域控AD下禁用客户端USB存储器而开放其他USB...

控制USB存储设备使用权限任务：禁止电脑USB接口使用存储设备，但不能妨碍鼠标、键盘、打印机、加密狗等一切需要USB接口工作的外部设备。

（BIOS里全部关闭USB端口，这样USB端口全关了，什么USB 设备都用不了了！！！）1、关闭USB存储设备的盘符自动分配。

打开注册表，找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR”，将“Start”的值改为4（禁止自动分配盘符），默认为3是自动分配盘符；2、干掉USB存储设备的作用文件。

进入“C:\Windows\inf”，这里说明一下，USB存储设备的作用文件有两个，分别是usbstor.inf和usbstor.pnf，因为后续可能需要重新打开USB功能，所以不要删除它，建议拷贝到其他位置，当然你要暴力一点，删除它也没关系，但记得做好备份。

到此，即可禁止使用USB存储设备，不影响其他USB外设。

如何启用USB存储设备使用权限，逆向操作以上步骤即可开启USB存储设备使用权限。

下面是如何用批处理完成关闭或开启USB存储设备使用权限：关闭过程：@echo offreg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t reg_dword /d 4 /fcopy %Windir%\inf\usbstor.inf %Windir%\usbstor.inf /y >nulcopy %Windir%\inf\usbstor.pnf %Windir%\usbstor.pnf /y >nuldel %Windir%\inf\usbstor.pnf /q/f >nuldel %Windir%\inf\usbstor.inf /q/f >nul@echo on开启过程：@echo offreg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t reg_dword /d 3 /fcopy %Windir%\usbstor.inf %Windir%\inf\usbstor.inf /y >nulcopy %Windir%\usbstor.pnf %Windir%\inf\usbstor.pnf /y >nuldel %Windir%\usbstor.pnf /q/f >nuldel %Windir%\usbstor.inf /q/f >nul@echo on将以上代码保存为两个BA T文档，可以分别为DisableUSB.bat 和EnableUSB.bat，然后放入“C:\Windows\system32\”目录下，即可直接在CMD窗口里输入指令“DisableUSB”关闭USB存储设备使用权限或输入指令“EnableUSB”开启USB存储设备使用权限。

电脑USB接口怎么禁用系统禁用USB端口的两种方法如何禁用电脑的USB接口？一般电脑的USB接口都是默认开放使用的，但是如果电脑中有很多重要文件的话，为了防止泄露，一般会通过禁用USB的方式防止他人拷走，那么如何禁用电脑的USB接口功能？请看下文两种解决办法。

方法一、通过注册表禁用USB存储设备驱动、禁止U盘驱动的方式禁止U盘使用。

1、首先，打开记事本，复制下面的内容，粘贴进去。

Windows Registry Editor Version 5.00［HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\USBSTOR］“Start”=dword：00000004［HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\USBSTOR\Enum］“Count”=dword：00000000“NextInstance”=dw ord：000000002、点【文件】-【另存为】，命名为disableusb.reg （注意“保存类型”选“所有”），保存到桌面。

3、再把“Start”=dword：00000004中的4改为3 ，同样另存为enableusb.reg ，保存到桌面。

以后要禁用USB时，双击disableusb.reg ，要解锁双击enableusb.reg即可。

方法二、通过一些电脑USB端口禁用软件、禁用USB存储设备软件来实现u盘禁用。

虽然通过上面的方法可以禁止U盘、屏蔽USB存储设备的使用，但是由于是采用注册表禁止U盘使用，因此一些懂技术的员工也可以通过反向修改注册表达到重新使用U盘的目的。

因此，如果想实现对USB存储设备更为有效的禁用，则就需要一些电脑USB端口禁用软件、USB存储设备屏蔽软件来实现了。

例如有一款“大势至电脑USB禁用软件”（/monitorusb.html），只需要在电脑安装完毕，就可以完全禁止U盘、禁用usb存储设备的使用，同时还可以只让使用特定的USB存储设备或者只让使用指定的U盘；还可以只让从U盘向电脑复制文件而禁止从电脑向USB存储设备复制文件，从而保护了电脑文件安全，防止通过USB存储设备复制出去的行为。

windows识别USB设备主要通过两个文件，一个是Usbstor.pnf、另外一个是Usbstor.inf，当在电脑第一次使用USB设备之前禁用这两个文件即可达到我们的目标。

