域控AD下禁用客户端USB存储器而开放其他USB...

控制USB存储设备使用权限任务：禁止电脑USB接口使用存储设备，但不能妨碍鼠标、键盘、打印机、加密狗等一切需要USB接口工作的外部设备。

（BIOS里全部关闭USB端口，这样USB端口全关了，什么USB 设备都用不了了！！！）1、关闭USB存储设备的盘符自动分配。

打开注册表，找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR”，将“Start”的值改为4（禁止自动分配盘符），默认为3是自动分配盘符；2、干掉USB存储设备的作用文件。

进入“C:\Windows\inf”，这里说明一下，USB存储设备的作用文件有两个，分别是usbstor.inf和usbstor.pnf，因为后续可能需要重新打开USB功能，所以不要删除它，建议拷贝到其他位置，当然你要暴力一点，删除它也没关系，但记得做好备份。

到此，即可禁止使用USB存储设备，不影响其他USB外设。

如何启用USB存储设备使用权限，逆向操作以上步骤即可开启USB存储设备使用权限。

下面是如何用批处理完成关闭或开启USB存储设备使用权限：关闭过程：@echo offreg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t reg_dword /d 4 /fcopy %Windir%\inf\usbstor.inf %Windir%\usbstor.inf /y >nulcopy %Windir%\inf\usbstor.pnf %Windir%\usbstor.pnf /y >nuldel %Windir%\inf\usbstor.pnf /q/f >nuldel %Windir%\inf\usbstor.inf /q/f >nul@echo on开启过程：@echo offreg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t reg_dword /d 3 /fcopy %Windir%\usbstor.inf %Windir%\inf\usbstor.inf /y >nulcopy %Windir%\usbstor.pnf %Windir%\inf\usbstor.pnf /y >nuldel %Windir%\usbstor.pnf /q/f >nuldel %Windir%\usbstor.inf /q/f >nul@echo on将以上代码保存为两个BA T文档，可以分别为DisableUSB.bat 和EnableUSB.bat，然后放入“C:\Windows\system32\”目录下，即可直接在CMD窗口里输入指令“DisableUSB”关闭USB存储设备使用权限或输入指令“EnableUSB”开启USB存储设备使用权限。

电脑USB接口怎么禁用系统禁用USB端口的两种方法如何禁用电脑的USB接口？一般电脑的USB接口都是默认开放使用的，但是如果电脑中有很多重要文件的话，为了防止泄露，一般会通过禁用USB的方式防止他人拷走，那么如何禁用电脑的USB接口功能？请看下文两种解决办法。

方法一、通过注册表禁用USB存储设备驱动、禁止U盘驱动的方式禁止U盘使用。

1、首先，打开记事本，复制下面的内容，粘贴进去。

Windows Registry Editor Version 5.00［HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\USBSTOR］“Start”=dword：00000004［HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\USBSTOR\Enum］“Count”=dword：00000000“NextInstance”=dw ord：000000002、点【文件】-【另存为】，命名为disableusb.reg （注意“保存类型”选“所有”），保存到桌面。

3、再把“Start”=dword：00000004中的4改为3 ，同样另存为enableusb.reg ，保存到桌面。

以后要禁用USB时，双击disableusb.reg ，要解锁双击enableusb.reg即可。

方法二、通过一些电脑USB端口禁用软件、禁用USB存储设备软件来实现u盘禁用。

虽然通过上面的方法可以禁止U盘、屏蔽USB存储设备的使用，但是由于是采用注册表禁止U盘使用，因此一些懂技术的员工也可以通过反向修改注册表达到重新使用U盘的目的。

因此，如果想实现对USB存储设备更为有效的禁用，则就需要一些电脑USB端口禁用软件、USB存储设备屏蔽软件来实现了。

例如有一款“大势至电脑USB禁用软件”（/monitorusb.html），只需要在电脑安装完毕，就可以完全禁止U盘、禁用usb存储设备的使用，同时还可以只让使用特定的USB存储设备或者只让使用指定的U盘；还可以只让从U盘向电脑复制文件而禁止从电脑向USB存储设备复制文件，从而保护了电脑文件安全，防止通过USB存储设备复制出去的行为。

windows识别USB设备主要通过两个文件，一个是Usbstor.pnf、另外一个是Usbstor.inf，当在电脑第一次使用USB设备之前禁用这两个文件即可达到我们的目标。

