AD组策略规划禁用U盘

组策略禁用usb闪存
修改system.adm文件
搜索域控制器C盘下的system.adm文件，一下搜出来好几个，且分布在不同的文件夹，大小及修改日期都一样。

随便复制了其中1个文件并用记事本打开，查找“Nodrives”及“Noviewdrives”，在ITEMLIST段各增加一行“NAME !!ABCDFGHIJKLMNOQRSTUVWXYZOnly VALUE NUMERIC 67076079”，如图2。

图2
然后继续查找“Stings”，添加一行“ABCDFGHIJKLMNOQRSTUVWXYZOnly="除E、P外其他驱动器"”，如图3。

图3
修改后进行保存并覆盖掉原来的文件。

3. 编辑域用户的组策略
重新启动域控制器，打开“Active Directory用户和计算机”编辑域用户的组策略，在“用户配置”→“管理模板”→“Windows资源管理器”的“隐藏我的电脑中这些指定的驱动器”和“防止从我的电脑访问驱动器”的选项中果然就出现了“除E、P外的驱动器”选项，如图4。

图4
选择该项并确定后，找了台客户机，开放其USB口，登录到域后，插入闪存，右下角系统托盘区显示了闪存标志，但是在我的电脑里却显示不出闪存盘符，在地址栏中输入闪存盘符也提示不允许访问，此时使用USB鼠标等设备却没有影响。

成功地达到了禁用USB储存器而不影响USB设备的使用。

最后，为保险起见，在组策略中禁用了自动播放。

windows识别USB设备主要通过两个文件，一个是Usbstor.pnf、另外一个是Usbstor.inf，当在电脑第一次使用USB设备之前禁用这两个文件即可达到我们的目标。

1、打开active Directory用户和计算机;2、选择需要禁用USB设备的OU，并点击鼠标右键进行组策略;3、创建一个针对USB的GPO，并点击编辑，打开组策略编辑器;4、进入组策略编辑器，依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”;5、右键点击“添加文件”，弹出“添加文件和文件夹”，在“文件夹”栏输入“%systemroot%\inf\usbstor.inf“，确定;您看到的文章来自活动目录seo/c1404552/6、在“数据库安全设置”中，删除所有的用户，并添加“Everyone”，去掉默认的允许“读取和执行”、“列出文件夹内容”、“读取”，添加拒绝“完全控制”;应用、确定;7、在“添加对象”窗口，默认当前设置，若要重新编辑安全权限，则可点击“编辑安全设置”进行重新设置;确认，退出设置;8、除此之外，重复5、6、7步，对“%systemroot%\inf\usbstor.PNF“进行设置;9、关闭组策略编辑器;10、使用“gpupdate /force”，强行刷新策略。

以上方法只能针对还没有使用过USB的计算机才能生效，若企业中的部分计算机已经使用过U 盘等设备，那还需要修改注册表来达到目的。

需要修改的注册表键值位于：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStorwindows 2000下，键值在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub，打开上面注册表位置，我们可以看到start的键值，需要将该键值修改为4，默认情况下为3(3表示手动、2表示自动、4表示停用)，若要使用组策略来部署，需要使用脚本来加以运行即可。

用AD组策略-----彻低禁止USB存储设备, , , , , ,本帖最后由 zh_cxl 于 2021-2-4 15:36 编纂原2008-10-13的更新有误，主要是usbstor.inf和usbstor.pnf的权限设置，现已更正详情请查看2008-10-13更新。

为了对USB更彻底的控制本次更新将对系统的usbstor.inf和usbstor.pnf的文件权限进行控制这两个文件位于windows\inf目录下〔这两个文件是USB 存储设备的驱动文件，本策略的道理是操纵NTFS权限阻止普通用户加载驱动〕，本卷须知：〔1〕使用前请确认你的系统盘使用的是NTFS权限，否那么此策略将无效。

