hhdig
2006-06-06, 11:37 AM
有查過微軟知識庫中的文件
其中指出兩種,第一種是變更檔案權限,第二種是修改機碼
單是這兩種方式都是必須到單機面前一個一個修改
如何在群組原則或使用者權限當中去設定,不可使用USB的硬體
贊助商連結
其中指出兩種,第一種是變更檔案權限,第二種是修改機碼
單是這兩種方式都是必須到單機面前一個一個修改
如何在群組原則或使用者權限當中去設定,不可使用USB的硬體
贊助商連結
windows 2003 網域中如何設定讓使用者無法使用USB 贊助商連結 頁 :
[1]
2
hhdig 2006-06-06, 11:37 AM 有查過微軟知識庫中的文件 其中指出兩種,第一種是變更檔案權限,第二種是修改機碼 單是這兩種方式都是必須到單機面前一個一個修改 如何在群組原則或使用者權限當中去設定,不可使用USB的硬體 贊助商連結 infornet 2006-06-06, 12:11 PM 一個很笨的方法:USB的限制其實只是一個Registry key,把它轉成一個登錄檔然後掛在登入時的script裡面 b0913 2006-06-06, 12:19 PM 防水牆!!!不錯的選擇 可是不便宜.... mis339 2006-06-06, 12:26 PM 一個很笨的方法:USB的限制其實只是一個Registry key,把它轉成一個登錄檔然後掛在登入時的script裡面 這不是很笨的方法,因為……我也是這樣用的,呵~ 不過……老實說,效果不好!因為有太多的狀況和限制了…… 是有找到軟體可以控管,但是因為經費下不來只好將就用了! P.S.完全不準某些員工用的話,最簡單的就是去BIOS把它給關了! hhdig 2006-06-06, 04:19 PM BIOS很像關不掉.... 好奇怪的微軟,為什麼不在新的伺服器系統中加入這個功能設定?? 一直在找這方面的資訊,但是都指向同一個方法 mis339 2006-06-06, 04:52 PM 什麼品牌電腦或是什麼主機板? 一般很少在BIOS不能把USB的功能關掉的! hhdig 2006-06-06, 05:45 PM 以下是在對岸的網站上找到的,文章連結http://www.winsvr.org/lofi.php?t640.html 伺服器Windows2003sp1、用戶端WindowsXPsp2 創建兩個OU,分別叫“禁用U盤”、“啟用U盤” “禁用U盤”OU的設置 1、電腦配置\Windows設置\安全設置\檔系統設置 %SystemRoot%\Inf\Usbstor.pnf %SystemRoot%\Inf\Usbstor.inf 設置以上兩個檔許可權為“拒絕 Everyone 完全控制” 2、創建開機腳本DisableUSBSTOR.cmd,內容為 reg add HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR /v Start /t REG_DWORD /d 4 /f “啟用U盤”OU的設置 1、電腦配置\Windows設置\安全設置\檔系統設置 %SystemRoot%\Inf\Usbstor.pnf %SystemRoot%\Inf\Usbstor.inf 設置以上兩個檔許可權為“Administrator 完全控制”、“System 完全控制”、“everyone為默認許可權(唯讀)” 2、創建開機腳本EnableUSBSTOR.cmd,內容為 reg add HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR /v Start /t REG_DWORD /d 3 /f 此外這兩個OU屬於同一父OU,我在該父OU上定義了一個策略 電腦配置\管理範本\系統\組策略 --安全性策略處理--即使尚未更改組策略物件也進行處理 ---------------------------------------------------------------------- 如果不設置“安全性策略處理”策略,那麼在用戶端手動修改了Usbstor.inf檔許可權,立即重啟電腦,查看Usbstor.inf許可權,還是手動修改的許可權,而不是組策略中定義的許可權。 組策略中檔許可權是只有在GPO改變時才更新,或者等到默認的刷新間隔16小時 修改註冊表可以可以改變強制刷新間隔 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A} 數值名稱:MaxNoGPOListChangesInterval 資料類型:DWORD 預設值為 0x3c0 (960分鐘或16小時) 我按此方法在客戶機時xp時有效,客戶機是2000的使用過USB就沒有用了 hhdig 2006-06-06, 05:48 PM 也是這兩種方法,真是怪了...... 除了使用其他的管理軟體,剩下的就都是這兩中方式 只是這個文章將應用方法寫的很完全 hhdig 2006-06-06, 11:45 PM 以下是微軟論壇裡面的回覆 please refer to this KB: HOWTO: Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 drivers http://support.microsoft.com/kb/555324/en-us -------------------------------------------------------------------------- 使用 windows xp sp2 和配合 Controlling block storage devices on USB buses http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2otech.mspx 文章,使用GPO 去派. 如使用 windows 2000 便使用這個 http://support.microsoft.com/kb/823732/zh-tw 門神 2006-06-07, 09:10 PM ^^ 我發誓 , 我真的看過 , 這也是方法之一 拿熱溶膠把它封起來 !! |
|