用组策略功能禁用U盘和光驱的一种方法[1]

组策略u盘控制组策略是Windows操作系统中一种用于管理计算机和用户配置的工具。

它可以让管理员集中管理多台计算机的配置，并对用户的行为进行限制和控制。

在这篇文章中，我们将探讨如何使用组策略来控制U盘的使用。

U盘是一种常见的外部存储设备，通常用于存储和传输数据。

然而，由于U盘的便携性和易于使用的特点，它也带来了一些安全隐患。

例如，用户可能会将机密数据复制到U盘中并将其带离办公室，这可能导致数据泄露的风险。

为了解决这个问题，管理员可以通过组策略来控制U盘的使用。

管理员可以使用组策略来禁止访问U盘。

通过禁止U盘的访问，管理员可以防止用户将数据复制到U盘中或从U盘中复制数据。

这可以有效地保护机密数据不被意外泄露。

要实现这个策略，管理员可以在组策略中配置禁用可移动存储访问的设置。

这样一来，当用户插入U盘时，系统将无法识别设备并阻止用户访问。

管理员还可以使用组策略来限制U盘的访问。

相比于完全禁止访问，限制访问可以使管理员更加灵活地控制U盘的使用。

管理员可以设置访问权限，例如只允许特定用户或用户组访问U盘。

这可以确保只有经过授权的用户才能使用U盘，并进一步保护数据的安全。

管理员还可以通过组策略来监控U盘的使用情况。

他们可以配置日志记录策略，以便记录U盘的插入和拔出事件。

这样一来，管理员可以随时查看U盘的使用情况，并追踪用户的行为。

如果发现有不当行为或安全风险，管理员可以及时采取措施来应对。

除了上述控制措施，管理员还可以使用组策略来强制实施U盘的加密。

通过强制加密，管理员可以确保即使U盘丢失或被盗，其中的数据也不会被未经授权的人员访问。

管理员可以配置加密策略，要求用户在使用U盘前先对其进行加密。

这样一来，即使U盘落入他人手中，数据也将得到保护。

通过组策略来控制U盘的使用可以有效地保护数据的安全。

管理员可以通过禁止访问、限制访问、监控使用情况和强制加密等措施来控制U盘的使用。

这些措施可以帮助组织防止数据泄露和安全漏洞，提高数据的安全性和保密性。

第一步：我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。

第二步：打开组策略管理，右键点击→点击“创建并链接（GPO）”→输入组策略名称“禁止USB”。

因为我们这次的策略是希望企业内所有计算机都应用，故我们在域级别上创建一条GPO组策略。

第三步：右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。

第四步：在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。

（这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。

）双击“usb.adm”组策略模板添加“usb.adm”组策略模板。

添加后，回到“添加/删除模板”对话框，我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB ”的组策略模板。

第五步：我们点击“添加/删除模板”对话框中的“关闭”按钮，回到“组策略编辑器”对话框中。

此时我们就可以看到“计算机配置”下的“管理模板”中多了一个“自定义策略设置”。

第六步：右键点击“管理模板”→“查看”→“筛选”。

在弹出的“筛选”对话框中去掉“只显示能完全管理的策略设置”前面的勾再点击“确定”按钮返回“组策略编辑器”画面。

第七步：点击“计算机配置”→“管理模板”→点击“自定义策略设置”→点击“限制驱动器”使用USB接口的打印机、键鼠等设备），右键点击“禁用 USB”→点击“属性”，弹出“禁用USB”属性对话框。

我们首先点击“已启用”按钮→在“禁用 USB 端口”中选择“启用”来启用该策略。

最后用“GPupdate /force”来强行在客户端和DC上刷新策略，。

用系统组策略功能封杀U盘如今单位里的电脑经常被病毒感染，屡杀屡发，而局域网内是不能上Internet的，最根本的原因就在于U盘的使用，所以把我封杀U盘的经验写出来。

