USB Redirection Administrative Policy Interface in View
【最新精选】windowsserver2016的rdsvdi保安篇-如何限制使用者连接本地..
Windows Server 2012的RDS設置後, 預設允許所以本地裝置如USB記憶棒, 軟硬盤, 印表機, 視像頭, 剪貼簿等等…但這樣卻大大降低系統的保安程度,例如用戶的記憶棒被病毒入侵, 就會經RDS進入核心系統…又如有員工經過RDS把公司資料全部下載到記憶棒…所以有必要限制員工接入RDS可以連接的本地裝置, 而不同環境有不同的設定方式有原生的RDS方案, 也能用群組原則設定先說RDS原生的限制方法, RDS中每一個VDI Pool可以有不同的限制方針你可以設定某5個VDI平台可以列印, 另外5個VDI平台甚麼也不轉駁裝置, 配合公司各部門的保安要求來看看甚麼也不能轉駁的效果(確定後立即生效)當再次在RDweb 按VDI連線選項時, 遠端桌面連線彈出的詢問視窗已不見了左下角的詳細資料選項進入桌面後也見不到用戶的實體機裝置了這幅圖如果在VDI裡面也不能貼到我的Live Writer上, 因為剪貼簿也被封瑣了但這不影響VDI的內部操作, 所以這樣能有限度限制用戶剪貼公司內容到其他地方也不能把內容列印出來了再來我先把這個限制設定解除, 再介紹群組原則群組原則以OU或Security Group的角度設置限制, 它的位階也高於RDS的設定, 所以適合用作全局佈置群組原則的位置為:Computer Configuration\Policies\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection例如如果把拒絕磁碟機轉駁設定為使用的話雖然RDS沒有限制我的轉駁VDI電腦也因為群組原則限制而不能把磁碟機駁入了但這裡還有個問題就是使用者還能見到VDI機的C盤…還是有些安全危機所以最少應該把C盤像這樣隱藏起來題外話…有機會會再詳述, 暫不適用於VDI平台, 就算套用了也對VDI環境沒有影響, 至少在我的版本如是…不知是不是BUG如果整個RDS系統有設定閘道來進入, 可以用Remote Desktop Gateway Manager 限制連線的各種規定進入後會見到Gateway Server – Policies – Connection Authorization Policies在Divice Redirection一頁能夠設定用戶可以轉接入的裝置最底下有一個選項"Only allow client connections to Remote Desktop Session Host serversthat enforce RD Gateway device redirection”如果剔選的話會限制只能由RDP Client 7.0 以上才能接入, Windows 7 和Server 2008 原生支持Windows XP SP3 以上能以下載方式更新到RDP 7.0 :/kb/969084/en-us有些RDP Client能無視Gateway Manager的設定, 所以這設定也能提高保安性Technorati 的標籤: Windows Server 2012,RDS,VDI,保安,限制,使用者,連接本地裝置,redirectdevice,group policyDotBlogs Tags: group policy RDS redirect device VDI Windows Server 2012使用者保安限制連接本地裝置附加公文一篇,不需要的朋友可以下载后编辑删除,谢谢(关于进一步加快精准扶贫工作意见)为认真贯彻落实省委、市委扶贫工作文件精神,根据《关于扎实推进扶贫攻坚工作的实施意见》和《关于进一步加快精准扶贫工作的意见》文件精神,结合我乡实际情况,经乡党委、政府研究确定,特提出如下意见:一、工作目标总体目标:“立下愚公志,打好攻坚战”,从今年起决战三年,实现全乡基本消除农村绝对贫困现象,实现有劳动能力的扶贫对象全面脱贫、无劳动能力的扶贫对象全面保障,不让一个贫困群众在全面建成小康社会进程中掉队。
域策略禁用usb
域禁用usb模板.zippro_usb_users.adm此模板可禁用到指定盘符,针对用户策略pro_usb_computers.adm此模板针对计算机,一般只要它就好了。
可以从3 个方面下手1.adm 配置文件。
2.注册表b驱动其实adm配置文件,看起来是修改了本地组策略,其实最后还是通过修改注册表实现的。
我们只保留可以查看ABCDE 盘。
其他的盘符,不可查看,不可读写。
服务端Server 2003 \客户端XP 的版本为sp3, E盘为光驱,F盘为U盘第一种方法(不推荐这种,虽可图像化访问,但可以用DOS访问)要用到两个键NoDrives禁止显示(不显示在我的电脑里、如果NoViewOnDrive设置为访问时,可以通过直接访问完全路径进行访问)NoViewOnDrive禁止访问(其实可以通过命令行访问的),值为0 时,为启用功能,为1时是不启用。
可以在excel 中弄好自己想要隐藏的,复制到计算器内,转成16进制就好了结果为3FFFFE0Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"=dword:03ffffe0"NoViewOnDrive"=dword:03ffffe0这样,除了ABCDE 其他磁盘,为不显示,不可读写(但命令行可以访问)第二种呢、就是修改usbhub(旧系统) USBSTOR现在的系统Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\USBSTOR]"Start"=dword:00000004[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\usbhub]"Start"=dword:00000004https:///zh-cn/kb/823732官方文档此处需要注意一下修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor的Start为4时,每次接入新设备时,还会变为3,只有策略再次刷新过后,下次接入该USB 才不可被识别.当然清理过USB 痕迹,就也再次被识别,例如使用usbviewer工具知道注册表修改了什么,我们就开始写adm 文件https:///en-us/kb/555324可以下载模板文件,但注意开头为CLASS MACHINE也就是说,它是计算机配置的模板,针对计算机的配置,需要重启PC的。
企业电脑USB接口的权限控制
企业电脑USB接口的权限控制
如何禁止公司内部所有电脑的USB接口进行文件拷贝,但不能妨碍打印机、鼠标键盘、扫描仪、加密狗等等一切需要USB接口工作的外部设备。
说白了就是不让员工把公司的机密资料带出去。
下面介绍3种方法:
1、要管制USB存储设备,一般用户不能写不能读;部分用户能读不能写入USB存储设备;还有一部分人(公司高管)平时不读不写,在需要用的时候要能读能写!
