域策略禁用usb

在域管理中用策略禁止U盘的方法用策略控制域中的U盘问题相信管理员朋友都会遇到U盘管理问题，有的人是在主板上禁止USB，有的是物理破环USB接口，有的是用软件，如果公司电脑数量上了二百台，呵呵，这还真是件麻烦事，那么作为有域控制的局域网，通过组策略轻松的来解决这个问题呢？？经过摸索，得出控制U盘主要是：C:\WINDOWS\inf\usbstop.infC:\WINDOWS\inf\usbstop.PNF这两个文件来控制的，U盘连接电脑后，需要加载这两个程序，如果是用权限来控制那就更麻烦了。

编辑一个批处理文件，然后在域中建一个策略设置开机启动，就ok了。

批处理文件：用txt文档编辑后文件后缀改成“关闭U盘.bat”或者是“开启U盘.bat”关闭U盘的代码是：ECHO屏蔽U盘USB.regren"C:\WINDOWS\inf\usbstor.inf""usbstop.inf"ren"C:\WINDOWS\inf\usbstor.PNF""usbstop.PNF"regadd"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR"/v Start /t reg_dword/d4/f开启U盘的代码是：echo恢复U盘USB.regren"C:\WINDOWS\inf\usbstop.inf""usbstor.inf"ren"C:\WINDOWS\inf\usbstop.PNF""usbstor.PNF"regadd"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR"/v Start /t reg_dword/d3/f然后你再建一个策略，设置开机启动，那样你就可以轻松解决域中U盘使用问题了。

一、禁止USB存储设备、光驱、软驱、ZIP软驱第一步：我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。

第二步：打开组策略管理，右键点击→点击“创建并链接（GPO）”→输入组策略名称“禁止USB”。

因为我们这次的策略是希望企业内所有计算机都应用，故我们在域级别上创建一条GPO组策略。

第三步：右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。

第四步：在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。

（这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。

）双击“usb.adm”组策略模板添加“usb.adm”组策略模板。

添加后，回到“添加/删除模板”对话框，我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。

第五步：我们点击“添加/删除模板”对话框中的“关闭”按钮，回到“组策略编辑器”对话框中。

此时我们就可以看到“计算机配置”下的“管理模板”中多了一个“Custom Policy Settings”。

第六步：右键点击“管理模板”→“查看”→“筛选”。

在弹出的“筛选”对话框中去掉“只显示能完全管理的策略设置”前面的勾再点击“确定”按钮返回“组策略编辑器”画面。

第七步：点击“计算机配置”→“管理模板”→点击“Custom Policy Settings”→点击“Restrict Drives”第八步：例如我们要禁止USB接口（大家可以放心，虽然我们禁止USB接口但是不影响我们使用USB接口的打印机、键鼠累设备），右键点击“Disable USB”→点击“属性”，弹出“Disable USB”属性对话框。

我们首先点击“已启用”按钮→在“Disable USB Ports”中选择“Enabled”来启用该策略。

禁用屏蔽移动存储设备的方法！在很多企业内部的电脑都是禁用或者屏蔽移动存储设备的，可有效保护企业内部的资料以及局域网内部的安全，那么具体应该怎么禁用屏蔽呢？当前移动存储设备使用的都是USB接口接入主机，如果对USB接口进行限制，那么自然可以禁用屏蔽移动存储设备。

下面小编来具体操作列出步骤。

一、通过组策略禁用屏蔽。

1、在电脑桌面使用快捷键win键+r，在弹出的窗口搜索框中输入gpedit.msc，然后点击确定打开本地组策略编辑器。

2、在本地组策略编辑器窗口左侧菜单中依次点击展开计算机配置—管理模板—系统—可移动存储访问，然后在右侧窗口中依次找到：可移动磁盘：拒绝执行权限；可移动磁盘：拒绝读取权限；可移动磁盘：拒绝写入权限。

