域环境下屏蔽U盘
[size=2]为确保局域网内的计算机安全,省高院要求全省联网的法院客户端的机器光软驱都要拆除,而且禁止在局域网内使用U盘。我们知道,现在局域网中使用的操作系统绝大多数都是Windows系列,对于Windows 98说,做到这些并不难,因为U盘第一次使用时需要安装相应的驱动程序,拆除了光、软驱后,驱动无法安装,U盘也就无法使用,但对于Windows 2000、Windows XP来说,情况就不同了,用过U盘的人都知道这些操作系统不需要安装驱动,U盘即插即用基本原理
组策略实现的原理实际上就是修改注册表,当域用户登录到域上时,系统会对指定的客户端实施组策略,也即修改客户端的注册表,当我们新建了一个组策略时,系统实际上是拷贝了三个模板文件,在您修改组策略时,实际上是在修改这些模板的副本,然后把这些策略应用到指定的客户端中去,然而Windows 2000 Server系统提供的组策略模板中并没有我们想要的屏蔽U盘的策略,但我们可以手动修改系统的模板文件,使组策略模板具备屏蔽U盘的策略,实际上根据其原理,凡是修改注册表能做到的,基本上都可以在域中使用组策略实现。
实现方法
1、在域控制器上打开Active Directory用户和计算机,找到您要屏蔽U盘的组织单位(Organizational Unit 简称OU),右键查看此组织单位的属性,点击组策略页面,新建一个组策略,命名并保存为“屏蔽U盘”,建好后,双击“屏蔽U盘”(必需先打开一次,否则系统不会拷贝那几个模板文件),在打开的标题为“组策略”的窗口的左边,按以下顺序定位“用户配置-管理模板-Windows组件-Windows资源管理器”,选中Windows资源管理器,在右边的窗口中会显示如图1所示。
我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”,双击打开其中一项策略,选择“启用”,下面的下拉框会变亮,单击下拉框,如图2所示,您会发现系统提供了7种限制访问驱动器号的组合,其中也包括了“不限制驱动器”,显然,这些组合不能满足我们的要求(因为U盘的盘符通常是排在最后的,而且现在的硬盘比较大,少则也有三四个分区)。
2、在域控制器上打开Active Directory 用户和计算机,在刚才我们新建的“屏蔽U盘”策略上单击右键选择查看属性,在如图3所示的位置找到"屏蔽U盘"的组策略的唯一的名称,此名称为一长串数字和字母组成,本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9},记下此字符串。
3、打开系统盘,定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹,此文件夹位于“C:WINNTSYSVOLbaling.com.cnPolicies”下(盘符依赖于您安装的操作系统所在的分区),注意其中baling.com.cn是您的Windows 2000的域名,打开{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录,找到ADM目录下的system.adm文件,此文件是我们在实施组策略的模板文件,是一个纯文本文件,可用记事本打开,找到下面这两段代码:
* POLICY !!NoDrives
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
* POLICY !!NoViewOnDrive
EXPLAIN !!NoViewOnDrive_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoViewOnDrive"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
说明:这是两个策略,第一个!!NoDrive,它的作用是在我的电脑中不显示指定的驱动器名,驱动器号代表的所有驱动器不出现在标准的打开对话框上,但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式,用户仍然可以访问该驱动器;第二个!!NoViewOnDrive的作用是阻止用户访问驱动器。可以阻止上述情况的出现,但是仅仅用第二个的话,用户可以看见该驱动器的盘符,但不能访问,一般情况,两个同时使用,可以达到比较理想的效果。
仔细观察上述代码,不难发现,其中一共有7个NAME项,正好和我们图2下拉框中的一一对应,后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的规则取值,low 26 bits on的意思说值为26位的二进制,最多可指定26个驱动器盘符,而1 bit per drive则代表1位代表1个驱动器,举例说A=1,B=2,C=4,D=8,E=16,F=32,G=64,H=128,I=256,由低到高,以此类推。我们可根据我们的需要修改此代码段,假如我们要隐藏A、B、C、F、G、H、I,您可以根据您的需要而定,推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所有的USB接口数(防止有人同时插入几个U盘,呵呵!)。那么我们计算出VALUE NUMERIC的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487,在两个策略中的
NAME !!ABCDOnly VALUE NUMERIC 15
下插入一行
NAME !!ABCFGHIOnly VALUE NUMERIC 487
随后,移到System.adm文件的末尾,在 ABConly="仅限制驱动器 A、B 和 C" 下面插入一行数据, ABCFGHIOnly="仅限制驱动器A、B、C、F、G、H、I"
等于号后引号内的说明您可以根据自己的喜好定义,它将会显示在如图2的下拉框中。保存后,打开“屏蔽U盘”策略,定位“用户配置-管理模板-Windows 组件-Windows 资源管理器”,在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问驱动器”其中的一个,点击“启用”,再点击下拉框,哈哈,您会发现您多了一个选项(如图4)。
这时候,您只要在您想屏蔽的用户的组织单位上应用此策略(别忘了这两个策略都需要设置),保存后,包含于该组织单位下的用户登录时,便会发现他的U盘插上后,系统虽能识别并正确安装驱动,但在“我的电脑”中却无法看见,并且通过其他方法也无法访问,包括在地址栏中输入盘符。
至此,全部设置完毕,让您的客户段使用此OU下的用户登录看看吧!
