域环境下关于如何禁用USB存储设备

现状：分公司暂时没有办法安装deviceLock服务端，客户端通过AD的软件分发策略都已装上devicelock client，近日发现对于win7来说能够正常生效，但对于xp系统来说，当拔掉网线时封U口功能就失效了。遂改变思路另想它法，以下是一些参考

1、新建组策略-计算机配置-windows设置-安全设置-文件系统-添加文件%SystemRoot%\Inf\Usbstor.pnf 安全中添加domain computers权限为拒绝
同样设置%SystemRoot%\Inf\Usbstor.inf 安全中添加domain computers权限为拒绝
2、上述设置只对新插入的设备有效要加上以下策略才能够老设备有效

计算机配置-windows设置-脚本（开机\关机）-开机-添加脚本-

内容如下

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t reg_dword /d 4 /f

为保证内容生效，可以在关机脚本同样添加以上脚本，同时拒绝用户修改以上键值

计算机配置-windows设置-注册表-machine-system-currentcontrolset-services-usbstor-安全中添加domain users为拒绝。

对于win7系统可以直接在 计算机配置-管理模板-系统-可移动存储访问中设置所有可移动存储设备为禁用。

不过，不知是我设置不对还是什么原因，当我把网线拔掉时，客户机的xp系统拔掉网线时仍然能访问U盘

后来又查了下资料终于解决，不过原理变了

先下载附件里的usb.adm文件
详细操作如下:
1、在DC里的OU里新建一条GPO组策略
2、添加至组策略----计算机配置----管理模板中，
3、disableusb-已启用-enable

可以参考以下内容

http://bbs.winos.cn/viewthread.php?tid=15537&extra=&highlight=usb&page=1