3、依次双击打开，在打开的窗口中选中已启用，然后依次点击确定返回本地组策略编辑器即可。

二、使用Users用户。

1、在电脑桌面找到计算机并在其上方点击右键，在弹出的窗口中点击管理。

2、在打开的服务器管理器中依次点击展开配置—本地用户或组—用户，然后在右侧空白处点击右键，在弹出的对话框中点击新用户。

3、在新用户窗口中填写用户名及密码，填写完成后点击创建即可。

4、在左侧菜单中点击选中组，然后在右侧窗口中双击打开Users组，在弹出的对话框中点击添加。

5、在弹出的选择用户窗口中点击高级，在弹出窗口中找到并点击立刻查找，在下方搜索结果中选中刚刚新建的用户，然后依次点击确定返回服务器管理器即可。

6、把新建的User用户分配出去给用户使用即可，User用户登录时主机无法安装驱动，自然无法使用USB接口，那么就可以起到禁用屏蔽移动存储设备的作用。

三、通过大势至电脑文件防泄密系统禁用屏蔽。

1、百度下载大势至电脑文件防泄密系统，在大势至官网中找到并下载，下载完成后解压，然后在解压的文件中找到并双击打开大势至电脑文件防泄密系统V14.2.exe，在弹出的对话框中根据提示一步步安装，直至安装完成。

2、返回电脑桌面使用快捷键alt+f2，在弹出的登录菜单中根据提示输入初始账号和密码，然后点击确定登入。

电脑USB接口怎么禁用系统禁用USB端口的两种方法如何禁用电脑的USB接口？一般电脑的USB接口都是默认开放使用的，但是如果电脑中有很多重要文件的话，为了防止泄露，一般会通过禁用USB的方式防止他人拷走，那么如何禁用电脑的USB接口功能？请看下文两种解决办法。

方法一、通过注册表禁用USB存储设备驱动、禁止U盘驱动的方式禁止U盘使用。

1、首先，打开记事本，复制下面的内容，粘贴进去。

Windows Registry Editor Version 5.00［HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\USBSTOR］“Start”=dword：00000004［HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\USBSTOR\Enum］“Count”=dword：00000000“NextInstance”=dw ord：000000002、点【文件】-【另存为】，命名为disableusb.reg （注意“保存类型”选“所有”），保存到桌面。

3、再把“Start”=dword：00000004中的4改为3 ，同样另存为enableusb.reg ，保存到桌面。

以后要禁用USB时，双击disableusb.reg ，要解锁双击enableusb.reg即可。

方法二、通过一些电脑USB端口禁用软件、禁用USB存储设备软件来实现u盘禁用。

虽然通过上面的方法可以禁止U盘、屏蔽USB存储设备的使用，但是由于是采用注册表禁止U盘使用，因此一些懂技术的员工也可以通过反向修改注册表达到重新使用U盘的目的。

因此，如果想实现对USB存储设备更为有效的禁用，则就需要一些电脑USB端口禁用软件、USB存储设备屏蔽软件来实现了。

例如有一款“大势至电脑USB禁用软件”（/monitorusb.html），只需要在电脑安装完毕，就可以完全禁止U盘、禁用usb存储设备的使用，同时还可以只让使用特定的USB存储设备或者只让使用指定的U盘；还可以只让从U盘向电脑复制文件而禁止从电脑向USB存储设备复制文件，从而保护了电脑文件安全，防止通过USB存储设备复制出去的行为。

域禁用usb模板.zippro_usb_users.adm此模板可禁用到指定盘符，针对用户策略pro_usb_computers.adm此模板针对计算机，一般只要它就好了。

可以从3 个方面下手1.adm 配置文件。

2.注册表b驱动其实adm配置文件，看起来是修改了本地组策略，其实最后还是通过修改注册表实现的。

我们只保留可以查看ABCDE 盘。

其他的盘符，不可查看，不可读写。

服务端Server 2003 \客户端XP 的版本为sp3, E盘为光驱，F盘为U盘第一种方法（不推荐这种，虽可图像化访问，但可以用DOS访问）要用到两个键NoDrives禁止显示(不显示在我的电脑里、如果NoViewOnDrive设置为访问时，可以通过直接访问完全路径进行访问)NoViewOnDrive禁止访问(其实可以通过命令行访问的)，值为0 时，为启用功能，为1时是不启用。

可以在excel 中弄好自己想要隐藏的，复制到计算器内，转成16进制就好了结果为3FFFFE0Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"=dword:03ffffe0"NoViewOnDrive"=dword:03ffffe0这样，除了ABCDE 其他磁盘，为不显示，不可读写(但命令行可以访问)第二种呢、就是修改usbhub(旧系统) USBSTOR现在的系统Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\USBSTOR]"Start"=dword:00000004[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\usbhub]"Start"=dword:00000004https:///zh-cn/kb/823732官方文档此处需要注意一下修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor的Start为4时，每次接入新设备时，还会变为3,只有策略再次刷新过后，下次接入该USB 才不可被识别.当然清理过USB 痕迹，就也再次被识别，例如使用usbviewer工具知道注册表修改了什么，我们就开始写adm 文件https:///en-us/kb/555324可以下载模板文件，但注意开头为CLASS MACHINE也就是说，它是计算机配置的模板，针对计算机的配置，需要重启PC的。