其他注意事项:
1、这种方法在您的客户端很多的时候,很方便,您只要确保客户端登录用户属于您已应用此组策略的OU下即可,如果暂时需要允许他使用U盘,那只要把该用户移出此OU,该用户再注销重新登录一下就OK。
2、需要注意的是,您在OU中建立用户时,用户缺省是属于Domain users组,这对于大多数软件来说没有问题,但会使有些软件无法安装或运行,您可以赋予这些用户在客户端本机的Power user组的权限,即可解决。
3、注意这种方法同时也屏蔽了您的光驱盘符,光驱也是不能访问的。当然U盘都屏蔽了,我想光驱就更该屏蔽了,呵呵!如果实在要访问,可以在计算机管理中的磁盘管理中赋予光驱一个靠后的盘符即可。
4、OU是可以嵌套的,客户端组策略的应用是从域根到OU再到子OU,而且是可以覆盖的,除非您选定了“阻止策略继承”。如果您在父OU上设置了屏蔽U盘,但在子OU中又取消了屏蔽,那么客户端的U盘是不会被屏蔽的。
5、如果您在一个OU中设置了此屏蔽策略,但您又要在其他同级的OU中要开放一些用户的U盘时,您需要重新建一个策略,而不是直接在“屏蔽U盘”的策略上修改成不屏蔽U盘,因为这是个链接到“屏蔽U盘”的策略,您实际修改的是“屏蔽U盘”策略,这会影响到他管理下的所有的OU,他们都将会应用您修改后的策略。
6、在域中应用组策略时,系统只能对整个域、组织单位实施组策略,不能对单个的用户或者计算机指定组策略,在实际应用的时候,可多建立几个组织单位来管理用户。[/size] 好文章....加精啊!!! 谁加精我枪毙谁:lol 楼上为何不让加精?:lol
当然lz也太热衷加精了些。:D 直接在注册表把usb存储关掉就可以了阿 三樓的 1901 不知為何,你今天一直從<<Windows系统及微软相关产品>>追殺我到這裡,有事好商量嘛!!!
哈哈...
謝謝版主....
不是我熱衷,是因為我真的覺得是好文章啊,如果文章不好我也不會隨便跟你提出請求吧! 不過 1901 挺關注我發的帖子,不然怎麼會知道我發帖子的內容啊! 你老实交待自己不是女性,估计他就不会死缠烂打了。:D BIOS 屏掉USB 什么都搞定了. 是不是太麻烦了!用工具软件(如创顶电脑卫士,网址:[url]http://www.chandlin.com/cn/[/url]),通过密码控制。 不错不错... BIOS屏蔽USB,懂一点电脑的人会自己改回来,那我们就给BIOS上个密码吧,人家会给电池放电,在域里控制USB,人家不登陆域,哈哈,没办法了吧,告诉你们我们公司是怎么做的,专门找人定做的高硬度PVC板,然后用502把USB接口粘上,既不伤电脑又让你怎么都用不了USB,绝了。其实要偷点资料需要用USB吗?不大不小的我发邮件,实在太大了,我拆开再发,你们又会说了,我们邮件监控了,你发了我就抓,难道我就不会压缩然后给RAR加密?加个15位的密码,让你暴力破解,恐怕也要破解到2010年。哎,这年头,猫抓不到老鼠的。 我想关于 usb最安全还是在bios里面关闭 但是这样又会直接影响其它usb设备的使用 还是在域策略中比较灵活。 我們這裡誰敢像12樓說的這樣,員工這樣還了得?直接處分!
我們公司一千多台電腦,沒聽說像你那怎樣的!
你說不進域,那進哪裡?
放電?五天工資
誰敢?你這樣管理累不累啊? 員工只可以進域,還有一個超級用戶,密碼能讓他們知道嗎? 頂上去啊,好帖子 :Q
管的严的公司就是好啊,IT们通通可以睡大觉了
不过要达到楼上的程度,好多人,好多公司都有相当的路要走的 是呀!以前別人說我們是打雜的!現在只要我們去其它部門,都客氣的很,哈哈!中毒就開罰款單,哈哈....又怕我們刪除東西,又不敢發郵件,不敢看電影,聽MP3,是不是我們MIS的做的太過分啦!