我们单位大多数使用的是windowxp系统。

关于封杀usb接口的文章在网上挺多的，大多数是通过cmos 的修改来屏蔽usb接口，或者是将window系统中的i386文件夹下的设备压缩包彻底删除，再者就是通过停用usb总线控制器。

这些方法有的在达到目的的同时，也阻碍了其他设备的应用，效果不是很友好。

这让我想到了是否应用组策略来实现封杀的目的，经过实践效果还是挺好的。

首先，在“开始—>运行”中输入”gpedit.msc”后，便打开了组策略窗口，如下图1所示:图1我们就是利用“防止从‘我的电脑’访问驱动器”来设置禁止usb接口。

双击打开启用后，发现并不像我们想象的那样驱动盘符都存在，如图2所示:图2而且存在这么一个问题，每个电脑的分区数不同，分配给优盘的区号也不同，怎样将其封杀呢?经过一段时间的摸索，我找到了控制组策略的模板文件，它就是C:\WINDOWS\inf\system.adm（在文件夹选项里选择“显示所有文件和文件夹”才能看到），用记事本打开后，查找到这一段，如图3：图3呵呵，发现了吧？在“NAME !!*Only VALUE NUMERIC *”语句，前面的好似一个定义，跟我们在图2看到的效果相似，而且有这么句“low 26 bits on(1bit per drive)”，意思说“26位每一个设备占1位”。

可以看的出分区是按着1(A)、2(B)、4(C)、8(D)、16(E)、32(F)、64(G)、128(H)……等逐步递增的，于是经过试验，果然如此，只要将除了硬盘分区保留外，我们将所有的字母写上，同时算出数值。

即如: NAME !!GHIJKOnly VALUE NUMERIC 1984(注:我这里只是举了5个盘符，为什么?后面说明)将上面的语句在“POLICY !!NoDrives”和“POLICY !!NoViewOnDrive”两个地方上填写。

AD组策略禁用U盘如果需要禁用U盘的使用，可以通过AD组策略来实现。

下面是详细的步骤，以及一些注意事项：1.创建一个新的组策略对象（GPO）：- 打开Group Policy Management Console（GPMC）- 在左侧的树形目录中选择“Group Policy Objects”，右键单击，选择“New”-输入一个描述性的名称，然后点击“OK”-在GPMC中，找到创建的新GPO- 右键单击该GPO，然后选择“Edit”选项3.配置组策略设置：-展开“系统”子节点，然后找到“可移动存储访问”-在右侧的列表中，找到“禁用USB存储设备”，双击打开设置窗口-在设置窗口中，选择“已启用”，然后点击“确定”4.更新组策略：-在GPMC中，找到域对象- 右键单击域对象，然后选择“Group Policy Update...”选项-在弹出的对话框中，选择需要更新的对象，然后点击“OK”5.验证组策略设置：-在域内的计算机上，以域管理员身份登录- 打开命令提示符，输入“gpupdate /force”命令以强制更新组策略-重新启动计算机-插入U盘，检查是否能够正常访问需要注意的是，禁用U盘使用是一种较为严格的控制措施，可能会对用户的正常操作造成一定的影响。