利用域策略禁用USB方法A.在域相关OU里，策略计算机配置/Windows 设置/脚本/启动项把DisableUSB.VBS放到默认的位置里,作为开机脚本每次开机都要执行。

屏蔽注册表USB 的键值START=4[localimg=400,294]1[/localimg]B．在域里相关OU里，所有电脑禁止Everyone使用USB两文件. usbstor.inf / usbstor.PNF。

对域策略生效1、打开Active Directory用户和计算机；2、选择需要禁用USB设备的OU，并点击鼠标右键进行组策略；3、创建一个针对USB的GPO，并点击编辑，打开组策略编辑器；4、进入组策略编辑器，依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”；5、右键点击“添加文件”，弹出“添加文件和文件夹”，在“文件夹”栏输入“%systemroot%\inf\usbstor.inf“，确定；6、在“数据库安全设置”中，删除所有的用户，并添加“Everyone”，去掉默认的允许“读取和执行”、“列出文件夹内容”、“读取”，添加拒绝“完全控制”；应用、确定；7、在“添加对象”窗口，默认当前设置，若要重新编辑安全权限，则可点击“编辑安全设置”进行重新设置；确认，退出设置；8、除此之外，重复5、6、7步，对“%systemroot%\inf\usbstor.PNF“进行设置；9、关闭组策略编辑器；10、使用“gpupdate /force”，强行刷新策略Settings.各位观众，看清楚看明白啦，实施过程开始！1、首先，关闭USB存储设备的盘符自动分配，打开注册表，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR，将"Start"的值改为4（禁止自动启动），默认为3是自动分配盘符2、干掉USB存储设备的作用文件：进入WINDOWS系统目录，找到X:\Windows\inf，这里说明一下，USB存储设备的作用文件有两个，分别是usbstor.inf和usbstor.pnf，因为后续可能需要重新打开USB功能，所以不要删除它，建议拷贝到其他位置，当然你要暴力一点，删除它也没关系，但记得做好备份。

刚接触域环境的时候在坛子上提过一个在域环境中利用组策略禁止使用USB接口的帖子.当时是求助,后来自己解决了.而后就有好多人就加我的QQ,问我是怎么解决的.所以把自己的经验发表一下.供大家分享.有不明白的请发贴提问.这个方法已经经过测试完全好用.另外我也有几个域的问题想问一下.希望知道的朋友不吝赐教.1.如何在域服务器上做限制,使域用户不能访问INTERNET,而却能访问LAN.2.如何使域中的电脑一部分要输入用户密码才能登陆,而一部分不需要输入密码直接能登陆.下面是屏蔽USB的方法:现在在公司数据保密问题越来越受到领导的重视,U盘自然成为各位领导的一块心病.因为其简便的操作特性让人觉的电脑里没有一样东西是安全的.如何防范---在BIOS中屏蔽USB端口,这个办法是“宁可错杀一千，不能放过一个”的笨办法,U盘是不可以使用了,但所有的USB 相关设备也都不能使用了.如果是在WINDOWS 2003域环境中,可以利用组策略妥善的来解决这个问题.即可以使用除U盘以外的任何USB设备,如打印机,USB键盘,鼠标.....思路：当计算机插入Ｕ盘后，系统会自动增加一个盘符，如果我们想办法禁止系统增加新的盘符,那么不就可以把U盘禁止了吗。

打開Active Directory用户和计算机，建立一个名为NOＵＳＢ的组织单位，也就是OU，如图:右键--属性－组策略，新建一个名为nousb的策略.如图:点编辑后出现组策略，我们来设置。

定位到用户配置—Windwos组件--Windows资源管理器我们要配置的是“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”这两个选项。

而现在这两个选项的启用菜单中没有我们要去禁止访问的盘符，这就需要手动的为组策略来添加我们需要的选项。

我们重新回到nousb属性对话框，选择nousb组策略，点下面的属性，记下弹出的又一个nousb属性对话框中的常规选项卡—摘要---唯一的名称（{C04ED8BO。

