本文介绍如何在Windows Server 2008 AD中禁用客户端USB端口。
本文使用的系统:Windows Server 2008 R2 企业版。
域功能级别:Windows Server 2008 R2
在Windows Server 2008 AD中的组策略编辑器,依次找到Computer ConfigurationAdministrative TemplatesSystemRemovable Storage Access,然后点击其中的“All Removable Storage Classes: Deny all access.将此设置启用。
此时我们到域客户端A(OS:Windows 7 64bit),使用gpupdate/force,更新策略。
已成功进行了策略的更新,此时插入U盘,进行测试。
由此可以看出,U盘已经无法读取,但是不影响非存储USB设备的使用。
但是如果再次进入客户端B (OS: Windows XP SP3),USB存储却正常使用。因为大家知道此策略只针对Vista 之后的OS起效。那么在Windows Server 2008 R2域中如何禁用Vista之前的OS的USB存储呢?其实也很简单,就是利用之前在Windows Server 2003的方法来再一次对Vista之前的OS进行USB存储禁用操作!
首先在Administrative Templates 中导入USB的adm。
依次打开组策略编辑器:Computer ConfigurationAdministrative Templates,然后右击该选项,点击”Add/Remove Templates”,添加USB的管理模版。
*此模板可以下载,下载地址:http://support.microsoft.com/kb/555324/en-us,将其中的代码部分复制到记事本,之后另存为名如:usb.adm格式的文件。
选中USB2008,选择关闭。
接下来在Administrative Templates 下的Classic Administrative Templates(ADM)Custom Policy SettingsRestrict Drives中选择Disable USB,选择启用,并将”Disable USB Ports”选择为”Enable”
接下来就是在文件系统中奖Usbtor.inf和Usbtor.pnf,权限设为全部禁用。
依次打开Computer ConfigurationWindows SettingsSecurity SettingsFile Sytem,右击添加文件。
依次添加Usbtor.inf和Usbtor.pnf两个文件。具体设置如下图。
设定之后策略报告如下:
至此之后,XP的客户端USB并无法识别。
当然网上也有很多关于USB的禁用方法,但是个人认为此方法是在域环境中比较方便部署的了。
希望此文章给各位带来一定的帮助!
你应用的是哪一个策略?WIN2008 R2的AD有两个内置的GPO: Default Domain Policy策略是针对域所有的计算机及用户,
Default Domain Controllers Policy策略是针对默认域控,这两个内置GPO的策略如果没有必要尽量不要改;要做策略
尽量新建OU,然后把计算机、用户、或者组添加到OU里,然后再针对OU应就策略;应用策略时还要注意:计算机配合是针
对计算机的,用户配置是针对用户的。
(8)设置完域功能级别之后呢就是您AD中比较重要的DNS服务器的安装了,默认情况下是推荐DC跟DNS装在一台服务器上的,
DNS不占啥资源,您也不用担心它耗了你服务器的资源,跟DC装在一起了也能便于后续的维护及数据的同步与备份,强烈推荐!
在到达这步的时候,童鞋们一定要检查一下自己服务器的配置,服务器的DNS是否指向的是自己,这个很重要,不然你的DNS
安装会有问题的。
