环境:win server 2008 r2域控制器、win xp客户端,繁体系统
要求:限制用户使用USB
难点:2008r2中限制存储装置的策略要求至少vista或win 7以上
实现方法:
通过档案系统设定安全性
a.新建GPO,定位到电脑设定-原则-Windows设定-安全性设定-档案系统(公司为台企,系统都是繁体,简体系统的自己对应).
b.右键新增档案,找到usbstor.inf和usbstor.pnf,
c.双击或右键-内容,打开安全性原则设定
根据需要设定继承权,点击"编辑安全性设定"
将domain users用户组的权限都设定为拒绝,如有其它需求,可自行设定。
重复以上操作对usbstor.pnf文档设定
通过传统系统模板设定
微软为解决此问题,给出了解决方案。使用传统系统模板限制USB,模板可在官网(时间久了,忘记了)找到。模板内容如下:
-------------------------------------------------------
��e�C器
��e!!��e
��e!!��e名�Q
原�t!!policynameusb
KEYNAME"SYSTEM\CurrentControlSet\Services\USBSTOR"
�f明!!explaintextusb
�M件!!DROPDOWNLIST 所需的 labeltextusb
�抵�"�_始�r�g"
ITEMLIST
名�Q!!已停用�底� 3 的值�A�O值
名�Q!!�⒂玫闹�底� 4
�Y束 ITEMLIST
�Y束�M件
�Y束原�t
原�t!!policynamecd
KEYNAME"SYSTEM\CurrentControlSet\Services\Cdrom"
�f明!!explaintextcd
�M件!!DROPDOWNLIST 所需的 labeltextcd
�抵�"�_始�r�g"
ITEMLIST
名�Q!!已停用�底� 1 的值�A�O值
名�Q!!�⒂玫闹�底� 4
�Y束 ITEMLIST
�Y束�M件
�Y束原�t
原�t!!policynameflpy
KEYNAME"SYSTEM\CurrentControlSet\Services\Flpydisk"
�f明!!explaintextflpy
�M件!!DROPDOWNLIST 所需的 labeltextflpy
�抵�"�_始�r�g"
ITEMLIST
名�Q!!已停用�底� 3 的值�A�O值
名�Q!!�⒂玫闹�底� 4
�Y束 ITEMLIST
�Y束�M件
�Y束原�t
原�t!!policynamels120
KEYNAME"SYSTEM\CurrentControlSet\Services\Sfloppy"
�f明!!explaintextls120
�M件!!labeltextls120 DROPDOWNLIST 所需
�抵�"�_始�r�g"
ITEMLIST
名�Q!!已停用�底� 3 的值�A�O值
名�Q!!�⒂玫闹�底� 4
�Y束 ITEMLIST
�Y束�M件
�Y束原�t
末端��e
末端��e
[字串]
��e ="自�原�t�O定值"
��e名�Q ="限制磁碟"
policynameusb ="停用 USB"
policynamecd ="停用 CD-ROM"
policynameflpy ="停用�碟�C"
policynamels120 ="停用高容量�碟�C"
explaintextusb ="停用��X的 USB �B接埠,藉由停用 usbstor.sys ��映淌�"
explaintextcd ="停用��X的光碟�C,藉由停用 cdrom.sys ��映淌�"
explaintextflpy ="停用停用 flpydisk.sys ��映淌降碾��X�碟�C"
explaintextls120 ="停用磁碟高容量�碟�C的��X,停用 sfloppy.sys ��映淌�"
labeltextusb ="停用 USB �B接埠 」
labeltextcd ="停用 CD-ROM 磁碟�C]
labeltextflpy = [停用磁碟�碟�C]
labeltextls120 ="停用高容量�碟�C"
�⒂� ="�⒂�"
已停用 ="停用"
--------------------------------------------------------------------------------
将虚线内容复制保存的.adm文档中。打开GPO,电脑设定-原则-系统管理范本,右键-新增/移除范本,新增此范本。新增后,将在系统管理范本下看到传统系统管理范本(ADM)
打开Disable USB,
Disable USB Ports选择Enabled.
以上两种方法,我是一起使用的,单独使用是否生效还没测试。因环境中还有win7客户端,所以同时也使用了2008r2自带的策略。
模板内容给的是繁体的,还不知道在简体中适不适用,各位可测试下。
上传附件时报非法的类型,将.adm改成了.txt,下载后再改会.adm即可