del %Windir%\inf\usbstor.inf /q/f >nul
3、然后,禁止将电脑里的资料拷贝到USB存储设备,意思是把USB存储设备设置只读的。
打开注册表:定位到HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control,在其下新建一个名为“StorageDevicePolicies”的项,选中它,在右边的窗格中新建一个名为“WriteProtect”的DWORD值,并将其数值数据设置为1
del %Windir%\usbstor.inf /q/f >nul
@echo on
将以上代码保存为两个BAT文档,然后放进x:\Windows\system32\目录下,比如DisableUSB.bat和EnableUSB.bat
然后直接在运行里面输入指令:DisableUSB (关闭)EnableUSB(开启)
2、无论使用什么方式进行管制,不能影响到现在USB打印机、扫描仪、加密狗、鼠标键盘等等外部设备的使用。
1、方案一:BIOS里全部关闭USB端口
2、方案二:Client端安装USB管理软件,用软件进行管制,安装一台服务器,监控所有电脑的USB动态
3、方案三:从操作系统注册表下手,批处理执行管理
用AD组策略之彻低禁止USB存储设备
用AD组策略-----彻低禁止USB存储设备, , , , , ,本帖最后由 zh_cxl 于 2021-2-4 15:36 编纂原2008-10-13的更新有误,主要是usbstor.inf和usbstor.pnf的权限设置,现已更正详情请查看2008-10-13更新。
为了对USB更彻底的控制本次更新将对系统的usbstor.inf和usbstor.pnf的文件权限进行控制这两个文件位于windows\inf目录下〔这两个文件是USB 存储设备的驱动文件,本策略的道理是操纵NTFS权限阻止普通用户加载驱动〕,本卷须知:〔1〕使用前请确认你的系统盘使用的是NTFS权限,否那么此策略将无效。
(2) 此策略只能对计算机,不针对用户1、翻开组策略编纂器gpmc,选择计算机配置--安然设置--文件系统;2、在右边单击鼠标右键选择--添加文件;3、选择系统目录下的C:\windows\inf\usbstor.inf文件,单击确定;4、呈现权限设置对话框,注意这一步很重要必然要删除所有的组;5、呈现如下对话框,继续单确定;6、按照如上方法再把C:\windows\inf\usbstor.pnf添加进去,如以下图;7、找一台客户端计算机验证策略,强制刷新策略,从头启动计算机;8、查看客户端计算机c:\windows\inf\usbstor.inf及usbstor.pnf的NTFS权限,发现里面所有安然组已被删除。
策略应用成功,普通用户无法再使用USB存储设备。
2007-09-10先下载附件里的usb.adm文件详细操作如下:1,在DC里的OU里新建一条GPO组策略2、添加至组策略----计算机配置----办理模板中,3、注意在“查看〞----“筛选〞中去掉“只显示能完全办理的策略设置〞前面的勾4、右键办理模板--点添加删除模板--添加usb.adm的模板文件--点关闭窗口中呈现custom policy settings进入,就可以看到阿谁设备的,右键你想设置的设备如disable usb 呈现属性对话框点已启用在disable usb ports 中选enabled确定后重启计算机,就会发现usb接口不克不及用了,要恢复就禁用或选disabled,其它设备也是同样的操作.。
解决USB外设无法映射的问题redirect方案
许多用户在工作中经常会碰到一些USB外设无法映射的问题,在citrix官方的usb support list中列举的USB设备很少,但是被不是说不在列表中的就不被支持,我们可以尝试更多的方法来挂载一些非通用的USB设备,方法如下:1. 通过Usbdeview或者设备管理器里面读取设备的PID,VID信息2. 首先在DDC上开启USB Redirection并添加相应的Policy3.客户端安装Citrix Receiver或者Citrix Online Plug-in修改注册表:32bit OS:HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ICA Client\GenericUSB\Devices 64bit OS: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\ICAClient\GenericUSB\Devices根据设备的性质添加对应的AutoRedirect并将键值设为1右键Devices->New>Key,添加设备的PID,VID值,在右边的窗口添加新的DWORD value:AutoRedirect为14. 在客户端上运行组策略管理(开始->运行->gpedit.msc)计算机配置->右键管理模板->;添加删除模板,添加icaclient_usb.adm默认路径:c: \Program Files\Citrix\ICA Client\configuration\en\icaclient_usb.adm 添加完以后会多一个Citrix Components的目录,依次展开5. 在右侧的Generic USB Remoting中配置4个选项USB Device Rules:添加想要映射的USB设备PID,VID信息Existing USB device:Enable->Connect all available USB devicesNew USB Devices:Enable->Connect the USB deviceUSB Devices List in Desktop Viewer:Enable。
AD策略禁止USB
一、禁止USB存储设备、光驱、软驱、ZIP软驱在现在企业网络环境下,由于企业网络越来越大环境越来越复杂。
公司内员工素质参差不齐,公司为了加强网络安全性、数据保密性提出要封堵USB存储设备、光驱、软驱、ZIP软驱设备。
首先我们在企业网络环境要想实现以上目的,必须要有域环境。
这里肯定有朋友会说,没有域环境也能实现。
是的没有域环境我们可以通过修改每个客户端的注册表来实现,大家可以试想下我们企业环境就算不是很大的集团就算是个60多台小型网络环境,一台一台的去一个个修改每台客户端计算机的注册表也会累死。
所以我们在域环境下就可以通过在DC上建立策略,客户端应用策略后我们就比一台台的去客户端修改注册表来的简单省事多了。
好的言归正传,大家先下载我博文中的附件,附件内是该文中的核心。
其次我想推荐大家可以在自己的DC上安装GPMC组策略管理工具,来方便我们大家来对组策略管理已经排错。
第一步:我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。
第二步:打开组策略管理,右键点击→点击“创建并链接(GPO)”→输入组策略名称“禁止USB”。
因为我们这次的策略是希望企业内所有计算机都应用,故我们在域级别上创建一条GPO组策略。
第三步:右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。
第四步:在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。
(这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。
)双击“usb.adm”组策略模板添加“usb.adm”组策略模板。
添加后,回到“添加/删除模板”对话框,我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。
第五步:我们点击“添加/删除模板”对话框中的“关闭”按钮,回到“组策略编辑器”对话框中。
用AD组策略之彻低禁止USB存储设备
用AD组策略之彻低禁止USB存储设备2023-10-27•AD组策略基础介绍•禁止USB存储设备策略的制定•实施禁止USB存储设备策略•策略实施效果评估与优化•相关问题及解决方案目•总结与展望录01AD组策略基础介绍•AD组策略是一种集中式管理工具,它允许管理员在组织级别上定义和实施IT策略,以控制和规范用户行为和计算机行为。
它基于Windows Server操作系统,是活动目录(AD)的一部分,可以用于管理和配置网络中的计算机和用户。
AD组策略的定义通过AD组策略,管理员可以在组织级别上定义和实施IT策略,从而实现对整个网络中计算机和用户的集中化管理。
AD组策略的优点集中化管理AD组策略提供了丰富的配置选项和自定义功能,可以根据组织的需求进行灵活的配置和扩展。
灵活性和可扩展性AD组策略可以用于定义和实施安全性策略,包括用户身份验证、访问控制和数据保护等,从而提高网络的安全性。
安全性•AD组策略适用于各种规模的企业和组织,特别是那些需要集中化管理、灵活性和安全性需求的组织。
它可以用于控制和规范用户行为、计算机行为以及应用程序的安装、配置和管理等方面。
AD组策略的适用范围02禁止USB存储设备策略的制定通过禁止USB存储设备,减少公司信息泄露和数据安全风险。
确保公司信息安全提高工作效率合规性减少员工使用USB存储设备进行私人用途或与外部数据交换,从而专注于工作。
满足公司政策或行业规定,确保公司数据安全和合规性。
030201加密USB存储设备对于公司提供的加密USB存储设备,可以设置AD组策略来强制加密这些设备,以保护数据安全。
监控和报告建立监控机制,记录任何违反策略的行为,并采取适当的行动,例如报告给IT部门或管理层。
禁止USB存储设备通过AD组策略,将USB存储设备的使用完全禁止。
在实施策略之前,先在小范围内测试策略,以确保没有未预见的问题。
测试策略实施在实施策略后,密切关注员工的反应和策略的实际效果,并根据需要进行调整和改进。
在域环境中利用组策略禁止使用USB
刚接触域环境的时候在坛子上提过一个在域环境中利用组策略禁止使用USB接口的帖子.当时是求助,后来自己解决了.而后就有好多人就加我的QQ,问我是怎么解决的.所以把自己的经验发表一下.供大家分享.有不明白的请发贴提问.这个方法已经经过测试完全好用.另外我也有几个域的问题想问一下.希望知道的朋友不吝赐教.1.如何在域服务器上做限制,使域用户不能访问INTERNET,而却能访问LAN.2.如何使域中的电脑一部分要输入用户密码才能登陆,而一部分不需要输入密码直接能登陆.下面是屏蔽USB的方法:现在在公司数据保密问题越来越受到领导的重视,U盘自然成为各位领导的一块心病.因为其简便的操作特性让人觉的电脑里没有一样东西是安全的.如何防范---在BIOS中屏蔽USB端口,这个办法是“宁可错杀一千,不能放过一个”的笨办法,U盘是不可以使用了,但所有的USB 相关设备也都不能使用了.如果是在WINDOWS 2003域环境中,可以利用组策略妥善的来解决这个问题.即可以使用除U盘以外的任何USB设备,如打印机,USB键盘,鼠标.....思路:当计算机插入U盘后,系统会自动增加一个盘符,如果我们想办法禁止系统增加新的盘符,那么不就可以把U盘禁止了吗。