电脑禁止使用USB设备的方法我们的电脑都有些自己的东西，尤其是办公室*。

当你满满花了一天做出的成品，被他人用U盘轻易的盗走了，就是有理说不出的杯具呀。

本次小编就为你提供了解决这个悲剧的办法，让电脑禁止使用USB设备，屏蔽电脑使用U盘，下面就进行演示。

具体步骤：第一步、把我们自己常用的u盘*到电脑usb接口，当然要确保电脑已经可以识别。

然后，我们打开“控制面板”，如果你不知道“控制面板”，可以点击“开始”菜单，它的右侧你可以看见“控制面板”。

在“控制面板”界面，你双击“设备管理器”，展开“便携设备”，就可以看见我们的U盘显示。

第二步、在u盘右键点击选择“属*”，在“属*”窗口中选中“详细信息”标签，并在设备“属*”下拉框中选择“硬件ID”，就会出现这个u盘的硬件ID，这是我们所需要的，用鼠标右键选中复制，由于我们下一步还有复制一个ID，建议粘贴在记事本里。

第三步、鼠标右键“U盘”选择“设备管理器”，在选择内容中展开“通用串行总线控制器”找到“USB大容量存储设备”，在*出的“USB大容量存储设备属*”窗口中，选中“详细信息”标签，同样用鼠标复制出它的硬件ID，粘贴在记事本中。

第四步、我们点击“开始”菜单，搜索框中输入“gpedit.msc”并回车键确认，便会*出我们需要的“本地组策略编辑器”。

第五步、在“本地组策略编辑器”窗口中，依次展开“计算机配置”-“管理模板”-“系统”-“设备安装”-“设备安装限制”，然后鼠标双击右侧我们在“允许安装与下列设备ID相匹配的设备”选择“已启动”，我们可以看到线面有“显示”，我们点击它，添加我们之前复制的两个硬件ID，这样电脑就可以识别了。

以后，如果有新的USB硬件加入采用的方法一样。

第六步、在第五步的同样一个页面，鼠标双击“禁止安装未由其他策略设置描述的设备”，在*出的窗口中选择“已启用”，再点击“确定”按钮。

这样就可以让电脑禁止安装策略没描述的USB设备，就可以保*了你电脑无法使用未经添加ID的USB的设备。

组策略禁用USB xx年xx月xx日•介绍•组策略禁用USB•注意事项•相关策略配置详细说明目•总结录01介绍介绍•请输入您的内容02组策略禁用USB按下Win键+R，输入`gpedit.msc`，点击确定。

