环境:win server 2008 r2域控制器、win xp客户端,繁体系统

要求:限制用户使用USB

难点:2008r2中限制存储装置的策略要求至少vista或win 7以上

实现方法:

  1. 通过档案系统设定安全性

    a.新建GPO,定位到电脑设定-原则-Windows设定-安全性设定-档案系统(公司为台企,系统都是繁体,简体系统的自己对应).

    wKiom1P_yv6yKEq-AAD86bnnh6Q949.jpg

    b.右键新增档案,找到usbstor.inf和usbstor.pnf,

    wKiom1P_yyfA2H4UAALFxR89NVY543.jpg

    c.双击或右键-内容,打开安全性原则设定

    wKioL1P_zJHg9zYxAAFvhXbu3lo731.jpg

    根据需要设定继承权,点击"编辑安全性设定"

    wKiom1P_y8TzMrBVAAGB80fSiAA700.jpg

    将domain users用户组的权限都设定为拒绝,如有其它需求,可自行设定。

    重复以上操作对usbstor.pnf文档设定


  2. 通过传统系统模板设定

    微软为解决此问题,给出了解决方案。使用传统系统模板限制USB,模板可在官网(时间久了,忘记了)找到。模板内容如下:

-------------------------------------------------------

類別機器

類別!!類別

類別!!類別名稱

原則!!policynameusb

KEYNAME"SYSTEM\CurrentControlSet\Services\USBSTOR"

說明!!explaintextusb

組件!!DROPDOWNLIST 所需的 labeltextusb

 

數值"開始時間"

ITEMLIST

名稱!!已停用數字 3 的值預設值

名稱!!啟用的值數字 4

結束 ITEMLIST

結束組件

結束原則

原則!!policynamecd

KEYNAME"SYSTEM\CurrentControlSet\Services\Cdrom"

說明!!explaintextcd

組件!!DROPDOWNLIST 所需的 labeltextcd

 

數值"開始時間"

ITEMLIST

名稱!!已停用數字 1 的值預設值

名稱!!啟用的值數字 4

結束 ITEMLIST

結束組件

結束原則

原則!!policynameflpy

KEYNAME"SYSTEM\CurrentControlSet\Services\Flpydisk"

說明!!explaintextflpy

組件!!DROPDOWNLIST 所需的 labeltextflpy

 

數值"開始時間"

ITEMLIST

名稱!!已停用數字 3 的值預設值

名稱!!啟用的值數字 4

結束 ITEMLIST

結束組件

結束原則

原則!!policynamels120

KEYNAME"SYSTEM\CurrentControlSet\Services\Sfloppy"

說明!!explaintextls120

組件!!labeltextls120 DROPDOWNLIST 所需

 

數值"開始時間"

ITEMLIST

名稱!!已停用數字 3 的值預設值

名稱!!啟用的值數字 4

結束 ITEMLIST

結束組件

結束原則

末端類別

末端類別

 

[字串]

類別 ="自訂原則設定值"

類別名稱 ="限制磁碟"

policynameusb ="停用 USB"

policynamecd ="停用 CD-ROM"

policynameflpy ="停用軟碟機"

policynamels120 ="停用高容量軟碟機"

explaintextusb ="停用電腦的 USB 連接埠,藉由停用 usbstor.sys 驅動程式"

explaintextcd ="停用電腦的光碟機,藉由停用 cdrom.sys 驅動程式"

explaintextflpy ="停用停用 flpydisk.sys 驅動程式的電腦軟碟機"

explaintextls120 ="停用磁碟高容量軟碟機的電腦,停用 sfloppy.sys 驅動程式"

labeltextusb ="停用 USB 連接埠 」

labeltextcd ="停用 CD-ROM 磁碟機]

labeltextflpy = [停用磁碟軟碟機]

labeltextls120 ="停用高容量軟碟機"

啟用 ="啟用"

已停用 ="停用"

--------------------------------------------------------------------------------

将虚线内容复制保存的.adm文档中。打开GPO,电脑设定-原则-系统管理范本,右键-新增/移除范本,新增此范本。新增后,将在系统管理范本下看到传统系统管理范本(ADM)

wKiom1P_0OyzzotGAAE4nosbQkI056.jpg

打开Disable USB,

wKioL1P_0lTTzWqfAADxq8wtVgc557.jpg

Disable USB Ports选择Enabled.


以上两种方法,我是一起使用的,单独使用是否生效还没测试。因环境中还有win7客户端,所以同时也使用了2008r2自带的策略。

模板内容给的是繁体的,还不知道在简体中适不适用,各位可测试下。

上传附件时报非法的类型,将.adm改成了.txt,下载后再改会.adm即可