時間:2010-03-14 點擊: 次 來源:互聯網 作者:佚名 - 小 + 大
| 利用組策略讓系統可以使用USB接口但不能使用閃存。 筆者為單位的系統管理員,管理50臺左右的電腦,因為電腦多而人手不夠,為方便管理,將電腦的軟驅、光驅全部拆除,前置USB口的連接線也拆掉,并在BIOS里禁用了USB端口,設置了密碼,使USB端口不能使用,雖說在一定程度上控制了科室工作人員使用閃存,但也因為USB口的禁用,而導致不能使用USB鼠標、打印機等設備。 最近有科室要求使用激光打印機及手寫板,激光打印機勉強找到了能連接的COM口,而手寫板設備只能使用USB接口。我想在禁止使用USB存儲器的情況下又不影響USB設備(打印機、手寫板)的使用,這該怎么辦呢? 一、常用的方法不可行 我首先嘗試了以下兩個很多人常用的方法,結論是不可行。 1.使用USB控制軟件。下載了幾個USB控制軟件,如myusbonly、USB控制大師等,試用效果卻不盡如人意。Myusbonly的控制能力不錯,但是卻有個缺點,那就是當閃存插上后會出現閃存盤符,大約要延遲幾秒的時間盤符才會消失。如果有人在這幾秒的時間內拷貝文件或是使用了帶病毒的閃存,那么后果也會很嚴重。 2.隱藏磁盤分區。若能隱藏并禁止訪問磁盤分區,那么也可以達到我想要的效果。單位采用的是域管理,客戶機使用權限較低的用戶登錄到域,大部分的操作都受到限制。客戶機電腦硬盤共3個分區,C盤跟D盤禁止訪問,只有E盤可供操作人員自由使用,此外還有一個網絡驅動器P盤,存放需要訪問的公共文件。可是在組策略中隱藏磁盤的七個選項都不符合我的要求,達不到只能訪問E盤跟P盤的效果(圖1)。  二、修改組策略文件隱藏驅動器 后來,偶然搜尋到了微軟網站的頁面“使用組策略對象隱藏指定驅動器”(頁面鏈接: http://support.microsoft.com/kb/231289/zh-cn),文中提到了用修改組策略文件的方法來達到隱藏及禁用磁盤分區的效果,于是立即參照操作。達到目的,方法如下。 1.確定數字與盤符的關系 因為我需要隱藏及禁用的是除了E、P盤之外的磁盤分區,按照文章所述,需要隱藏的驅動器的值設為1,不隱藏的驅動器的值為0,那么數字與盤符的對應關系如下表:  接下來將11111111110111111111101111字符串轉換為十進制數字,這個用Windows自帶的計算器就可以辦到,轉換后的十進制數字為:67076079。 2.修改system.adm文件 搜索域控制器C盤下的system.adm文件,一下搜出來好幾個,且分布在不同的文件夾,大小及修改日期都一樣。隨便復制了其中1個文件并用記事本打開,查找“Nodrives”及“Noviewdrives”,在ITEMLIST段各增加一行“NAME !!ABCDFGHIJKLMNOQRSTUVWXYZOnly VALUE NUMERIC 67076079” ,如圖2。  然后繼續查找“Stings”,添加一行“ABCDFGHIJKLMNOQRSTUVWXYZOnly="除E、P外其他驅動器"”,如圖3。  修改后進行保存并覆蓋掉原來的文件。 3. 編輯域用戶的組策略 重新啟動域控制器,打開“Active Directory用戶和計算機”編輯域用戶的組策略,在“用戶配置”→“管理模板”→“Windows資源管理器”的“隱藏我的電腦中這些指定的驅動器”和“防止從我的電腦訪問驅動器”的選項中果然就出現了“除E、P外的驅動器”選項,如圖4。  選擇該項并確定后,找了臺客戶機,開放其USB口,登錄到域后,插入閃存,右下角系統托盤區顯示了閃存標志,但是在我的電腦里卻顯示不出閃存盤符,在地址欄中輸入閃存盤符也提示不允許訪問,此時使用USB鼠標等設備卻沒有影響。成功地達到了禁用USB儲存器而不影響USB設備的使用。最后,為保險起見,在組策略中禁用了自動播放。 |
上一篇:按F1開機進入系統取消辦法
下一篇:系統反應慢慢慢 快來給它排排毒
熱門文章 
貴公網安備52010302003427號 
手機版
最新文章 
推薦閱讀