在计算机配置下，点击Windows设置，然后点击安全设置，再点击本地策略，最后点击安全选项。

在右侧找到并双击打开用户账户控制：管理模板，然后双击打开Windows组件。

在Windows组件下找到并双击打开Windows资源管理器。

在右侧找到并双击打开防止从资源管理器删除、移动或重命名文件夹和文件，然后选择已启用，点击确定。

开启组策略编辑器配置USB设备策略选择已启用，点击确定。

在右侧找到并双击打开禁用USB 存储设备。

在USB根集线器下找到并双击打开策略选项卡。

在计算机配置下，点击Windows 设置，然后点击安全设置，再点击设备管理器，最后点击通用串行总线控制器。

在通用串行总线控制器下找到并双击打开USB根集线器。

在计算机配置下，点击Windows设置，然后点击安全设置，再点击设备管理器，最后点击通用串行总线控制器。

在通用串行总线控制器下找到并双击打开USB根集线器。

在USB根集线器下找到并双击打开策略选项卡。

在右侧找到并双击打开禁用USB其他设备。

选择已启用，点击确定。

禁用USB存储设备03注意事项在实施组策略禁用USB之前，需要对员工USB设备使用需求进行充分了解，以便制定更加合理的策略配置。

了解员工USB设备使用需求在实施组策略之前，需要充分评估禁用USB的必要性，以及是否有其他更加适合的解决方案。

确认禁用USB的必要性员工USB设备的使用需求提供安全的文件传输方式为了满足员工文件传输的需求，可以提供一些安全替代方案，如FTP、SFTP、云存储等。

配置合理的权限和访问控制在提供安全替代方案时，需要配置合理的权限和访问控制，以确保只有授权用户才能访问相应的文件资源。

安全替代方案进行测试和验证在组策略禁用USB之前，需要进行充分的测试和验证，以确保策略配置的正确性和有效性。

AD组策略禁用U盘如果需要禁用U盘的使用，可以通过AD组策略来实现。

下面是详细的步骤，以及一些注意事项：1.创建一个新的组策略对象（GPO）：- 打开Group Policy Management Console（GPMC）- 在左侧的树形目录中选择“Group Policy Objects”，右键单击，选择“New”-输入一个描述性的名称，然后点击“OK”-在GPMC中，找到创建的新GPO- 右键单击该GPO，然后选择“Edit”选项3.配置组策略设置：-展开“系统”子节点，然后找到“可移动存储访问”-在右侧的列表中，找到“禁用USB存储设备”，双击打开设置窗口-在设置窗口中，选择“已启用”，然后点击“确定”4.更新组策略：-在GPMC中，找到域对象- 右键单击域对象，然后选择“Group Policy Update...”选项-在弹出的对话框中，选择需要更新的对象，然后点击“OK”5.验证组策略设置：-在域内的计算机上，以域管理员身份登录- 打开命令提示符，输入“gpupdate /force”命令以强制更新组策略-重新启动计算机-插入U盘，检查是否能够正常访问需要注意的是，禁用U盘使用是一种较为严格的控制措施，可能会对用户的正常操作造成一定的影响。

在实施之前，需要与用户进行充分的沟通和培训，并根据实际情况进行调整和适配。

此外，应注意以下几点：1.仅禁用U盘可能无法完全限制用户从其他途径传输文件（例如通过网络或其他外部存储设备）。

因此，在实施组策略之前，应对其他可能的数据传输途径进行评估和控制。

2.组策略设置将适用于所有用户和计算机。

如果只想限制特定用户或计算机的U盘使用，可以将GPO应用于相应的组织单元（OU）或安全组。

3.在一些情况下，可能需要允许一些特定用户或计算机使用U盘。

可以针对这些特殊情况创建不同的GPO，或者通过安全组的方式进行特权控制。

总结来说，通过AD组策略禁用U盘的使用，可以有效地增强计算机系统的安全性。

组策略禁用U盘、组策略禁用USB、注册表禁用USB、注册表禁用U盘方法汇总在企事业单位局域网中，处于保护电脑文件安全和商业机密的需要，我们常常需要禁用电脑USB接口、禁止U盘和移动硬盘的使用，防止通过U盘、移动硬盘甚至手机等带有USB存储功能的设备复制电脑文件的行为。

那么，具体如何管理电脑USB接口、禁用U盘呢？笔者以为，可以通过以下方式实现，一种是通过注册表和组策略的方式来实现（如果你觉得这种方法复杂，可以直接看文章底部第二种方法），另外一种是通过电脑U口管理软件、USB 屏蔽软件来实现，相对更为简单：一、通过注册表禁用USB接口、组策略禁用USB接口来禁止U盘使用1、USB设备是使用USB接口的，在网上找了下，得知它使用如下两个配置文件或是注册表文件，usbstor.inf和usbstor.png。

注册表文件是:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor2、清楚了USB的配置文件或是注册表中的位置就好说了，下面就分两种方法来完成禁用USB 设备的目的，一是通过组策略使用户禁用这两个配置文件，一是通过注册表。

以下两种实验均在WINDOWS 2003实验通过通过组策略，当然，这个要应用在域环境中了，而且要保证，没有使用过USB设备的（注册表文件里会有变化的）嘿嘿。

如下图，在管理工具――域安全策略――计算机配置――WINDOWS设置――安全设置――文件系统，单击右键――添加文件或文件夹。

找到c:\windows\inf\usbstor.inf 和usbstor.pnf，并添加之然后，确定，会弹出一个对话框，这可是重要步骤，通过此，设定不同用户对此的访问级别，当然，这里选拒绝了，你可以根据实际情况选择不同的用户组对这两个文件的拒绝权限。

如下图确定，OK，会弹出以下的窗口，当然，还是确定，不过，如果上一步你没有做的话，可以在此重新设定不同用户组的访问权限的哟（点编辑安全设置按钮）！确定，便可以了，等域组策略刷新后，就会生效了。

域组策略–禁用U盘1、找到您要屏蔽U盘的组织单位，建立“屏蔽U盘”策略，双击“屏蔽U盘”（必需先打开一次，否则系统不会拷贝那几个模板文件），“用户配置－管理模板-Windows组件-Windows资源管理器”，“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”。