1、打开active Directory用户和计算机;2、选择需要禁用USB设备的OU，并点击鼠标右键进行组策略;3、创建一个针对USB的GPO，并点击编辑，打开组策略编辑器;4、进入组策略编辑器，依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”;5、右键点击“添加文件”，弹出“添加文件和文件夹”，在“文件夹”栏输入“%systemroot%\inf\usbstor.inf“，确定;您看到的文章来自活动目录seo/c1404552/6、在“数据库安全设置”中，删除所有的用户，并添加“Everyone”，去掉默认的允许“读取和执行”、“列出文件夹内容”、“读取”，添加拒绝“完全控制”;应用、确定;7、在“添加对象”窗口，默认当前设置，若要重新编辑安全权限，则可点击“编辑安全设置”进行重新设置;确认，退出设置;8、除此之外，重复5、6、7步，对“%systemroot%\inf\usbstor.PNF“进行设置;9、关闭组策略编辑器;10、使用“gpupdate /force”，强行刷新策略。

以上方法只能针对还没有使用过USB的计算机才能生效，若企业中的部分计算机已经使用过U 盘等设备，那还需要修改注册表来达到目的。

需要修改的注册表键值位于：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStorwindows 2000下，键值在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub，打开上面注册表位置，我们可以看到start的键值，需要将该键值修改为4，默认情况下为3(3表示手动、2表示自动、4表示停用)，若要使用组策略来部署，需要使用脚本来加以运行即可。

Windows组策略屏蔽U盘有妙法(图)Windows组策略屏蔽U盘有妙法(图)ChinaITLab收集整理笔者在一家区级法院网络中心工作，为确保局域网内的计算机安然，省高院要求全省联网的法院客户端的机器光软驱都要撤消，而且禁止在局域网内使用U盘。

我们知道，此刻局域网中使用的操作系统绝大大都都是Windows系列，对于Windows 98说，做到这些并不难，因为U盘第一次使用时需要安装相应的驱动程序，撤消了光、软驱后，驱动无法安装，U盘也就无法使用，但对于Windows 2000、Windows XP来说，情况就不同了，用过U盘的人都知道这些操作系统不需要安装驱动，U盘即插即用。

对于大大都用户来说，这确实很便利，但对于单元有要求的网管来说，就头疼了，此刻新买的机器不克不及总是安装Windows 98吧，毕竟Windows 98就要“下岗〞了，但面对U 盘，却没有好的方法，也许您会想到可以在BIOS设置里屏蔽USB端口，但这是“宁可错杀一千，不克不及放过一个〞的方法，如果您的单元客户端没有使用USB接口的键盘、鼠标、打印机等设备，那您完全可以采用此方法，不外您以后采购设备的时候要注意了，最好不要采购USB设备，除非咱们网管本身用，哈哈！那有没有简单易行的方法呢？颠末一段时间摸索和试验，笔者终于找到了使用点窜组策略模板的方法实现此目标。

实现条件当然这是有前提条件的，首先，您的局域网必需以域为架构〔我们知道Windows 2000、Windows XP本身都自带有组策略编纂器，使用组策略编纂器可单独编纂每台机器的策略，而使用域时，只要用户登录到域，就会自动应用策略，在效劳器端点窜一次，就可以在全域实现办理目标，如果不采用域模式，您需要每台都要设置组策略，掉去了效率，也就没有采用的必要了〕。

其次，客户端必需以域用户的身份登录网络，且不克不及被赋予客户端本机办理员的权限。

客户端操作系统保举使用Windows 2000和Windows XP，虽然Windows 98也能在域环境下应用组策略，但Windows 2000 Server组策略对Windows 98的撑持并不完全，且需要采用两种完全不同的方法别离办理他们，会对您以后的网络办理带来不便。

用AD组策略-----彻低禁止USB存储设备, , , , , ,本帖最后由 zh_cxl 于 2021-2-4 15:36 编纂原2008-10-13的更新有误，主要是usbstor.inf和usbstor.pnf的权限设置，现已更正详情请查看2008-10-13更新。

为了对USB更彻底的控制本次更新将对系统的usbstor.inf和usbstor.pnf的文件权限进行控制这两个文件位于windows\inf目录下〔这两个文件是USB 存储设备的驱动文件，本策略的道理是操纵NTFS权限阻止普通用户加载驱动〕，本卷须知：〔1〕使用前请确认你的系统盘使用的是NTFS权限，否那么此策略将无效。

(2) 此策略只能对计算机，不针对用户1、翻开组策略编纂器gpmc，选择计算机配置--安然设置--文件系统；2、在右边单击鼠标右键选择－－添加文件；3、选择系统目录下的C:\windows\inf\usbstor.inf文件,单击确定；4、呈现权限设置对话框，注意这一步很重要必然要删除所有的组；5、呈现如下对话框，继续单确定；6、按照如上方法再把C:\windows\inf\usbstor.pnf添加进去，如以下图；7、找一台客户端计算机验证策略，强制刷新策略,从头启动计算机；8、查看客户端计算机c:\windows\inf\usbstor.inf及usbstor.pnf的NTFS权限，发现里面所有安然组已被删除。