在实施之前，需要与用户进行充分的沟通和培训，并根据实际情况进行调整和适配。

此外，应注意以下几点：1.仅禁用U盘可能无法完全限制用户从其他途径传输文件（例如通过网络或其他外部存储设备）。

因此，在实施组策略之前，应对其他可能的数据传输途径进行评估和控制。

2.组策略设置将适用于所有用户和计算机。

如果只想限制特定用户或计算机的U盘使用，可以将GPO应用于相应的组织单元（OU）或安全组。

3.在一些情况下，可能需要允许一些特定用户或计算机使用U盘。

可以针对这些特殊情况创建不同的GPO，或者通过安全组的方式进行特权控制。

总结来说，通过AD组策略禁用U盘的使用，可以有效地增强计算机系统的安全性。

Windows7通过组策略禁止使用移动存储设备现在移动存储设备的使用越来越广泛，但随之而引发的是泄密和感染病毒等问题。

虽然可以通过设置BIOS或封死计算机上的USB接口的“硬”方法防范风险发生，不过同时也意味着计算机将无法使用其他USB接口的设备，例如最常见的键盘的鼠标。

因此怎样使用一些更加“温和”的方法限制某个特定或者某类硬件的安装成了一个很多人关心的问题。

在Windows 7中使用组策略就可以完全解决这一问题。

但在继续阅读下文之前，请首先确认你的Windows 7版本。

带有组策略功能的Windows 7版本包括Windows 7专业版、Windows 7企业版和Windows 7旗舰版。

如果确定所用的Windows 7版本具有组策略功能，则可以按照以下步骤进行操作。

(1)单击“开始”按钮，在搜索框中输入“gpedit.msc”并按回车键，打开“本地组策略编辑器”窗口。

(2)在窗口左侧的树形图中展开到“计算机配置—管理模板—系统—设备安装—设备安装限制”项，如图1所示。

图1(3)双击右侧的相应策略，就可以针对实际情况对硬件设备的安装做出限制。

这里一共有10条可用的策略，含义分别如下。

允许管理员忽略设备安装限制策略：这条策略用于决定是否允许管理员账户不受设备安装限制策略的影响。

如果启用这条策略，那么不管其他策略如何设置，都只能影响非管理员账户，而不能影响管理员账户。

如果禁用这条策略，或者保持未被配置的默认状态，那么管理员账户也将受到其余几条策略的限制。

⏹允许使用与下列设备安装程序类相匹配的驱动程序安装设备：这条策略用于设定允许安装的设备类型。

简单来说，这条策略等于一个“白名单”，配合其他策略，就可以让Windows 7只安装设备类型在这条策略中批准过的设备，其他未指定的设备都拒绝安装。

⏹阻止使用与下列设备安装程序类相匹配的驱动程序安装设备：这条策略用于设定禁止安装的设备类型。

简单来说，这条策略等于一个“黑名单”，所有被添加到这条策略中的设备类型都将被Windows 7拒绝安装。

揭秘禁用U盘的四大绝招禁用U盘和移动硬盘的原因多种多样，最响亮的原因就是防止员工带走机密资料，在这里我提供一种不用专业软件的小技巧给大家，因为你的老板永远相信“自己能解决的事，别花钱”。

方法一，BIOS设置法（快刀斩乱麻法）进入BIOS设置，选择“Integrated Peripherals”选项，展开后将“USB 1.1 Controller”和“USB 2.0 Contr01ler”选项的属性设置为“Disableed”，即可禁用USB接口。

最后别忘记给BIOS设置上一个密码，这样他人就无法通过修改注册表解“锁”上述设备了。

注意：这个方法是完全禁止了USB接口，也就是说各种USB接口的设备均不能用了，当然也包括了U盘和移动盘。

由于此发过于霸道，请慎用。

方法二，禁止闪盘或移动硬盘的启动（适用于Windows XP/2000/2003）打开注册表编辑器，依次展开如下分支[HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentCntrolSet＼Services＼USBSTOR]，在右侧的窗格中找到名为“Start”的DWORD值，双击，在弹出的编辑对话2014全国一级建造师资格考试备考资料真题集锦建筑工程经济建筑工程项目管理建筑工程法规专业工程管理与实务框中将其数值数据修改为十六位进制数值“4”。

点“确定”按钮并关闭注册表编辑器，重新启动计算机，使设置生效。

重启后，当有人将USB存储设备连接到计算机时，虽然USB设备上的指示灯在正常闪烁，但在资源管理器当中就是无法找到其盘符，因此也就无法使用USB设备了。

方法三，隐藏盘符和禁止查看（适用于Windows系统）打开注册表编辑器，依次展开如下分支[HKEY_CURRENT_USER＼software＼Microsoft＼Windows＼CurrentVersion＼Ploicies＼Explorer]，新建二进制值“NoDrives”，其缺省值均是00 00 00 00，表示不隐藏任何驱动器。

