屏蔽U盘
1、在域控制器上打开Active Directory用户和计算机,找到您要屏蔽U盘的组织单位(Organizational Unit 简称OU),右键查看此组织单位的属性,点击组策略页面,新建一个组策略,命名并保存为“屏蔽U盘”,建好后,双击“屏蔽U盘”(必需先打开一次,否则系统不会拷贝那几个模板文件),在打开的标题为“组策略”的窗口的左边,按以下顺序定位“用户配置-管理模板-Windows组件-Windows资源管理器”,选中Windows资源管理器
我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”,双击打开其中一项策略,选择“启用”,下面的下拉框会变亮,单击下拉框,如图2所示,您会发现系统提供了7种限制访问驱动器号的组合,其中也包括了“不限制驱动器”,显然,这些组合不能满足我们的要求(因为U盘的盘符通常是排在最后的,而且现在的硬盘比较大,少则也有**个分区)。
2、在域控制器上打开Active Directory 用户和计算机,在刚才我们新建的“屏蔽U盘”策略上单击右键选择查看属性,在如图3所示的位置找到"屏蔽U盘"的组策略的唯一的名称,此名称为一长串数字和字母组成,本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9},记下此字符串。
3、打开系统盘,定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹,此文件夹位于“C: WINNTSYSVOLbaling.com.cnPolicies”下(盘符依赖于您安装的操作系统所在的分区),注意其中baling.com.cn 是您的Windows 2000的域名,打开{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录,找到ADM目录下的system.adm文件,此文件是我们在实施组策略的模板文件,是一个纯文本文件,可用记事本打开,找到下面这两段代码:
* POLICY !!NoDrives
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
* POLICY !!NoViewOnDrive
EXPLAIN !!NoViewOnDrive_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoViewOnDrive"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT (C/D ONLY=67108851)
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
说明:这是两个策略,第一个!!NoDrive,它的作用是在我的电脑中不显示指定的驱动器名,驱动器号代表的所有驱动器不出现在标准的打开对话框上,但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式,用户仍然可以访问该驱动器;第二个!!NoViewOnDrive的作用是阻止用户访问驱动器。可以阻止上**况的出现,但是仅仅用第二个的话,用户可以看见该驱动器的盘符,但不能访问,一**况,两个同时使用,可以达到比较理想的效果。
仔细观察上述代码,不难发现,其中一共有7个NAME项,正好和我们图2下拉框中的一一对应,后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的规则取值,low 26 bits on的意思说值为26位的二进制,最多可指定26个驱动器盘符,而1 bit per drive则代表1位代表1个驱动器,举例说A=1,B=2,C=4,D=8,E=16,F=32,G=64,H=128,I=256,由低到高,以此类推。我们可根据我们的需要修改此代码段,假如我们要隐藏A、B、C、F、G、H、I,您可以根据您的需要而定,推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所有的USB接口数(防止有**插入几个U盘,呵呵!)。那么我们计算出VALUE NUMERIC的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487,在两个策略中的
NAME !!ABCDOnly VALUE NUMERIC 15
下插入一行
NAME !!ABCFGHIOnly VALUE NUMERIC 487
随后,移到System.adm文件的末尾,
在 ABConly="仅限制驱动器 A、B 和 C" 下面插入一行数据,
ABCFGHIOnly="仅限制驱动器A、B、C、F、G、H、I"
等于号后引号内的说明您可以根据自己的喜好定义,它将会显示在如图2的下拉框中。保存后,打开“屏蔽U盘”策略,定位“用户配置-管理模板- Windows 组件-Windows 资源管理器”,在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问驱动器”其中的一个,点击“启用”,再点击下拉框,哈哈,您会发现您多了一个选项(如图4)。
这时候,您只要在您想屏蔽的用户的组织单位上应用此策略(别忘了这两个策略都需要设置),保存后,包含于该组织单位下的用户登录时,便会发现他的U盘插上后,系统虽能识别并正确安装驱动,但在“我的电脑”中却无法看见,并且通过其他方法也无法访问,包括在地址栏中输入盘符。
至此,全部设置完毕,让您的客户段使用此OU下的用户登录看看吧!