打開Active Directory用户和计算机,建立一个名为NOUSB的组织单位,也就是OU,如图:右键--属性-组策略,新建一个名为nousb的策略.如图:点编辑后出现组策略,我们来设置。
定位到用户配置—Windwos组件--Windows资源管理器我们要配置的是“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”这两个选项。
而现在这两个选项的启用菜单中没有我们要去禁止访问的盘符,这就需要手动的为组策略来添加我们需要的选项。
我们重新回到nousb属性对话框,选择nousb组策略,点下面的属性,记下弹出的又一个nousb属性对话框中的常规选项卡—摘要---唯一的名称({C04ED8BO。
安全管理禁用USB最简单最有效的方法
安全管理禁用USB最简单最有效的方法1.硬件层面的限制:这是最简单且最常见的方法。
通过USB端口的物理封锁或移除来阻止USB设备的插入。
这可以通过禁用主板上的USB接口、使用USB端口锁或封口胶等工具来实现。
这种方法非常有效,但也可能不方便,因为员工可能需要使用USB设备来传输数据或连接其他设备。
3.安全策略和权限控制:通过企业级安全策略和权限控制,可以对USB设备的使用进行更细粒度的控制。
企业可以设定策略,只允许特定的USB设备类型或特定的工作站使用USB设备。
此外,可以根据用户的角色或职责,分配不同的权限来限制或允许使用USB设备。
4.使用设备管理工具:企业可以使用专门的设备管理工具来控制和监控USB设备的使用。
这些工具可以在企业网络中检测和阻止未经授权的USB设备连接,并提供实时报警和审计功能。
这样的工具可以大大简化USB设备管理的工作,并提供更全面的安全保护。
5.教育和培训:除了技术手段之外,教育和培训也是非常重要的。
企业应该对员工进行安全意识教育,告知他们使用USB设备可能带来的安全风险,并制定明确的政策和规程来规范USB设备的使用。
员工需要了解企业的安全需求,并采取适当的行动来保护企业的信息和网络安全。
需要注意的是,禁用USB设备可能会对企业的正常运行和员工的工作造成一定的影响。
因此,在实施禁用控制之前,企业应该充分评估风险和利益,并在风险可接受的范围内选择合适的禁用方法。
此外,还建议企业建立完善的安全管理体系,包括防火墙、入侵检测系统、数据加密和备份等措施,以综合提升网络安全及数据保护能力。
微软USB设备重定向
更多灵活的重定向设置可以通过[设备安装限制] 策略实现
Computer Configuration\Administrative Templates\System\Device Installation Restrictions
演 示
Most Wanted RemoteFX Devices
RDP7.1 Client RemoteFX Devices Enumeration
/learning
/technet
/msdn
© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
解禁USB
QUOTE:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004
修改注册表项,禁用usb移动存储设备。 打开注册表文件,依次展开"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbehci”双击右面的“Start”键,把编辑窗口中的“数值数据”改为“4”,把基数选择为“十六进制”就可以了。改好后注销一下就可以看见效果了。为了防止别人用相同的方法来破解,我们可以删除或者改名注册表编辑器程序。
其实管理员经常做的,是将移动存储设备使用权限禁用配合屏蔽U盘图标。这种方法非常恶毒,就是说,即使改动了移动存储设备的使用权限,安装驱动后,在我的电脑里仍然看不到u盘的图标,即使为u盘重新分配盘符后仍然看不到。这种情况是因为管理员修改了注册表,屏蔽了除硬盘驱动器之外的所有盘符(以前在机房,光驱也常通过这种办法屏蔽)。懂得修改注册表的同学可以用regedit找到HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies\Explorer子键,将双字节项"NoDrives"的键值改为0或者干脆将"NoDrives"项删掉。注销一下再登陆,就能发现久违的u盘图标
如何禁用和解禁USB接口2008年03月31日 星期一 17:23方法一,BIOS设置法
重新启动计算机,在开机过程中,点击键盘上的“Delete”键,进入BIOS设置界面,选择“Integrated Peripherals”选项,展开后将“USB 1.1 Controller”和“USB 2.0 Contr01ler”选项的属性设置为“Disableed”,即可禁用USB接口。最后别忘记给BIOS设置上一个密码,这样他人就无法通过修改注册表解“锁”上述设备了。
Windows 2000实现屏蔽USB移动存储器的方法
Windows 2000 Professional 中实现屏蔽USB移动存储器的方法1.以Administrator身份登陆,在“运行”中输入gpedit.msc打开组策略窗口。
2.按以下顺序定位“用户配置-管理模板-Windows组件-Windows资源管理器”,选中Windows资源管理器,在右边的窗口中会显示如图1所示。
可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”,双击打开其中一项策略,选择“启用”,下面的下拉框会变亮,单击下拉框,会发现系统提供了7种限制访问驱动器号的组合,其中也包括了“不限制驱动器”,但是这些组合不能满足我们的要求(因为U盘的盘符通常是排在最后的,而且现在的硬盘比较大,可能有好几个分区,另外还可能有光驱)。
2.关闭组策略窗口。
打开资源管理器,确认文件夹选项里可以显示隐藏的文件和文件夹。
用记事本打开C:\WINNT\system32\GroupPolicy\Admin\system.adm文件。
此文件是我们在实施组策略的模板文件,实际上是一个纯文本文件,找到下面这两段代码:POLICY !!NoDrivesEXPLAIN !!NoDrives_HelpPART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDV ALUENAME "NoDrives"ITEMLISTNAME !!ABOnly V ALUE NUMERIC 3NAME !!COnly V ALUE NUMERIC 4NAME !!DOnly V ALUE NUMERIC 8NAME !!ABConly V ALUE NUMERIC 7NAME !!ABCDOnly V ALUE NUMERIC 15NAME !!ALLDrives V ALUE NUMERIC 67108863 DEFAULT; low 26 bits on (1 bit per drive)NAME !!RestNoDrives V ALUE NUMERIC 0END ITEMLISTEND PARTEND POLICYPOLICY !!NoViewOnDriveEXPLAIN !!NoViewOnDrive_HelpPART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDV ALUENAME "NoViewOnDrive"ITEMLISTNAME !!ABOnly V ALUE NUMERIC 3NAME !!COnly V ALUE NUMERIC 4NAME !!DOnly V ALUE NUMERIC 8NAME !!ABConly V ALUE NUMERIC 7NAME !!ABCDOnly V ALUE NUMERIC 15NAME !!ALLDrives V ALUE NUMERIC 67108863 DEFAULT; low 26 bits on (1 bit per drive)NAME !!RestNoDrives V ALUE NUMERIC 0END ITEMLISTEND PART3.修改说明:这两段代码分别对应两个策略,第一个!!NoDrives,它的作用是在我的电脑中不显示指定的驱动器名,驱动器号代表的所有驱动器不出现在标准的打开对话框上,但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式,用户仍然可以访问该驱动器;第二个!!NoViewOnDrive的作用是阻止用户访问驱动器。
Windows 2003 域控制器 组策略禁止USB的方法
