時間:2010-03-14 點擊: 次 來源:互聯(lián)網(wǎng) 作者:佚名 - 小 + 大
| 利用組策略讓系統(tǒng)可以使用USB接口但不能使用閃存。 筆者為單位的系統(tǒng)管理員,管理50臺左右的電腦,因為電腦多而人手不夠,為方便管理,將電腦的軟驅(qū)、光驅(qū)全部拆除,前置USB口的連接線也拆掉,并在BIOS里禁用了USB端口,設(shè)置了密碼,使USB端口不能使用,雖說在一定程度上控制了科室工作人員使用閃存,但也因為USB口的禁用,而導(dǎo)致不能使用USB鼠標、打印機等設(shè)備。 最近有科室要求使用激光打印機及手寫板,激光打印機勉強找到了能連接的COM口,而手寫板設(shè)備只能使用USB接口。我想在禁止使用USB存儲器的情況下又不影響USB設(shè)備(打印機、手寫板)的使用,這該怎么辦呢? 一、常用的方法不可行 我首先嘗試了以下兩個很多人常用的方法,結(jié)論是不可行。 1.使用USB控制軟件。下載了幾個USB控制軟件,如myusbonly、USB控制大師等,試用效果卻不盡如人意。Myusbonly的控制能力不錯,但是卻有個缺點,那就是當閃存插上后會出現(xiàn)閃存盤符,大約要延遲幾秒的時間盤符才會消失。如果有人在這幾秒的時間內(nèi)拷貝文件或是使用了帶病毒的閃存,那么后果也會很嚴重。 2.隱藏磁盤分區(qū)。若能隱藏并禁止訪問磁盤分區(qū),那么也可以達到我想要的效果。單位采用的是域管理,客戶機使用權(quán)限較低的用戶登錄到域,大部分的操作都受到限制。客戶機電腦硬盤共3個分區(qū),C盤跟D盤禁止訪問,只有E盤可供操作人員自由使用,此外還有一個網(wǎng)絡(luò)驅(qū)動器P盤,存放需要訪問的公共文件。可是在組策略中隱藏磁盤的七個選項都不符合我的要求,達不到只能訪問E盤跟P盤的效果(圖1)。  二、修改組策略文件隱藏驅(qū)動器 后來,偶然搜尋到了微軟網(wǎng)站的頁面“使用組策略對象隱藏指定驅(qū)動器”(頁面鏈接: http://support.microsoft.com/kb/231289/zh-cn),文中提到了用修改組策略文件的方法來達到隱藏及禁用磁盤分區(qū)的效果,于是立即參照操作。達到目的,方法如下。 1.確定數(shù)字與盤符的關(guān)系 因為我需要隱藏及禁用的是除了E、P盤之外的磁盤分區(qū),按照文章所述,需要隱藏的驅(qū)動器的值設(shè)為1,不隱藏的驅(qū)動器的值為0,那么數(shù)字與盤符的對應(yīng)關(guān)系如下表:  接下來將11111111110111111111101111字符串轉(zhuǎn)換為十進制數(shù)字,這個用Windows自帶的計算器就可以辦到,轉(zhuǎn)換后的十進制數(shù)字為:67076079。 2.修改system.adm文件 搜索域控制器C盤下的system.adm文件,一下搜出來好幾個,且分布在不同的文件夾,大小及修改日期都一樣。隨便復(fù)制了其中1個文件并用記事本打開,查找“Nodrives”及“Noviewdrives”,在ITEMLIST段各增加一行“NAME !!ABCDFGHIJKLMNOQRSTUVWXYZOnly VALUE NUMERIC 67076079” ,如圖2。  然后繼續(xù)查找“Stings”,添加一行“ABCDFGHIJKLMNOQRSTUVWXYZOnly="除E、P外其他驅(qū)動器"”,如圖3。  修改后進行保存并覆蓋掉原來的文件。 3. 編輯域用戶的組策略 重新啟動域控制器,打開“Active Directory用戶和計算機”編輯域用戶的組策略,在“用戶配置”→“管理模板”→“Windows資源管理器”的“隱藏我的電腦中這些指定的驅(qū)動器”和“防止從我的電腦訪問驅(qū)動器”的選項中果然就出現(xiàn)了“除E、P外的驅(qū)動器”選項,如圖4。  選擇該項并確定后,找了臺客戶機,開放其USB口,登錄到域后,插入閃存,右下角系統(tǒng)托盤區(qū)顯示了閃存標志,但是在我的電腦里卻顯示不出閃存盤符,在地址欄中輸入閃存盤符也提示不允許訪問,此時使用USB鼠標等設(shè)備卻沒有影響。成功地達到了禁用USB儲存器而不影響USB設(shè)備的使用。最后,為保險起見,在組策略中禁用了自動播放。 |
熱門文章 
最新文章 
貴公網(wǎng)安備52010302003427號 
手機版
推薦閱讀