win server 2008r2域環境下禁止xp客戶端USB權限

環境：win server 2008 r2域控制器、win xp客戶端，繁體系統

要求：限制用戶使用USB

難點：2008r2中限制存儲裝置的策略要求至少vista或win 7以上

實現方法：

1. 經過檔案系統設定安全性

   a.新建GPO，定位到電腦設定-原則-Windows設定-安全性設定-檔案系統(公司爲臺企，系統都是繁體，簡體系統的本身對應).

   
   

   b.右鍵新增檔案，找到usbstor.inf和usbstor.pnf,

   c.雙擊或右鍵-內容，打開安全性原則設定

   根據須要設定繼承權，點擊"編輯安全性設定"

   將domain users用戶組的權限都設定爲拒絕，若有其它需求，可自行設定。

   重複以上操做對usbstor.pnf文檔設定

   
   

2. 經過傳統系統模板設定
   

    微軟爲解決此問題，給出瞭解決方案。使用傳統系統模板限制USB，模板可在官網(時間久了，忘記了)找到。模板內容以下：

-------------------------------------------------------

類別機器

類別!!類別

類別!!類別名稱

原則!!policynameusb

KEYNAME"SYSTEM\CurrentControlSet\Services\USBSTOR"

說明!!explaintextusb

組件!!DROPDOWNLIST 所需的 labeltextusb

 

數值"開始時間"

ITEMLIST

名稱!!已停用數字 3 的值預設值

名稱!!啟用的值數字 4

結束 ITEMLIST

結束組件

結束原則

原則!!policynamecd

KEYNAME"SYSTEM\CurrentControlSet\Services\Cdrom"

說明!!explaintextcd

組件!!DROPDOWNLIST 所需的 labeltextcd

 

數值"開始時間"

ITEMLIST

名稱!!已停用數字 1 的值預設值

名稱!!啟用的值數字 4

結束 ITEMLIST

結束組件

結束原則

原則!!policynameflpy

KEYNAME"SYSTEM\CurrentControlSet\Services\Flpydisk"

說明!!explaintextflpy

組件!!DROPDOWNLIST 所需的 labeltextflpy

 

數值"開始時間"

ITEMLIST

名稱!!已停用數字 3 的值預設值

名稱!!啟用的值數字 4

結束 ITEMLIST

結束組件

結束原則

原則!!policynamels120

KEYNAME"SYSTEM\CurrentControlSet\Services\Sfloppy"

說明!!explaintextls120

組件!!labeltextls120 DROPDOWNLIST 所需

 

數值"開始時間"

ITEMLIST

名稱!!已停用數字 3 的值預設值

名稱!!啟用的值數字 4

結束 ITEMLIST

結束組件

結束原則

末端類別

末端類別

 

[字串]

類別 ="自訂原則設定值"

類別名稱 ="限制磁碟"

policynameusb ="停用 USB"

policynamecd ="停用 CD-ROM"

policynameflpy ="停用軟碟機"

policynamels120 ="停用高容量軟碟機"

explaintextusb ="停用電腦的 USB 連接埠，藉由停用 usbstor.sys 驅動程式"

explaintextcd ="停用電腦的光碟機，藉由停用 cdrom.sys 驅動程式"

explaintextflpy ="停用停用 flpydisk.sys 驅動程式的電腦軟碟機"

explaintextls120 ="停用磁碟高容量軟碟機的電腦，停用 sfloppy.sys 驅動程式"

labeltextusb ="停用 USB 連接埠 」

labeltextcd ="停用 CD-ROM 磁碟機]

labeltextflpy = [停用磁碟軟碟機]

labeltextls120 ="停用高容量軟碟機"

啟用 ="啟用"

已停用 ="停用"

--------------------------------------------------------------------------------

將虛線內容複製保存的.adm文檔中。打開GPO，電腦設定-原則-系統管理範本，右鍵-新增/移除範本，新增此範本。新增後，將在系統管理範本下看到傳統系統管理範本(ADM)

打開Disable USB,

Disable USB Ports選擇Enabled.

以上兩種方法，我是一塊兒使用的，單獨使用是否生效還沒測試。因環境中還有win7客戶端，因此同時也使用了2008r2自帶的策略。

模板內容給的是繁體的，還不知道在簡體中適不適用，各位可測試下。

上傳附件時報非法的類型，將.adm改爲了.txt，下載後再改會.adm便可