Windows 2003 域控制器组策略禁止USB的方法我可以提供禁用usb的注册表方法定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR右边有一个叫start的键值双击他将值改成4 usb就禁用了下次要恢复只需将4改成3就好了把下段斜杠内的内容拷到文本文档中,保存成.ADM文件,然后打开你要做限制的OU的组策略,展开“用户配置,管理模板”,右击管理模板,添加/删除模板,然后把刚才保存的ADM文件导入!现在在这个OU下的所有用户将无法使用USB 存储设备!//////////////////////////////////////////////////////CLASS USERCATEGORY !!ADMDescPOLICY !!MMC_DeviceManagerXKEYNAME"Software\Policies\Microsoft\MMC\{90087284-d6d6-11d0-8353-00a0c90640b f}"#if version >= 4SUPPORTED !!SUPPORTED_Win2k#endifEXPLAIN !!MMC_Restrict_ExplainvalueNAME "Restrict_Run"valueON NUMERIC 0valueOFF NUMERIC 1END POLICYPOLICY !!MMC_DeviceManagerKEYNAME"Software\Policies\Microsoft\MMC\{74246bfc-4c96-11d0-abef-0020af6b0b7 a}"#if version >= 4SUPPORTED !!SUPPORTED_Win2k#endifEXPLAIN !!DEVMGR_Restrict_ExplainvalueNAME "Restrict_Run"valueON NUMERIC 0valueOFF NUMERIC 1END POLICYEnd CATEGORYCLASS MACHINECATEGORY !!ADMDescPOLICY !!USB_UHCD_PARAMSKEYNAME "SYSTEM\CurrentControlSet\Services\uhcd"EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!USB_UHCI_PARAMSKEYNAME "SYSTEM\CurrentControlSet\Services\usbuhci" EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!USB_EHCI_PARAMSKEYNAME "SYSTEM\CurrentControlSet\Services\usbehci" EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!USB_HUBKEYNAME "SYSTEM\CurrentControlSet\Services\usbhub" EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!CD_ROMKEYNAME "SYSTEM\CurrentControlSet\Services\cdrom"EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !!Floppy_DiskKEYNAME "SYSTEM\CurrentControlSet\Services\flpydisk"EXPLAIN !!STARTUPTYPE_HELPPART !!STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYEnd CATEGORY[strings]ADMDesc="自定义策略"MMC_DeviceManagerX="设备管理器扩展插件"MMC_DeviceManager="设备管理器"SUPPORTED_Win2k="至少使用Microsoft Windows 2000"MMC_Restrict_Explain="Disable ——禁用设备管理器扩展插件;Enable ——启用设备管理器扩展插件 "DEVMGR_Restrict_Explain="Disable ——禁用设备管理器;Enable ——启用设备管理器"USB_UHCD_PARAMS="USB通用主控制器驱动器"STARTUPTYPE_HELP="启动类型,3-手动,4-禁用"STARTUPTYPE="启动类型"USB_EHCI_PARAMS="Microsoft USB 2.0 Enhanced Host Controller Miniport Driver"USB_UHCI_PARAMS="Microsoft USB Universal Host Controller Miniport Driver"USB_HUB="Microsoft USB Standard Hub Driver"CD_ROM="光驱"Floppy_Disk="软驱"//////////////////////////////////////////////////////////还有种方法就是让每台机子开机时导入一个注册表文件(如何让每台机子开机导入注册表文件,就不用我讲了吧),文件内容为:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]"start"=dword:00000004然后在OU的计算机配置--windows设置--安全设置-注册表里面添一条:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR在该注册表项的权限设置中,将所有用户删除!只留 domain\administrator用户!一、在WindowsXP中禁用和管理USB接口1. 计算机未安装USB设备这种情况可以采取将%SystemRoot%Inf下的Usbstor.pnf和Usbstor.inf两个文件设置其用户的控制权限。
联想网御USB电子钥匙更改方法
网御USB口电子钥匙参数改变方法1、使用串口线连接防火墙背板COM2口,(串口2)。
与一台装有超级终端的PC机的串口。
打开超级终端,使用如下参数连接防火墙2、出现提示符后(如下图)使用用户名”admin”,密码”admin123”登录。
3、使用rst_policys –C命令暂时清除规则。
(-C的C必须为大写,在选择时,必须选Yes而不是Y)4、使用IE浏览器登录防火墙管理界面。
(此时不用使用认证程序),在系统配置选项中的基本参数页面下,记录一下防火墙序列号。
(例;下图中为bf313a1524e26792)5、返回桌面,使用邮件中另一附件InitKey.exe程序。
(双击该程序之前,请您确认USB电子钥匙已经插在PC机的USB口上。
)界面如下图。
6、点击读出会跳出要求输入“用户PIN的窗口”PIN默认为12345678,在以后的使用中,如果您更改过PIN请一定记住。
否则钥匙将无法使用。
7、输入后正确的PIN后,出现如下界面8、单击确定就可看见钥匙的参数。
9、请将您的防火墙设定的IP填入第一行。
将刚才在管理页面上抄下的防火墙序列号填入“防火墙ID”一行。
(例:在下图中IP为10.1.4.254,序列号为bf313a1524e26792 )10、全部填定完成后。
(请您一定确认在每一行未尾没有空格,否则会出现“用户名和密码错误)。
点击写入。
11、好了~~!至此,你的USB电子钥匙已经可以和防火墙配套使用。
可以通过管理员认证程序管理防火墙了。
如有不明白的地方,请您拔打010-******** 。
组策略禁用usb
用A D组策略-----彻低禁止U S B存储设备USB, ZIP, 软驱, 光驱, 设备USB, Update, 设备本帖最后由 zh_cxl 于 2009-2-4 15:36 编辑原2008-10-13的更新有误,主要是和的权限设置,现已更正详情请查看2008-10-13更新。
为了对USB更彻底的控制本次更新将对系统的和的文件权限进行控制这两个文件位于windows\inf目录下(这两个文件是USB存储设备的驱动文件,本策略的原理是利用NTFS权限阻止普通用户加载驱动),注意事项:(1)使用前请确认你的系统盘使用的是NTFS权限,否则此策略将无效。
(2) 此策略只能对计算机,不针对用户1、打开组策略编辑器gpmc,选择计算机配置--安全设置--文件系统;2、在右边单击鼠标右键选择--添加文件;3、选择系统目录下的C:\windows\inf\文件,单击确定;4、出现权限设置对话框,注意这一步很重要一定要删除所有的组;5、出现如下对话框,继续单确定;6、按照如上方法再把C:\windows\inf\添加进去,如下图;7、找一台客户端计算机验证策略,强制刷新策略,重新启动计算机;8、查看客户端计算机c:\windows\inf\及的NTFS权限,发现里面所有安全组已被删除。
策略应用成功,普通用户无法再使用USB存储设备。
2007-09-10先下载附件里的文件详细操作如下:1,在DC里的OU里新建一条GPO组策略2、添加至组策略----计算机配置----管理模板中,3、注意在“查看”----“筛选”中去掉“只显示能完全管理的策略设置”前面的勾4、右键管理模板--点添加删除模板--添加的模板文件--点关闭窗口中出现custom policy settings进入,就可以看到那个设备的,右键你想设置的设备如disable usb 出现属性对话框点已启用在disable usb ports 中选enabled确定后重启计算机,就会发现usb接口不能用了,要恢复就禁用或选disabled,其它设备也是同样的操作.。
USB禁用与解除
USB禁用与解除法一:禁用主板usb设备。
管理员在CMOS设置里将USB设备禁用,并且设置BIOS密码,这样U盘插到电脑上以后,电脑也不会识别。
这种方法有它的局限性,就是不仅禁用了U 盘,同时也禁用了其他的usb设备,比如usb鼠标,usb光驱等。
所以这种方法管理员一般不会用,除非这台电脑非常重要,值得他舍弃掉整个usb总线的功能。
但是这种屏蔽也可以破解,即便设置了密码。
整个BIOS设置都存放在CMOS 芯片里,而COMS的记忆作用是靠主板上的一个电容供电的。
电容的电来源于主板电池,所以,只要把主板电池卸下来,用一根导线将原来装电池的地方正负极短接,瞬间就能清空整个CMOS设置,包括BIOS的密码。
随后只需安回电池,自己重新设置一下CMOS,就可以使用usb设备了。
(当然,这需要打开机箱,一般众目睽睽之下不大适用~~)方法二:修改注册表项,禁用usb移动存储设备。
打开注册表文件,依次展开"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbehci”双击右面的“Start”键,把编辑窗口中的“数值数据”改为“4”,把基数选择为“十六进制”就可以了。
改好后注销一下就可以看见效果了。
为了防止别人用相同的方法来破解,我们可以删除或者改名注册表编辑器程序。
提示:“Start”这个键是USB设备的工作开关,默认设置为“3”表示手动,“2”是表示自动,“4”是表示停用。
方法三:隐藏盘符和禁止查看(适用于Windows系统)打开注册表编辑器,依次展开如下分支[HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurrentVersionPloiciesE xplorer],新建二进制值“NoDrives”,其缺省值均是00 00 00 00,表示不隐藏任何驱动器。
键值由四个字节组成,每个字节的每一位(bit)对应从A:到Z:的一个盘,当相应位为1时,“我的电脑”中相应的驱动器就被隐藏了。
利用组策略关闭域用户usb接口
利用组策略关闭域用户usb接口最近因安全审查,需要关闭公司内所有办公电脑的usb接口,使用户无法使用U盘等usb存储器。
考虑到所有办公电脑都接受域的管理,因而想到用域的组策略来实现该目的。
因组策略实施起来比较简单方便,事后恢复起来也很方便。
整个操作思路如下:1.通过注册表修改的方式实现客户端电脑USB接口不能用。
