win server 2008r2域环境下禁止xp客户端USB权限

环境：win server 2008 r2域控制器、win xp客户端，繁体系统

要求：限制用户使用USB

难点：2008r2中限制存储装置的策略要求至少vista或win 7以上

实现方法：

1. 通过档案系统设定安全性

   a.新建GPO，定位到电脑设定-原则-Windows设定-安全性设定-档案系统(公司为台企，系统都是繁体，简体系统的自己对应).

   
   

   b.右键新增档案，找到usbstor.inf和usbstor.pnf,

   

   c.双击或右键-内容，打开安全性原则设定

   

   根据需要设定继承权，点击"编辑安全性设定"

   

   将domain users用户组的权限都设定为拒绝，如有其它需求，可自行设定。

   重复以上操作对usbstor.pnf文档设定

   
   

2. 通过传统系统模板设定
   

    微软为解决此问题，给出了解决方案。使用传统系统模板限制USB，模板可在官网(时间久了，忘记了)找到。模板内容如下：

-------------------------------------------------------

��e�C器

��e!!��e

��e!!��e名�Q

原�t!!policynameusb

KEYNAME"SYSTEM\CurrentControlSet\Services\USBSTOR"

�f明!!explaintextusb

�M件!!DROPDOWNLIST 所需的 labeltextusb

 

�抵�"�_始�r�g"

ITEMLIST

名�Q!!已停用�底� 3 的值�A�O值

名�Q!!�⒂玫闹�底� 4

�Y束 ITEMLIST

�Y束�M件

�Y束原�t

原�t!!policynamecd

KEYNAME"SYSTEM\CurrentControlSet\Services\Cdrom"

�f明!!explaintextcd

�M件!!DROPDOWNLIST 所需的 labeltextcd

 

�抵�"�_始�r�g"

ITEMLIST

名�Q!!已停用�底� 1 的值�A�O值

名�Q!!�⒂玫闹�底� 4

�Y束 ITEMLIST

�Y束�M件

�Y束原�t

原�t!!policynameflpy

KEYNAME"SYSTEM\CurrentControlSet\Services\Flpydisk"

�f明!!explaintextflpy

�M件!!DROPDOWNLIST 所需的 labeltextflpy

 

�抵�"�_始�r�g"

ITEMLIST

名�Q!!已停用�底� 3 的值�A�O值

名�Q!!�⒂玫闹�底� 4

�Y束 ITEMLIST

�Y束�M件

�Y束原�t

原�t!!policynamels120

KEYNAME"SYSTEM\CurrentControlSet\Services\Sfloppy"

�f明!!explaintextls120

�M件!!labeltextls120 DROPDOWNLIST 所需

 

�抵�"�_始�r�g"

ITEMLIST

名�Q!!已停用�底� 3 的值�A�O值

名�Q!!�⒂玫闹�底� 4

�Y束 ITEMLIST

�Y束�M件

�Y束原�t

末端��e

末端��e

 

[字串]

��e ="自�原�t�O定值"

��e名�Q ="限制磁碟"

policynameusb ="停用 USB"

policynamecd ="停用 CD-ROM"

policynameflpy ="停用�碟�C"

policynamels120 ="停用高容量�碟�C"

explaintextusb ="停用��X的 USB �B接埠，藉由停用 usbstor.sys ��映淌�"

explaintextcd ="停用��X的光碟�C，藉由停用 cdrom.sys ��映淌�"

explaintextflpy ="停用停用 flpydisk.sys ��映淌降碾��X�碟�C"

explaintextls120 ="停用磁碟高容量�碟�C的��X，停用 sfloppy.sys ��映淌�"

labeltextusb ="停用 USB �B接埠 」

labeltextcd ="停用 CD-ROM 磁碟�C]

labeltextflpy = [停用磁碟�碟�C]

labeltextls120 ="停用高容量�碟�C"

�⒂� ="�⒂�"

已停用 ="停用"

--------------------------------------------------------------------------------

将虚线内容复制保存的.adm文档中。打开GPO，电脑设定-原则-系统管理范本，右键-新增/移除范本，新增此范本。新增后，将在系统管理范本下看到传统系统管理范本(ADM)

打开Disable USB,

Disable USB Ports选择Enabled.

以上两种方法，我是一起使用的，单独使用是否生效还没测试。因环境中还有win7客户端，所以同时也使用了2008r2自带的策略。

模板内容给的是繁体的，还不知道在简体中适不适用，各位可测试下。

上传附件时报非法的类型，将.adm改成了.txt，下载后再改会.adm即可