域组策略–禁用U盘1、找到您要屏蔽U盘的组织单位，建立“屏蔽U盘”策略，双击“屏蔽U盘”（必需先打开一次，否则系统不会拷贝那几个模板文件），“用户配置－管理模板-Windows组件-Windows资源管理器”，“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”。

2、在域控制器上打开Active Directory 用户和计算机，在“屏蔽U盘”策略上单击右键选择查看属性，找到"屏蔽U盘"的组策略的唯一的名称，此名称为一长串数字和字母组成。

3、打开系统盘，定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹，此文件夹位于“x:\WINNT\SYSVOL\\Policies”下，注意打开{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录，找到ADM目录下的system.adm文件，找到下面这两段代码：* POLICY !!NoDrivesEXPLAIN !!NoDrives_HelpPART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDV ALUENAME "NoDrives"ITEMLISTNAME !!ABOnly V ALUE NUMERIC 3NAME !!COnly V ALUE NUMERIC 4NAME !!DOnly V ALUE NUMERIC 8NAME !!ABConly V ALUE NUMERIC 7NAME !!ABCDOnly V ALUE NUMERIC 15NAME !!ALLDrives V ALUE NUMERIC 67108863 DEFAULT; low 26 bits on (1 bit per drive)NAME !!RestNoDrives V ALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY* POLICY !!NoViewOnDriveEXPLAIN !!NoViewOnDrive_HelpPART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDV ALUENAME "NoViewOnDrive"ITEMLISTNAME !!ABOnly V ALUE NUMERIC 3NAME !!COnly V ALUE NUMERIC 4NAME !!DOnly V ALUE NUMERIC 8NAME !!ABConly V ALUE NUMERIC 7NAME !!ABCDOnly V ALUE NUMERIC 15NAME !!ALLDrives V ALUE NUMERIC 67108863 DEFAULT; low 26 bits on (1 bit per drive)NAME !!RestNoDrives V ALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY第一个!!NoDrive是在我的电脑中不显示指定的驱动器名，第二个!!NoViewOnDrive是阻止用户访问驱动器。

组策略禁用U盘、组策略禁用USB、注册表禁用USB、注册表禁用U盘方法汇总在企事业单位局域网中，处于保护电脑文件安全和商业机密的需要，我们常常需要禁用电脑USB接口、禁止U盘和移动硬盘的使用，防止通过U盘、移动硬盘甚至手机等带有USB存储功能的设备复制电脑文件的行为。

那么，具体如何管理电脑USB接口、禁用U盘呢？笔者以为，可以通过以下方式实现，一种是通过注册表和组策略的方式来实现（如果你觉得这种方法复杂，可以直接看文章底部第二种方法），另外一种是通过电脑U口管理软件、USB 屏蔽软件来实现，相对更为简单：一、通过注册表禁用USB接口、组策略禁用USB接口来禁止U盘使用1、USB设备是使用USB接口的，在网上找了下，得知它使用如下两个配置文件或是注册表文件，usbstor.inf和usbstor.png。

注册表文件是:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor2、清楚了USB的配置文件或是注册表中的位置就好说了，下面就分两种方法来完成禁用USB 设备的目的，一是通过组策略使用户禁用这两个配置文件，一是通过注册表。

以下两种实验均在WINDOWS 2003实验通过通过组策略，当然，这个要应用在域环境中了，而且要保证，没有使用过USB设备的（注册表文件里会有变化的）嘿嘿。

如下图，在管理工具――域安全策略――计算机配置――WINDOWS设置――安全设置――文件系统，单击右键――添加文件或文件夹。

找到c:\windows\inf\usbstor.inf 和usbstor.pnf，并添加之然后，确定，会弹出一个对话框，这可是重要步骤，通过此，设定不同用户对此的访问级别，当然，这里选拒绝了，你可以根据实际情况选择不同的用户组对这两个文件的拒绝权限。

