自定义组策略限制移动设备的使用

一:考虑到防病毒和保密的需求,公共机房和办公用机都希望限制使用U盘等移动设备。其实限制计算机使用U盘有几种方法,简单说明如下:
1:修改bios,将usb接口Disableed。
2:修改注册表键值,将[HKEY_LOCAL_MACHINESYSTEMCurrentCntrolSetServicesUSBSTOR]下的
Start双字节键值由默认的3该为4即可
3:通过组策略隐藏和禁止查看盘符。可以在“用户配置→管理模板→Windows 组件→Windows 资源管理器”右侧窗口中找到[隐藏“我的电脑”中的这些指定的驱动器]中设置需要隐藏的驱动器,但只做这一处限制还是在命令行下可以访问的,做到绝对安全还要修改用户配置→管理模板→Windows 组件→Windows 资源管理器”中的防止从”我的电脑“访问驱动器,在此策略上添加上面设置隐藏的盘符。
二:本文重点讲的是通过自定义组策略进行限制使用移动设备。其实每一条组策略都会与一处或多处注册表键值相对应。所以注册表才是windows系统管理的核心。
1:先了解一下定制组策略模板的概念。利用组策略管理网路,为用户提供了强大而高效的管理功能。然而有些功能在系统本身的模板里并不存在,比如禁止访问注册表、修改屏幕分辨率。这就需要我们自己定制组策略了o(∩_∩)o...
2:系统自身的组策略文件存放在“%systemroot%\system32\GroupPolicy\Adm”文件夹,是一些ADM文件,可以直接用记事本编辑,也可以将自定义模板的代码添加到任意位置。
自定义组策略限制移动设备的使用
3:本文制作的DisableUSBDrives.adm原理就是通过上面提到的修改注册表键值的方法实现限制移动设备使用。当有人将USB存储设备连接到计算机时,虽然USB设备上的指示灯在正常闪烁,但在资源管理器当中就是无法找到其盘符,因此也就无法使用USB设备了。本文之所以不去简单修改注册表文件是因为,组策略对于域模式下的系统管理非常灵活,而且对于客户端数量较多的情况也有较高的效率。
4:下面开始制作,建立一个记事本文件,写入如下内容
*********************************************************************
Class MACHINE                                    
CATEGORY !!FirstCategory
   
    POLICY !!DisableUSBDrives
          EXPLAIN !!E_HELP
          KEYNAME
   "SYSTEM\CurrentControlSet\Services\usbstor"
     VALUENAME "Start"
     VALUEON NUMERIC 4
     VALUEOFF NUMERIC 3
    END POLICY
END CATEGORY
[strings]
FirstCategory="自定义组策略模板"
DisableUSBDrives="禁止使用移动设备"
E_HELP="开启——表示禁止使用移动设备;未定义或者关闭——表示移动设备可以正常使用。欢迎光临abner.cublog.cn."
*******************************************************************************
5:代码说明
A:Class MACHINE
指定管理模板类型,有两种类型可选
CLASS MACHINE 表示在组策略在计算机配置节点中创建条目
CLASS USER    表示在组策略在用户配置节点中创建条目
B:CATEGORY !!FirstCategory
指定模板下的类别名称,可以设置多级。与END CATEGORY成对出现
比如写成
CLASS USER
CATEGORY !!FirstCategory
CATEGORY !!SecondCategory
……
……
……
END CATEGORY
END CATEGORY
....
FirstCategory="自定义组策略模板"
SecondCategory ="系统策略"
就表示在“用户配置-自定义组策略模板-系统策略”的路径下创建规则
C: POLICY !!DisableUSBDrives
指定所创建策略的名称,与END POLICY成对出现
D: KEYNAME "SYSTEM\CurrentControlSet\Services\usbstor"
VALUENAME "Start"
指定需要修改的注册表的位置
E:VALUEON NUMERIC 4
 表示如果该策略启动所要修改的注册表键值,本例修改start的值为4
 VALUEOFF NUMERIC 3
表示如果该策略关闭所要修改的注册表键值,本例修改start的值为3
F:[strings]
此后的内容均是字符描述信息。与代码中的字符串相对应
6:自定义模板的使用
A:将编辑完成的文件另存为DisableUSBDrives.adm的组策略模板文件
B:在域模式下通过AD的用户与计算机管理打开相应组织单元的组策略,如果是单机则
在运行中输入gpedit.msc打开组策略编辑器
C:定位到计算机配置—管理模板。在管理模板上单击右键,选择添加/删除模板
自定义组策略限制移动设备的使用
添加建立好的DisableUSBDrives.adm文件
D:添加后默认情况下并不能看到所添加的策略。右键单击管理模板,选择查看—筛选
在弹出的对话框中,去掉只“显示能完全管理的组策略设置”
自定义组策略限制移动设备的使用
E:去掉之后即可看到禁止使用移动设备的策略
点击启用,设置生效
自定义组策略限制移动设备的使用
 
7:将计算机重启、更新策略、测试、成功将usb设备“拒之门外”
三:关于更多自定义组策略的内容请查看微软的帮助文档
[url]http://support.microsoft.com/kb/225087[/url]
四:此文制作的adm文件和使用方法可以到我的blog下载使用。
[url]http://abner.cublog.cn[/url]



本文转自 abner110 51CTO博客,原文链接:http://blog.51cto.com/abner/147420,如需转载请自行联系原作者
上一篇:Spring boot 数据源未配置异常


下一篇:web.xml中的所有配置,Listener和Filter的加载顺序