利用组策略禁用USB存储器而开放USB设备 摘要：如果想要在禁止使用USB存储器的情况下又不影响USB设备的使用，这该怎么办呢? 利用组策略让系统可以使用USB接口但不能使用闪存。 作为公司的系统管理员，为方便管理，将电脑的软驱、光驱全部拆除，前置USB口的连接线也拆掉，并在BIOS里禁用了USB端口，设置了密码，使USB端口不能使用，虽说在一定程度上控制了工作人员使用闪存，但也因为USB口的禁用，而导致不能使用USB鼠标、打印机等设备。 但是这样很不方便，如果想要在禁止使用USB存储器的情况下又不影响USB设备(打印机、手写板)的使用，这该怎么办呢? 一、常用的方法不可行 首先尝试了以下两个很多人常用的方法，结论是不可行。 1.使用USB控制软件。下载了几个USB控制软件，试用效果却不尽如人意。 2.隐藏磁盘分区。若能隐藏并禁止访问磁盘分区，那么也可以达到我想要的效果。单位采用的是域管理，客户机使用权限较低的用户登录到域，大部分的操作都受到限制。客户机电脑硬盘共3个分区，C盘跟D盘禁止访问，只有E盘可供操作人员自由使用，此外还有一个网络驱动器P盘，存放需要访问的公共文件。可是在组策略中隐藏磁盘的七个选项都不符合我的要求，达不到只能访问E盘跟P盘的效果(图1)。 二、修改组策略文件隐藏驱动器 微软网站的页面“使用组策略对象隐藏指定驱动器”(页面链接：http://support.microsoft.com/kb/231289/zh-cn)，文中提到了用修改组策略文件的方法来达到隐藏及禁用磁盘分区的效果。方法如下。 1.确定数字与盘符的关系 因为需要隐藏及禁用的是除了E、P盘之外的磁盘分区，按照文章所述，需要隐藏的驱动器的值设为1，不隐藏的驱动器的值为0，那么数字与盘符的对应关系如下表： 接下来将11111111110111111111101111字符串转换为十进制数字，这个用Windows自带的计算器就可以办到，转换后的十进制数字为：67076079。 2.修改system.adm文件 搜索域控制器C盘下的system.adm文件，一下搜出来好几个，且分布在不同的文件夹，大小及修改日期都一样。随便复制了其中1个文件并用记事本打开，查找“Nodrives”及“Noviewdrives”，在ITEMLIST段各增加一行“NAME!!ABCDFGHIJKLMNOQRSTUVWXYZOnlyVALUENUMERIC67076079”，如图2。 然后继续查找“Stings”，添加一行“ABCDFGHIJKLMNOQRSTUVWXYZOnly="除E、P外其他驱动器"”，如图3。 修改后进行保存并覆盖掉原来的文件。 3.编辑域用户的组策略 重新启动域控制器，打开“ActiveDirectory用户和计算机”编辑域用户的组策略，在“用户配置”→“管理模板”→“Windows资源管理器”的“隐藏我的电脑中这些指定的驱动器”和“防止从我的电脑访问驱动器”的选项中果然就出现了“除E、P外的驱动器”选项，如图4。 选择该项并确定后，找了台客户机，开放其USB口，登录到域后，插入闪存，右下角系统托盘区显示了闪存标志，但是在我的电脑里却显示不出闪存盘符，在地址栏中输入闪存盘符也提示不允许访问，此时使用USB鼠标等设备却没有影响。成功地达到了禁用USB储存器而不影响USB设备的使用。最后，为保险起见，在组策略中禁用了自动播放。 禁止闲人在本机使用U盘或USB接口 公司、学校、网吧等地方经常需要禁用U盘和移动硬盘等设备，原因也是多种多样，如防止员工带走机密资料，防止学生带游戏去学校机房玩等等....... 很多朋友可能会使用USB管理专家什么的一类专门限制使用Ｕ盘的软件，可是它们很多是要收费的哇... 今天在这里就提供一种不用专业软件就能禁用U盘的的小技巧给大家： 方法一、BIOS设置法（快刀斩乱麻法） 进入BIOS设置，选择“IntegratedPeripherals”选项，展开后将“USB1.1Controller”和“USB2.0Contr01ler”选项的属性设置为“Disableed”，即可禁用USB接口。最后别忘记给BIOS设置上一个密码，这样他人就无法通过修改注册表解“锁”上述设备了。 注意：这个方法是完全禁止了USB接口，也就是说各种USB接口的设备均不能用了，当然也包括了U盘和移动盘。由于此法过于霸道，请慎用。 方法二、禁止闪盘或移动硬盘的启动（适用于WindowsXP/2000/2003） 打开注册表编辑器，依次展开如下分支[HKEY_LOCAL_MACHINESYSTEMCurrentCntrolSetServicesUSBSTOR]，在右侧的窗格中找到名为“Start”的DWORD值，双击，在弹出的编辑对话框中