如下图确定，OK，会弹出以下的窗口，当然，还是确定，不过，如果上一步你没有做的话，可以在此重新设定不同用户组的访问权限的哟（点编辑安全设置按钮）！确定，便可以了，等域组策略刷新后，就会生效了。

揭秘禁用U盘的四大绝招禁用U盘和移动硬盘的原因多种多样，最响亮的原因就是防止员工带走机密资料，在这里我提供一种不用专业软件的小技巧给大家，因为你的老板永远相信“自己能解决的事，别花钱”。

方法一，BIOS设置法（快刀斩乱麻法）进入BIOS设置，选择“Integrated Peripherals”选项，展开后将“USB 1.1 Controller”和“USB 2.0 Contr01ler”选项的属性设置为“Disableed”，即可禁用USB接口。

最后别忘记给BIOS设置上一个密码，这样他人就无法通过修改注册表解“锁”上述设备了。

注意：这个方法是完全禁止了USB接口，也就是说各种USB接口的设备均不能用了，当然也包括了U盘和移动盘。

由于此发过于霸道，请慎用。

方法二，禁止闪盘或移动硬盘的启动（适用于WindowsXP/2000/2003）打开注册表编辑器，依次展开如下分支[HKEY_LOCAL_MACHINE ＼SYSTEM＼CurrentCntrolSet＼Services＼USBSTOR]，在右侧的窗格中找到名为“Start”的DWORD值，双击，在弹出的编辑对话框中将其数值数据修改为十六位进制数值“4”。

点“确定”按钮并关闭注册表编辑器，重新启动计算机，使设置生效。

重启后，当有人将USB存储设备连接到计算机时，虽然USB设备上的指示灯在正常闪烁，但在资源管理器当中就是无法找到其盘符，因此也就无法使用USB设备了。

方法三，隐藏盘符和禁止查看（适用于Windows系统）打开注册表编辑器，依次展开如下分支[HKEY_CURRENT_USER＼software＼Microsoft＼Windows＼CurrentVersion＼Ploicies＼Explorer]，新建二进制值“NoDrives”，其缺省值均是00 00 00 00，表示不隐藏任何驱动器。

键值由四个字节组成，每个字节的每一位（bit）对应从A:到Z:的一个盘，当相应位为1时，“我的电脑”中相应的驱动器就被隐藏了。

微软WINDOWS系统组策略屏掉移动U盘的方法其他注意事项：1、这种方法在您的客户端很多的时候，很方便，您只要确保客户端登录用户属于您已应用此组策略的OU下即可，如果暂时需要允许他使用U盘，那只要把该用户移出此OU，该用户再注销重新登录一下就OK。

2、需要注意的是，您在OU中建立用户时，用户缺省是属于Domain users组，这对于大多数软件来说没有问题，但会使有些软件无法安装或运行，您可以赋予这些用户在客户端本机的Power user组的权限，即可解决。

3、注意这种方法同时也屏蔽了您的光驱盘符，光驱也是不能访问的。

当然U盘都屏蔽了，我想光驱就更该屏蔽了，呵呵！如果实在要访问，可以在计算机管理中的磁盘管理中赋予光驱一个靠后的盘符即可。

4、OU是可以嵌套的，客户端组策略的应用是从域根到OU再到子OU，而且是可以覆盖的，除非您选定了“阻止策略继承”。

如果您在父OU上设置了屏蔽U盘，但在子OU中又取消了屏蔽，那么客户端的U盘是不会被屏蔽的。

5、如果您在一个OU中设置了此屏蔽策略，但您又要在其他同级的OU中要开放一些用户的U盘时，您需要重新建一个策略，而不是直接在“屏蔽U盘”的策略上修改成不屏蔽U盘，因为这是个链接到“屏蔽U盘”的策略，您实际修改的是“屏蔽U盘”策略，这会影响到他管理下的所有的OU，他们都将会应用您修改后的策略。