2、在域控制器上打开Active Directory 用户和计算机，在“屏蔽U盘”策略上单击右键选择查看属性，找到"屏蔽U盘"的组策略的唯一的名称，此名称为一长串数字和字母组成。

3、打开系统盘，定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹，此文件夹位于“x:\WINNT\SYSVOL\\Policies”下，注意打开{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录，找到ADM目录下的system.adm文件，找到下面这两段代码：* POLICY !!NoDrivesEXPLAIN !!NoDrives_HelpPART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDV ALUENAME "NoDrives"ITEMLISTNAME !!ABOnly V ALUE NUMERIC 3NAME !!COnly V ALUE NUMERIC 4NAME !!DOnly V ALUE NUMERIC 8NAME !!ABConly V ALUE NUMERIC 7NAME !!ABCDOnly V ALUE NUMERIC 15NAME !!ALLDrives V ALUE NUMERIC 67108863 DEFAULT; low 26 bits on (1 bit per drive)NAME !!RestNoDrives V ALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY* POLICY !!NoViewOnDriveEXPLAIN !!NoViewOnDrive_HelpPART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDV ALUENAME "NoViewOnDrive"ITEMLISTNAME !!ABOnly V ALUE NUMERIC 3NAME !!COnly V ALUE NUMERIC 4NAME !!DOnly V ALUE NUMERIC 8NAME !!ABConly V ALUE NUMERIC 7NAME !!ABCDOnly V ALUE NUMERIC 15NAME !!ALLDrives V ALUE NUMERIC 67108863 DEFAULT; low 26 bits on (1 bit per drive)NAME !!RestNoDrives V ALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY第一个!!NoDrive是在我的电脑中不显示指定的驱动器名，第二个!!NoViewOnDrive是阻止用户访问驱动器。

如何禁用USB如何解开USB禁用USB意味着阻止计算机或其他设备在USB端口上进行数据传输或读取。

解开USB则是指取消对USB接口的限制，使其可以正常工作。

下面将详细介绍如何禁用和解开USB。

1.如何禁用USB：在Windows操作系统中，可以通过以下几种方法禁用USB：a)设备管理器：-打开“设备管理器”，方法是：右键点击“此电脑”或“我的电脑”，选择“属性”，然后点击“设备管理器”。

-展开“通用串行总线控制器”选项。

-右键点击USB控制器，选择“禁用”选项。

- 在左侧导航栏中找到键值路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR”。

- 找到右侧窗格中的“Start”键，并将其值改为“4”。

c)更改组策略：-在左侧导航栏中找到“计算机配置”->“管理模板”->“系统”->“可移动存储访问”。

-右侧窗格中找到“禁用访问”或“阻止可移动存储访问”，双击打开，并将其设置为“已启用”。

2.如何解开USB：a)设备管理器：-打开“设备管理器”，方法是：右键点击“此电脑”或“我的电脑”，选择“属性”，然后点击“设备管理器”。

-展开“通用串行总线控制器”选项。

-右键点击USB控制器，选择“启用”选项。

- 在左侧导航栏中找到键值路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR”。

- 找到右侧窗格中的“Start”键，并将其值改为“3”。

c)更改组策略：-在左侧导航栏中找到“计算机配置”->“管理模板”->“系统”->“可移动存储访问”。

-右侧窗格中找到“禁用访问”或“阻止可移动存储访问”，双击打开，并将其设置为“未配置”或“已禁用”。

需要注意的是，以上方法仅适用于Windows系统。

对于其他操作系统如Linux或Mac，可以通过修改相关系统配置文件来禁用或解开USB。

组策略禁止U S B最好的方法LG GROUP system office room 【LGA16H-LGYY-LGUA8Q8-LGA162】组策略禁止USB最好的方法：把下段斜杠内的内容拷到文本文档中，保存成.ADM文件，然后打开你要做限制的OU的组策略，展开“用户配置,管理模板”,右击管理模板,添加/删除模板,然后把刚才保存的ADM文件导入!现在在这个OU下的所有用户将无法使用USB存储设备!Host Controller Miniport计算机未安装USB设备这种情况可以采取将%SystemRoot%Inf下的和两个文件设置其用户的控制权限。

Step1：右击这两个文件，选择“属性→安全→高级”，在“权限”页面中取消“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目”复选框。