1、打开active Directory用户和计算机;2、选择需要禁用USB设备的OU，并点击鼠标右键进行组策略;3、创建一个针对USB的GPO，并点击编辑，打开组策略编辑器;4、进入组策略编辑器，依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”;5、右键点击“添加文件”，弹出“添加文件和文件夹”，在“文件夹”栏输入“%systemroot%\inf\usbstor.inf“，确定;您看到的文章来自活动目录seo/c1404552/6、在“数据库安全设置”中，删除所有的用户，并添加“Everyone”，去掉默认的允许“读取和执行”、“列出文件夹内容”、“读取”，添加拒绝“完全控制”;应用、确定;7、在“添加对象”窗口，默认当前设置，若要重新编辑安全权限，则可点击“编辑安全设置”进行重新设置;确认，退出设置;8、除此之外，重复5、6、7步，对“%systemroot%\inf\usbstor.PNF“进行设置;9、关闭组策略编辑器;10、使用“gpupdate /force”，强行刷新策略。

以上方法只能针对还没有使用过USB的计算机才能生效，若企业中的部分计算机已经使用过U 盘等设备，那还需要修改注册表来达到目的。

需要修改的注册表键值位于：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStorwindows 2000下，键值在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub，打开上面注册表位置，我们可以看到start的键值，需要将该键值修改为4，默认情况下为3(3表示手动、2表示自动、4表示停用)，若要使用组策略来部署，需要使用脚本来加以运行即可。

Windows组策略屏蔽U盘有妙法(图)Windows组策略屏蔽U盘有妙法(图)ChinaITLab收集整理笔者在一家区级法院网络中心工作，为确保局域网内的计算机安然，省高院要求全省联网的法院客户端的机器光软驱都要撤消，而且禁止在局域网内使用U盘。

我们知道，此刻局域网中使用的操作系统绝大大都都是Windows系列，对于Windows 98说，做到这些并不难，因为U盘第一次使用时需要安装相应的驱动程序，撤消了光、软驱后，驱动无法安装，U盘也就无法使用，但对于Windows 2000、Windows XP来说，情况就不同了，用过U盘的人都知道这些操作系统不需要安装驱动，U盘即插即用。

对于大大都用户来说，这确实很便利，但对于单元有要求的网管来说，就头疼了，此刻新买的机器不克不及总是安装Windows 98吧，毕竟Windows 98就要“下岗〞了，但面对U 盘，却没有好的方法，也许您会想到可以在BIOS设置里屏蔽USB端口，但这是“宁可错杀一千，不克不及放过一个〞的方法，如果您的单元客户端没有使用USB接口的键盘、鼠标、打印机等设备，那您完全可以采用此方法，不外您以后采购设备的时候要注意了，最好不要采购USB设备，除非咱们网管本身用，哈哈！那有没有简单易行的方法呢？颠末一段时间摸索和试验，笔者终于找到了使用点窜组策略模板的方法实现此目标。

实现条件当然这是有前提条件的，首先，您的局域网必需以域为架构〔我们知道Windows 2000、Windows XP本身都自带有组策略编纂器，使用组策略编纂器可单独编纂每台机器的策略，而使用域时，只要用户登录到域，就会自动应用策略，在效劳器端点窜一次，就可以在全域实现办理目标，如果不采用域模式，您需要每台都要设置组策略，掉去了效率，也就没有采用的必要了〕。

其次，客户端必需以域用户的身份登录网络，且不克不及被赋予客户端本机办理员的权限。

客户端操作系统保举使用Windows 2000和Windows XP，虽然Windows 98也能在域环境下应用组策略，但Windows 2000 Server组策略对Windows 98的撑持并不完全，且需要采用两种完全不同的方法别离办理他们，会对您以后的网络办理带来不便。

用AD组策略-----彻低禁止USB存储设备, , , , , ,本帖最后由 zh_cxl 于 2021-2-4 15:36 编纂原2008-10-13的更新有误，主要是usbstor.inf和usbstor.pnf的权限设置，现已更正详情请查看2008-10-13更新。

