如何禁止域中特定的机器使用USB移动存储器

相信在企业管理中这是一个很多管理员想知道的问题。经过几天的摸索，方法如下。

首先要分为两种情况，其实这两种情况都要同时实施。

1、如果客户机未装过USB设备：

这种情况下Windows中还没有加载USB驱动，此时需要禁止客户机对驱动加载的权限。做法为：

在组策略安全设置文件系统中添加以下两个文件的安全设置

%SystemRoot%\inf\usbstor.inf

%systemRoot%\inf\usbstor.pnf

把这两个文件系统用户和域用户设成拒绝访问就可以了。

2、如果客户机已装过USB设备

此时由于驱动已被安装在Windows系统中了，前面一种方法就不可行了。

解决方法如下：

 

CLASS MACHINE

CATEGORY !!category
CATEGORY !!categoryname

POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY
[strings]
category="移动存储设备策略"
categoryname="可移动的驱动器"
policynameusb="禁止USB"
policynamecd="禁止光驱"
policynameflpy="禁止软驱"
policynamels120="禁止高密度软驱"
explaintextusb="通过禁止usbstor.sys驱动文件禁止计算机的USB端口"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="禁止USB端口"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="激活"
Disabled="禁止"

 

把上面这段内容存成一个Adm后缀的文件，在组策略的模板中加载这个文件，这样你的组策略里就会多出一条策略来。注意，如果看不见，需要选查看，筛选中把只查看可以完全控制的策略去掉。然后就可以发布这个策略了。

这个模板应当在计算机设置里的模板加载，因为它修改的LocalMaching的注册表。

详细的工作原理，请参考

http://support.microsoft.com/default.aspx?scid=kb;...