谈组策略禁移动设备

组策略是一个管理用户工作环境的技术，通过它可以确保用户拥有所需的工作环境，也可以通过它来限制用户，这不仅让用户拥有适当的环境，也减轻了系统管理员的管理负担。　    
在Windows 2000/XP/2003等操作系统目录中包含了几个 .adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。虽然它们已经定制了许多策略用来完善管理员的日常操作，很可惜并没有将移动设备（指U盘/光驱/A驱等）列入到管理模板中，使现实环境中管理员对移动设备的管控成了很头痛的一件事。那么我们能否通过自建一个策略生成管理模板呢？答案是肯定的。接下来，我们将通过一个完整的实例来说明。
此实例将假设整个st.local域默认将关闭移动设备，通过新建一个名为Open Device的OU，并为其新建一个策略，此OU阻止域组策略继承，并将需要开通移动设备的计算机存放到此OU中来达到管控的目的。我们将使用组策略的计算机配置来修改并完成。
将以下文本复制到记事本后保存后缀名为Device.adm文件（关于adm文件的结构请另参照微软官方说明）
CLASS MACHINE
CATEGORY !!Categoryname
   POLICY !!USB
     KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
  VALUENAME Start
  VALUEON NUMERIC 3
         VALUEOFF NUMERIC 4
 END POLICY

   POLICY !!USB_Type
     KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
  VALUENAME Type
  VALUEON NUMERIC 1
         VALUEOFF NUMERIC 16
 END POLICY

   POLICY !!FDC
     KEYNAME "SYSTEM\CurrentControlSet\Services\FDC"
  VALUENAME Start
  VALUEON NUMERIC 3
         VALUEOFF NUMERIC 4
 END POLICY

   POLICY !!CDROM
     KEYNAME "SYSTEM\CurrentControlSet\Services\CDROM"
  VALUENAME Start
  VALUEON NUMERIC 3
         VALUEOFF NUMERIC 4
 END POLICY

END CATEGORY
 
[strings]
Categoryname="限制驱动器"
USB="禁用USB"
USB_Type="USB类型"
FDC="软驱设备"
CDROM="光驱设备"
第一步：我们将在st.local域根新建一个“禁移动设备”的策略，使整个域默认是禁用USB设备、软驱、光驱。
1. 单击－开始－运行－输入dsa.msc弹出“Active Directory用户和计算机”窗口，右击st.local选择“属性”
 
2. 弹出“st.local”属性窗口选择“组策略”选项卡，点击“新建”一个新组策略将其更名为“禁移动设备”
 
3. 点击“编辑”按钮打开“禁移动设备”的组策略编辑器，依次展开计算机配置－右击管理模板－点击“添加/删除模板”
 
4. 在弹出的“添加/删除模板”窗口中点击“添加”，将Dvevic.adm文件添加进来，点击关闭“添加/删除模板”窗口
 
5. 点击“组策略编辑器”的查看菜单，选择“筛选”，在弹出的“筛选”窗口中将“只显示能完全管理的策略设置”的勾给去掉，点击确定
 
6. 展开计算机名配置－管理模板－限制驱动器，我们看到了Device.adm模板的内容，双击各个子项，并更改状态为“已禁用”
 
7. 关闭所有打开的窗口完成第一步的操作。
第二步：我们将新建一个名为Open Device的OU，并新建一条“开移动设备”策略
1. 单击－开始－运行－输入dsa.msc弹出“Active Directory用户和计算机”窗口，右击st.local选择“新建”－点击“组织单位”
 
2. 弹出窗口，输入“Open Device”，点确定
3. 右击“Open Device”，属性，弹出“Open Device”的属性窗口，新建一条“开移动设备”的策略，并将“阻止策略继承”打上勾
 
4. 与第一步骤的2~5小点相同，在此就略过啦，请各位自行操作。
5. 展开计算机名配置－管理模板－限制驱动器，双击各个子项，并更改状态为“已启用”
 
第三步：将所需要开通的计算机移到“Open Device”的OU中，就完成了。

通过以上的操作就可以指定域中的计算机的开通或禁止移动设备，从而达到管控的目的。

文章如转载，请注明转载自【网管小王的独立博客】：http://www.5iadmin.com/