6、在域中应用组策略时，系统只能对整个域、组织单位实施组策略，不能对单个的用户或者计算机指定组策略，在实际应用的时候，可多建立几个组织单位来管理用户。

对于大多数用户来说，这的确很方便，但对于单位有要求的网管来说，就头疼了，现在新买的机器不能总是安装Windows 98吧，毕竟Windows 98就要“下岗”了，但面对U盘，却没有好的办法，也许您会想到可以在BIOS设置里屏蔽USB端口，但这是“宁可错杀一千，不能放过一个”的办法，如果您的单位客户端没有使用USB接口的键盘、鼠标、打印机等设备，那您完全可以采用此方法，不过您以后采购设备的时候要注意了，最好不要采购USB设备，除非咱们网管自己用，哈哈！那有没有简单易行的办法呢？经过一段时间摸索和试验，笔者终于找到了使用修改组策略模板的方法实现此目标。

组策略禁用U盘、组策略禁用USB、注册表禁用USB、注册表禁用U盘方法汇总在企事业单位局域网中，处于保护电脑文件安全和商业机密的需要，我们常常需要禁用电脑USB接口、禁止U盘和移动硬盘的使用，防止通过U盘、移动硬盘甚至手机等带有USB 存储功能的设备复制电脑文件的行为。

那么，具体如何管理电脑USB接口、禁用U盘呢？笔者以为，可以通过以下方式实现，一种是通过注册表和组策略的方式来实现（如果你觉得这种方法复杂，可以直接看文章底部第二种方法），另外一种是通过电脑U口管理软件、USB屏蔽软件来实现，相对更为简单：一、通过注册表禁用USB接口、组策略禁用USB接口来禁止U盘使用1、USB设备是使用USB接口的，在网上找了下，得知它使用如下两个配置文件或是注册表文件，usbstor.inf和usbstor.png。

注册表文件是:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor2、清楚了USB的配置文件或是注册表中的位置就好说了，下面就分两种方法来完成禁用USB设备的目的，一是通过组策略使用户禁用这两个配置文件，一是通过注册表。

以下两种实验均在WINDOWS 2003实验通过通过组策略，当然，这个要应用在域环境中了，而且要保证，没有使用过USB设备的（注册表文件里会有变化的）嘿嘿。

如下图，在管理工具――域安全策略――计算机配置――WINDOWS设置――安全设置――文件系统，单击右键――添加文件或文件夹。

找到c:\windows\inf\usbstor.inf 和usbstor.pnf，并添加之然后，确定，会弹出一个对话框，这可是重要步骤，通过此，设定不同用户对此的访问级别，当然，这里选拒绝了，你可以根据实际情况选择不同的用户组对这两个文件的拒绝权限。

如下图确定，OK，会弹出以下的窗口，当然，还是确定，不过，如果上一步你没有做的话，可以在此重新设定不同用户组的访问权限的哟（点编辑安全设置按钮）！确定，便可以了，等域组策略刷新后，就会生效了。

在域管理中用策略禁止U盘的方法用策略控制域中的U盘问题相信管理员朋友都会遇到U盘管理问题，有的人是在主板上禁止USB，有的是物理破环USB接口，有的是用软件，如果公司电脑数量上了二百台，呵呵，这还真是件麻烦事，那么作为有域控制的局域网，通过组策略轻松的来解决这个问题呢？？经过摸索，得出控制U盘主要是：C:\WINDOWS\inf\usbstop.infC:\WINDOWS\inf\usbstop.PNF这两个文件来控制的，U盘连接电脑后，需要加载这两个程序，如果是用权限来控制那就更麻烦了。

