在域控上禁止U 盤的視頻實(shí)現(xiàn)條件當(dāng)然這是有前提條件的，首先，您的局域網(wǎng)必須以域?yàn)榧軜?gòu)（我們知道Windows 2000、Windows XP自己都自帶有組策略編輯器，使用組策略編輯器可單獨(dú)編輯每臺(tái)機(jī)器

在域控上禁止U 盤的視頻

實(shí)現(xiàn)條件

當(dāng)然這是有前提條件的，首先，您的局域網(wǎng)必須以域?yàn)榧軜?gòu)（我們知道Windows 2000、Windows XP自己都自帶有組策略編輯器，使用組策略編輯器可單獨(dú)編輯每臺(tái)機(jī)器的策略，而使用域時(shí)，只要用戶登錄到域，就會(huì)自動(dòng)應(yīng)用策略，在服務(wù)器端修改一次，就可以在全域?qū)崿F(xiàn)管理目標(biāo)，如果不采用域模式，您需要每臺(tái)都要設(shè)置組策略，

失去了效率，也就沒有采用的必要了）。

其次，客戶端必須以域用戶的身份登錄網(wǎng)絡(luò)，且不能被賦予客戶端本機(jī)管理員的權(quán)限?？蛻舳瞬僮飨到y(tǒng)推薦使用Windows 2000和Windows XP，雖然Windows 98也能在域環(huán)境下應(yīng)用組策略，但Windows 2000 Server組策略對(duì)Windows 98的支持并不完全，且需要采用兩種完全不同的方法分別管理他們，會(huì)對(duì)您以后的網(wǎng)絡(luò)管理帶來不便。

特別說明：這里介紹的方法并不適用于Windows 98，只適用于服務(wù)器端安裝Windows 2000 Server或Windows Server 2003。只要您的網(wǎng)絡(luò)滿足以上條件，我們就可以利用組策略屏蔽U 盤，而對(duì)于其它USB 設(shè)備卻無任何影響，筆者在單位實(shí)施1年多來，效果很好，現(xiàn)將詳細(xì)方法介紹出來，希望能給眾多網(wǎng)管們提供一點(diǎn)借鑒。

基本原理

組策略實(shí)現(xiàn)的原理實(shí)際上就是修改注冊表，當(dāng)域用戶登錄到域上時(shí)，系統(tǒng)會(huì)對(duì)指定的客戶端實(shí)施組策略，也即修改客戶端的注冊表，當(dāng)我們新建了一個(gè)組策略時(shí)，系統(tǒng)實(shí)際上是拷貝了三個(gè)模板文件，在您修改組策略時(shí)，實(shí)際上是在修改這些模板的副本，然后把這些策略應(yīng)用到指定的客戶端中去，然而Windows 2000 Server系統(tǒng)提供的組策略模板中并沒有我們想要的屏蔽U 盤的策略，但我們可以手動(dòng)修改系統(tǒng)的模板文件，使組策略模板具備屏蔽U 盤的策略，實(shí)際上根據(jù)其原理，凡是修改注冊表能做到的，基本上都可以在域中使用組策略實(shí)現(xiàn)。

實(shí)現(xiàn)方法

1、在域控制器上打開Active Directory用戶和計(jì)算機(jī)，找到您要屏蔽U 盤的組織單位（Organizational Unit 簡稱OU ），右鍵查看此組織單位的屬性，點(diǎn)擊組策略頁面，新建一個(gè)組策略，命名并保存為“屏蔽U 盤”，建好后，雙擊“屏蔽U 盤”（必需先打開一次，否則系統(tǒng)不會(huì)拷貝那幾個(gè)模板文件），在打開的標(biāo)題為“組策略”的窗口的左邊，按以下順序定位“用戶配置－管理模板-Windows 組件-Windows 資源管理器”，選中Windows 資源

管理器，在右邊的窗口中會(huì)顯示。

我們可以看到有“隱藏我的計(jì)算機(jī)中的這些指定的驅(qū)動(dòng)器”和“防止從我的計(jì)算機(jī)訪問驅(qū)動(dòng)器”，雙擊打開其中一項(xiàng)策略，選擇“啟用”，下面的下拉列表會(huì)變亮，單擊下拉列表，如圖2所示，您會(huì)發(fā)現(xiàn)系統(tǒng)提供了7種限制訪問驅(qū)動(dòng)器號(hào)的組合，其中也包括了“不限制驅(qū)動(dòng)器”，顯然，這些組合不能滿足我們的要求（因?yàn)閁 盤的

