windows 2003 網域中如何設定讓使用者無法使用USB

**hhdig** · 2006-06-06, 11:37 AM

有查過微軟知識庫中的文件
其中指出兩種,第一種是變更檔案權限,第二種是修改機碼
單是這兩種方式都是必須到單機面前一個一個修改
如何在群組原則或使用者權限當中去設定,不可使用USB的硬體

**infornet** · 2006-06-06, 12:11 PM

一個很笨的方法:USB的限制其實只是一個Registry key,把它轉成一個登錄檔然後掛在登入時的script裡面

**b0913** · 2006-06-06, 12:19 PM

防水牆!!!不錯的選擇可是不便宜....

**mis339** · 2006-06-06, 12:26 PM

作者：infornet

一個很笨的方法:USB的限制其實只是一個Registry key,把它轉成一個登錄檔然後掛在登入時的script裡面

這不是很笨的方法，因為……我也是這樣用的，呵～
不過……老實說，效果不好！因為有太多的狀況和限制了……
是有找到軟體可以控管，但是因為經費下不來只好將就用了！

P.S.完全不準某些員工用的話，最簡單的就是去BIOS把它給關了！

**hhdig** · 2006-06-06, 04:19 PM

BIOS很像關不掉....

好奇怪的微軟,為什麼不在新的伺服器系統中加入這個功能設定??
一直在找這方面的資訊,但是都指向同一個方法

**mis339** · 2006-06-06, 04:52 PM

什麼品牌電腦或是什麼主機板？
一般很少在BIOS不能把USB的功能關掉的！

**hhdig** · 2006-06-06, 05:45 PM

以下是在對岸的網站上找到的,文章連結http://www.winsvr.org/lofi.php?t640.html

伺服器Windows2003sp1、用戶端WindowsXPsp2

創建兩個OU，分別叫“禁用U盤”、“啟用U盤”

“禁用U盤”OU的設置
1、電腦配置\Windows設置\安全設置\檔系統設置
%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf
設置以上兩個檔許可權為“拒絕 Everyone 完全控制”
2、創建開機腳本DisableUSBSTOR.cmd，內容為
reg add HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR /v Start /t REG_DWORD /d 4 /f

“啟用U盤”OU的設置
1、電腦配置\Windows設置\安全設置\檔系統設置
%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf
設置以上兩個檔許可權為“Administrator 完全控制”、“System 完全控制”、“everyone為默認許可權（唯讀）”
2、創建開機腳本EnableUSBSTOR.cmd，內容為
reg add HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR /v Start /t REG_DWORD /d 3 /f

此外這兩個OU屬於同一父OU，我在該父OU上定義了一個策略
電腦配置\管理範本\系統\組策略
--安全性策略處理--即使尚未更改組策略物件也進行處理

----------------------------------------------------------------------

如果不設置“安全性策略處理”策略，那麼在用戶端手動修改了Usbstor.inf檔許可權，立即重啟電腦，查看Usbstor.inf許可權，還是手動修改的許可權，而不是組策略中定義的許可權。
組策略中檔許可權是只有在GPO改變時才更新，或者等到默認的刷新間隔16小時
修改註冊表可以可以改變強制刷新間隔
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
數值名稱：MaxNoGPOListChangesInterval
資料類型：DWORD
預設值為 0x3c0 （960分鐘或16小時）

我按此方法在客戶機時xp時有效，客戶機是2000的使用過USB就沒有用了

**hhdig** · 2006-06-06, 05:48 PM

也是這兩種方法,真是怪了......
除了使用其他的管理軟體,剩下的就都是這兩中方式

只是這個文章將應用方法寫的很完全

**hhdig** · 2006-06-06, 11:45 PM

以下是微軟論壇裡面的回覆

please refer to this KB:
HOWTO: Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120
drivers
http://support.microsoft.com/kb/555324/en-us

--------------------------------------------------------------------------
使用 windows xp sp2 和配合 Controlling block storage devices on USB buses http://www.microsoft.com/technet/pro.../sp2otech.mspx
文章,使用GPO 去派.

如使用 windows 2000 便使用這個
http://support.microsoft.com/kb/823732/zh-tw