STARTUPTYPE_HELPPART!!STARTUPTYPENUMERICREQUIREDvalueNAMESTARTMIN3MAX4DEFAULT3ENDPARTENDPOLICYPOLICY!!USB_HUBKEYNAMESYSTEM\CurrentControlSet\Services\usbhubEXPLAIN!!STARTUPTYPE_HELPPART!!STARTUPTYPENUMERICREQUIREDvalueNAMESTARTMIN3MAX4DEFAULT3ENDPARTENDPOLICYPOLICY!!CD_ROMKEYNAMESYSTEM\CurrentControlSet\Services\cdromEXPLAIN!!STARTUPTYPE_HELPPART!!STARTUPTYPENUMERICREQUIREDvalueNAMESTARTMIN3MAX4DEFAULT3ENDPARTENDPOLICYPOLICY!!Floppy_DiskKEYNAMESYSTEM\CurrentControlSet\Services\flpydiskEXPLAIN!!STARTUPTYPE_HELPPART!!STARTUPTYPENUMERICREQUIREDvalueNAMESTARTMIN3MAX4DEFAULT3ENDPARTENDPOLICYEndCATEGORY[strings]ADMDesc=自定义策略MMC_DeviceManagerX=设备管理器扩展插件MMC_DeviceManager=设备管理器SUPPORTED_Win2k=至少使用MicrosoftWindows2000MMC_Restrict_Explain=Disable——禁用设备管理器扩展插件;Enable——启用设备管理器扩展插件DEVMGR_Restrict_Explain=Disable——禁用设备管理器;Enable——启用设备管理器USB_UHCD_PARAMS=USB通用主控制器驱动器STARTUPTYPE_HELP=启动类型,3-手动,4-禁用STARTUPTYPE=启动类型USB_EHCI_PARAMS=MicrosoftUSB2.0EnhancedHostControllerMiniportDriverUSB_UHCI_PARAMS=MicrosoftUSBUniversalHostControllerMiniportDriverUSB_HUB=MicrosoftUSBStandardHubDriverCD_ROM=光驱Floppy_Disk=软驱//////////////////////////////////////////////////////////还有种方法就是让每台机子开机时导入一个注册表文件(如何让每台机子开机导入注册表文件,就不用我讲了吧),文件内容为:WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]start=dword:00000004然后在OU的计算机配置--windows设置--安全设置-注册表里面添一条:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR在该注册表项的权限设置中,将所有用户删除!只留domain\administrator用户!一、在WindowsXP中禁用和管理USB接口1.计算机未安装USB设备这种情况可以采取将%SystemRoot%Inf下的Usbstor.pnf和Usbstor.inf两个文件设置其用户的控制权限。Step1:右击这两个文件,选择“属性→安全→高级”,在“权限”页面中取消“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框。Step2:在“安全”页面中,选择要屏蔽的用户或用户组,在“完全控制”中选择“拒绝”复选框,然后单击“确定”。这种通过分配权限的方法,可以指定哪些用户可以使用USB设备,哪些用户不可以使用USB设备,和下面的“WindowsNT以上系统通用方法”一样,灵活性较大,所以建议采用该方法限制用户安装USB设备。2.计算机已安装了USB设备这种情况可以通过修改注册表来实现。方法是修改注册表中HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR下的“Start”值,改为十六位进制数值“4”。该方法修改后,当用户将USB存储设备连接到计算机时,该设备将无法运行。二、WindowsNT以上系统通用方法运行注册表编辑器,找到HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR键,取消System的所有控制权。如果要分配控制权,只需要对相应用户设置控制权限就可以了。小提示:Windows2000中要设置注册表的控制权限,需用Regedt32.exe注册表编辑器。三、禁止和管理域中多台计算机USB设备的使用方法很简单,就是在域控制器上通过组策略限制用户对“WindowsNT以上系统通用方法”中注册表键的控制权即可。如果是禁用光驱,软驱,USB设备,第三方软件GFILANGuardPortableStorageControl.v2.0非常不错,它可以在域环境中使用。如果使用组策略禁用USB设备,可以按照以下办法:禁止移动存储设务的模板[胡义老师原创]将下列内容保存为DisableDevice.adm,在组策略的添加/删除模板中导入进行设置。=============================================================================CLASSUSERCATEGORY!!ADMDescPOLICY!!MMC_DeviceManagerXKEYNAMESoftware\Policies\Microsoft\MMC\{90087284-d6d6-11d0-8353-00a0c90640bf}#ifversion=4SUPPORTED!!SUPPORTED_Win2k#endifEXPLAIN!!MMC_Restrict_ExplainvalueNAMERestrict_RunvalueONNUMERIC0valueOFFNUMERIC1ENDPOLICYPOLICY!!MMC_DeviceManagerKEYNAMESoftware\Policies\Microsoft\MMC\{74246bfc-4c96-11d0-abef-0020af6b0b7a}#ifversion=4SUPPORTED!!SUPPORTED_Win2k#endifEXPLAIN!!DEVMGR_Restrict_ExplainvalueNAMERestrict_RunvalueONNUMERIC0valueOFFNUMERIC1ENDPOLICYEndCATEGORYCLASSMACHINECATEGORY!!ADMDescPOLICY!!USB_UHCD_PARAMSKEYNAMESYSTEM\CurrentControlSet\Services\uhcdEXPLAIN!!STARTUPTYPE_HELPPART!!STARTUPTYPENUMERICREQUIREDvalueNAMESTARTMIN3MAX4DEFAULT3ENDPARTENDPOLICYPOLICY!!USB_UHCI_PARAMSKEYNAMESYSTEM\CurrentControlSet\Services\usbuhciEXPLAIN!!STARTUPTYPE_HELPPART!!STARTUPTYPENUMERICREQUIREDvalueNAMESTARTMIN3MAX4DEFAULT3ENDPARTENDPOLICYPOLICY!!USB_EHCI_PARAMSKEYNAMESYSTEM\CurrentControlSet\Services\usbehciEXPLAIN!!STARTUPTYPE_HELPPART!!STARTUPTYPENUMERICREQUIREDvalueNAMESTARTMIN3MAX4DEFAULT3ENDPARTENDPOLICYPOLICY!!USB_HUBKEYNAMESYSTEM\CurrentControlSet\Services\usbhubEXPLAIN!!STARTUPTYPE_HELPPART!!STARTUPTYPENUMERICREQUIREDvalueNAMESTARTMIN3MAX4DEFAULT3ENDPARTENDPOLICYPOLICY!!CD_ROMKEYNAMESYSTEM\Cur
本文标题:Windows2003域控制器组策略禁止USB的方法
链接地址:https://www.777doc.com/doc-2856143 .html