江苏名额减少:如何通过组策略禁止用户使用USB设备

上面几位提到的前提都是系统盘要NTFS格式的，楼主已经讲的很清楚了，系统盘是FAT32不能设权限的！

组策略禁止USB最好的方法：
把下段斜杠内的内容拷到文本文档中，保存成.ADM文件，然后打开你要做限制的OU的组策略，展开“用户配置,管理模板”,右击管理模板,添加/删除模板,然后把刚才保存的ADM文件导入!现在在这个OU下的所有用户将无法使用USB存储设备!
//////////////////////////////////////////////////////
CLASS USER

CATEGORY !!ADMDesc

POLICY !!MMC_DeviceManagerX
KEYNAME "Software\Policies\Microsoft\MMC\{90087284-d6d6-11d0-8353-00a0c90640bf}"
#if version >= 4
SUPPORTED !!SUPPORTED_Win2k
#endif
EXPLAIN !!MMC_Restrict_Explain
valueNAME "Restrict_Run"
valueON NUMERIC 0
valueOFF NUMERIC 1
END POLICY

POLICY !!MMC_DeviceManager
KEYNAME "Software\Policies\Microsoft\MMC\{74246bfc-4c96-11d0-abef-0020af6b0b7a}"
#if version >= 4
SUPPORTED !!SUPPORTED_Win2k
#endif
EXPLAIN !!DEVMGR_Restrict_Explain
valueNAME "Restrict_Run"
valueON NUMERIC 0
valueOFF NUMERIC 1
END POLICY

End CATEGORY

CLASS MACHINE

CATEGORY !!ADMDesc

POLICY !!USB_UHCD_PARAMS
KEYNAME "SYSTEM\CurrentControlSet\Services\uhcd"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY

POLICY !!USB_UHCI_PARAMS
KEYNAME "SYSTEM\CurrentControlSet\Services\usbuhci"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY

POLICY !!USB_EHCI_PARAMS
KEYNAME "SYSTEM\CurrentControlSet\Services\usbehci"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY

POLICY !!USB_HUB
KEYNAME "SYSTEM\CurrentControlSet\Services\usbhub"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY

POLICY !!CD_ROM
KEYNAME "SYSTEM\CurrentControlSet\Services\cdrom"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY

POLICY !!Floppy_Disk
KEYNAME "SYSTEM\CurrentControlSet\Services\flpydisk"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY

End CATEGORY

[strings]
ADMDesc="自定义策略"
MMC_DeviceManagerX="设备管理器扩展插件"
MMC_DeviceManager="设备管理器"
SUPPORTED_Win2k="至少使用Microsoft Windows 2000"
MMC_Restrict_Explain="Disable —— 禁用设备管理器扩展插件；Enable —— 启用设备管理器扩展插件 "
DEVMGR_Restrict_Explain="Disable —— 禁用设备管理器；Enable —— 启用设备管理器"
USB_UHCD_PARAMS="USB通用主控制器驱动器"
STARTUPTYPE_HELP="启动类型，3-手动，4-禁用"
STARTUPTYPE="启动类型"
USB_EHCI_PARAMS="Microsoft USB 2.0 Enhanced Host Controller Miniport Driver"
USB_UHCI_PARAMS="Microsoft USB Universal Host Controller Miniport Driver"
USB_HUB="Microsoft USB Standard Hub Driver"
CD_ROM="光驱"
Floppy_Disk="软驱"
//////////////////////////////////////////////////////////

还有种方法就是让每台机子开机时导入一个注册表文件（如何让每台机子开机导入注册表文件，就不用我讲了吧），文件内容为：
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"start"=dword:00000004

然后在OU的计算机配置--windows设置--安全设置-注册表 里面添一条：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
在该注册表项的权限设置中，将所有用户删除！只留 domain\administrator用户！
这种方法是我自创的，刚测试完全通过！
前面那种方法测试不成功，不知道哪出错了！！

禁用 USB 存储设备

?如果计算机上尚未安装 USB 存储设备

?如果计算机上已经安装了 USB 存储设备

本页内容

概要概要

禁用 USB 存储设备禁用 USB 存储设备

这篇文章中的信息适用于:这篇文章中的信息适用于:

概要

本文讨论两种可用于防止用户连接 USB 存储设备的方法。

返回页首

禁用 USB 存储设备

要禁用 USB 存储设备，请根据您的具体情况使用下面的一个或多个步骤：

返回页首

如果计算机上尚未安装 USB 存储设备

如果计算机上尚未安装 USB 存储设备，请向用户或组分配对下列文件的“拒绝”权限：

?%SystemRoot%\\Inf\\Usbstor.pnf

?%SystemRoot%\\Inf\\Usbstor.inf

这样，用户将无法在计算机上安装 USB 存储设备。 要向用户或组分配对 Usbstor.pnf 和 Usbstor.inf 文件的“拒绝”权限，请按照下列步骤操作：