为了对USB更彻底的控制本次更新将对系统的usbstor.inf和usbstor.pnf的文件权限进行控制这两个文件位于windows\inf目录下〔这两个文件是USB 存储设备的驱动文件，本策略的道理是操纵NTFS权限阻止普通用户加载驱动〕，本卷须知：〔1〕使用前请确认你的系统盘使用的是NTFS权限，否那么此策略将无效。

(2) 此策略只能对计算机，不针对用户1、翻开组策略编纂器gpmc，选择计算机配置--安然设置--文件系统；2、在右边单击鼠标右键选择－－添加文件；3、选择系统目录下的C:\windows\inf\usbstor.inf文件,单击确定；4、呈现权限设置对话框，注意这一步很重要必然要删除所有的组；5、呈现如下对话框，继续单确定；6、按照如上方法再把C:\windows\inf\usbstor.pnf添加进去，如以下图；7、找一台客户端计算机验证策略，强制刷新策略,从头启动计算机；8、查看客户端计算机c:\windows\inf\usbstor.inf及usbstor.pnf的NTFS权限，发现里面所有安然组已被删除。

策略应用成功，普通用户无法再使用USB存储设备。

2007-09-10先下载附件里的usb.adm文件详细操作如下:１，在DC里的OU里新建一条GPO组策略２、添加至组策略----计算机配置----办理模板中，３、注意在“查看〞----“筛选〞中去掉“只显示能完全办理的策略设置〞前面的勾４、右键办理模板--点添加删除模板--添加usb.adm的模板文件--点关闭窗口中呈现custom policy settings进入,就可以看到阿谁设备的,右键你想设置的设备如disable usb 呈现属性对话框点已启用在disable usb ports 中选enabled确定后重启计算机,就会发现usb接口不克不及用了,要恢复就禁用或选disabled,其它设备也是同样的操作.。

一、禁止USB存储设备、光驱、软驱、ZIP软驱在现在企业网络环境下，由于企业网络越来越大环境越来越复杂。

公司内员工素质参差不齐，公司为了加强网络安全性、数据保密性提出要封堵USB存储设备、光驱、软驱、ZIP软驱设备。

首先我们在企业网络环境要想实现以上目的，必须要有域环境。

这里肯定有朋友会说，没有域环境也能实现。

是的没有域环境我们可以通过修改每个客户端的注册表来实现，大家可以试想下我们企业环境就算不是很大的集团就算是个60多台小型网络环境，一台一台的去一个个修改每台客户端计算机的注册表也会累死。

所以我们在域环境下就可以通过在DC上建立策略，客户端应用策略后我们就比一台台的去客户端修改注册表来的简单省事多了。

好的言归正传，大家先下载我博文中的附件，附件内是该文中的核心。

其次我想推荐大家可以在自己的DC上安装GPMC组策略管理工具，来方便我们大家来对组策略管理已经排错。

第一步：我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。

第二步：打开组策略管理，右键点击→点击“创建并链接（GPO）”→输入组策略名称“禁止USB”。

因为我们这次的策略是希望企业内所有计算机都应用，故我们在域级别上创建一条GPO组策略。

第三步：右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。

第四步：在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。

（这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。

）双击“usb.adm”组策略模板添加“usb.adm”组策略模板。

添加后，回到“添加/删除模板”对话框，我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。

第五步：我们点击“添加/删除模板”对话框中的“关闭”按钮，回到“组策略编辑器”对话框中。

用AD组策略之彻低禁止USB存储设备2023-10-27•AD组策略基础介绍•禁止USB存储设备策略的制定•实施禁止USB存储设备策略•策略实施效果评估与优化•相关问题及解决方案目•总结与展望录01AD组策略基础介绍•AD组策略是一种集中式管理工具，它允许管理员在组织级别上定义和实施IT策略，以控制和规范用户行为和计算机行为。

