windows server 2008 AD中如何禁用USB端口

della0887

　　本文介绍如何在Windows Server 2008 AD中禁用客户端USB端口。
本文使用的系统：Windows Server 2008 R2 企业版。
域功能级别：Windows Server 2008 R2
在Windows Server 2008 AD中的组策略编辑器，依次找到Computer Configuration\Administrative Templates\System\Removable Storage Access,然后点击其中的“All Removable Storage Classes: Deny all access.将此设置启用。

　　
此时我们到域客户端A（OS:Windows 7 64bit），使用gpupdate/force，更新策略。

　　已成功进行了策略的更新，此时插入U盘，进行测试。

　　由此可以看出，U盘已经无法读取，但是不影响非存储USB设备的使用。
但是如果再次进入客户端B （OS: Windows XP SP3），USB存储却正常使用。因为大家知道此策略只针对Vista 之后的OS起效。那么在Windows Server 2008 R2域中如何禁用Vista之前的OS的USB存储呢？其实也很简单，就是利用之前在Windows Server 2003的方法来再一次对Vista之前的OS进行USB存储禁用操作！
首先在Administrative Templates 中导入USB的adm。www.it165.net
依次打开组策略编辑器：Computer Configuration\Administrative Templates,然后右击该选项，点击”Add/Remove Templates”,添加USB的管理模版。

　　
　　*此模板可以下载，下载地址：http://support.microsoft.com/kb/555324/en-us，将其中的代码部分复制到记事本，之后另存为名如：usb.adm格式的文件。
选中USB2008，选择关闭。
接下来在Administrative Templates 下的Classic Administrative Templates(ADM)\Custom Policy Settings\Restrict Drives中选择Disable USB，选择启用，并将”Disable USB Ports”选择为”Enable”

　　

接下来就是在文件系统中奖Usbtor.inf和Usbtor.pnf,权限设为全部禁用。
依次打开Computer Configuration\Windows Settings\Security Settings\File Sytem,右击添加文件。
依次添加Usbtor.inf和Usbtor.pnf两个文件。具体设置如下图。

　　
　　设定之后策略报告如下：


至此之后，XP的客户端USB并无法识别。
当然网上也有很多关于USB的禁用方法，但是个人认为此方法是在域环境中比较方便部署的了。
希望此文章给各位带来一定的帮助！
本文出自 “庐阳侠们” 博客
　　
　　=============================================================================
　　===============================================================================
　　
组策略禁用u盘
　　windows2008组策略如何屏蔽U盘。最近接到客户一个需求，相对所有电脑屏蔽U盘的使用，但不能妨碍打印机、鼠标键盘、扫描仪、加密狗等等一切需要USB接口工作的外部设备的使用，请问用2008域策略是否可以实现需求，请问如何实现，谢谢！
　　
　　回答：根据您的描述，我了解到您在Windows server 2008的环境下想通过组策略禁止客户端电脑使用U盘，但同时不影响其他USB外部设备，例如键鼠、打印机等设备的使用。
　　根据我的经验，我们可以通过以下方法实现您的期望：您看到的文章来自活动目录seo http://adirectory.blog.com/category/active-directory/
Windows XP以上版本

• 登录到DC，点击开始>Run，输入“gpmc.msc”然后回车打开组策略编辑器；
  
• 新建一条组策略，然后对其进行编辑；
  
• 展开：用户配置\策略\管理模板\系统\可移动存储访问；
  
• 在右边栏里启用如下设置（里面还有其它选项，您可以根据您的实际需求选择性进行设置）：所有可移动存储类：拒绝所有权限；
  
  
  
  • 如图所示：
    
  • 　　
    所有可移动存储类：拒绝所有权限；
    
  
  
• 将这个组策略链接到需要禁止使用U盘的用户所在的OU；
  
• 运行gpupdate /force命令来刷新组策略。这样，应用这个组策略的用户在登陆客户端的时候将不能使用任何移动存储设备。同时不会影响USB device设备；
  
  
  
  • 
    
  • 请您注意：加密狗属于移动存储设备，执行这条策略后会禁止加密狗的使用。
    
  
  
• 以OU中的一个用户账户登录到客户端，从而来测是否能达到您预期的效果。
  

Windows XP
　　通过您描述我了解到您在XP系统客户端上实现屏蔽USB存储，您将修改后的注册表值导成了一个.reg文件，但是客户端登陆后只能通过手动执行导入的操作才能达到注册表的更改，您想解决这一问题，如果我的理解有误，请您告诉我。
　　根据我的经验，我们不建议直接修改注册表的操作，因为注册表的不当操作可能会给客户端带来严重的问题，有时甚至需要重装系统。对于禁止XP客户端使用USB存储设备，我建议您使用.adm文件进行操作。根据我的调查，下面方法可以实现您的期望：

• 从以下网站将.adm文件拷贝并保存拷贝到C:\WINDOWS\inf目录，比如：Deny USB.adm。注意：这是一个英文网站。
  
  
  
  • HOWTO: Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 drivers
    
  • http://support.microsoft.com/kb/555324
    
  
  
• 以管理员身份登录到DC。点击Start>Run，输入“gpmc.msc”然后回车。
  
• 新建一条组策略，展开：计算机配置→管理模板，右键点击“管理模板”选择“添加/删除模板”。
  
• 选择并添加您刚才保存的文件。然后点击“查看”→“筛选”，打开“筛选”对话框，取消“只显示能完全管理的策略设置”前面的勾号。
  
• 然后您会在左侧的控制台树中看到：计算机配置→管理模板 下多出了“Custom Policy Settings”选项。
  
• 点击展开“Custom Policy Settings”→“Restrict Drives”，有选项可以禁止使用软驱，光驱，USB等。对“Disable USB”选项等进行设置。
  
• 将这个组策略链接到需要被禁止使用的用户所在的OU。刷新组策略并测试设置是否生效。
  

　　William Chen
　　
　　组策略禁用u盘的相关文章请参看

　　组策略设置u盘只读
　　
　　组策略禁止使用USB
　　如何限制usb
　　注册表设置USB设置只读
　　组策略禁用USB
　　组策略禁止USB存储设备
　　
　　组策略限制usb存储
　　限制usb使用
　　组策略禁止使用USB
　　封锁USB及本地驱动器
　　组策略|防止用户从可移动媒体安装程序

　　—gnaw0725