jjz1g2y3a 2008-6-8 23:22
灵活应用组策略禁用USB
场景如下: 公司要禁止普通用户使用USB、Floppy、CD-ROM等驱动器防止病毒和资料外泄,只给公司的少数人使用比如说各部门经理;
实际应用如下:
1、在Dc上建立一个OU命名为Workstations,把所有的计算机都放到这个OU里面(请参见下面AD结构图)
[align=center][url=http://www.qqread.com/ArtImage/20080516/sv65_1.gif][img]http://www.qqread.com/ArtImage/20080516/sv65_1.gif[/img][color=#0000ff] [/color]点击查看大图[/url][list][*][*][url=http://www.qqread.com/sys-soft/k317776000.html][color=#0000ff][/color][/url][/list]
[color=#0000ff][/color]
[/align]
2、为Workstations这个OU建立组策略ZHKD_GPO_USBDisable_Computers,添加USB.adm模板文件。(请参见我前面写的文章:[u]用组策略彻低禁止USB存储设备、光驱、软驱、ZIP软驱的方法[/u]
[url=http://www.qqread.com/ArtImage/20080516/sv65_2.jpg][img]http://www.qqread.com/ArtImage/20080516/sv65_2.jpg[/img][color=#0000ff] [/color]点击查看大图 3、把USB、Floppy、CD-ROM选项都设置为Enabled(也就是禁用) [align=center][/url][url=http://www.qqread.com/ArtImage/20080516/sv65_3.jpg][img]http://www.qqread.com/ArtImage/20080516/sv65_3.jpg[/img][color=#800080] [/color]点击查看大图[/url]4、为了给部分经理或少数人开启驱动器,在DC新建一个EnabledUSB_Computers全局组;
[url=http://www.qqread.com/ArtImage/20080516/sv65_4.gif][img]http://www.qqread.com/ArtImage/20080516/sv65_4.gif[/img][color=#0000ff] [/color]点击查看大图[/url]5、把经理们的计算机帐号添加到EnabledUSB_Computers这个组 [align=center][url=http://www.qqread.com/ArtImage/20080516/sv65_5.gif][img]http://www.qqread.com/ArtImage/20080516/sv65_5.gif[/img][color=#0000ff] [/color]点击查看大图[/url][/align][url=http://www.qqread.com/ArtImage/20080516/sv65_6.gif][img]http://www.qqread.com/ArtImage/20080516/sv65_6.gif[/img][color=#0000ff] [/color]点击查看大图[/url] 6、设置Workstations上的ZHKD_GPO_USBDisable_Computers策略把EnabledUSB_Computers这个组安全过虑掉,也就是让EnabledUSB_Computers这个组拒绝应用该策略。 [align=center][url=http://www.qqread.com/ArtImage/20080516/sv65_7.gif][img]http://www.qqread.com/ArtImage/20080516/sv65_7.gif[/img][color=#0000ff] [/color]点击查看大图[/url][/align][url=http://www.qqread.com/ArtImage/20080516/sv65_8.gif][img]http://www.qqread.com/ArtImage/20080516/sv65_8.gif[/img][color=#0000ff] [/color]点击查看大图[/url]
说明:在黓认情况下,所有Workstations这个OU下的计算机的USB、Floppy、CD-ROM都会被禁掉,当有用户要使用时,把他们的计算机帐号加到EnabledUSB_Computers组,再把用户的计算机[url=http://www.qqread.com/z/regedit/index.html][color=#0000ff]注册表[/color][/url]键值改为3。
[url=http://www.qqread.com/ArtImage/20080516/sv65_2.jpg][/align][/url]
goldbill3 2008-6-9 08:36
[img]http://bbs.xunlei.com/attachments/day_080606/20080606_9d39e4287f6132bf1adaWTu3KCvAAAZu.jpg[/img]
jessecheung 2008-6-9 18:17
很好,感谢楼主分享。。。。
wfj198610 2008-6-12 11:32
好贴,多谢楼主,辛苦了。