(2) 此策略只能对计算机，不针对用户1、翻开组策略编纂器gpmc，选择计算机配置--安然设置--文件系统；2、在右边单击鼠标右键选择－－添加文件；3、选择系统目录下的C:\windows\inf\usbstor.inf文件,单击确定；4、呈现权限设置对话框，注意这一步很重要必然要删除所有的组；5、呈现如下对话框，继续单确定；6、按照如上方法再把C:\windows\inf\usbstor.pnf添加进去，如以下图；7、找一台客户端计算机验证策略，强制刷新策略,从头启动计算机；8、查看客户端计算机c:\windows\inf\usbstor.inf及usbstor.pnf的NTFS权限，发现里面所有安然组已被删除。

策略应用成功，普通用户无法再使用USB存储设备。

2007-09-10先下载附件里的usb.adm文件详细操作如下:１，在DC里的OU里新建一条GPO组策略２、添加至组策略----计算机配置----办理模板中，３、注意在“查看〞----“筛选〞中去掉“只显示能完全办理的策略设置〞前面的勾４、右键办理模板--点添加删除模板--添加usb.adm的模板文件--点关闭窗口中呈现custom policy settings进入,就可以看到阿谁设备的,右键你想设置的设备如disable usb 呈现属性对话框点已启用在disable usb ports 中选enabled确定后重启计算机,就会发现usb接口不克不及用了,要恢复就禁用或选disabled,其它设备也是同样的操作.。

一、禁止USB存储设备、光驱、软驱、ZIP软驱在现在企业网络环境下，由于企业网络越来越大环境越来越复杂。

公司内员工素质参差不齐，公司为了加强网络安全性、数据保密性提出要封堵USB存储设备、光驱、软驱、ZIP软驱设备。

首先我们在企业网络环境要想实现以上目的，必须要有域环境。

这里肯定有朋友会说，没有域环境也能实现。

是的没有域环境我们可以通过修改每个客户端的注册表来实现，大家可以试想下我们企业环境就算不是很大的集团就算是个60多台小型网络环境，一台一台的去一个个修改每台客户端计算机的注册表也会累死。

所以我们在域环境下就可以通过在DC上建立策略，客户端应用策略后我们就比一台台的去客户端修改注册表来的简单省事多了。

好的言归正传，大家先下载我博文中的附件，附件内是该文中的核心。

其次我想推荐大家可以在自己的DC上安装GPMC组策略管理工具，来方便我们大家来对组策略管理已经排错。

第一步：我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。

第二步：打开组策略管理，右键点击→点击“创建并链接（GPO）”→输入组策略名称“禁止USB”。

因为我们这次的策略是希望企业内所有计算机都应用，故我们在域级别上创建一条GPO组策略。

第三步：右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。

第四步：在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。

（这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。

）双击“usb.adm”组策略模板添加“usb.adm”组策略模板。

添加后，回到“添加/删除模板”对话框，我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。

第五步：我们点击“添加/删除模板”对话框中的“关闭”按钮，回到“组策略编辑器”对话框中。

用AD组策略之彻低禁止USB存储设备2023-10-27•AD组策略基础介绍•禁止USB存储设备策略的制定•实施禁止USB存储设备策略•策略实施效果评估与优化•相关问题及解决方案目•总结与展望录01AD组策略基础介绍•AD组策略是一种集中式管理工具，它允许管理员在组织级别上定义和实施IT策略，以控制和规范用户行为和计算机行为。