盤符通常是排在最后的，而且現(xiàn)在的硬盤比較大，少則也有三四個(gè)分區(qū)）。

2、在蚩刂破魃洗蚩狝ctive Directory 用戶和計(jì)算機(jī)，在剛才我們新建的“屏蔽U 盤”策略上單擊右鍵選擇查看屬性，在如圖3所示的位置找到" 屏蔽U 盤" 的組策略的唯一的名稱，此名稱為一長串?dāng)?shù)字和字母組成，本例中

為{82F86A8E-B345-4DDC-A304-E448F6E900A9}，記下此字符串。

3、打開系統(tǒng)盤，定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的檔夾，此檔夾位于

“C:WINNTSYSVOLbaling.com.cnPolicies”下（盤符依賴于您安裝的操作系統(tǒng)所在的分區(qū)），注意其中baling.com.cn 是您的Windows 2000的域名，打開{82F86A8E-B345-4DDC-A304-E448F6E900A9}目錄，找到ADM 目錄下的system.adm 檔，此檔是我們在實(shí)施組策略的模板文件，是一個(gè)純文本文件，可用記事本打開，找到下面這兩段代

碼：

* POLICY !!NoDrives

EXPLAIN !!NoDrives_Help

PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED

VALUENAME "NoDrives"

ITEMLIST

NAME !!ABOnly VALUE NUMERIC 3

NAME !!COnly V ALUE NUMERIC 4

NAME !!DOnly V ALUE NUMERIC 8

NAME !!ABConly VALUE NUMERIC 7

NAME !!ABCDOnly V ALUE NUMERIC 15

NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT

; low 26 bits on (1 bit per drive)

NAME !!RestNoDrives V ALUE NUMERIC 0

END ITEMLIST

END PART

END POLICY

* POLICY !!NoViewOnDrive

EXPLAIN !!NoViewOnDrive_Help

PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED

VALUENAME "NoViewOnDrive"

ITEMLIST

NAME !!ABOnly VALUE NUMERIC 3

NAME !!COnly V ALUE NUMERIC 4

NAME !!DOnly V ALUE NUMERIC 8

NAME !!ABConly VALUE NUMERIC 7

NAME !!ABCDOnly V ALUE NUMERIC 15

NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT

; low 26 bits on (1 bit per drive)

NAME !!RestNoDrives V ALUE NUMERIC 0

END ITEMLIST

END PART

END POLICY

說明：這是兩個(gè)策略，第一個(gè)!!NoDrive ，它的作用是在我的計(jì)算機(jī)中不顯示指定的驅(qū)動(dòng)器名，驅(qū)動(dòng)器號(hào)代表的所有驅(qū)動(dòng)器不出現(xiàn)在標(biāo)準(zhǔn)的打開對(duì)話框上，但是在地址欄中輸入盤符或新建一個(gè)指向硬盤盤符的快捷方式，用戶仍然可以訪問該驅(qū)動(dòng)器；第二個(gè)!!NoViewOnDrive 的作用是阻止用戶訪問驅(qū)動(dòng)器。可以阻止上述情況的出現(xiàn)，但是僅僅用第二個(gè)的話，用戶可以看見該驅(qū)動(dòng)器的盤符，但不能訪問，一般情況，兩個(gè)同時(shí)使用，可以達(dá)到比較理

想的效果。

仔細(xì)觀察上述代碼，不難發(fā)現(xiàn)，其中一共有7個(gè)NAME 項(xiàng)，正好和我們圖2下拉列表中的一一對(duì)應(yīng)，后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的規(guī)則取值，low 26 bits on的意思說值為26位的二進(jìn)制，最多可指定26個(gè)驅(qū)動(dòng)器盤符，而1 bit per drive則代表1位代表1個(gè)驅(qū)動(dòng)器，舉例說A=1，B=2，C=4，D=8，E=16，F(xiàn)=32，G=64，H=128，I=256，由低到高，以此類推。我們可根據(jù)我們的需要修改此代碼段，假如我們要隱藏A 、B 、C 、F 、G 、H 、I ，您可以根據(jù)您的需要而定，推薦隱藏的盤符數(shù)量應(yīng)該大于您的現(xiàn)有的盤符數(shù)加上您客戶端所有的USB 接口數(shù)（防止有人同時(shí)插入幾個(gè)U 盤，呵呵?。Ｄ敲次覀冇?jì)算出VALUE NUMERIC的數(shù)值A(chǔ) B C F G H I