2.利用BAT批处理文件自动执行的方式,实现客户端注册表的自动修改。
3.通过域组策略指派客户端电脑自动运行制定的批处理文件。
下面就如何实现上述操作以及可能碰到的问题进行阐述;1.文件准备。
本次操作需要准备两个文件,我将两个文件分别命名为usb.bat 和usb.reg 。
文件内容分别如下:Usb.bat内容:@echo off@regedit /s \\xxx.xxx.xxx.xxx\netlogon\usbstor.reg@echo onExit(备注:xxx.xxx.xxx.xxx代表域服务器的IP地址,使用时修改为自己域服务器的ip地址即可)usb.reg内容:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Type"=dword:00000001"Start"=dword:00000004"ErrorControl"=dword:00000001"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00, \52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\ 00,52,00,2e,00,53,00,59,00,53,00,00,00"DisplayName"="USB 大容量存储设备"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00以上内容可以直接拷贝到txt记事本文件内,然后将后缀名修改为bat和reg保存就可以了。
usb设备禁用及解禁方法
假定您要阻止用户连接到已连接到执行Windows XP、Windows Server 2003 或Windows 2000 计算机的USB 存储设备,本文讨论您可以用于执行此操作的两种方法。
回到顶端解决方案要阻止用户连接到USB 存储设备,请根据您的情况,使用以下一个或多个过程。
如果计算机上尚未安装USB 存储设备如果计算机上尚未安装USB 存储设备,请向以下文件指派用户或组及本地系统帐户“拒绝”权限。
∙%SystemRoot%\Inf\Usbstor.pnf∙%SystemRoot%\Inf\Usbstor.inf这样,用户将无法在计算机上安装USB 存储设备。
要向用户或组分配对Usbstor.pnf 和Usbstor.inf 文件的“拒绝”权限,请按照下列步骤操作:1.启动Windows 资源管理器,然后找到%SystemRoot%\Inf 文件夹。
2.右键单击“Usbstor.pnf”文件,然后单击“属性”。
3.单击“安全”选项卡。
4.在“组或用户名称”列表中,添加要为其设置“拒绝”权限的用户或组。
5.在“UserName or GroupName 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框。
注意:此外,还需将系统帐户添加到“拒绝”列表中。
6.在“组或用户名称”列表中,选择“系统”帐户。
7.在“UserName or GroupName 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。
8.右键单击“Usbstor.inf”文件,然后单击“属性”。
9.单击“安全”选项卡。
10.在“组或用户名称”列表中,添加要为其设置“拒绝”权限的用户或组。
11.在“UserName or GroupName 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框。
12.在“组或用户名称”列表中,选择“系统”帐户。
13.在“UserName or GroupName 的权限”列表中,单击以选中“完全控制”旁边的“拒绝”复选框,然后单击“确定”。
机房管理之USB端口禁用
机房管理之USB端口禁用高中阶段学生对计算机有一定的了解,在利用计算机学习的过程中经常会利用自身携带的移动存储设备往计算机中安装游戏、病毒等程序,严重时甚至造成整个机房的网络瘫痪。
因此,禁用学生机的USB端口显得尤为重要。
以下为几种常用的USB禁用方法。
方法一:BIOS禁用开机按Del进入BIOS 设置界面;选择 Integrated Peripherals 菜单,找到USB设置项;分别设置 USB controller、 USB Legacy Support 为Disabled;保存设置。
不同的bios有不同的设置方法,但需要设置BIOS密码防止学生进入修改。
方法二:隐藏分区运行中输入regedit进入注册表,依次打开“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”在右窗口中新建一个DWORD键值,名为“NoDrives”。
编辑“NoDrives”值,将要隐藏分区对应的十进制数相加后的结果输入既可。
磁盘驱动器对应的键值如下:A 1B 2C 4D 8E 16F 32G 64H 128I 256J 512K 1024L 2048M 4096N 8192O 16384P 32768Q 65536R 131072S 262144T 524288U 1048576V 2097152W 4194304X 8388608Y 16777216Z 33554432 ALL 67108863(输入ALL对应值将隐藏所有分区)例如:我们的学生机有四个分区,即C、D、E、F区,可采用ALL对应值减去C、D、E、F分区对应的值即67108863-4-8-16-32=6710803,然后将6710803输入“NoDrives”十进制数值数据内即可隐藏C、D、E、F以外的其它分区。
但这种方法只能隐藏分区,如果在地址栏中输入盘符,还是可以打开的。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
USB R edirection A dministrative P olicy I nterface i n V iewThe interface for configuring redirection of USB devices to the View virtual desktop from the host system is greatly improved, with settings configurable through administrative policies. A comprehensive and expanded filtering mechanism now exists in the administrative user interface. For example, you may want to disallow redirection of USB mass storage (such as a USB flash drive), but allow headphones or a microphone. Configuration of USB device filtering is broader and easier than in prior versions of View.This new interface for configuring USB devices is currently supported only for the View Agent and for the Windows View Client. With the new View USB device filtering mechanism, you can:•Block unwanted USB devices•Block USB devices (such as keyboards or smart cards) forwarded by other means•Split functions between Client and Agent for composite devices (such as terminating a mouse locally, but forwarding audio and special buttonpresses)•Define custom filter settings for specific devices•Most USB devices are forwarded by default. Some devices are blocked by default:ü✓K eyboardü✓M ouseü✓S mart cardü✓A udio-out-only devices, such as speakersAdministrators configure USB devices in the admin (ADM) policy templates on the View Client and the View Agent. If these settings differ, rules of precedence determine which take effect.The administrator configures USB devices on the View Agent through the vdm_agent.adm administrative template. Install the vdm_agent.adm template on the Agent side, either:• On a parent, template, or other desktop source virtual machine. Then use the Local Group Policy Editor to configure USB policies.