怎样在电脑上禁用U盘和光驱.docx
- 文档编号:7581094
- 上传时间:2023-01-25
- 格式:DOCX
- 页数:13
- 大小:328.71KB
怎样在电脑上禁用U盘和光驱.docx
《怎样在电脑上禁用U盘和光驱.docx》由会员分享,可在线阅读,更多相关《怎样在电脑上禁用U盘和光驱.docx(13页珍藏版)》请在冰豆网上搜索。
怎样在电脑上禁用U盘和光驱
禁用U盘和光驱
(1)
10.3.9 禁用U盘和光驱
(1)
出于安全考虑,现在的公司都是不允许用户使用私带的U盘或光盘在公司计算机中使用。
那么有什么方法可以禁止呢?
注册表是可以的,通过组策略同样也可以做到,是通过隐藏U盘驱动器来实现的。
在Windows组策略对象编辑中,在"用户配置"→"管理模板"→"Windows组件"→"Windows资源管理器"下找到"隐藏'我的电脑'中的这些指定的驱动器"策略项(仅用来在资源管理器中隐藏指定的驱动器,如图10-72所示)。
双击它,打开如图10-73所示的对话框。
选择"已启用"单选项,然后在"选择下列组合中的一个"下拉列表框中选择一种隐藏方案。
但是,从这个下拉列表框中明显可以看出,它已不再满足现在大磁盘、多分区的现状了,因为这里所列出的盘符最多是D。
也就是只有C、D两个分区。
这显然是不够的,U盘和光驱的盘符一般不会是这两个盘符。
所以直接通过组策略来实现对U盘和光驱的访问限制是不行的了,这时就要利用本章前面介绍的系统管理模板文件system.adm中用于限制驱动器的模板代码了。
但建议不要直接编辑、更改System.adm文件,而要创建一个新的.adm文件,然后再将这个.adm文件导入到对应GPO的"管理模板"文件夹中。
这是因为,如果对system.adm文件修改后,在更新了SP补丁后,该文件又会被新版本的system.adm文件所覆盖。
(点击查看大图)图10-72 默认组策略编辑器下的"隐藏'我的电脑'中的这些指定的驱动器"策略项
现在以在域级别下新建并链接一个名为"禁止U盘和光驱策略"的GPO为例进行介绍,具体的配置步骤如下:
(1)将inf目录下的系统管理模板文件system.adm用记事本程序打开。
找到NoDrives的两段策略模板,如下所示:
1.POLICY !
!
NoDrives
2. EXPLAIN !
!
NoDrives_Help
3. PART !
!
NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
4. VALUENAME "NoDrives"
图10-73 "隐藏'我的电脑'中的这些指定的驱动
器属性"对话框的"设置"选项卡
1.NAME !
!
ABOnly VALUE NUMERIC 3
2.NAME !
!
COnly VALUE NUMERIC 4
3.NAME !
!
DOnly VALUE NUMERIC 8
4.NAME !
!
ABConly VALUE NUMERIC 7
5.NAME !
!
ABCDOnly VALUE NUMERIC 15
6.NAME !
!
ALLDrives VALUE NUMERIC 67108863 DEFAULT
7.; low 26 bits on (1 bit per drive)
8.NAME !
!
RestNoDrives VALUE NUMERIC 0
9. END ITEMLIST
10. END PART
11. END POLICY
12.
13. POLICY !
!
NoViewOnDrive
14. EXPLAIN !
!
NoViewOnDrive_Help
15. PART !
!
NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
16. VALUENAME "NoViewOnDrive"
17. ITEMLIST
18.NAME !
!
ABOnly VALUE NUMERIC 3
19.NAME !
!
COnly VALUE NUMERIC 4
20.NAME !
!
DOnly VALUE NUMERIC 8
21.NAME !
!
ABConly VALUE NUMERIC 7
22.NAME !
!
ABCDOnly VALUE NUMERIC 15
23.NAME !
!
ALLDrives VALUE NUMERIC 67108863 DEFAULT
24.; low 26 bits on (1 bit per drive)
25.NAME !
!
RestNoDrives VALUE NUMERIC 0
26. END ITEMLIST
27. END PART
28.END POLICY
这两段都是以POLICY!
!
开始,以ENDPOLICY结束。
这两段分别是专门用来配置在资源管理器中隐藏指定盘符的驱动器和在资源管理器中禁止访问的驱动器。
通常对于一般用户来说,仅有第一个隐藏驱动器策略就可以了,但对于一些高级用户则最好是同时禁止访问指定的驱动器。
复制它,放在另一个记事本页面中,然后进行下面的编辑(直接采用一般无法达到自己的目的)。
(2)原始代码中ITEMLIST下的7个列表项如下:
1.NAME !
!
ABOnly VALUE NUMERIC 3
2.NAME !
!
COnly VALUE NUMERIC 4
3.NAME !
!
DOnly VALUE NUMERIC 8
4.NAME !
!
ABConly VALUE NUMERIC 7
5.NAME !
!
ABCDOnly VALUE NUMERIC 15
6.NAME !
!
