活动目录网域中禁用移动存储（U盘）

最新推荐文章于 2023-03-01 14:16:20 发布

weixin_33980459

最新推荐文章于 2023-03-01 14:16:20 发布

阅读量121

点赞数

原文链接：http://blog.51cto.com/511cto/634082

版权

声明：本文转载自gnaw0725.blogbus.com，更新网址：http://gnaw0725.blog.51cto.com。

活动目录网域中禁用移动存储（U盘）:由于安全须要,要禁用U盘的使用,但是不禁用其它usb接口的设备,查了一下,发现有一份资料这样写:

运行注册表编辑器，找到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\USBSTOR键，取消System的所有控制权。如果要分配控制权，只需要对相应用户设置控制权限就可以了。

问题1:我按照上面的描述,我在DC上的组策略中的"安全选项"-"注册表",新建一项,然后找到HKEY_LOCAL_MACHINE\SYSTEM,但是里面没有ControlSet002,只有ControlSet001和ControlSet003.不知是什么原因?

问题2:上面要求分配控制权,如果客户端的系统所在的分区不是NTFS,那么这个安全策略是否起作用?

答：关于Active Directory中禁用移动存储的问题，我之前写过两篇文章

一、关于如何使用策略禁用USB的问题此文章中借用MS KB823732 来说明禁用USB存储设备的原理，但这个方法存在两点问题：

1、要求用户之前没有使用过USB，否则可能就不起作用了。

2、由于是针对计算机的策略，故而无法针对用户来控制。（用户有可能在其他计算机上登陆，也有可能临时的开放使用USB设备）

BTW：用策略控制移动存储有些难度，制作策略比较麻烦，于是国外的一个MVP Simon Geary 写了一个kb555324 HOWTO：使用组策略来禁用 USB、 CD-ROM、软盘和 LS-120 驱动程序大家可以用他写的adm模版直接导入GPO使用。

二、移动存储管理由于上面方法中存在的问题，我就写了这个文章，大家可以用一些第三方的工具来灵活管控用户账户使用USB的权限，诸如 GFI LANguard 或者 CenterTools DriveLock 等等。这些工具都具有如下这些特点：

需要部署客户端的Agent
可以针对用户账户处理
可以管理更多类型的移动存储，比如DVD刻录机，比如蓝牙，比如MP3、smartphone等等
可以通过远程管理
可以得到部署的数据

BTW：一直到Vista，虽然在策略中添加了移动存储的项目，但仅仅是计算机的策略，不能针对用户管理。呵呵MS要把空间留给第三方厂商嘛：）OK，下面来回答您的问题：

回答：您看到的描述可能有问题，请直接修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor 关于 ControlSetxxx是这样的，这个项目的作用就是您在计算机启动的时候按 F8，然后选择最近一次的正确配置那么，OS就会加载 ControlSet001下的配置，如果仍旧失败，尝试002，依此类推。

问题2:上面要求分配控制权,如果客户端的系统所在的分区不是NTFS,那么这个安全策略是否起作用?

回答：如果系统所在分区不是NTFS，则安全项目无效。

封闭使用USB问题，当电脑接入一个全新的u盘时，AD组策略里封USB端口策略不起作用

回答：首先，我假设您只是想禁止用户使用USB存储设备，而不是所有USB设备。因此，我建议参考下面两篇文章，来测试是否可以实现通过禁止用户对usbstor.pnf和usbstor.inf的访问来实现禁用USB存储设备：
注意：我建议您先删除以前建立的没有起作用的组策略，而重新创建一个新的策略来测试这个问题。
如何禁用 USB 存储设备
http://support.microsoft.com/kb/823732/zh-cn
如何使用 Xcacls.exe 修改 NTFS 权限
http://support.microsoft.com/kb/318754/zh-cn
参考上面两篇KB，您只需建立一条使用xcacls，设置usbstor.pnf和usbstor.inf上domain users组用户的拒绝权限的登陆脚本，在用户登陆后他们自然就无法使用USB存储设备了，而administrator由于访问权限没有更改，所以可以继续使用USB存储设备。

Xcacls %systemroot%\inf\usbstor.pnf /d “domain users” /y
Xcacls %systemroot%\inf\usbstor.inf /d “domain users” /y
以编辑域策略为例提供设置脚本的步骤如下：
1．将xcacls和脚本放在所有用户都能访问的共享目录内（比如netlogon）
2．运行dsa.msc命令
3．右键点击域名，打开属性
4．点击组策略属性页
5．新建一个组策略，给予一个恰当的名称然后点击编辑（或者编辑默认域策略）
6．定位到：计算机配置->Windows 设置->脚本->启动
7．双击启动脚本，将配置的脚本添加进去
8．点击确定
9．运行gpupdate /force刷新这一策略
这样下次计算机重启后本地文件的权限即被更改了。这一脚本只需运行一次，在您确认所有计算机都执行过这一脚本后，即可撤销这条策略。

潘玉霞 MCSE 微软全球技术支持中心

转载于:https://blog.51cto.com/511cto/634082

weixin_33980459

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
活动目录网域中禁用移动存储（U盘）

声明：本文转载自gnaw0725.blogbus.com，更新网址：http://gnaw0725.blog.51cto.com。活动目录网域中禁用移动存储（U盘）:由于安全须要,要禁用U盘的使用,但是不禁用其它usb接口的设备,查了一下,发现有一份资料这样写: 运行注册表编辑器，找到HKEY_LOCAL_MACHINE\SYSTEM\Contr...
复制链接

扫一扫