它基于Windows Server操作系统，是活动目录（AD）的一部分，可以用于管理和配置网络中的计算机和用户。

AD组策略的定义通过AD组策略，管理员可以在组织级别上定义和实施IT策略，从而实现对整个网络中计算机和用户的集中化管理。

AD组策略的优点集中化管理AD组策略提供了丰富的配置选项和自定义功能，可以根据组织的需求进行灵活的配置和扩展。

灵活性和可扩展性AD组策略可以用于定义和实施安全性策略，包括用户身份验证、访问控制和数据保护等，从而提高网络的安全性。

安全性•AD组策略适用于各种规模的企业和组织，特别是那些需要集中化管理、灵活性和安全性需求的组织。

它可以用于控制和规范用户行为、计算机行为以及应用程序的安装、配置和管理等方面。

AD组策略的适用范围02禁止USB存储设备策略的制定通过禁止USB存储设备，减少公司信息泄露和数据安全风险。

确保公司信息安全提高工作效率合规性减少员工使用USB存储设备进行私人用途或与外部数据交换，从而专注于工作。

满足公司政策或行业规定，确保公司数据安全和合规性。

030201加密USB存储设备对于公司提供的加密USB存储设备，可以设置AD组策略来强制加密这些设备，以保护数据安全。

监控和报告建立监控机制，记录任何违反策略的行为，并采取适当的行动，例如报告给IT部门或管理层。

禁止USB存储设备通过AD组策略，将USB存储设备的使用完全禁止。

在实施策略之前，先在小范围内测试策略，以确保没有未预见的问题。

测试策略实施在实施策略后，密切关注员工的反应和策略的实际效果，并根据需要进行调整和改进。

刚接触域环境的时候在坛子上提过一个在域环境中利用组策略禁止使用USB接口的帖子.当时是求助,后来自己解决了.而后就有好多人就加我的QQ,问我是怎么解决的.所以把自己的经验发表一下.供大家分享.有不明白的请发贴提问.这个方法已经经过测试完全好用.另外我也有几个域的问题想问一下.希望知道的朋友不吝赐教.1.如何在域服务器上做限制,使域用户不能访问INTERNET,而却能访问LAN.2.如何使域中的电脑一部分要输入用户密码才能登陆,而一部分不需要输入密码直接能登陆.下面是屏蔽USB的方法:现在在公司数据保密问题越来越受到领导的重视,U盘自然成为各位领导的一块心病.因为其简便的操作特性让人觉的电脑里没有一样东西是安全的.如何防范---在BIOS中屏蔽USB端口,这个办法是“宁可错杀一千，不能放过一个”的笨办法,U盘是不可以使用了,但所有的USB 相关设备也都不能使用了.如果是在WINDOWS 2003域环境中,可以利用组策略妥善的来解决这个问题.即可以使用除U盘以外的任何USB设备,如打印机,USB键盘,鼠标.....思路：当计算机插入Ｕ盘后，系统会自动增加一个盘符，如果我们想办法禁止系统增加新的盘符,那么不就可以把U盘禁止了吗。

打開Active Directory用户和计算机，建立一个名为NOＵＳＢ的组织单位，也就是OU，如图:右键--属性－组策略，新建一个名为nousb的策略.如图:点编辑后出现组策略，我们来设置。

定位到用户配置—Windwos组件--Windows资源管理器我们要配置的是“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”这两个选项。

而现在这两个选项的启用菜单中没有我们要去禁止访问的盘符，这就需要手动的为组策略来添加我们需要的选项。

我们重新回到nousb属性对话框，选择nousb组策略，点下面的属性，记下弹出的又一个nousb属性对话框中的常规选项卡—摘要---唯一的名称（{C04ED8BO。

计算机如何设置禁止自动运行外接USB存储设备、禁止访问磁盘等为了避免计算机由于使用外接USB存储设备自动运行导致操作系统中毒引起程序无法运行、运行不稳定、与数据库的通讯不正常等情况以及访问磁盘分区对重要文件的误操作，故需要对计算机操作系统进行相关配置禁止有关操作。

具体设置如下：1．在“开始”菜单中，单击“运行”选项（图1）：图12．在出现的对话框中输入“gpedit.msc”（图2）：图23．确定后进入“组策略”编辑界面（图3）：图34．选择“计算机配置”→“管理模板”→“系统”，选择右侧的“关闭自动播放”（图4），在双击出现的对话框中选到“已启用（E）”并修改下面“关闭自动播放”为“所有驱动器”（图5），之后点击“确定”即可限制所有外接USB存储设备自动运行：图4 图55．设置为图6所示情况即可禁用防火墙：图66．在任务栏右键选择“属性”之后选为如图7情况点击“确定”使用经典菜单，此时桌面会出现如图8所示情况显示“我的文档”“我的电脑”“网上邻居”“Internet Explorer”“回收站”：图7 图87．在桌面上右键选择“属性”出现的选项卡选到“桌面”下方的“自定义桌面”，如图9所示；之后设置为如图10所示后点击“确定”即可让桌面只剩“回收站”图标。

