在域控上禁止U 盤的視頻實現(xiàn)條件當然這是有前提條件的，首先，您的局域網(wǎng)必須以域為架構（我們知道Windows 2000、Windows XP自己都自帶有組策略編輯器，使用組策略編輯器可單獨編輯每臺機器

在域控上禁止U 盤的視頻

實現(xiàn)條件

當然這是有前提條件的，首先，您的局域網(wǎng)必須以域為架構（我們知道Windows 2000、Windows XP自己都自帶有組策略編輯器，使用組策略編輯器可單獨編輯每臺機器的策略，而使用域時，只要用戶登錄到域，就會自動應用策略，在服務器端修改一次，就可以在全域實現(xiàn)管理目標，如果不采用域模式，您需要每臺都要設置組策略，

失去了效率，也就沒有采用的必要了）。

其次，客戶端必須以域用戶的身份登錄網(wǎng)絡，且不能被賦予客戶端本機管理員的權限?？蛻舳瞬僮飨到y(tǒng)推薦使用Windows 2000和Windows XP，雖然Windows 98也能在域環(huán)境下應用組策略，但Windows 2000 Server組策略對Windows 98的支持并不完全，且需要采用兩種完全不同的方法分別管理他們，會對您以后的網(wǎng)絡管理帶來不便。

特別說明：這里介紹的方法并不適用于Windows 98，只適用于服務器端安裝Windows 2000 Server或Windows Server 2003。只要您的網(wǎng)絡滿足以上條件，我們就可以利用組策略屏蔽U 盤，而對于其它USB 設備卻無任何影響，筆者在單位實施1年多來，效果很好，現(xiàn)將詳細方法介紹出來，希望能給眾多網(wǎng)管們提供一點借鑒。

基本原理

組策略實現(xiàn)的原理實際上就是修改注冊表，當域用戶登錄到域上時，系統(tǒng)會對指定的客戶端實施組策略，也即修改客戶端的注冊表，當我們新建了一個組策略時，系統(tǒng)實際上是拷貝了三個模板文件，在您修改組策略時，實際上是在修改這些模板的副本，然后把這些策略應用到指定的客戶端中去，然而Windows 2000 Server系統(tǒng)提供的組策略模板中并沒有我們想要的屏蔽U 盤的策略，但我們可以手動修改系統(tǒng)的模板文件，使組策略模板具備屏蔽U 盤的策略，實際上根據(jù)其原理，凡是修改注冊表能做到的，基本上都可以在域中使用組策略實現(xiàn)。

實現(xiàn)方法

1、在域控制器上打開Active Directory用戶和計算機，找到您要屏蔽U 盤的組織單位（Organizational Unit 簡稱OU ），右鍵查看此組織單位的屬性，點擊組策略頁面，新建一個組策略，命名并保存為“屏蔽U 盤”，建好后，雙擊“屏蔽U 盤”（必需先打開一次，否則系統(tǒng)不會拷貝那幾個模板文件），在打開的標題為“組策略”的窗口的左邊，按以下順序定位“用戶配置－管理模板-Windows 組件-Windows 資源管理器”，選中Windows 資源

管理器，在右邊的窗口中會顯示。

我們可以看到有“隱藏我的計算機中的這些指定的驅動器”和“防止從我的計算機訪問驅動器”，雙擊打開其中一項策略，選擇“啟用”，下面的下拉列表會變亮，單擊下拉列表，如圖2所示，您會發(fā)現(xiàn)系統(tǒng)提供了7種限制訪問驅動器號的組合，其中也包括了“不限制驅動器”，顯然，這些組合不能滿足我們的要求（因為U 盤的

盤符通常是排在最后的，而且現(xiàn)在的硬盤比較大，少則也有三四個分區(qū)）。

2、在蚩刂破魃洗蚩狝ctive Directory 用戶和計算機，在剛才我們新建的“屏蔽U 盤”策略上單擊右鍵選擇查看屬性，在如圖3所示的位置找到" 屏蔽U 盤" 的組策略的唯一的名稱，此名稱為一長串數(shù)字和字母組成，本例中

為{82F86A8E-B345-4DDC-A304-E448F6E900A9}，記下此字符串。

3、打開系統(tǒng)盤，定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的檔夾，此檔夾位于

“C:WINNTSYSVOLbaling.com.cnPolicies”下（盤符依賴于您安裝的操作系統(tǒng)所在的分區(qū)），注意其中baling.com.cn 是您的Windows 2000的域名，打開{82F86A8E-B345-4DDC-A304-E448F6E900A9}目錄，找到ADM 目錄下的system.adm 檔，此檔是我們在實施組策略的模板文件，是一個純文本文件，可用記事本打開，找到下面這兩段代

碼：

* POLICY !!NoDrives

EXPLAIN !!NoDrives_Help

PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED

VALUENAME "NoDrives"

ITEMLIST

NAME !!ABOnly VALUE NUMERIC 3

NAME !!COnly V ALUE NUMERIC 4

NAME !!DOnly V ALUE NUMERIC 8

NAME !!ABConly VALUE NUMERIC 7

NAME !!ABCDOnly V ALUE NUMERIC 15

NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT

; low 26 bits on (1 bit per drive)

NAME !!RestNoDrives V ALUE NUMERIC 0

END ITEMLIST

END PART

END POLICY

* POLICY !!NoViewOnDrive

EXPLAIN !!NoViewOnDrive_Help

PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED

VALUENAME "NoViewOnDrive"