• On the Active Directory server, where you use the Group Policy Object EditorThe vdm_agent.adm template includes some client-downloadable-only settings. The client downloads these settings from the desktop at connection time. These allow an administrator to use the Global Policy Editor to configure unmanaged clients (such as a client that is not a member of Active Directory).The administrator configures USB device redirection on the View Client side through the vdm_client.adm administrative template. You install thevdm_client.adm template on the Client and then use the Local Group Policy Editor to configure.By default, most USB devices are filtered in. A specific setting can block a device. You can change this so that all devices are blockedunless specifically allowed by setting the following configuration: ExcludeAllDevices = trueThis can be set on either the View Client or the View Agent. Setting the value to true on either side activates it for both sides.For more details on VMWare View policy configuration, see the Configuring Policies chapter in the VMware View Administration guide. To focus on the topic of setting USB policies, search for USB in that chapter.Evaluation TasksUSB redirection takes careful configuration, but most organizations have only one or two USB devices to configure for their users. A few key points will help you before you practice with three evaluation tasks, from simple to more complex. Where to Configure the PoliciesWe will configure USB redirection on the Agent on the Active Directory server for these exercises. If you prefer, you can configure the settings on the Agent for a particular desktop source machine, in which case you use the Local Group Policy Editor after you import the vdm_agent.adm template. Or you can configure the settings on a Client machine with the vdm_client.adm template and the Local Group Policy Editor. If you configure on the Client, you must be more aware of the rules for conflict resolution between the Agent and Client. For rules ofAgent-Client conflict resolution for USB redirection configurations, carefully read the Configuring Policies chapter of the VMware View Administration guide.In all cases, if you are configuring USB redirection, you need to understand rules of precedence between:•USB settings. For example, the Exclude Vid/Pid Device filter policy setting takes precedence over the Include Vid/Pid Device filter policy setting forthe View Agent. Both the View Agent and the View Client have rules ofprecedence for USB settings. See Configuring Device Splitting PolicySettings for Composite USB Devices and Configuring Filter Policy Settings for USB Devices in the Configuring Policies chapter of the VMware ViewAdministration guide.•The View Agent and the View Client. For example, the View Agent Exclude Family filter policy setting always takes precedence over the same settingon the View Client.•USB settings on the Agent and Client that involve the Merge or Override modifier. For example, if you use the Override modifier with a devicesplitting policy setting on the View Agent, View Client uses the ViewAgent device splitting policy setting instead of the View Client devicesplitting policy setting. If you use the Merge modifier with a devicesplitting policy setting on the View Agent, View Client adds the ViewAgent setting to the equivalent View Client setting.•Global, desktop-pool-level, and user-level policies. User-level policies take precedence over the equivalent desktop-level policy settings and globalpolicy settings. Desktop-level policies take precedence over globalpolicies. T o understand these rules of precedence, read the ConfiguringPolicies chapter in the VMware View Administration guide. Finding theVendor ID and The Product ID for a USB Device Y ou can find the VIDand PID for a USB device in one of several ways:• In the Windows DeviceManager, after the View Client is installed on the client, and if the device is not already automatically redirected t o the View desktop. In the DeviceManager, browse to the connected device, right-click, and select Properties.• On the Internet, through a search on the product name combined with ‘vid’ and ‘pid’•In a log for VMware View after you have plugged in the USB device to the View Client (search for ‘vid’). Two of these logs follow. - The debug log:•Windows XP: C:\Documents and Settings\AllUsers\ApplicationData\VMware\VDM\logs\debug-<yyyy-mm- dd-nnnnnn>.log•Windows Vista / Windows 7: C:\Users\AllUsers\VMware\VDM\logs\debug-<yyyy-mm-dd-nnnnnn>.log- The vdm-sdct > vdm-sdct-<date_time> vdm-logs >debug-<date_time>.txt log placed on the Client desktop after you •choose Options > Support Information from the menu bar of the View Client•Translating Interfaces of Composite USB Devices into Their Functions•An important concept for composite USB devices is that of ‘interface’.Each composite device has various interfaces, or device functions. Forexample, the Philips SpeechMike dictation device used in Task 3 has sixinterfaces. In Task 3, you will split the interfaces of the SpeechMike device so that some functions like the trackball are kept local, and other functions,like audio in and out, are redirected to the View desktop.