Step2：在“安全”页面中，选择要屏蔽的用户或用户组，在“完全控制”中选择“拒绝”复选框，然后单击“确定”。

这种通过分配权限的方法，可以指定哪些用户可以使用USB设备，哪些用户不可以使用USB设备，和下面的“Windows NT以上系统通用方法”一样，灵活性较大，所以建议采用该方法限制用户安装USB设备。

2. 计算机已安装了USB设备这种情况可以通过修改注册表来实现。

方法是修改注册表中HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR下的“Start”值，改为十六位进制数值“4”。

该方法修改后，当用户将USB存储设备连接到计算机时，该设备将无法运行。

二、Windows NT以上系统通用方法运行注册表编辑器，找到HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR键，取消System的所有控制权。

如果要分配控制权，只需要对相应用户设置控制权限就可以了。

小提示：Windows 2000中要设置注册表的控制权限，需用注册表编辑器。

利用组策略关闭域用户usb接口最近因安全审查，需要关闭公司内所有办公电脑的usb接口，使用户无法使用U盘等usb存储器。

考虑到所有办公电脑都接受域的管理，因而想到用域的组策略来实现该目的。

因组策略实施起来比较简单方便，事后恢复起来也很方便。

整个操作思路如下：1.通过注册表修改的方式实现客户端电脑USB接口不能用。

2.利用BAT批处理文件自动执行的方式，实现客户端注册表的自动修改。

3.通过域组策略指派客户端电脑自动运行制定的批处理文件。

下面就如何实现上述操作以及可能碰到的问题进行阐述；1.文件准备。

本次操作需要准备两个文件，我将两个文件分别命名为usb.bat 和usb.reg 。

文件内容分别如下：Usb.bat内容：@echo off@regedit /s \\xxx.xxx.xxx.xxx\netlogon\usbstor.reg@echo onExit（备注：xxx.xxx.xxx.xxx代表域服务器的IP地址，使用时修改为自己域服务器的ip地址即可）usb.reg内容：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Type"=dword:00000001"Start"=dword:00000004"ErrorControl"=dword:00000001"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00, \52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\ 00,52,00,2e,00,53,00,59,00,53,00,00,00"DisplayName"="USB 大容量存储设备"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00以上内容可以直接拷贝到txt记事本文件内，然后将后缀名修改为bat和reg保存就可以了。

用AD组策略之彻底禁止USB存储设备在如今信息化时代，数据的安全性越来越受到重视。

越来越多的企业、机构和组织都意识到，内部数据的泄漏可能会给他们带来巨大的损失和影响。

因此，为了确保信息的安全性，限制或禁止员工使用USB存储设备成为了许多企业的必要举措之一。

Active Directory（AD）组策略是微软Windows操作系统中重要的安全管理工具，它通过集中管理和配置网络中的用户和计算机，提供了一种灵活而高效的方式来限制和管理用户对计算机和网络资源的访问。

本文将介绍如何通过AD组策略来完全禁止USB存储设备的使用，从而确保企业的信息安全。

为什么需要禁用USB存储设备USB存储设备如U盘、移动硬盘等的使用带来了便利性，但也带来了潜在的安全风险。

一旦员工可以随意使用USB存储设备，他们就可以轻松地将敏感数据复制到移动存储设备中，这可能导致数据泄漏、知识产权侵权等问题。

此外，病毒和恶意软件也可以通过感染USB存储设备来传播。

一旦一个感染了恶意软件的USB存储设备被插入企业网络中的计算机，整个网络都可能受到威胁。

因此，禁止USB存储设备的使用是确保企业数据安全的重要一环。

使用AD组策略禁止USB存储设备步骤一：创建组策略对象1.打开组策略管理器，选择要应用AD组策略的组织单位或域。

2.右键单击选择“新建GPO”（组策略对象）。

3.输入适当的名称，例如“禁止USB存储设备”。

步骤二：编辑组策略设置1.在组策略管理器中，右键单击新创建的组策略对象，并选择“编辑”。

2.在组策略管理编辑器中，展开“计算机配置”>“Windows设置”>“安全设置”>“本地策略”>“安全选项”。

3.找到并双击“可移动存储访问”策略。

步骤三：配置“可移动存储访问”策略1.在“可移动存储访问”策略中，选择“已禁用”。

2.单击“确定”保存更改。

步骤四：将组策略应用到组织单位或域1.将新创建的组策略对象链接到相应的组织单位或域。