图9 图108．进行如图11图119．进行如图12和图13所示的设置即可限制对于任务栏的右键等方面的操作：图12图1310．经过以上设置之后开始菜单仅剩如图14所示结果，桌面则仅剩放置的图标和文件，而文件夹类则由于系统限制无法打开：图1411．如图15所示设置后即可禁止了对于右下角网络链接的访问和修改：图1512．如图16所示设置后即可禁止通过“Ctrl+Alt+Del ”组合键访问“任务管理器”：图1613．如图17所示设置后即可禁止访问控制面板（禁止访问防火墙等配置）：图17。

域组策禁用U盘的使用方法
1、首先你要具备一台装有Windows Server2003操作系统服
务器，再次你要配置域服务器，如下图：
2、找到域控制器（Active Directory）,我简称它为AD, 点击管理AD中的用户和计算机，会出现下图：
3、右击Domain Controllers后，点击属性会出现下图：
4、选择“组策略”，点击组策略对象链接，再双击它，会出现下图：
5、照图点击到“注册表”，右击“注册表”后点击“添加项”，照图上的路径添加那两项。

注意添加图上那两项时的前提是你的域服务器注册表（“开始”→“运行”→输入命令“regedit”就会打开注册表）将图上那两项修改了。

我具体说明下它们的修改值。

第一项如图:
它项中的WriteProtect值默认为“0”,更改为“1”。

第二项如下图：
将其中的Start的值改为“4”,默认值为“3”表示启用。

6、添加完“注册表”的那两项后，关闭所有，在“开始”→“运行”→输入命令“gpupdate”后完成。

7、所有加入域中的计算机的U盘就被禁用了。

另外还有种脚本法也可禁用U盘，我没有采用那种方法，一是它的脚本语言复杂，二是我想用最简单的方法去实现禁止U盘的使用。

上述方法本人在虚拟机中已经实现U盘的禁用。

AD组策略禁用U盘如果需要禁用U盘的使用，可以通过AD组策略来实现。

下面是详细的步骤，以及一些注意事项：1.创建一个新的组策略对象（GPO）：- 打开Group Policy Management Console（GPMC）- 在左侧的树形目录中选择“Group Policy Objects”，右键单击，选择“New”-输入一个描述性的名称，然后点击“OK”-在GPMC中，找到创建的新GPO- 右键单击该GPO，然后选择“Edit”选项3.配置组策略设置：-展开“系统”子节点，然后找到“可移动存储访问”-在右侧的列表中，找到“禁用USB存储设备”，双击打开设置窗口-在设置窗口中，选择“已启用”，然后点击“确定”4.更新组策略：-在GPMC中，找到域对象- 右键单击域对象，然后选择“Group Policy Update...”选项-在弹出的对话框中，选择需要更新的对象，然后点击“OK”5.验证组策略设置：-在域内的计算机上，以域管理员身份登录- 打开命令提示符，输入“gpupdate /force”命令以强制更新组策略-重新启动计算机-插入U盘，检查是否能够正常访问需要注意的是，禁用U盘使用是一种较为严格的控制措施，可能会对用户的正常操作造成一定的影响。