•You can get the interface numbers for a USB device from the same log where you got the VID and PID numbers for the device.•Translating the interface numbers into their functions for any composite device is not straightforward and may require some trial and error, as wellas Internet searches and communication with device vendor supportrepresentatives.Task 1Block the redirection of all USB devices, except storagedevices, from the client to the View desktop. Test to makesure y ou h ave a ccomplished t his t ask.Import the View Agent policy file to the Active Directory server so you can configure USB devices at the domain level.1. Create an Organizational Unit (OU) for your View desktops, create a GPO for View group policies, and link the GPO to the OU, according to Active Directory Group Policy Example in the Configuring Policies chapter of the VMware View Administration guide.2.Copythevdm_agent.admViewAgentconfigurationtemplatefilefromthefollowingdi rectoryontheViewConnectionServerhost:<install_directory>/VMware/VMwareView/Server/extras/GroupPolicyFilesCopy the vdm_agent.adm file to the desktop of the Active Directory server.3.OntheActiveDirectoryserver,followtheinstructionstonavigatetotheGroupPolicyO bjectEditorinAddViewADMTemplatestoa G PO in the Configuring Policies chapter of the VMware View Administration guide.4.Navigate to Computer Configuration > Administrative Templates.5.Right-clickAdministrativeTemplates.6. ClickAdd/RemoveTemplates,andclickAdd.7. Navigate to the Desktop, where you placed the vdm_agent.adm template file and click Open.8. ClosetheAdd/RemoveTemplateswindow.The View Agent group policy settings are now added to the Active Directory environment and are available for configuration.I nclude USB storage devices.1. Reopen the Group Policy Object Editor.2.IntheGroupObjectPolicyEditor,navigatetoComputerConfiguration>Administrativ eTemplates>ClassicAdministrative Templates (ADM) > VMware View Agent Configuration > View USB Configuration.3. SelectIncludeDeviceFamily.4. Click Edit policy setting.5. EnabletheIncludeDeviceFamilysettingandtype: o:storagein the Include Device Family text box.This includes storage devices such as USB flash drives for redirection, with the override modifier, which causes this View Agent setting to override the equivalent View Client USB setting.6. ClickOK.E xclude all other devices besides the included storage devices.1.In the Group Policy Object Editor, select the Exclude All Devices setting andclick Edit policy setting.2.EnabletheExcludeAllDevicessetting.3. ClickOK.This blocks all devices other than storage devices, as designated in the Include Device Family setting. In the order of precedence rules for USB device filtering, the Include Device Family setting takes precedence over the Exclude All Devices policy so that storage devices are allowed.Any Client USB setting for Exclude All Devices is overridden. The Agent Exclude All Devices setting overrides any setting for Exclude All Devices on the Client.Any Client setting for Include Device Family is overridden because the Agent setting has the Override (‘o’) modifier.T est your setup. USB storage devices should be enabled for redirection to the View desktop, but other USB devices should not be redirected. One way to test this is to examine the Connected USB Device dropdown menu on the View Client to make sure it includes any connected USB storage devices.Task 2Disable redirection of all storage devices except the IronKey e ncrypted s torage d evice.As in Task 1, import the View Agent policy file to the Active Directory server so you can configure USB devices at the domain level.Include the IronKey storage device.1. In the Group Police Object Editor, select the Include Vid/Pid Device setting and click Edit policy setting.2. EnabletheIncludeVid/PidDevicesetting.3.IntheIncludeVid/PidDevicetextfield,typetheVendorIDandProductIDfortheIronKe ystoragedevice.3.Click OK.This allows redirection of the IronKey Secure Drive USB Device.N ow, e xclude a ll o ther U SB d evices b esides t he I ronKey d evice.1. In the Group Policy Editor, select the Exclude All Devices setting and click Edit policy setting.2. EnabletheExcludeAllDevicessetting.3. ClickOK.This blocks all devices other than the IronKey device, as designated in the Include Vid/Pid Device