它基于Windows Server操作系统，是活动目录（AD）的一部分，可以用于管理和配置网络中的计算机和用户。

AD组策略的定义通过AD组策略，管理员可以在组织级别上定义和实施IT策略，从而实现对整个网络中计算机和用户的集中化管理。

AD组策略的优点集中化管理AD组策略提供了丰富的配置选项和自定义功能，可以根据组织的需求进行灵活的配置和扩展。

灵活性和可扩展性AD组策略可以用于定义和实施安全性策略，包括用户身份验证、访问控制和数据保护等，从而提高网络的安全性。

安全性•AD组策略适用于各种规模的企业和组织，特别是那些需要集中化管理、灵活性和安全性需求的组织。

它可以用于控制和规范用户行为、计算机行为以及应用程序的安装、配置和管理等方面。

AD组策略的适用范围02禁止USB存储设备策略的制定通过禁止USB存储设备，减少公司信息泄露和数据安全风险。

确保公司信息安全提高工作效率合规性减少员工使用USB存储设备进行私人用途或与外部数据交换，从而专注于工作。

满足公司政策或行业规定，确保公司数据安全和合规性。

030201加密USB存储设备对于公司提供的加密USB存储设备，可以设置AD组策略来强制加密这些设备，以保护数据安全。

监控和报告建立监控机制，记录任何违反策略的行为，并采取适当的行动，例如报告给IT部门或管理层。

禁止USB存储设备通过AD组策略，将USB存储设备的使用完全禁止。

在实施策略之前，先在小范围内测试策略，以确保没有未预见的问题。

测试策略实施在实施策略后，密切关注员工的反应和策略的实际效果，并根据需要进行调整和改进。

Windows组策略屏蔽U盘有妙法(图)Windows组策略屏蔽U盘有妙法(图)笔者在一家区级法院网络中心工作，为确保局域网内的计算机安全，省高院要求全省联网的法院客户端的机器光软驱都要拆除，而且禁止在局域网内使用U盘。

我们知道，现在局域网中使用的操作系统绝大多数都是Windows系列，对于Windows98说，做到这些并不难，因为U盘第一次使用时需要安装相应的驱动程序，拆除了光、软驱后，驱动无法安装，U盘也就无法使用，但对于Windows2000、WindowsXP 来说，情况就不同了，用过U盘的人都知道这些操作系统不需要安装驱动，U盘即插即用。

对于大多数用户来说，这的确很方便，但对于单位有要求的网管来说，就头疼了，现在新买的机器不能总是安装Windows98吧，毕竟Windows98就要“下岗”了，但面对U盘，却没有好的办法，也许您会想到可以在BIOS设置里屏蔽USB端口，但这是“宁可错杀一千，不能放过一个”的办法，如果您的单位客户端没有使用USB接口的键盘、鼠标、打印机等设备，那您完全可以采用此方法，不过您以后采购设备的时候要注意了，最好不要采购USB设备，除非咱们网管自己用，哈哈！那有没有简单易行的办法呢？经过一段时间摸索和试验，笔者终于找到了使用修改组策略模板的方法实现此目标。

实现条件当然这是有前提条件的，首先，您的局域网必须以域为架构（我们知道Windows2000、WindowsXP 自己都自带有组策略编辑器，使用组策略编辑器可单独编辑每台机器的策略，而使用域时，只要用户登录到域，就会自动应用策略，在服务器端修改一次，就可以在全域实现管理目标，如果不采用域模式，您需要每台都要设置组策略，失去了效率，也就没有采用的必要了）。

其次，客户端必须以域用户的身份登录网络，且不能被赋予客户端本机管理员的权限。

客户端操作系统推荐使用Windows2000和WindowsXP，虽然Windows98也能在域环境下应用组策略，但Windows2000Server组策略对Windows98的支持并不完全，且需要采用两种完全不同的方法分别管理他们，会对您以后的网络管理带来不便。

组策略设置阻止用户访问本地磁盘
在本机设置，包括管理员的所有用户生效。

1.以管理员登录，关闭写保护
2.在开始运行中输入gpedit.msc
3.嵌入式Windows XP, 选择用户配置-管理模板-Windows Components- Windows Explorer
4.在右边选择Hide these specified drives in my computer, 按下表选择
5.在右边选择Prevent access to drives from my computer策略，按下面选择
6.策略编辑完成后，重启系统生效。

所有用户无法访问C盘和U盘。

7.如果管理员需要访问磁盘，可以把策略禁止。

8.如果是嵌入式Windows7, 则依次展开“计算机配置"一“管理摸板”—“系统”—“可移动存
储访问”，并在右侧的窗格中选择“所有可移动存储类拒绝所有权限”项。

在机器加入域的情况下，在域控制器上进行组策略的编辑。