ALLDrives VALUE NUMERIC 67108863 DEFAULT
7.; low 26 bits on (1 bit per drive)
8.NAME !
!
RestNoDrives VALUE NUMERIC 0
禁用U盘和光驱
(2)
其中的;low26bitson(1bitperdrive)是一个注释行,表示驱动盘符是由26位二进制组成的(代表26个盘符字母),每一位代表一个驱动器盘符。
转换成十进制就为:
A=1,B=2,C=4,D=8,E=16,F=32,G=64,H=128,I=256,由低到高,依此类推。
原始代码中的ABOnly就相当于要同时隐藏A、B两个驱动器,它的取值就是这两个驱动器值的和(1+2=3);同理ABCDOnly项的取值就相当于A、B、C、D四个盘符取值的总和(1+2+4+8=15),……,与原始代码后面的VALUENUMERIC值是一致的。
如果值为0,表示不限制。
现编辑以上策略代码。
在编辑时一定要对这两个策略项同时且一致修改。
现假如系统中的硬盘和软驱盘符最大为G,H为光驱,I为U盘。
现在要对H和I盘的盘符进行隐藏,则只需在以下两段代码中ITEMLIST(项目列表)的NAME!
!
ABCDOnlyVALUENUMERIC 15行下面分别插入以下一行内容即可:
1.NAME !
!
HIOnly VALUE NUMERIC 384
这样一来,以上两个策略的完整代码中的ITEMLIST段内容都为:
1.NAME !
!
ABOnly VALUE NUMERIC 3
2.NAME !
!
COnly VALUE NUMERIC 4
3.NAME !
!
DOnly VALUE NUMERIC 8
4.NAME !
!
ABConly VALUE NUMERIC 7
5.NAME !
!
ABCDOnly VALUE NUMERIC 15
6. NAME !
!
HIOnly VALUE NUMERIC 384
7.NAME !
!
ALLDrives VALUE NUMERIC 67108863 DEFAULT
8.; low 26 bits on (1 bit per drive)
9.NAME !
!
RestNoDrives VALUE NUMERIC 0
【经验之谈】在驱动器隐藏中,当然可以设置隐藏非连续的驱动器。
如只需要隐藏D、F盘,则可以添加这样一行(取值是对应驱动器值相加即可):
1.NAME !
!
DFOnly VALUE NUMERIC 40
(3)对上面代码中的所有关键字进行说明,这些都可以在system.adm后面的[strings]部分找到。
新加的代码行也要在[strings]部分作出解释,如NAME!
!
HIOnly="仅限制驱动器H和I"。
当然在[strings]部分,各关键字说明可以自定义,也可以直接从system.adm管理模板中复制(以下为直接复制的结果)。
完整的代码如下:
1.CLASS USER
2.CATEGORY !
!
WindowsExplorer
3. #if version >= 4
4. EXPLAIN !
!
WindowsExplorer_Help
5. #endif
6.
7.
8. KEYNAME "Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer"
9.
10.POLICY !
!
NoDrives
11.
12. EXPLAIN !
!
NoDrives_Help
13. PART !
!
NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
14. VALUENAME "NoDrives"
15. ITEMLIST
16. NAME !
!
ABOnly VALUE NUMERIC 3
17. NAME !
!
COnly VALUE NUMERIC 4
18. NAME !
!
DOnly VALUE NUMERIC 8
19. NAME !
!
ABConly VALUE NUMERIC 7
20. NAME !
!
ABCDOnly VALUE NUMERIC 15
21. NAME !
!
HIOnly VALUE NUMERIC 384
22. NAME !
!
ALLDrives VALUE NUMERIC
67108863 DEFAULT
23.
24. ; low 26 bits on (1 bit per drive)
25. NAME !
!
RestNoDrives VALUE NUMERIC 0
26. END ITEMLIST
27. END PART
28. END POLICY
29.
30. POLICY !
!
NoViewOnDrive
31. EXPLAIN !
!
NoViewOnDrive_Help
32. PART !
!
NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
33. VALUENAME "NoViewOnDrive"
34. ITEMLIST
35. NAME !
!
ABOnly VALUE NUMERIC 3
36. NAME !
!
COnly VALUE NUMERIC 4
37. NAME !
!
DOnly VALUE NUMERIC 8
38. NAME !
!
ABConly VALUE NUMERIC 7
39. NAME !
!
ABCDOnly VALUE NUMERIC 15
40. NAME !
!
HIOnly VALUE NUMERIC 384
41. NAME !
!
ALLDrives VALUE NUMERIC
67108863 DEFAULT
42.
43. ; low 26 bits on (1 bit per drive)
44. NAME !
!
RestNoDrives VALUE NUMERIC 0
45. END ITEMLIST
46. END PART
47. END POLICY
48.
49.END CATEGORY ;; WindowsExplorer
50.
