如何利用AD_组策略来屏蔽U_盘.doc

如何利用AD 组策略来屏蔽U 盘 如何利用AD 组策略来屏蔽U 盘等可移动磁盘如何利用AD 组策略来屏蔽U 盘最近在外面做点小方案，捞点外块，根据客户的要求，研究了一个新东西:如何利用组策略来屏蔽U 盘等可移动磁盘。一部份来自于互联网，通过分析和整理，总结如下：1、 在域控制器上打开Active Directory 用户和计算机，找到您要屏蔽U 盘的组织单位（Organizational Unit 简称OU），右键查看此组织单位的属性，点击组策略页面，新建一个组策略，命名并保存为“屏蔽U 盘”，建好后，双击“屏蔽U 盘”（必需先打开一次，否则系统不会拷贝那几个模板文件），在打开的标题为“组策略”的窗口的左边，按以下顺序定位“用户配置－管理模板-Windows 组件-Windows 资源管理器”，选中Windows 资源管理器，我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”，双击打开其中一项策略，选择“启用”，下面的下拉框会变亮，单击下拉框，您会发现系统提供了7 种限制访问驱动器号的组合，其中也包括了“不限制驱动器”，显然，这些组合不能满足我们的要求（因为U 盘的盘符通常是排在最后的，而且现在的硬盘比较大，少则也有三四个分区）。2、 在域控制器上打开Active Directory 用户和计算机，在刚才我们新建的“屏蔽U 盘”策略上单击右键选择查看属性，找到屏蔽U 盘的组策略的唯一的名称，此名称为一长串数字和字母组成，本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9}，记下此字符串。3、 打开系统盘，定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹，此文件夹位于C:\WINDOWS\SYSVOL\sysvol\hcsAD.hc\Policies（盘符依赖于您安装的操作系统所在的分区，如果安装AD 时在C 盘，默认则就是这个路径，其中hcsad.hc 则是你给这个AD 取得名字，我这里给这个域的顶级域名取为为HC，所以这里就是HCSAD.HC），打开{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录，找到ADM 目录下的system.adm 文件，此文件是我们在实施组策略的模板文件，是一个纯文本文件，可用记事本打开，找到下面这两段代码：* POLICY !!NoDrivesEXPLAIN !!NoDrives_HelpPART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME NoDrivesITEMLISTNAME !!ABOnly VALUE NUMERIC 3NAME !!COnly VALUE NUMERIC 4NAME !!DOnly VALUE NUMERIC 8NAME !!ABConly VALUE NUMERIC 7NAME !!ABCDOnly VALUE NUMERIC 15NAME !!ALLDrives VALUE NUMERICDEFAULT; low 26 bits on (1 bit per drive)NAME !!RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY如何利用AD 组策略来屏蔽U 盘等可移动磁盘* POLICY !!NoViewOnDriveEXPLAIN !!NoViewOnDrive_HelpPART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME NoViewOnDriveITEMLISTNAME !!ABOnly VALUE NUMERIC 3NAME !!COnly VALUE NUMERIC 4NAME !!DOnly VALUE NUMERIC 8NAME !!ABConly VALUE NUMERIC 7NAME !!ABCDOnly VALUE NUMERIC 15NAME !!ALLDrives VALUE NUMERICDEFAULT; low 26 bits on (1 bit per drive)NAME !!RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY说明：这是两个策略，第一个!!NoDrive，它的作用是在我的电脑中不显示指定的驱动器名，驱动器号代表的所有驱动器不出现在标准的打开对话框上，但是在地址栏中输入盘符