编辑一个批处理文件，然后在域中建一个策略设置开机启动，就ok了。

批处理文件：用txt文档编辑后文件后缀改成“关闭U盘.bat”或者是“开启U盘.bat”关闭U盘的代码是：ECHO屏蔽U盘USB.regren"C:\WINDOWS\inf\usbstor.inf""usbstop.inf"ren"C:\WINDOWS\inf\usbstor.PNF""usbstop.PNF"regadd"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR"/v Start /t reg_dword/d4/f开启U盘的代码是：echo恢复U盘USB.regren"C:\WINDOWS\inf\usbstop.inf""usbstor.inf"ren"C:\WINDOWS\inf\usbstop.PNF""usbstor.PNF"regadd"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR"/v Start /t reg_dword/d3/f然后你再建一个策略，设置开机启动，那样你就可以轻松解决域中U盘使用问题了。

域组策略中禁用U盘的使用方法
域组策禁用U盘的使用方法
1、首先你要具备一台装有Windows Server2003操作系统服务器，再次你要配置域服务器，如下图：
2、找到域控制器（Active Directory）,我简称它为AD, 点击管理AD中的用户和计算机，会出现下图：
3、右击Domain Controllers后，点击属性会出现下图：
4、选择“组策略”，点击组策略对象链接，再双击它，会出现下图：
5、照图点击到“注册表”，右击“注册表”后点击“添加项”，照图上的路径添加那两项。

注意添加图上那两项时的前提是你的域服务器注册表（“开始”→“运行”→输入命令“regedit”就会打开注册表）将图上那两项修改了。

我具体说明下它们的修改值。

第一项如图:
它项中的WriteProtect值默认为“0”,更改为“1”。

第二项如下图：
将其中的Start的值改为“4”,默认值为“3”表示启用。

6、添加完“注册表”的那两项后，关闭所有，在“开始”→“运行”→输入命令“gpupdate”后完成。

7、所有加入域中的计算机的U盘就被禁用了。

另外还有种脚本法也可禁用U盘，我没有采用那种方法，一是它的脚本语言复杂，二是我想用最简单的方法去实现禁止U盘的使用。

上述方法本人在虚拟机中已经实现U盘的禁用。

禁用U盘和光驱（1）10.3.9 禁用U盘和光驱（1）出于安全考虑，现在的公司都是不允许用户使用私带的U盘或光盘在公司计算机中使用。

那么有什么方法可以禁止呢？注册表是可以的，通过组策略同样也可以做到，是通过隐藏U盘驱动器来实现的。

在Windows组策略对象编辑中，在"用户配置"→"管理模板"→"Windows组件"→"Windows资源管理器"下找到"隐藏'我的电脑'中的这些指定的驱动器"策略项（仅用来在资源管理器中隐藏指定的驱动器，如图10-72所示）。

双击它，打开如图10-73所示的对话框。

选择"已启用"单选项，然后在"选择下列组合中的一个"下拉列表框中选择一种隐藏方案。

但是，从这个下拉列表框中明显可以看出，它已不再满足现在大磁盘、多分区的现状了，因为这里所列出的盘符最多是D。

也就是只有C、D两个分区。

这显然是不够的，U盘和光驱的盘符一般不会是这两个盘符。

所以直接通过组策略来实现对U盘和光驱的访问限制是不行的了，这时就要利用本章前面介绍的系统管理模板文件system.adm中用于限制驱动器的模板代码了。

但建议不要直接编辑、更改System.adm文件，而要创建一个新的.adm文件，然后再将这个.adm文件导入到对应GPO的"管理模板"文件夹中。

这是因为，如果对system.adm文件修改后，在更新了SP补丁后，该文件又会被新版本的system.adm文件所覆盖。

现在以在域级别下新建并链接一个名为"禁止U盘和光驱策略"的GPO为例进行介绍，具体的配置步骤如下：（1）将inf目录下的系统管理模板文件system.adm用记事本程序打开。