在实施之前，需要与用户进行充分的沟通和培训，并根据实际情况进行调整和适配。

此外，应注意以下几点：1.仅禁用U盘可能无法完全限制用户从其他途径传输文件（例如通过网络或其他外部存储设备）。

因此，在实施组策略之前，应对其他可能的数据传输途径进行评估和控制。

2.组策略设置将适用于所有用户和计算机。

如果只想限制特定用户或计算机的U盘使用，可以将GPO应用于相应的组织单元（OU）或安全组。

3.在一些情况下，可能需要允许一些特定用户或计算机使用U盘。

可以针对这些特殊情况创建不同的GPO，或者通过安全组的方式进行特权控制。

总结来说，通过AD组策略禁用U盘的使用，可以有效地增强计算机系统的安全性。

作者：大飞日期：随着存储设备地不断发展，当前通过盘、移动硬盘、手机存储文件地方式越来越普遍，同时这些存储空间也越来越大，动辄几十地存储空间司空见惯.这些存储设备一方面在方便信息存储、信息传递地同时，另一方面也带来了巨大地信息泄露地风险，尤其是员工可以轻易地将公司重要地文件私自拷贝、存储到个人地盘、移动硬盘或手机里面携带出去，从而给公司带来重大地商业机密泄密地风险.为此，我们必须采取有效地举措禁止员工私自使用存储设备地行为.当然，最有效地方式是通过部署专业地控制软件，如“大势至控制系统”（百度搜索“大势至控制系统”即可下载），只需要点点鼠标就可以完全屏蔽存储设备地使用，完全禁用盘、移动硬盘、手机等存储设备；同时还可以禁止蓝牙、红外、串口和并口，以及禁止无线网卡、限制修改计算机重要配置等，如注册表、组策略等，从而可以满足国内非专业网管员地需要，而对于文档来自于网络搜索我现在地网络环境中是用脚本做地，只对存储设备，如盘、移动硬盘、光驱等，对地键盘、鼠标等无影响！原理就是对存储设备所需要地驱动文件进行删除或恢复，是参考而来地！如下：在中按不同地要求分调用下面两脚本，说明如下：比如说默认情况下，所有电脑都是在下面，为了禁用或开启地需要，我另建两个: ,、禁止使用（将下面地代码到记事本，然后另存为），将需要禁止地电脑，移到禁用地中，然后在此中地调用下面地脚本("")(":\\\")(":\\\")(":\\\")(":\\\")(":\\\\")(":\\\\")(":\\\")(":\\\")(":\\\")(":\\\")(":\\\\")(":\\\\")"."(":\\" "\\")"\\\"""、解除禁止（将下面地代码到记事本，然后另存为），对于已禁用地电脑，需要解除地，将需要解除地电脑移到：地中，然后在中地调用，待可以用后，再移到正常使用地中(),红色部分是具体文件及路径，需要依你实际情况而定，可以预先将几个文件在某个隐藏地共享目录下！("")(":\")(":\\\")"" , ":\\\"(":\\\")"" , ":\\\"(":\\\\")"" , ":\\\\"(":\")(":\\\")"" , ":\\\"(":\\\")"" , ":\\\"(":\\\")"" , ":\\\\""."(":\\" "\\")"\\\"""说明：以上在位地环境中都能正常，解除禁用地部分，因地驱动不一样，所以不保证能正常运行！文档来自于网络搜索总之，企业局域网禁用盘、屏蔽存储设备地方法很多，但是对于大多数企业来说，由于缺乏专业地网络管理人员，通过控制软件来限制员工用盘、禁用端口地方式较为直接和有效，具体可以根据自己地需要进行选择.文档来自于网络搜索。

如何只禁用USB存储设备而不影响USB鼠标键盘Yesky软件频道2013-06-04 17:55分享到：我要吐槽当前，在企事业单位电脑管理中，如何有效管理USB端口的使用，尤其是防止员工私自插上U盘、移动硬盘、蓝牙等设备随意拷贝、复制公司的资料一直是令网管员十分头疼的问题。

尤其是在一些涉密行业，如政府机关、军队、广告公司、设计单位等，一旦有涉密信息泄露出来将会给单位带来重大损失;同时，员工随意使用U盘也会极大地增加电脑中病毒的风险，从而给单位网络安全带来较大隐患。

为此，有效监控USB接口使用、禁止U盘使用、监控移动硬盘、禁止蓝牙接入电脑等是当前网络管理的一个重要课题。

目前，传统的方法是通过进入电脑的BIOS进行设置禁用USB接口，从而达到完全禁止USB外接设备的使用。

但是，这种方法一方面非常容易被通过BIOS放电的方式清除BIOS密码，从而可以进入BIOS 系统而重新恢复USB的使用，从而可以重新使用U盘;另一方面，通过完全禁止USB口的使用，也会导致电脑的USB鼠标、USB键盘或USB 加密狗以及其他非存储的USB设备的使用，从而也带来极大不便。

