域组策略下禁用USB和组策略

一、禁止USB存储设备、光驱、软驱、ZIP软驱

第一步：我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。

第二步：打开组策略管理，右键点击→点击“创建并链接（GPO）”→输入组策略名称“禁止USB”。因为我们这次的策略是希望企业内所有计算机都应用，故我们在域级别上创建一条GPO组策略。

第三步：右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。

第四步：在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。（这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。）双击“usb.adm”组策略模板添加“usb.adm”组策略模板。

添加后，回到“添加/删除模板”对话框，我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。

第五步：我们点击“添加/删除模板”对话框中的“关闭”按钮，回到“组策略编辑器”对话框中。此时我们就可以看到“计算机配置”下的“管理模板”中多了一个“Custom Policy Settings”。

第六步：右键点击“管理模板”→“查看”→“筛选”。

在弹出的“筛选”对话框中去掉“只显示能完全管理的策略设置”前面的勾

再点击“确定”按钮返回“组策略编辑器”画面。

第七步：点击“计算机配置”→“管理模板”→点击“Custom Policy Settings”→点击“Restrict Drives”

第八步：例如我们要禁止USB接口（大家可以放心，虽然我们禁止USB接口但是不影响我们使用USB接口的打印机、键鼠累设备），右键点击“Disable USB”→点击“属性”，弹出“Disable USB”属性对话框。

我们首先点击“已启用”按钮→在“Disable USB Ports”中选择“Enabled”来启用该策略。

注意：这里我要提醒的是，很多朋友可能在这里就把该策略点击“已启用”按钮后，然后用“GPupdate/force

/force””来强行在客户端和DC上刷新策略，最后发现为什么策略已经启用了，就是不生效呢。这里我要提醒大家就是一定要点击“已启用”后还要在下面选项中选为“Enabled

Enabled””，否则你做的策略是不会生效的。

此时我们点击“应用”→点击“确定”返回到“组策略编辑器”对话框，我们可以看到“Disable USB”状态已经变为

“已启用”，关闭“组策略编辑器”对话框返回“组策略管理”对话框画面。

二、禁止访问注册表编辑器工具

到了这里我想提醒大家一句，因为企业环境不同，有些客户端给的权限也一样，那么为此防止客户端计算机使用者擅自修改组策略表来打开USB接口（虽然有朋友会说策略默认刷新间隔时间是5分钟，我们可以通过修改为0，是每7秒刷新一次，但是问题会增加客户端和域控制器的负担以及已经造成网络阻塞。），为此我们可以通过建立“禁止访问组册表”策略来弥补。

第一步：我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。

第二步：打开组策略管理，右键点击→点击“创建并链接（GPO）”→输入组策略名称“禁止访问注册表”。因为我们这次的策略是希望企业内所有计算机都应用，故我们在域级别上创建一条GPO组策略。

第三步：右键点击“禁止访问注册表”策略→点击“编辑”→右键点击“计算机配置”→“管理模板”→点击“系统”。

第三步：右键点击“组织访问注册表编辑工具”→“属性”弹出“组织访问注册表编辑工具”属性对话框→点击“已启用”→点击“应用”→点击“确定”。

好的下面我们来验证下我们策略的效果，因为我们做的是计算机策略，我们首先在DC上运行“GPupdate/force”命令然再到客户端计算机重启计算机来应用该策略。此时我们发现我们在客户端计算机点击开始→运行输入“Regdiet”则会提示如下图所示：

到此我们“禁止注册表”策略已经完成。

三、破解“禁止注册表编辑器工具”

这时候这个时候有朋友会说有办法破解禁止访问注册表这个策略，的确，这里我可以明确告诉大家有些网络的方法后缀名名.reg的就不要想在系统中运行了，但是可以在该文中下载名为“reg.inf”的文件可以破解此策略。如果大家有什么更好的办法来禁止破解“禁止访问注册表”方法，大家也可以再次留言一起讨乱学习。