我还没有find一个在域计算机上设置的一个通用的策略。 你肯定会看到不同的方法(也许甚至必须自己尝试其中的一些) ,并且看看最适合你的用户(和你)的是什么。 微软build议修改registry ,但没有提及使用更高效的方法(如GPO和/或启动/login脚本)来实现此方法。
Hannes Schmidt的这篇博客更多地介绍了一种自动化方法,通过ADM模板(由他提供)来限制使用GPO的USB存储设备的使用。 它旨在限制即插即用(PNP)进程运行USBSTOR (访问USBSTOR.INF和USBSTORE.PNF)。 我喜欢这种方法,它仍然允许“允许”的用户访问使用USB存储设备(如pipe理员和特殊原因组),他们只需要遵循几个额外的步骤。
Howto!
- 在“Active Directory用户和计算机”中,打开现有的GPO或创build一个新的GPO并将其打开。 使用该GPO的安全设置来指定它影响的计算机。
- 在该GPO中,转至计算机configuration – Windows设置 – 安全设置 – 文件系统,然后创build一个新条目(右键单击文件系统并select添加文件)。 指定USBSTOR.INF的位置(通常是SystemRoot%\ Inf \ USBSTOR.INF)
- 更改新条目的安全设置。 您在此处指定的安全设置将在应用GPO的每台计算机的USBSTOR.INF上执行。 这个过程不是附加的,这意味着以前的USBSTOR.INF的安全设置将被GPO中给出的覆盖。 因此build议授予SYSTEM和本地pipe理员完全控制权。 但不像在USBSTOR.INF的默认安全设置,你不应该授予任何人的特权。 你不需要明确地拒绝访问 – 只是省略了每个人的条目。 或者,您可以授予对某个组的读取权限。 这个组的成员将能够使用USB存储。
- 对USBSTOR.PNF重复上述两个步骤。
- 下载USBSTOR.ADM 。
- 回到GPO中,右键单击“计算机configuration”下的“pipe理模板”,然后select“添加/删除模板”。 单击添加并浏览到USBSTOR.ADM的位置。 closures对话框。
- 您现在应该在pipe理模板中有一个名为“服务和驱动程序”的附加条目 点击它。 如果为空,请从菜单中select“查看”,然后取消选中“仅显示策略”。 单击pipe理模板中的服务和驱动程序。 现在应该显示USB存储策略。 双击它,select启用,并从启动types下拉select禁用。 同样,必须启用策略,启动types必须禁用。
- closures对话框以及GPO并启动/重启您的工作站之一。 确保没有USB存储设备连接到该计算机。 使用pipe理权限login并检查USBSTOR.INF和USBSTOR.PNF的权限。 检查HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ UsbStor \ Start的值。 应该是4.如果UsbStor键完全不存在,也是可以的。
- 在同一台工作站上,以不能访问USB存储器的用户身份注销并重新login。 连接USB记忆棒或类似的设备。 没有事情发生。 取出记忆棒。
- 以可以访问USB存储器的用户身份login,然后在连接记忆棒之前,在命令行界面或开始 – 运行中执行net start usbstor。 记忆棒应初始化并映射到一个驱动器号。 如果USBSTOR无法启动,可能是因为这是第一次将存储卡插入工作站,在这种情况下USBSTOR尚未安装。 但是,记忆棒应该被初始化和映射正确,但是您需要重新启动以重新应用pipe理模板,以便USBSTOR再次被禁用。 或者,您可以通过下载并双击USBSTOR.REG以及执行net stop usbstor来手动禁用它。
- 指示用户访问USB存储设备,在连接USB存储设备之前,需要执行networking启动USB存储设备。
通过阅读Hanne的文章中的评论,你会发现很多的故障排除技巧。