1.启动 Windows 资源管理器，然后找到 %SystemRoot%\\Inf 文件夹。

2.右键单击“Usbstor.pnf”文件，然后单击“属性”。

3.单击“安全”选项卡。

4.在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。

5.在“UserName or GroupName 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。

注意：此外，还需将系统帐户添加到“拒绝”列表中。

6.右键单击“Usbstor.inf”文件，然后单击“属性”。

7.单击“安全”选项卡。

8.在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。

9.在“UserName or GroupName 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。

返回页首

如果计算机上已经安装了 USB 存储设备

警告：注册表编辑器或其他方法使用不当可能导致严重问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。 如果计算机上已经安装了 USB 存储设备，请将以下注册表项中的“Start”值设置为 4：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\UsbStor

这样，当用户将 USB 存储设备连接到计算机时，该设备将无法运行。要设置“Start”的值，请按照下列步骤操作：

1.单击“开始”，然后单击“运行”。

2.在“打开”框中，键入 regedit，然后单击“确定”。

3.找到并单击下面的注册表项：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\UsbStor

4.在右窗格中，双击“Start”。

5.在“数值数据”框中，键入 4，单击“十六进制”（如果尚未选中），然后单击“确定”。

6.退出注册表编辑器。

返回页首

返回页首返回页首

请与您的 USB 设备供应商联系，以咨询有关新驱动程序的相关情况。有关如何与 USB 设备供应商联系的信息，请单击下面列表中适当的文章编号，以查看 Microsoft 知识库中相应的文章：

65416 硬件和软件供应商联系信息，A-K

60781 硬件和软件供应商联系信息，L-P

60782 硬件和软件供应商联系信息，Q-Z

返回页首返回页首

这篇文章中的信息适用于:

?Microsoft Windows XP Home Edition

?Microsoft Windows XP Professional Edition

?Microsoft Windows 2000 Advanced Server

?Microsoft Windows 2000 Professional Edition

?Microsoft Windows 2000 Server

?Microsoft Windows Server 2003 Enterprise Edition

?Microsoft Windows Server 2003 Standard Edition

为了防止病毒传播或资料外泄，很多网吧、学校和公司的电脑都采取不安装软驱、光驱的方法来预防。但是
USB移动存储的出现使病毒传播或资料外泄更难以防范，这一直是管理员头疼的事情。为了禁用或管理USB接
口，很多人都是在CMOS中禁止USB接口并设置密码，更有甚者用电烙铁取下主板上的USB接口，这些都不是简便
的方法，尤其是针对域中的多台计算机，工作量就更大了。下面笔者将介绍如何在一台或多台电脑上禁用和管
理USB接口的方法。

一、在WindowsXP中禁用和管理USB接口

1. 计算机未安装USB设备

这种情况可以采取将%SystemRoot%Inf下的Usbstor.pnf和Usbstor.inf两个文件设置其用户的控制权
限。

Step1：右击这两个文件，选择“属性→安全→高级”，在“权限”页面中取消“从父项继承那些可以应
用到子对象的权限项目，包括那些在此明确定义的项目”复选框。

Step2：在“安全”页面中，选择要屏蔽的用户或用户组，在“完全控制”中选择“拒绝”复选框，然后
单击“确定”。

这种通过分配权限的方法，可以指定哪些用户可以使用USB设备，哪些用户不可以使用USB设备，和下面的
“Windows NT以上系统通用方法”一样，灵活性较大，所以建议采用该方法限制用户安装USB设备。

2. 计算机已安装了USB设备

这种情况可以通过修改注册表来实现。方法是修改注册表中
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR下的“Start”值，改为十六位进制
数值“4”。

该方法修改后，当用户将USB存储设备连接到计算机时，该设备将无法运行。

二、Windows NT以上系统通用方法

运行注册表编辑器，找到HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR键，取消
System的所有控制权。如果要分配控制权，只需要对相应用户设置控制权限就可以了。

小提示：Windows 2000中要设置注册表的控制权限，需用Regedt32.exe注册表编辑器。

三、禁止和管理域中多台计算机USB设备的使用

方法很简单，就是在域控制器上通过组策略限制用户对“Windows NT以上系统通用方法”中注册表键的控
制权即可。

操，怎么这些回答都这么复杂啊，给你个简单的方法：

1。打开控制面板
2。进入【管理工具】
3。进入【计算机管理】
4。点击【设备管理器】
5。点击【通用串行总线控制器】
6。在下拉选项中在你想禁用的硬件上右击鼠标选择【停用】即可
不难吧

呵呵，这个问题我刚刚处理过，有兴趣给个 mail ,我传给你一个操作流程，同时还需要一个安装程式，大概有1M。
只是我是在台企，用的是繁体系统，但思路是一样的。

顶一下。不过还是支持主板禁止USB，虽然有点麻烦，但比较有用，安全。。

也不能那么麻烦吧，你在设备管理器中直接禁用掉，不就行了吗？你肯定有管理员吧，你得有这个权限