使用AD组策略实现USB 只读、读写、禁用的管控

前提：

1、windows2008R2中，针对USB的管控策略不支持winXP；

2、传统修改注册表的形式，在插拔U盘设备后会被USB驱动自动重置键值破解；

已知问题：

1、禁用后的USB被启用后，IPHONE手机无法连接计算机；

方案：

为了细化USB权限分级，增强USB权限管控，降低数据泄露的风险，经讨论决定对OU的USB管控策略进行升级。对申请权限细化为只读、读写、禁用三类。

通过计算机策略分别实现USB的开启、只读、禁用权限管控。

对计算机OU进行调整，建立下级子OU，以对应三种权限。

考虑windows2008R2域控不支持XP的USB管控策略，使用脚本对注册表和驱动文件进行改写，以支持XP系统。

1、  制定3个组策略分别对用三级权限 A：禁用： 策略 设置 注释 CD    和 DVD: 拒绝读取权限 已启用 CD    和 DVD: 拒绝写入权限 已启用 软盘驱动器: 拒绝读取权限 已启用 软盘驱动器: 拒绝写入权限 已启用 所有可移动存储类: 拒绝所有 已启用   启动脚本：QD-No-usb.bat reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor"  /v "Start" /t reg_dword /d "4" /f \\修改usbstor值为4，禁用usb reg add  "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies"  /v "WriteProtect" /t reg_dword /d "1" /f \\添加建值writeprotect=1，usb设置只读（保证权限） ren C:\Windows\Inf\usbstor.inf  usbstor.inf1 \\改名usb驱动，准备替换，不改名无法输出新驱动 @echo off&setlocal  EnableDelayedExpansion for /f "delims=" %%b in ('type  C:\Windows\Inf\usbstor.inf1') do ( set "str=%%b"&set  "str=!str: 3= 4!" \\对改名的USB驱动内容进行修改 3修改为4（数字前有空格），避免驱动自动修复注册表 echo !str!  >>C:\Windows\Inf\usbstor.inf \\输出修改的驱动文件 ) del C:\Windows\Inf\usbstor.inf1 \\删除改名的文件   B：读写权限 策略 设置 注释 CD 和 DVD: 拒绝读取权限 已禁用 CD 和 DVD: 拒绝写入权限 已禁用 软盘驱动器: 拒绝读取权限 已禁用 软盘驱动器: 拒绝写入权限 已禁用 所有可移动存储类: 拒绝所有权限 已禁用   启动脚本：QD-RW-usb.bat reg add  "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor" /v  "Start" /t reg_dword /d "3" /f reg delete  "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StroageDevicePolicies"  /f ren C:\Windows\Inf\usbstor.inf  usbstor.inf1 @echo off&setlocal  EnableDelayedExpansion for /f "delims=" %%b in ('type  C:\Windows\Inf\usbstor.inf1') do ( set "str=%%b"&set  "str=!str: 4= 3!" echo !str!  >>C:\Windows\Inf\usbstor.inf ) del C:\Windows\Inf\usbstor.inf1   C：只读权限 策略 设置 注释 CD 和 DVD: 拒绝读取权限 已禁用 CD 和 DVD: 拒绝写入权限 已启用 WPD 设备: 拒绝写入权限 已启用 磁带驱动器: 拒绝写入权限 已启用 可移动磁盘: 拒绝写入权限 已启用 软盘驱动器: 拒绝读取权限 已禁用 软盘驱动器: 拒绝写入权限 已启用 所有可移动存储类: 拒绝所有权限 已禁用   启动脚本：QD-R-usb.bat reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor"  /v "Start" /t reg_dword /d "3" /f reg add  "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies"  /v "WriteProtect" /t reg_dword /d "1" /f ren C:\Windows\Inf\usbstor.inf  usbstor.inf1 @echo off&setlocal  EnableDelayedExpansion for /f "delims=" %%b in ('type  C:\Windows\Inf\usbstor.inf1') do ( set "str=%%b"&set  "str=!str: 4= 3!" echo !str!  >>C:\Windows\Inf\usbstor.inf ) del C:\Windows\Inf\usbstor.inf1   以上，3条策略，分别下发三个OU进行独立管控。

本文出自 “dnscn” 博客，谢绝转载！