此外，一些单位还通过直接将USB口通过焊接的方式完全封死或者通过在主板上完全切断机箱前后USB数据线的方式而导致USB接口完全失效的情况，这种管理USB接口的方式同样也会导致其他非USB存储设备的使用;还有一种通过安全保密机箱的方式，也就是使用USB接口必须通过钥匙开启USB端口前面的加锁盖的方式来放开USB接口使用，但是这种方式管理比较麻烦，极大地增加了网管的工作量，同时也会导致非USB存储设备的无法使用。

因此，有效控制USB接口使用必须采用更加精细、便捷的方法，要实现完全禁止USB存储设备同时也不影响非USB存储设备使用的最终目的，这就必须借助第三方USB监控软件的方式来加以实现。

目前，国内一些上网行为管理软件提供商，在自家的产品中集成了限制USB接口使用的功能。

只禁用USB存储器而开放其他USB设备.确定数字与盘符的关系例如：我需要隐藏及禁用的是除了E、P盘之外的磁盘分区，按照文章所述，需要隐藏的驱动器的值设为1，不隐藏的驱动器的值为0，那么数字与盘符的对应关系如下表：接下来将11111111110111111111101111字符串转换为十进制数字，这个用Windows自带的计算器就可以办到，转换后的十进制数字为：67076079。

2.修改system.adm文件搜索域控制器C盘下的system.adm文件，一下搜出来好几个，且分布在不同的文件夹，大小及修改日期都一样。

随便复制了其中1个文件并用记事本打开，查找“Nodrives”，在ITEMLIST段各增加一行NAME !!ABGHIJKLMNOPQRSTUVWXYZOnly VALUE NUMERIC 67108803NAME !!ABGHIJKLMNOPQRSTUVWXYZOnly VALUE NUMERIC 67108803如图：然后继续查找“Strings”，添加一行 ABGHIJKLMNOPQRSTUVWXYZOnly="除C、D、E、F外其他驱动器"修改后进行保存并覆盖掉原来的文件。

3. 编辑域用户的组策略重新启动域控制器，打开“Active Directory用户和计算机”编辑域用户的组策略，在“用户配置”→“管理模板”→Windows组件→“Windows资源管理器”的“隐藏我的电脑中这些指定的驱动器”和“防止从我的电脑访问驱动器”的选项中果然就出现了“除E、P外的驱动器”选项，选择该项并确定后，找了台客户机，开放其USB口，登录到域后，插入闪存，右下角系统托盘区显示了闪存标志，但是在我的电脑里却显示不出闪存盘符，在地址栏中输入闪存盘符也提示不允许访问，此时使用USB鼠标等设备却没有影响。

成功地达到了禁用USB储存器而不影响USB设备的使用。

最后，为保险起见，在组策略中禁用了自动播放出处：/vipkx/blog/item/58283051d750fd14367abeee.html。

用域控来禁止公司局域网的U盘、禁止移动硬盘等USB存储设备制作背景:在公司局域网中，有时候处于网络安全的考虑，需要禁止电脑USB接口使用，尤其是需要完全禁用U盘、禁止移动硬盘等USB存储设备的使用，而通过AD组策略禁用USB接口使用、域控制器禁用USB端口、域AD组策略禁用U盘是一种比较有效的方法制作方法及工具:在Windows server 2003 sp2下建立一个Active Directory域控制器，通过域控制器来控制域里的所有电脑的USB接口使用，在域控下建立一个组织单元（OU），给OU一个组策略控制，在组策略里控制USB接口的使用，需要一个usb.adm文件来实现，需将局域网内的所有用户都加入所建的域。

关键词：服务器，AD，OU，USB使用需求及目的：公司局域网中，对于网络安全的考虑，信息安全的维护，以及病毒的防止，所以采用AD来实现禁止USB的使用。

来实现内网安全，防信息泄露及防病毒入侵。

内容及实现方法：1 域控制器的安装：1.1安装条件：1.1.1 域的定义：在网络环境中，有很多台计算机，每台计算机里面都有一定的资源，为了便于管理这些分散的资源所以要使用域环境进行集中的管理。