= 1 2 4 32 64 128 256 =487，在兩個(gè)策略中的

NAME !!ABCDOnly V ALUE NUMERIC 15

下插入一行

NAME !!ABCFGHIOnly V ALUE NUMERIC 487

隨后，移到System.adm 檔的末尾，在 ABConly="僅限制驅(qū)動(dòng)器 A 、B 和 C" 下面插入一行數(shù)據(jù)，

ABCFGHIOnly="僅限制驅(qū)動(dòng)器A 、B 、C 、F 、G 、H 、I"

等于號(hào)后引號(hào)內(nèi)的說明您可以根據(jù)自己的喜好定義，它將會(huì)顯示在如圖2的下拉列表中。保存后，打開“屏蔽U 盤”策略，定位“用戶配置-管理模板-Windows 組件-Windows 資源管理器”，在右邊的窗口中雙擊“隱藏我的計(jì)算機(jī)中的這些指定的驅(qū)動(dòng)器”或“防止從我的計(jì)算機(jī)訪問驅(qū)動(dòng)器”其中的一個(gè)，點(diǎn)擊“啟用”，再點(diǎn)擊下拉列表，

哈哈，您會(huì)發(fā)現(xiàn)您多了一個(gè)選項(xiàng)。

這時(shí)候，您只要在您想屏蔽的用戶的組織單位上應(yīng)用此策略（別忘了這兩個(gè)策略都需要設(shè)置），保存后，包含于該組織單位下的用戶登錄時(shí)，便會(huì)發(fā)現(xiàn)他的U 盤插上后，系統(tǒng)雖能識(shí)別并正確安裝驅(qū)動(dòng)，但在“我的計(jì)算機(jī)”

中卻無法看見，并且通過其它方法也無法訪問，包括在地址欄中輸入盤符。

至此，全部設(shè)置完畢，讓您的客戶段使用此OU 下的用戶登錄看看吧！

其它注意事項(xiàng)：

1、這種方法在您的客戶端很多的時(shí)候，很方便，您只要確?？蛻舳说卿浻脩魧儆谀褢?yīng)用此組策略的OU 下

即可，如果暫時(shí)需要允許他使用U 盤，那只要把該用戶移出此OU ，該用戶再注銷重新登錄一下就OK 。

2、需要注意的是，您在OU 中建立用戶時(shí)，用戶缺省是屬于Domain users組，這對(duì)于大多數(shù)軟件來說沒有問題，但會(huì)使有些軟件無法安裝或運(yùn)行，您可以賦予這些用戶在客戶端本機(jī)的Power user組的權(quán)限，即可解決。

3、注意這種方法同時(shí)也屏蔽了您的光驅(qū)盤符，光驅(qū)也是不能訪問的。當(dāng)然U 盤都屏蔽了，我想光驅(qū)就更該

屏蔽了，呵呵！如果實(shí)在要訪問，可以在計(jì)算機(jī)管理中的磁盤管理中賦予光驅(qū)一個(gè)靠后的盤符即可。

4、OU 是可以嵌套的，客戶端組策略的應(yīng)用是從域根到OU 再到子OU ，而且是可以覆蓋的，除非您選定了“阻止策略繼承”。如果您在父OU 上設(shè)置了屏蔽U 盤，但在子OU 中又取消了屏蔽，那么客戶端的U 盤是不會(huì)

被屏蔽的。

5、如果您在一個(gè)OU 中設(shè)置了此屏蔽策略，但您又要在其它同級(jí)的OU 中要開放一些用戶的U 盤時(shí)，您需要重新建一個(gè)策略，而不是直接在“屏蔽U 盤”的策略上修改成不屏蔽U 盤，因?yàn)檫@是個(gè)鏈接到“屏蔽U 盤”的策略，您實(shí)際修改的是“屏蔽U 盤”策略，這會(huì)影響到他管理下的所有的OU ，他們都將會(huì)應(yīng)用您修改后的策略。

6、在域中應(yīng)用組策略時(shí)，系統(tǒng)只能對(duì)整個(gè)域、組織單位實(shí)施組策略，不能對(duì)單個(gè)的用戶或者計(jì)算機(jī)指定組

策略，在實(shí)際應(yīng)用的時(shí)候，可多建立幾個(gè)組織單位來管理用戶。