zoukankan      html  css  js  c++  java
  • AD域控制器通过组策略禁止USB设备

    问题:域环境下如何禁用USB口设备?

    第一种:用传统的办法,在Bios中禁用USB。

    第二种:

    微软技术支持回答:根据您的需求, Windows识别USB设备主要通过两个文件,一个是Usbstor.pnf、另外一个是Usbstor.inf,当在电脑第一次使用USB设备之前禁用这两个文件即可达到我们的目标。
    1、打开Active Directory用户和计算机;
    2、选择需要禁用USB设备的OU,并点击鼠标右键进行组策略;
    3、创建一个针对USB的GPO,并点击编辑,打开组策略编辑器;
    4、进入组策略编辑器,依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”;
    5、右键点击“添加文件”,弹出“添加文件和文件夹”,在“文件夹”栏输入“%systemroot%infusbstor.inf“,确定;您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1
    6、在“数据库安全设置”中,删除所有的用户,并添加“Everyone”,去掉默认的允许“读取和执行”、“列出文件夹内容”、“读取”,添加拒绝“完全控制”;应用、确定;
    7、“添加对象”窗口,默认当前设置,若要重新编辑安全权限,则可点击“编辑安全设置”进行重新设置;确认,退出设置;
    8、除此之外,重复5、6、7步,对“%systemroot%infusbstor.PNF“进行设置;
    9、关闭组策略编辑器;
    10、使用“gpupdate /force”,强行刷新策略。

    以上方法只能针对还没有使用过USB的计算机才能生效,若企业中的部分计算机已经使用过U盘等设备,那还需要修改注册表来达到目的。需要修改的注册表键值位于:
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor
    Windows 2000下,键值在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesusbhub,
    打开上面注册表位置,我们可以看到start的键值,需要将该键值修改为4,默认情况下为3(3表示手动、2表示自动、4表示停用),若要使用组策略来部署,需要使用脚本来加以运行即可。

    另外,下面的微软文档也提供了相关信息:
    823732:如何禁用 USB 存储设备
    http://support.microsoft.com/kb/823732/zh-cn


    赵莹(Ken Zhao) 微软全球技术支持中心

  • 相关阅读:
    UVA 10462 Is There A Second Way Left?(次小生成树&Prim&Kruskal)题解
    POJ 1679 The Unique MST (次小生成树)题解
    POJ 2373 Dividing the Path (单调队列优化DP)题解
    BZOJ 2709 迷宫花园
    BZOJ 1270 雷涛的小猫
    BZOJ 2834 回家的路
    BZOJ 2506 calc
    BZOJ 3124 直径
    BZOJ 4416 阶乘字符串
    BZOJ 3930 选数
  • 原文地址:https://www.cnblogs.com/colinliu/p/ad-gpo-control-usb.html
Copyright © 2011-2022 走看看