none
在OU里实现禁用USB设备 RRS feed

  • 问题

  • 研究了一早上通过域控制来加载usb.adm组策略模板来实现禁用USB设备的目的,的确很管用。
    但是问题来了,实际使用过程中,还是会有各种需要是有U盘的情况出现。
    那么我就打算针对不同OU来使用不同策略,即有的部门可以使用U盘,有的不可以。
    不过结果不尽人意,在某一OU上使用这个模板时,客户机完全无用,这是为什么呢?
    2012年7月26日 8:33

答案

  • 在某一OU上使用这个模板时,客户机完全无用,这是为什么呢?

    这是因为肯定某个地方出错了,所以你来问问题了。。。

    按照设计,通过OU来指派不同策略给计算机是完全合理和可实现的。

    回答完毕。

    需要协助排错吗?还是你自己来?

    2012年7月27日 2:11
  • 是否需要协助排错,就是问你需不需要大家回帖给你一些排错步骤或建议。比如,使用gpresult、rsop、userenv log等去分析客户端对组策略的获取与应用。

    如果你都会,那就没问题了,因为你的规划“通过OU来指派不同策略给计算机”完全符合微软的实现,我以为你问的就是规划的可行性。

    2012年7月30日 5:57

全部回复

  • 在某一OU上使用这个模板时,客户机完全无用,这是为什么呢?

    这是因为肯定某个地方出错了,所以你来问问题了。。。

    按照设计,通过OU来指派不同策略给计算机是完全合理和可实现的。

    回答完毕。

    需要协助排错吗?还是你自己来?

    2012年7月27日 2:11
  • 谢谢!正是因为知道OU可以实现这个功能,才有疑问。

    我在全域做这个策略模板时,没有问题啊。

    在OU做就不行。

    可是操作步骤应该没啥问题,难道是我OU建得不对?没道理啊

    请问啥是协助排错呢,多谢。

    2012年7月30日 5:30
  • 计算机策略只对OU里的计算机对象生效,用户策略只对OU里的用户对象生效,是不是这里设置有误?

    2012年7月30日 5:44
  • 是否需要协助排错,就是问你需不需要大家回帖给你一些排错步骤或建议。比如,使用gpresult、rsop、userenv log等去分析客户端对组策略的获取与应用。

    如果你都会,那就没问题了,因为你的规划“通过OU来指派不同策略给计算机”完全符合微软的实现,我以为你问的就是规划的可行性。

    2012年7月30日 5:57
  • 目前看下来,是那个模板的问题,但是就不知道怎么改了。我把模板贴出来,大家看看。

    此模板,针对全域可行,但是对OU不行。

    CLASS MACHINE
    CATEGORY !!category
     CATEGORY !!categoryname
      POLICY !!policynameusb
       KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
       EXPLAIN !!explaintextusb
         PART !!labeltextusb DROPDOWNLIST REQUIRED
     
           VALUENAME "Start"
           ITEMLIST
            NAME !!Disabled VALUE NUMERIC 3 DEFAULT
            NAME !!Enabled VALUE NUMERIC 4
           END ITEMLIST
         END PART
       END POLICY
      POLICY !!policynamecd
       KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
       EXPLAIN !!explaintextcd
         PART !!labeltextcd DROPDOWNLIST REQUIRED
     
           VALUENAME "Start"
           ITEMLIST
            NAME !!Disabled VALUE NUMERIC 1 DEFAULT
            NAME !!Enabled VALUE NUMERIC 4
           END ITEMLIST
         END PART
       END POLICY
      POLICY !!policynameflpy
       KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
       EXPLAIN !!explaintextflpy
         PART !!labeltextflpy DROPDOWNLIST REQUIRED
     
           VALUENAME "Start"
           ITEMLIST
            NAME !!Disabled VALUE NUMERIC 3 DEFAULT
            NAME !!Enabled VALUE NUMERIC 4
           END ITEMLIST
         END PART
       END POLICY
      POLICY !!policynamels120
       KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
       EXPLAIN !!explaintextls120
         PART !!labeltextls120 DROPDOWNLIST REQUIRED
     
           VALUENAME "Start"
           ITEMLIST
            NAME !!Disabled VALUE NUMERIC 3 DEFAULT
            NAME !!Enabled VALUE NUMERIC 4
           END ITEMLIST
         END PART
       END POLICY
     END CATEGORY
    END CATEGORY
     
    [strings]
    category="Custom Policy Settings"
    categoryname="Restrict Drives"
    policynameusb="Disable USB"
    policynamecd="Disable CD-ROM"
    policynameflpy="Disable Floppy"
    policynamels120="Disable High Capacity Floppy"
    explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
    explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
    explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
    explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
    labeltextusb="Disable USB Ports"
    labeltextcd="Disable CD-ROM Drive"
    labeltextflpy="Disable Floppy Drive"
    labeltextls120="Disable High Capacity Floppy Drive"
    Enabled="Enabled"
    Disabled="Disabled"

    2012年8月7日 7:01