none
部署AD域发现无法禁用2003系统的USB RRS feed

  • 问题

  • 部署AD域发现无法禁用2003系统的USB接口,但是XP是可以被禁掉的,这是为什么呢,我们公司是用的2008 R2来做域控服务器的,在组策略里面使用bat格式的脚本来把公司所有电脑的USB接口设为只读,可是2003还是可以像往常一样往U盘里面存东西。我的脚本内容如下:

    只读
    @echo off
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies" /v WriteProtect /t reg_dword /d 1 /f
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t reg_dword /d 3 /f
    copy %Windir%\inf\usbstor.inf %Windir%\usbstor.inf /y >nul
    copy %Windir%\inf\usbstor.pnf %Windir%\usbstor.pnf /y >nul
    del %Windir%\inf\usbstor.pnf /q/f >nul
    del %Windir%\inf\usbstor.inf /q/f >nul
    @echo on

    请高手帮忙分析一下这是为什么。

    进入那台2003的电脑里一看发现

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies里面的WriteProtect值也确实变成了1

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR 里面的Start值也确实变成了3

    从这里可以看出策略是应用成功了,可是为什么USB还可以使用呢。


    2013年5月28日 13:40

答案

  • 您好!                         

    请问您进行测试的客户端原先使用过USB设备吗?如果使用过USB的话,那么将ADM文件导入到组策略管理模板中无法实现禁止域用户使用本地电脑的USB接口的。

    如果计算机上尚未安装 USB 存储设备,建议您使用以下方法进行测试:

    1. 开始→管理工具→域安全策略→计算机配置→WINDOWS设置→安全设置→文件系统。
    2. 单击右键→添加文件或文件夹→找到c:\windows\inf\usbstor.inf usbstor.pnf→添加。

    3. 根据实际情况选择不同的用户组对这两个文件的拒绝权限。

    4. 在命令提示符下,输入:GPUPDATE /FORCE,重启计算机。

    如果使用过USB设备的话,您通过修改注册表键值来完成。具体的设置方法如下:
    1. 单击开始,然后单击运行

    2. 打开框中,键入 regedit,然后单击确定
    3. 找到并单击下面的注册表项:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

    4. 在右窗格中,双击“Start”

    5. 数值数据框中,键入 4,单击十六进制(如果尚未选中),然后单击确定

    6. 通过编写脚本,使用组策略来分发启动脚本的方式来达到禁用的目的。

    本文中的操作需要更改注册表,由于注册表编辑器使用不当可造成严重问题,这些问题可能需要重新安装操作系统。Microsoft不保证能够解决因为注册表编辑器使用不当而产生的问题。使用注册表编辑器需要您自担风险。

    如果您还有什么问题,请您再和我们联系。


    微软一站式示例脚本库: http://blogs.technet.com/b/onescript

    2013年5月30日 9:21
    版主
  • 先不管组策略,手工对着KB823732做做看能不能限制掉吧

    How can I prevent users from connecting to a USB storage device
    http://support.microsoft.com/kb/823732

    至少分两种情况,你可能都要限制掉
    If a USB storage device is not already installed on the computer
    If a USB storage device is already installed on the computer

    如果成功,再考虑用组策略脚本去执行的问题

    2013年5月30日 9:44

全部回复

  • 您好!                         

    请问您进行测试的客户端原先使用过USB设备吗?如果使用过USB的话,那么将ADM文件导入到组策略管理模板中无法实现禁止域用户使用本地电脑的USB接口的。

    如果计算机上尚未安装 USB 存储设备,建议您使用以下方法进行测试:

    1. 开始→管理工具→域安全策略→计算机配置→WINDOWS设置→安全设置→文件系统。
    2. 单击右键→添加文件或文件夹→找到c:\windows\inf\usbstor.inf usbstor.pnf→添加。

    3. 根据实际情况选择不同的用户组对这两个文件的拒绝权限。

    4. 在命令提示符下,输入:GPUPDATE /FORCE,重启计算机。

    如果使用过USB设备的话,您通过修改注册表键值来完成。具体的设置方法如下:
    1. 单击开始,然后单击运行

    2. 打开框中,键入 regedit,然后单击确定
    3. 找到并单击下面的注册表项:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

    4. 在右窗格中,双击“Start”

    5. 数值数据框中,键入 4,单击十六进制(如果尚未选中),然后单击确定

    6. 通过编写脚本,使用组策略来分发启动脚本的方式来达到禁用的目的。

    本文中的操作需要更改注册表,由于注册表编辑器使用不当可造成严重问题,这些问题可能需要重新安装操作系统。Microsoft不保证能够解决因为注册表编辑器使用不当而产生的问题。使用注册表编辑器需要您自担风险。

    如果您还有什么问题,请您再和我们联系。


    微软一站式示例脚本库: http://blogs.technet.com/b/onescript

    2013年5月30日 9:21
    版主
  • 先不管组策略,手工对着KB823732做做看能不能限制掉吧

    How can I prevent users from connecting to a USB storage device
    http://support.microsoft.com/kb/823732

    至少分两种情况,你可能都要限制掉
    If a USB storage device is not already installed on the computer
    If a USB storage device is already installed on the computer

    如果成功,再考虑用组策略脚本去执行的问题

    2013年5月30日 9:44
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR 里面的Start值也确实变成了3



    为什么你设置成3(手动启动)?而不按照KB823732里写的4(禁用)?
    2013年5月30日 9:50