活动目录网域中禁用移动存储(U盘)
?? 聲明:本文轉(zhuǎn)載自gnaw0725.blogbus.com,更新網(wǎng)址:http://gnaw0725.blog.51cto.com。
???? 活動(dòng)目錄網(wǎng)域中禁用移動(dòng)存儲(chǔ)(U盤):由于安全須要,要禁用U盤的使用,但是不禁用其它usb接口的設(shè)備,查了一下,發(fā)現(xiàn)有一份資料這樣寫:
運(yùn)行注冊(cè)表編輯器,找到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\USBSTOR鍵,取消System的所有控制權(quán)。如果要分配控制權(quán),只需要對(duì)相應(yīng)用戶設(shè)置控制權(quán)限就可以了。
問題1:我按照上面的描述,我在DC上的組策略中的"安全選項(xiàng)"-"注冊(cè)表",新建一項(xiàng),然后找到HKEY_LOCAL_MACHINE\SYSTEM,但是里面沒有ControlSet002,只有ControlSet001和ControlSet003.不知是什么原因?
問題2:上面要求分配控制權(quán),如果客戶端的系統(tǒng)所在的分區(qū)不是NTFS,那么這個(gè)安全策略是否起作用?
答:關(guān)于Active Directory中禁用移動(dòng)存儲(chǔ)的問題,我之前寫過兩篇文章
一、關(guān)于如何使用策略禁用USB的問題 此文章中借用MS KB823732 來說明禁用USB存儲(chǔ)設(shè)備的原理,但這個(gè)方法存在兩點(diǎn)問題:
1、要求用戶之前沒有使用過USB,否則可能就不起作用了。
2、由于是針對(duì)計(jì)算機(jī)的策略,故而無法針對(duì)用戶來控制。(用戶有可能在其他計(jì)算機(jī)上登陸,也有可能臨時(shí)的開放使用USB設(shè)備)
BTW:用策略控制移動(dòng)存儲(chǔ)有些難度,制作策略比較麻煩,于是國外的一個(gè)MVP Simon Geary 寫了一個(gè)kb555324HOWTO: 使用組策略來禁用 USB、 CD-ROM、 軟盤和 LS-120 驅(qū)動(dòng)程序?大家可以用他寫的adm模版直接導(dǎo)入GPO使用。
二、移動(dòng)存儲(chǔ)管理 由于上面方法中存在的問題,我就寫了這個(gè)文章,大家可以用一些第三方的工具來靈活管控用戶賬戶使用USB的權(quán)限,諸如 GFI LANguard 或者 CenterTools DriveLock 等等。這些工具都具有如下這些特點(diǎn):
- 需要部署客戶端的Agent
- 可以針對(duì)用戶賬戶處理
- 可以管理更多類型的移動(dòng)存儲(chǔ),比如DVD刻錄機(jī),比如藍(lán)牙,比如MP3、smartphone等等
- 可以通過遠(yuǎn)程管理
- 可以得到部署的數(shù)據(jù)
BTW:一直到Vista,雖然在策略中添加了移動(dòng)存儲(chǔ)的項(xiàng)目,但僅僅是計(jì)算機(jī)的策略,不能針對(duì)用戶管理。呵呵MS要把空間留給第三方廠商嘛:)OK,下面來回答您的問題:
問題1:我按照上面的描述,我在DC上的組策略中的"安全選項(xiàng)"-"注冊(cè)表",新建一項(xiàng),然后找到HKEY_LOCAL_MACHINE\SYSTEM,但是里面沒有ControlSet002,只有ControlSet001和ControlSet003.不知是什么原因?
回答:您看到的描述可能有問題,請(qǐng)直接修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor 關(guān)于 ControlSetxxx是這樣的,這個(gè)項(xiàng)目的作用就是您在計(jì)算機(jī)啟動(dòng)的時(shí)候按 F8,然后選擇 最近一次的正確配置 那么,OS就會(huì)加載 ControlSet001下的配置,如果仍舊失敗,嘗試002,依此類推。
問題2:上面要求分配控制權(quán),如果客戶端的系統(tǒng)所在的分區(qū)不是NTFS,那么這個(gè)安全策略是否起作用?
回答:如果系統(tǒng)所在分區(qū)不是NTFS,則安全項(xiàng)目無效。
?
?
???? 封閉使用USB問題,當(dāng)電腦接入一個(gè)全新的u盤時(shí),AD組策略里封USB端口策略不起作用
回答:首先,我假設(shè)您只是想禁止用戶使用USB存儲(chǔ)設(shè)備,而不是所有USB設(shè)備。因此,我建議參考下面兩篇文章,來測試是否可以實(shí)現(xiàn)通過禁止用戶對(duì)usbstor.pnf和usbstor.inf的訪問來實(shí)現(xiàn)禁用USB存儲(chǔ)設(shè)備:?
注意:我建議您先刪除以前建立的沒有起作用的組策略,而重新創(chuàng)建一個(gè)新的策略來測試這個(gè)問題。?
如何禁用 USB 存儲(chǔ)設(shè)備?
http://support.microsoft.com/kb/823732/zh-cn?
如何使用 Xcacls.exe 修改 NTFS 權(quán)限?
http://support.microsoft.com/kb/318754/zh-cn?
參考上面兩篇KB,您只需建立一條使用xcacls,設(shè)置usbstor.pnf和usbstor.inf上domain users組用戶的拒絕權(quán)限的登陸腳本,在用戶登陸后他們自然就無法使用USB存儲(chǔ)設(shè)備了,而administrator由于訪問權(quán)限沒有更改,所以可以繼續(xù)使用USB存儲(chǔ)設(shè)備。
Xcacls %systemroot%\inf\usbstor.pnf /d “domain users” /y?
Xcacls %systemroot%\inf\usbstor.inf /d “domain users” /y?
以編輯域策略為例提供設(shè)置腳本的步驟如下:?
1.將xcacls和腳本放在所有用戶都能訪問的共享目錄內(nèi)(比如netlogon)?
2.運(yùn)行dsa.msc命令?
3.右鍵點(diǎn)擊域名,打開屬性?
4.點(diǎn)擊組策略屬性頁?
5.新建一個(gè)組策略,給予一個(gè)恰當(dāng)?shù)拿Q然后點(diǎn)擊編輯(或者編輯默認(rèn)域策略)?
6.定位到:計(jì)算機(jī)配置->Windows 設(shè)置->腳本->啟動(dòng)?
7.雙擊啟動(dòng)腳本,將配置的腳本添加進(jìn)去?
8.點(diǎn)擊確定?
9.運(yùn)行g(shù)pupdate /force刷新這一策略?
這樣下次計(jì)算機(jī)重啟后本地文件的權(quán)限即被更改了。這一腳本只需運(yùn)行一次,在您確認(rèn)所有計(jì)算機(jī)都執(zhí)行過這一腳本后,即可撤銷這條策略。
轉(zhuǎn)載于:https://blog.51cto.com/firesk/635318
總結(jié)
以上是生活随笔為你收集整理的活动目录网域中禁用移动存储(U盘)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: eclipse打开当前文件所在文件夹
- 下一篇: 刘若英婚了