找到NoDrives 的两段策略模板，如下所示：1.POLICY !!NoDrives2. EXPLAIN !!NoDrives_Help3. PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED4. VALUENAME "NoDrives" !!ABOnly VALUE NUMERIC 3 !!COnly VALUE NUMERIC 4 !!DOnly VALUE NUMERIC 8 !!ABConly VALUE NUMERIC 7 !!ABCDOnly VALUE NUMERIC 15 !!ALLDrives VALUE NUMERIC 67108863 DEFAULT24.; low 26 bits on (1 bit per drive) !!RestNoDrives VALUE NUMERIC 026. END ITEMLIST27. END PART28.END POLICY这两段都是以POLICY !!开始，以END POLICY结束。

Win7小技巧：巧用组策略，阻止陌生u盘启动-电脑资料使用个人电脑肯定要经常使用U盘，作为便捷的临时存储设备，U盘是我们不可缺少的文件交换的手段，设置作为临时文件存储设备，但同时也对个人电脑资料产生很大威胁，不光有病毒传播的危险，还可能产生盗取、剽窃等，。

那有没有办法让系统只能使用指定的U盘或者移动硬盘，而禁止其它U盘呢？我们可以通过组策略来完成这项任务。

通过设置可以让系统只能使用指定的U盘。

注意：—此功能的实现，是通过组策略的限制，阻止安装未知硬件ID的移动存储设备安装驱动，从而达到阻止其使用的目的。

—对于已经在该电脑上使用并运行的可移动存储设备，只需在设备管理器上卸载其驱动即可，以后再插入该电脑，由于阻止其驱动安装，从而达到阻止启动的目的。

实现步骤：第一步：把自己的U盘先插入，让系统可以正常使用U盘，然后进入“控制面板”，打开“设备管理器”，在里面展开“磁盘驱动器”，可以看见里面有你的U盘。

第二步：在上面点击鼠标右键来选择“属性”，在弹出的“属性”窗口中点击“详细信息”标签，然后在设备“属性”下拉框中选择“硬件ID”，下面的“值”中会出现字符串，这个就是你的U盘的硬件ID，把它复制出来保存好。

第三步：还需要复制“通用串行总线控制器”中“USB大容量存储设备”的硬件ID，在“设备管理器”中展开“通用串行总线控制器”列表，找到“USB大容量存储设备”，在它的“属性”窗口中点击“详细信息”标签，复制出它的硬件ID也保存一下，电脑资料《Win7小技巧：巧用组策略，阻止陌生u盘启动》(https://www.)。

（注：可将所有个人常用移动存储设备的硬件ID记下，以避免造成不必要的麻烦，以后添加新的可移动设备，可另行记下，后续加入）第四步：找出U盘的硬件ID后就可以通过组策略来实现了。

在开始菜单中搜索“运行”，点击运行，或者直接Win+R打开“运行”窗口，输入“gpedit.msc”，或者在魔方优化大师的“实用工具”中打开“Windows系统工具箱”，找到组策略。

如何禁止光驱、移动硬盘、U盘自动运行——AutoRun与NoDriveTypeAutoRun键值Autorun.inf 与注册表NoDriveTypeAutoRun键值的一些说明1代表不可自动运行，0代表可自动运行。

NoDriveTypeAutoRun子项值重置为以下原始默认值之一：通过以上信息可判断，XP与2000在默认设置情况下，XP开启了U盘自动运行，所以默认设置下XP比2000要易感染U盘病毒。

注册表代码如下：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ex plorer]"NoDriveAutoRun"=dword:00000000"NoDrives"=dword:00000000"NoViewOnDrive"=dword:00000000"NoDriveTypeAutoRun"=dword:00000004[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Expl orer]"NoDriveAutoRun"=dword:00000000"NoDrives"=dword:00000000"NoViewOnDrive"=dword:00000000"NoDriveTypeAutoRun"=dword:00000004;以下是在组策略中设置的键值，默认没有设置时“本地User”下为空;[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] ;"NoDriveTypeAutoRun"=dword:000000ff;[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explor er];"NoDriveTypeAutoRun"=dword:000000FF。