那么什么是域？域是一种有多台计算机上组成的逻辑环境，所有域中的重要资源都保存在域控的数据库中，并且进行集中管理。

1.1.2 采用windows server 2003域的特点：windows 2003域采用活动目录（Active Directory，AD）技术，集中管理资源，便捷的网络访问，良好的可扩展性是他最大的特点。

安装域实际上就是安装活动目录（AD），他有6点重要的安装条件。

（1）必须以管理员的身份安装（2）windows 2003版本的系统，除web版之外（3）硬盘中至少有一个分区为NTFS分区（4）配置好IP地址（5）网络中有相应的DNS服务器（6）有足够的可用空间1.1.3 安装前需配好IP地址及ＤＮＳ服务器：如何配置好IP地址和网络中没有DNS服务器的支持：由于是要安装域控制器。

用AD组策略之彻底禁止USB存储设备在如今信息化时代，数据的安全性越来越受到重视。

越来越多的企业、机构和组织都意识到，内部数据的泄漏可能会给他们带来巨大的损失和影响。

因此，为了确保信息的安全性，限制或禁止员工使用USB存储设备成为了许多企业的必要举措之一。

Active Directory（AD）组策略是微软Windows操作系统中重要的安全管理工具，它通过集中管理和配置网络中的用户和计算机，提供了一种灵活而高效的方式来限制和管理用户对计算机和网络资源的访问。

本文将介绍如何通过AD组策略来完全禁止USB存储设备的使用，从而确保企业的信息安全。

为什么需要禁用USB存储设备USB存储设备如U盘、移动硬盘等的使用带来了便利性，但也带来了潜在的安全风险。

一旦员工可以随意使用USB存储设备，他们就可以轻松地将敏感数据复制到移动存储设备中，这可能导致数据泄漏、知识产权侵权等问题。

此外，病毒和恶意软件也可以通过感染USB存储设备来传播。

一旦一个感染了恶意软件的USB存储设备被插入企业网络中的计算机，整个网络都可能受到威胁。

因此，禁止USB存储设备的使用是确保企业数据安全的重要一环。

使用AD组策略禁止USB存储设备步骤一：创建组策略对象1.打开组策略管理器，选择要应用AD组策略的组织单位或域。

2.右键单击选择“新建GPO”（组策略对象）。

3.输入适当的名称，例如“禁止USB存储设备”。

步骤二：编辑组策略设置1.在组策略管理器中，右键单击新创建的组策略对象，并选择“编辑”。

2.在组策略管理编辑器中，展开“计算机配置”>“Windows设置”>“安全设置”>“本地策略”>“安全选项”。

3.找到并双击“可移动存储访问”策略。

步骤三：配置“可移动存储访问”策略1.在“可移动存储访问”策略中，选择“已禁用”。

2.单击“确定”保存更改。

步骤四：将组策略应用到组织单位或域1.将新创建的组策略对象链接到相应的组织单位或域。

如何在域控中禁用客户端U盘
如何在AD域控中禁用客户端U盘呢？在百度中一搜，答案多得很，可照着他们的步骤，却屡次失败，经过翻阅许多资料，和自己许多次实验，终于成功呢，现分享如下：
整个过程包括三个步骤：
1、新建OU，并将AD中computer目录下的计算机移到此OU下（关键）。

2、在此OU新建组策略，编辑，并在“计算机配置―――》系统文件中”添加两个u盘驱
动文件，且将这两个文件的权限设置为domain user 拒绝所有
3、在刚才新建的组策略上，编辑，并在“计算机配置―――》登陆――》启动中添加一个
U盘启动文件批处理
现将详细步骤如下：
第一步
1、新建OU，名为disable u disk
2、将AD中的computer目录下的所有计算机移至OU下，如图所示
第二步
1、在此OU上新建组策略名为disk u disk(名可以反应出组策略)
2、右击OU――》属性――》组策略――》编辑
3、打开计算机配置―――》系统文件――》右击添加文件系统2个
（%systemroot%\inf\usbstor.inf）(%systemroot%\inf\usbstor.pnf)
4、为此两个文件设置权限即domain user为拒绝所有，
5、如图所示：
第三步
1、在此组策略中，打开计算机配置――》windows设置――》脚本―――》启动，添
加脚本，脚本内容如图
2、最后用gpupdate /force刷新
如果大家有疑问，可QQ我（1136893285）。