策略应用成功，普通用户无法再使用USB存储设备。

2007-09-10先下载附件里的usb.adm文件详细操作如下:１，在DC里的OU里新建一条GPO组策略２、添加至组策略----计算机配置----办理模板中，３、注意在“查看〞----“筛选〞中去掉“只显示能完全办理的策略设置〞前面的勾４、右键办理模板--点添加删除模板--添加usb.adm的模板文件--点关闭窗口中呈现custom policy settings进入,就可以看到阿谁设备的,右键你想设置的设备如disable usb 呈现属性对话框点已启用在disable usb ports 中选enabled确定后重启计算机,就会发现usb接口不克不及用了,要恢复就禁用或选disabled,其它设备也是同样的操作.。

一、禁止USB存储设备、光驱、软驱、ZIP软驱在现在企业网络环境下，由于企业网络越来越大环境越来越复杂。

公司内员工素质参差不齐，公司为了加强网络安全性、数据保密性提出要封堵USB存储设备、光驱、软驱、ZIP软驱设备。

首先我们在企业网络环境要想实现以上目的，必须要有域环境。

这里肯定有朋友会说，没有域环境也能实现。

是的没有域环境我们可以通过修改每个客户端的注册表来实现，大家可以试想下我们企业环境就算不是很大的集团就算是个60多台小型网络环境，一台一台的去一个个修改每台客户端计算机的注册表也会累死。

所以我们在域环境下就可以通过在DC上建立策略，客户端应用策略后我们就比一台台的去客户端修改注册表来的简单省事多了。

好的言归正传，大家先下载我博文中的附件，附件内是该文中的核心。

其次我想推荐大家可以在自己的DC上安装GPMC组策略管理工具，来方便我们大家来对组策略管理已经排错。

第一步：我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。

第二步：打开组策略管理，右键点击→点击“创建并链接（GPO）”→输入组策略名称“禁止USB”。

因为我们这次的策略是希望企业内所有计算机都应用，故我们在域级别上创建一条GPO组策略。

第三步：右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。

第四步：在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。

（这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。

）双击“usb.adm”组策略模板添加“usb.adm”组策略模板。

添加后，回到“添加/删除模板”对话框，我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。

第五步：我们点击“添加/删除模板”对话框中的“关闭”按钮，回到“组策略编辑器”对话框中。

用AD组策略之彻低禁止USB存储设备2023-10-27•AD组策略基础介绍•禁止USB存储设备策略的制定•实施禁止USB存储设备策略•策略实施效果评估与优化•相关问题及解决方案目•总结与展望录01AD组策略基础介绍•AD组策略是一种集中式管理工具，它允许管理员在组织级别上定义和实施IT策略，以控制和规范用户行为和计算机行为。

它基于Windows Server操作系统，是活动目录（AD）的一部分，可以用于管理和配置网络中的计算机和用户。

AD组策略的定义通过AD组策略，管理员可以在组织级别上定义和实施IT策略，从而实现对整个网络中计算机和用户的集中化管理。

AD组策略的优点集中化管理AD组策略提供了丰富的配置选项和自定义功能，可以根据组织的需求进行灵活的配置和扩展。

灵活性和可扩展性AD组策略可以用于定义和实施安全性策略，包括用户身份验证、访问控制和数据保护等，从而提高网络的安全性。

安全性•AD组策略适用于各种规模的企业和组织，特别是那些需要集中化管理、灵活性和安全性需求的组织。

它可以用于控制和规范用户行为、计算机行为以及应用程序的安装、配置和管理等方面。

AD组策略的适用范围02禁止USB存储设备策略的制定通过禁止USB存储设备，减少公司信息泄露和数据安全风险。

确保公司信息安全提高工作效率合规性减少员工使用USB存储设备进行私人用途或与外部数据交换，从而专注于工作。

满足公司政策或行业规定，确保公司数据安全和合规性。

030201加密USB存储设备对于公司提供的加密USB存储设备，可以设置AD组策略来强制加密这些设备，以保护数据安全。

监控和报告建立监控机制，记录任何违反策略的行为，并采取适当的行动，例如报告给IT部门或管理层。

禁止USB存储设备通过AD组策略，将USB存储设备的使用完全禁止。

在实施策略之前，先在小范围内测试策略，以确保没有未预见的问题。

测试策略实施在实施策略后，密切关注员工的反应和策略的实际效果，并根据需要进行调整和改进。