本文介紹如何在Windows Server 2008 AD中禁用客戶端USB端口。
本文使用的系統:Windows Server 2008 R2 企業版。
域功能級別:Windows Server 2008 R2
在Windows Server 2008 AD中的組策略編輯器,依次找到Computer Configuration\Administrative Templates\System\Removable Storage Access,然后點擊其中的“All Removable Storage Classes: Deny all access.將此設置啟用。
此時我們到域客戶端A(OS:Windows 7 64bit),使用gpupdate/force,更新策略。
已成功進行了策略的更新,此時插入U盤,進行測試。
由此可以看出,U盤已經無法讀取,但是不影響非存儲USB設備的使用。
但是如果再次進入客戶端B (OS: Windows XP SP3),USB存儲卻正常使用。因為大家知道此策略只針對Vista 之后的OS起效。那么在Windows Server 2008 R2域中如何禁用Vista之前的OS的USB存儲呢?其實也很簡單,就是利用之前在Windows Server 2003的方法來再一次對Vista之前的OS進行USB存儲禁用操作!
首先在Administrative Templates 中導入USB的adm。
依次打開組策略編輯器:Computer Configuration\Administrative Templates,然后右擊該選項,點擊”Add/Remove Templates”,添加USB的管理模版。
*此模板可以下載,下載地址:http://support.microsoft.com/kb/555324/en-us,將其中的代碼部分復制到記事本,之后另存為名如:usb.adm格式的文件。
選中USB2008,選擇關閉。
接下來在Administrative Templates 下的Classic Administrative Templates(ADM)\Custom Policy Settings\Restrict Drives中選擇Disable USB,選擇啟用,並將”Disable USB Ports”選擇為”Enable”
接下來就是在文件系統中獎Usbtor.inf和Usbtor.pnf,權限設為全部禁用。
依次打開Computer Configuration\Windows Settings\Security Settings\File Sytem,右擊添加文件。
依次添加Usbtor.inf和Usbtor.pnf兩個文件。具體設置如下圖。
設定之后策略報告如下:
至此之后,XP的客戶端USB並無法識別。
當然網上也有很多關於USB的禁用方法,但是個人認為此方法是在域環境中比較方便部署的了。
希望此文章給各位帶來一定的幫助!
你應用的是哪一個策略?WIN2008 R2的AD有兩個內置的GPO: Default Domain Policy策略是針對域所有的計算機及用戶,
Default Domain Controllers Policy策略是針對默認域控,這兩個內置GPO的策略如果沒有必要盡量不要改;要做策略
盡量新建OU,然后把計算機、用戶、或者組添加到OU里,然后再針對OU應就策略;應用策略時還要注意:計算機配合是針
對計算機的,用戶配置是針對用戶的。
(8)設置完域功能級別之后呢就是您AD中比較重要的DNS服務器的安裝了,默認情況下是推薦DC跟DNS裝在一台服務器上的,
DNS不占啥資源,您也不用擔心它耗了你服務器的資源,跟DC裝在一起了也能便於后續的維護及數據的同步與備份,強烈推薦!
在到達這步的時候,童鞋們一定要檢查一下自己服務器的配置,服務器的DNS是否指向的是自己,這個很重要,不然你的DNS
安裝會有問題的。