其他注意事项:
1、这种方法在您的客户端很多的时候,很方便,您只要确保客户端登录用户属于您已应用此组策略的OU下即可,如果暂时需要允许他使用U盘,那只要把该用户移出此OU,该用户再注销重新登录一下就OK。
2、需要注意的是,您在OU中建立用户时,用户缺省是属于Domain users组,这对于大多数软件来说没有问题,但会使有些软件无法安装**行,您可以赋予这些用户在客户端本机的Power user组的权限,即可解决。
3、注意这种方法同时也屏
win2003域使用组策略禁用USB
原创zhouwen515 ©著作权
上一篇:VLAN共享DHCP服务器
下一篇:实现域类实现打印机智能部署
-
AD 组策略 | 服务器管理 | 组策略计算机配置
上一篇介绍组策略是 Windows AD 活动目录中的一项管理功能,用于在网络中集中管理计算机和用户的配置。组策略允许系统管理员通过定义规则和设置,对计算机和用户的行为进行控制。其中,计算机配置和用户配置两个关键功能。今天我们以计算机配置为例进行操作展示。想想关于计算机配置里面的所有配置项在200左右(这个回头我可以统计下),统一管理成千上万台客户端和服务器。那效率咋样? - **系统级设置:** 计算机配置允许我们定义适用于整个计算机的设置。包括安全设置、脚本执行、网络设置等。 - **软件部署:** 我们可以使用计算机配置来部署软件和应用程序,确保特定计算机上安装了所需的软件。
AD 组策略管理 AD GPO 配置 AD 域策略 域策略计算机配置 组策略管理 -
组策略编辑器管理单元无法打开
活动目录域gpedit.msc组策略编辑器管理单元受到策略限制无法打开。在gpedit.msc设置界面中(“用户配置”-->“管理模板”-->“Microsoft Management Console”)启用了“限制用户只能使用列表中明确允许的管理单元”设置后,导致包括GPEDIT.MSC在内的多个管理单元无法正常使用。请问这种情况下,如何清除“限制用户只能使用列表中明确允许的管理单元”设置,具体步骤如何。用任何用户登录系统执行GPEDIT.MSC都提示“下面在该文档中引用的管理单元受到策略限制......”、“MMC无法创建管理单元......”然后,就无法继续下面的工作了。 回答:根据您提供的信息分析,您只要组策略编辑器中将“限制用户只能使用列表中明确允许的管理单元”策略设置为已禁用就可以了。具体的操作步骤如下:
活动目录域 windows活动目录 活动目录管理 windows 2008活动目录 组策略管理器无法打开 -
windows2003的安全策略
&n
安全 策略 win2003服务安全端口 -
Windows2003自动注销策略更改
有朋友说她配的2003服务器每隔一段时间就重启一下(其实后我来证实是注销),问有什么办法解决。。。
服务器 自动注销 自动重启 管理工具 解决 网络安全 -
Windows 技术篇-windows家庭版win+R运行搜不到gpedit.msc组策略编辑器解决方法,windows安装组策略编辑器方法
Windows 技术篇-windows家庭版win+R运行搜不到gpedit.msc组策略编辑器解决方法,windows安装组策略编辑器方法。家庭版没有组策略编辑器,需要通过下面的脚本来进行安装即可。保存成一个 bat 文件,执行下即可。注: 编码要为 ANSI。如果还是搜不到,可能是没配环境变量,运行搜索的路径是 windows 下的 System32 和 SysWOW64 这两个文件夹,看看里面能不能搜到。
win组策略编辑器安装 gpedit.msc找不到解决 microsoft d3 管理工具 -
windows2003
搭建域控制器 其实建一个域控制器非常简单,我们只要在命令处运
职场 windows 域控制器 windows2003 休闲