快捷搜索:  
笨牛网>系统>windows系统> > 禁止域用户使用U盘等移动存储设备的方法 >

禁止域用户使用U盘等移动存储设备的方法

发布者: 匿名 围观 点赞:2

办公环境域禁止用户使用U盘拷贝数据的实现方法:

  1、在域控制器上打开Active Directory用户和计算机,找到您要屏蔽U盘的组织单位(Organizational Unit 简称OU),右键-属性,点击组策略页面,新建一个组策略,命名并保存为“屏蔽U盘”,建好后,双击“屏蔽U盘”(必需先打开一次,否则系统不会拷贝那几个模板文件),在打开的标题为“组策略”的窗口的左边,按以下顺序定位“用户配置-管理模板-Windows组件-Windows资源管理器”,我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”,双击打开其中一项策略,选择“启用”,下面的下拉框会变亮,单击下拉框,您会发现系统提供了7种限制访问驱动器号的组合,其中也包括了“不限制驱动器”,显然,这些组合不能满足要求(因为U盘的盘符通常是排在最后的,而且现在的硬盘比较大,少则也有三四个分区)。

  2、在域控制器上打开Active Directory 用户和计算机,在刚才新建的“屏蔽U盘”策略上单击右键选择查看属性,找到"屏蔽U盘"的组策略的唯一的名称,此名称为一长串数字和字母组成,记下此字符串。

  3、打开系统盘,定位以命名的文件夹,此文件夹位于“C:WINNTSYSVOLbaling.com.cnPolicies”下(盘符依赖于您安装的操作系统所在的分区),注意其中baling.com.cn是您的Windows 2000的域名,打开目录,找到ADM目录下的system.adm文件,此文件是我们在实施组策略的模板文件,是一个纯文本文件,可用记事本打开,找到下面这两段代码:
   * POLICY !!NoDrives
           EXPLAIN !!NoDrives_Help
         PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
     VALUENAME "NoDrives"
     ITEMLIST
   NAME !!ABOnly           VALUE NUMERIC 3
   NAME !!COnly            VALUE NUMERIC 4
   NAME !!DOnly            VALUE NUMERIC  8
   NAME !!ABConly          VALUE NUMERIC  7
   NAME !!ABCDOnly      VALUE NUMERIC 15
   NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
         ; low 26 bits on (1 bit per drive)
   NAME !!RestNoDrives     VALUE NUMERIC 0
     END ITEMLIST
        END PART  
   END POLICY

   * POLICY !!NoViewOnDrive
           EXPLAIN !!NoViewOnDrive_Help
        PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
     VALUENAME "NoViewOnDrive"
     ITEMLIST
   NAME !!ABOnly           VALUE NUMERIC 3
   NAME !!COnly            VALUE NUMERIC 4
   NAME !!DOnly            VALUE NUMERIC  8
   NAME !!ABConly          VALUE NUMERIC  7
   NAME !!ABCDOnly      VALUE NUMERIC 15
   NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
             ; low 26 bits on (1 bit per drive)
   NAME !!RestNoDrives     VALUE NUMERIC 0
        END ITEMLIST
        END PART  
    END POLICY
  说明:这是两个策略,第一个!!NoDrive,它的作用是在我的电脑中不显示指定的驱动器名,驱动器号代表的所有驱动器不出现在标准的打开对话框上,但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式,用户仍然可以访问该驱动器;第二个!!NoViewOnDrive的作用是阻止用户访问驱动器。可以阻止上述情况的出现,但是仅仅用第二个的话,用户可以看见该驱动器的盘符,但不能访问,一般情况,两个同时使用,可以达到比较理想的效果。
  仔细观察上述代码,不难发现,其中一共有7个NAME项,正好和我们图2下拉框中的一一对应,后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的规则取值,low 26 bits on的意思说值为26位的二进制,最多可指定26个驱动器盘符,而1 bit per drive则代表1位代表1个驱动器,举例说A=1,B=2,C=4,D=8,E=16,F=32,G=64,H=128,I=256,由低到高,以此类推。我们可根据我们的需要修改此代码段,假如我们要隐藏A、B、C、F、G、H、I,您可以根据您的需要而定,推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所有的USB接口数(防止有人同时插入几个U盘)。那么我们计算出VALUE NUMERIC的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487,在两个策略中的
  NAME !!ABCDOnly    VALUE NUMERIC   15

顶(2)
踩(0)
搜索相关内容】[打印] [关闭]

您可能还会对下面的文章感兴趣:

相关文章

最新评论