ITEMLIST

NAME !!ABOnly VALUE NUMERIC 3

NAME !!COnly V ALUE NUMERIC 4

NAME !!DOnly V ALUE NUMERIC 8

NAME !!ABConly VALUE NUMERIC 7

NAME !!ABCDOnly V ALUE NUMERIC 15

NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT

; low 26 bits on (1 bit per drive)

NAME !!RestNoDrives V ALUE NUMERIC 0

END ITEMLIST

END PART

END POLICY

說明：這是兩個策略，第一個!!NoDrive ，它的作用是在我的計算機中不顯示指定的驅動器名，驅動器號代表的所有驅動器不出現(xiàn)在標準的打開對話框上，但是在地址欄中輸入盤符或新建一個指向硬盤盤符的快捷方式，用戶仍然可以訪問該驅動器；第二個!!NoViewOnDrive 的作用是阻止用戶訪問驅動器。可以阻止上述情況的出現(xiàn)，但是僅僅用第二個的話，用戶可以看見該驅動器的盤符，但不能訪問，一般情況，兩個同時使用，可以達到比較理

想的效果。

仔細觀察上述代碼，不難發(fā)現(xiàn)，其中一共有7個NAME 項，正好和我們圖2下拉列表中的一一對應，后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的規(guī)則取值，low 26 bits on的意思說值為26位的二進制，最多可指定26個驅動器盤符，而1 bit per drive則代表1位代表1個驅動器，舉例說A=1，B=2，C=4，D=8，E=16，F(xiàn)=32，G=64，H=128，I=256，由低到高，以此類推。我們可根據(jù)我們的需要修改此代碼段，假如我們要隱藏A 、B 、C 、F 、G 、H 、I ，您可以根據(jù)您的需要而定，推薦隱藏的盤符數(shù)量應該大于您的現(xiàn)有的盤符數(shù)加上您客戶端所有的USB 接口數(shù)（防止有人同時插入幾個U 盤，呵呵?。Ｄ敲次覀冇嬎愠鯲ALUE NUMERIC的數(shù)值A B C F G H I

= 1 2 4 32 64 128 256 =487，在兩個策略中的

NAME !!ABCDOnly V ALUE NUMERIC 15

下插入一行

NAME !!ABCFGHIOnly V ALUE NUMERIC 487

隨后，移到System.adm 檔的末尾，在 ABConly="僅限制驅動器 A 、B 和 C" 下面插入一行數(shù)據(jù)，

ABCFGHIOnly="僅限制驅動器A 、B 、C 、F 、G 、H 、I"

等于號后引號內的說明您可以根據(jù)自己的喜好定義，它將會顯示在如圖2的下拉列表中。保存后，打開“屏蔽U 盤”策略，定位“用戶配置-管理模板-Windows 組件-Windows 資源管理器”，在右邊的窗口中雙擊“隱藏我的計算機中的這些指定的驅動器”或“防止從我的計算機訪問驅動器”其中的一個，點擊“啟用”，再點擊下拉列表，

哈哈，您會發(fā)現(xiàn)您多了一個選項。

這時候，您只要在您想屏蔽的用戶的組織單位上應用此策略（別忘了這兩個策略都需要設置），保存后，包含于該組織單位下的用戶登錄時，便會發(fā)現(xiàn)他的U 盤插上后，系統(tǒng)雖能識別并正確安裝驅動，但在“我的計算機”

中卻無法看見，并且通過其它方法也無法訪問，包括在地址欄中輸入盤符。

至此，全部設置完畢，讓您的客戶段使用此OU 下的用戶登錄看看吧！

其它注意事項：

1、這種方法在您的客戶端很多的時候，很方便，您只要確?？蛻舳说卿浻脩魧儆谀褢么私M策略的OU 下

即可，如果暫時需要允許他使用U 盤，那只要把該用戶移出此OU ，該用戶再注銷重新登錄一下就OK 。

2、需要注意的是，您在OU 中建立用戶時，用戶缺省是屬于Domain users組，這對于大多數(shù)軟件來說沒有問題，但會使有些軟件無法安裝或運行，您可以賦予這些用戶在客戶端本機的Power user組的權限，即可解決。

3、注意這種方法同時也屏蔽了您的光驅盤符，光驅也是不能訪問的。當然U 盤都屏蔽了，我想光驅就更該

屏蔽了，呵呵！如果實在要訪問，可以在計算機管理中的磁盤管理中賦予光驅一個靠后的盤符即可。

4、OU 是可以嵌套的，客戶端組策略的應用是從域根到OU 再到子OU ，而且是可以覆蓋的，除非您選定了“阻止策略繼承”。如果您在父OU 上設置了屏蔽U 盤，但在子OU 中又取消了屏蔽，那么客戶端的U 盤是不會

被屏蔽的。

5、如果您在一個OU 中設置了此屏蔽策略，但您又要在其它同級的OU 中要開放一些用戶的U 盤時，您需要重新建一個策略，而不是直接在“屏蔽U 盤”的策略上修改成不屏蔽U 盤，因為這是個鏈接到“屏蔽U 盤”的策略，您實際修改的是“屏蔽U 盤”策略，這會影響到他管理下的所有的OU ，他們都將會應用您修改后的策略。

6、在域中應用組策略時，系統(tǒng)只能對整個域、組織單位實施組策略，不能對單個的用戶或者計算機指定組

策略，在實際應用的時候，可多建立幾個組織單位來管理用戶。