51.[strings]
52.HIOnly="仅限制驱动器 H和I"
53.ABCDOnly="仅限制驱动器 A、B、C和D"
54.ABConly="仅限制驱动器 A、B和C"
55.DOnly="仅限制驱动器 D"
56.COnly="仅限制驱动器 C"
57.ABOnly="仅限制驱动器 A和B"
58.ALLDrives="限制全部驱动器"
59.RestNoDrives="全部驱动器不限制"
60.WindowsExplorer="Windows 资源管理器"
61.WindowsExplorer_Help="管理 Windows 资源管理器设置。
这包括外壳属性,文件夹选项,文件菜单,和可用的驱动器。
"
62.NoDrives="隐藏"我的电脑"中的这些指定的驱动器"
63.NoDrivesDropdown="选择下列组合中的一个"
64.NoDrives_Help="从我的电脑和 Windows 资源管理器上
删除代表所选硬件驱动器的图标。
并且驱动器号代表的所有
驱动器不出现在标准的打开对话框上。
\n\n要使用这项策略,
请从下拉列表上选择一个驱动器或几个驱动器。
要显示所有驱动
器,请禁用这项策略或从下拉列表中选择"不限制驱动器"选项。
\n\n注意:
这项策略删除驱动器图标。
用户仍可通过使用其它方式
继续访问驱动器的内容,如:
通过在映射网络驱动器对话框、运行
对话框或命令窗口上键入一个驱动器的目录路径。
\n\n同时,此策
略不会防止用户使用程序访问这些驱动器或其内容,也不会防止用
户使用"磁盘管理"管理单元查看并更改驱动器特性。
\n\n请参阅"防
止从'我的电脑'访问驱动器"策略。
\n\n注意:
对于有 Windows
2000 或更新版本的证明的第三方应用程序,要求附加此设置。
"
65.NoViewOnDrive_Help="防止用户使用我的电脑访问所选驱动器的
内容。
\n\n如果您启用了这项设置,用户可以浏览在我的电脑或
Windows 资源管理器中所选择的目录结构,但是不能打开文件夹或
访问其中的内容。
同时,他们也无法使用运行对话框或映射网络驱动
器对话框来查看在这些驱动器上的目录。
\n\n要利用这些设置,请从
下拉列表中选择一个驱动器或几个驱动器。
要允许访问所有驱动器目录,
请禁用这项设置或从下拉列表中选择"不限制驱动器"选项。
\n\n注意:
这些代表指定驱动器的图标仍旧会出现在我的电脑中,但是如果用户双击
图标,会出现一个消息解释设置防止这一操作。
\n\n同时这以设置不会防
止用户使用程序访问本地和网络驱动器。
并且不防止他们使用磁盘管理即
插即用查看和更改驱动器特性。
\n\n还可参阅"在我的电脑中隐藏这些
指定的驱动器"设置。
"
66.NoViewOnDrive="防止从"我的电脑"访问驱动器"
最后在记事本程序中以driveslimited.adm文件名保存。
(4)打开前面在域级别下新建并链接的"U盘和光驱策略"GPO,找到"用户配置"下的"管理模板"项并右击,在弹出的快捷菜单中选择"添加/删除模板"选项,打开如图10-74所示的对话框。
默认只有5个标准模板文件。
(点击查看大图)图10-74 5个标准的管理模板文件
禁用U盘和光驱(3)
(5)单击"添加"按钮,打开如图10-75所示的对话框。
在其中找到刚才新建的driveslimited.adm管理模板文件。
单击"打开"按钮,返回到图10-74所示的对话框。
此时已添加了新的管理模板driveslimited,如图10-76所示。
(6)单击"关闭"按钮,如果在新建的管理模板文件中有些关键字没有在[strings]部分加以说明,则会出现如图10-77所示的错误提示。
在提示中显示了当前检测到没有定义的关键字,但不会显示全部,只要检测到一个没有定义就停止向下检测了。
(点击查看大图)图10-75 选择新的管理模板文件对话框
图10-76 添加了新管理模板文件后的"添加/删除模板"对话框
(点击查看大图)图10-77 没有对关键字进行说明时的错误提示
如果没有问题,则可以在"Windows组件"下的"Windows资源管理器"项下面见到两个策略项,如图10-78所示。
(点击查看大图)图10-78 新添加的两个策略项
(7)双击"隐藏'我的电脑'中的这些指定的驱动器"策略项,打开如图10-79所示的对话框。
双击"防止从'我的电脑'访问驱动器"策略项,打开如图10-80所示的对话框。
在两个对话框中的"选择下列组合中的一个"下拉列表框中可以见到新添加的选项"仅限制驱动器H和I"选项。
选择它后,单击"确定"按钮即可使这两个策略分别实现在资源管理器上隐藏H和I盘和在资源管理器中访问H和I盘的目的,也就是光驱和U盘通常所使用的盘符。
图10-79 "隐藏'我的电脑'中的这些指定
的驱动器属性"对话框的"设置"选项卡
图10-80 "防止从'我的电脑'访问驱动器
属性"对话框的"设置"选项卡
通过以上步骤就实现了对光驱和U盘的隐藏和禁止访问。
有关组策略的应用就介绍至此,有关组策略的其他基础知识大家可以看一下操作系统帮助。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 怎样 电脑 禁用 光驱