setting. In the order of precedence rules for USB device filtering, the Include Vid/Pid Device setting takes precedence over the Exclude All Devices policy so that the IronKey storage device is allowed.Any Client USB setting for Exclude All Devices is overridden. The Agent Exclude All Devices setting overrides any setting for Exclude All Devices on the Client.Any Client setting for Include Vid/Pid Device is overridden because the Agent setting has the Override (‘o’) modifier.Test your setup. The IronKey USB storage device should be enabled for redirection to the View desktop, but other USB devices should not be redirected.One way to test this is to examine the Connect USB Device dropdown menu on the View Client to make sure it includes the IronKey storage device.Task 3Split a composite USB device (here we use the Philips SpeechMike d ictation d evice), a nd s et a udio i nterfaces a nd the dictation keys to be redirected to the View desktop, while keeping the mouse local to the client. Test to make sure y ou h ave a ccomplished t his t ask.You can get the Vendor ID and Product ID from client logs, from the Internet, or from device documentation. The following line is from the debug log on the View Client after the SpeechMike device was plugged in:2012-05-01T10:58:39.343+01:00 DEBUG (0094-00A8)<vmware-usbd> [vmware-view-usbd] DevFltr: Device id:Vid-0911_Pid-149aTo configure the device functions separately for the composite SpeechMike device, find the interface numbers in a client log, on the Internet, or in the device documentation. The following lines are from the debug log on the View Client after the SpeechMike device was plugged in. The log lists the six SpeechMike interfaces, numbered 0 to 5: audio in and out (0-2), a trackball (3), and keys specific to the dictation process, such as Play and Rewind (4 and 5).2012-05-01T10:58:39.343+01:00 DEBUG (0094-00A8)<vmware-usbd> [vmware-view-usbd] DevFltr:Interface count: 62012-05-01T10:58:39.343+01:00 DEBUG (0094-00A8)<vmware-usbd> [vmware-view-usbd] DevFltr:Interface [0] - Family(s): audio2012-05-01T10:58:39.343+01:00 DEBUG (0094-00A8)<vmware-usbd> [vmware-view-usbd] DevFltr:Interface [1] - Family(s): audio,audio-in2012-05-01T10:58:39.359+01:00 DEBUG (0094-00A8)<vmware-usbd> [vmware-view-usbd] DevFltr:Interface [2] - Family(s): audio,audio-out2012-05-01T10:58:39.359+01:00 DEBUG (0094-00A8)<vmware-usbd> [vmware-view-usbd] DevFltr:Interface [3] - Family(s): mouse2012-05-01T10:58:39.359+01:00 DEBUG (0094-00A8)<vmware-usbd> [vmware-view-usbd] DevFltr:Interface [4] - Family(s): mouse2012-05-01T10:58:39.359+01:00 DEBUG (0094-00A8)<vmware-usbd> [vmware-view-usbd] DevFltr:Interface [5] - Family(s): hidAs i n T ask 1, i mport t he V iew A gent p olicy f ile t o t he A ctive D irectory s erver s o y ou can c onfigure U SB d evices a t t he d omain l evel.Enable t he S peechMike d evice f or U SB r edirection. I t i s e xcluded b y d efault b ecause it c ontains a n H ID (the t rackball).1.In the Group Policy Object Editor, select the Include Vid/Pid Device settingand click Edit policy setting.2.EnabletheIncludeVid/PidDevicesetting.3.IntheIncludeVid/PidDevicetextfield,typetheVendorIDandProductIDfortheSpeech Mikestoragedevice: o:vid-0911_pid-149aThis sets the SpeechMike USB device redirection enablement to override anyequivalent setting on the View Client.4. ClickOK.This allows redirection of the SpeechMike USB device, when it would otherwise be disabled from redirection by default.S plit the composite device so that the trackball remains local and the other interfaces a re r edirected t o t he V iew d esktop. Y ou d o t his a ll i n o ne s tep.1.In the Group Policy Object Editor, select the Split Vid/Pid Device setting andclick Edit policy setting.2. EnableSplitVid/PidDeviceandtypeintheSplitVid/PidDevicetextfield:o:vid-0911_pid-149a(exintf:03)w here ‘o’ means that this View Agent setting will override any Split Vid/PidDevice setting on the View Clientand e xintf:03 excludes interface 3 (the trackball) from being redirected to the View desktop.3. ClickOK.Test your settings. Only the trackball should remain local. All other SpeechMikeinterfaces should be redirected to the View desktop. A quick test of enablementis to check the choices in the Connect USB Device dropdown menu at the top of the View Client window. The trackball should not be in the list, but the otherfunctions of the SpeechMike such as audio in and out and the dictation keysshould be available for redirection. Actual audio device functionality may takefurther d evice s etup i n t he C ontrol P anel.。