2007-06-01 01:54:53
Kenny
使用GPO實現禁用USB裝置的方式
目前小弟的AD環境為Windows 2003,使用端皆為Windows XP,此GPO規則目前正常運作中,確實可以關閉USB裝置但不包括滑鼠、鍵盤、印表機(?)等。
參考來源:
http://support.microsoft.com/kb/555324/en-us
將下列文字存成一個ADM檔案:
==================我是分格線===================
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY
[strings]
category="自定群組管理原則"
categoryname="禁止卸除式硬體"
policynameusb="禁止USB隨插即用裝置"
policynamecd="禁止光碟機"
policynameflpy="禁止軟碟機"
policynamels120="禁止高容量軟碟機"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="關閉 USB Ports"
labeltextcd="關閉 CD-ROM 裝置"
labeltextflpy="關閉軟碟機裝置"
labeltextls120="關閉大容量軟碟機裝置"
Enabled="啟用"
Disabled="停用"
============================================
之後在群組原則物件編輯器中的系統管理範本裡面,新增匯入製作的ADM檔案,匯入後雖然系統管理範本中會增加了一個自定義群組管理原則的選單,但是會發現裡面什麼都沒有出現,很多人到了這邊都以為是失敗了,其實不然!
這時候在群組物件編輯器上面的工具列中,找到檢視-->篩選-->不要勾選只顯示可以完全管理的原則設定後,這時候在到剛剛匯入的原則中就會出現可以管理的選項了!
啟用"禁止USB隨插即用裝置",並且把值設定為"啟用",之後受影響的電腦在更新群組原則後,就可以生效了,目前小弟是用這種方式沒有借助任何軟體或者很辛苦的一台一台電腦去修改註冊檔,隨時有效的控制AD內哪些電腦要禁用USB裝置。
以上,雖然不是圖文並茂,但是與大家分享,據說MS在下個作業系統推出後,更新的ADM範本原則中已經有把這功能加進去了。
參考來源:
http://support.microsoft.com/kb/555324/en-us
將下列文字存成一個ADM檔案:
==================我是分格線===================
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY
[strings]
category="自定群組管理原則"
categoryname="禁止卸除式硬體"
policynameusb="禁止USB隨插即用裝置"
policynamecd="禁止光碟機"
policynameflpy="禁止軟碟機"
policynamels120="禁止高容量軟碟機"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="關閉 USB Ports"
labeltextcd="關閉 CD-ROM 裝置"
labeltextflpy="關閉軟碟機裝置"
labeltextls120="關閉大容量軟碟機裝置"
Enabled="啟用"
Disabled="停用"
============================================
之後在群組原則物件編輯器中的系統管理範本裡面,新增匯入製作的ADM檔案,匯入後雖然系統管理範本中會增加了一個自定義群組管理原則的選單,但是會發現裡面什麼都沒有出現,很多人到了這邊都以為是失敗了,其實不然!
這時候在群組物件編輯器上面的工具列中,找到檢視-->篩選-->不要勾選只顯示可以完全管理的原則設定後,這時候在到剛剛匯入的原則中就會出現可以管理的選項了!
啟用"禁止USB隨插即用裝置",並且把值設定為"啟用",之後受影響的電腦在更新群組原則後,就可以生效了,目前小弟是用這種方式沒有借助任何軟體或者很辛苦的一台一台電腦去修改註冊檔,隨時有效的控制AD內哪些電腦要禁用USB裝置。
以上,雖然不是圖文並茂,但是與大家分享,據說MS在下個作業系統推出後,更新的ADM範本原則中已經有把這功能加進去了。