server2003域控禁用U盘(亲测绝对可行)

2017-03-27

8122

2003域控下禁用U 盘策略亲测可以用先废话两句，关于域控禁用U 盘，百度了N 久，方法一堆，实验N 次，浪费大量时间，发现有很多人说话不负责任，固在此谴责一下。方法一：修改注册表为4，经过测试，根

2003域控下禁用U 盘策略亲测可以用

先废话两句，关于域控禁用U 盘，百度了N 久，方法一堆，实验N 次，浪费大量时间，发现有很多人说话不负责任，固在此谴责一下。

方法一：修改注册表为4，经过测试，根本就是忽悠人：

1. 这个策略根本运行不了，若策略给用户，客户机用户根本不具有修改注册表的权限。

2. 若策略给计算机，计算机根本就运行不到这个策略，cmd 会提示无法使用双斜杠路径，我猜，应该是获取策略的时候，那个服务应该还没有启动（没有根据，自己推测的）。

方法二：主板设密码，对于这个方法，我直接无视。

方法三：设备管理器，禁用U 盘，一个设备对应一个usb 接口，留一个给鼠标用，没办法，鼠标全是USB 的，不可能全换的，客户机没有管理员权限，我前面一直使用这个方法，但是，因为好景不长，问题出现了，新购电脑是一个管N 个接口，在加上，有人专门将鼠标拔了，插U 盘，还有更过分的是，有的部门因为软件的原因，必须要管理员权限，结果，他们把U 盘启用了。我想吐血啊~~~~~

方法四：（隐藏磁盘分区）诞生于我的愤怒之中，这个的关键在于，算16进制，有很多算法，就用官网的吧，官网介绍的分区算法如下, 我要显示的是

C 、D 、E 、L 、M ，（0显示，1隐藏）

Z Y X W V U T S R Q P O M L K J I H G F E D C B A

1 1 1 1 1 1 1 1 1 1 1 1 0 0 1 1 1 1 1 1 0 0 0 1 1 直接把这个二进制换成10进制就好，得到一个数值是，67102691。

效，

EXPLAIN !!NoDrives_Help PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED VALUENAME "NoDrives" 1. 现在开始测试，打开AD-选择用户目录-鼠标右键属性-选择组策略-新建策略-选中编辑-用户配置-管理模版-windows 组件-windows 资源管理器-隐藏 “我的电脑”中这些指定的驱动器-选择启用-先在下面随便选择一个，比如只限制D 驱动器-然后确定应用，退出以后，先看看这个策略生效没有。如果生进行下一步操作。 2. 现在开始修改，打开AD-选择刚刚的用户目录-鼠标右键属性-选择组策略- 在刚刚的策略上点击右键属性查看唯一的名称，就是大括号和那串字符，然后到路径（默认情况下）系统下windowssysvolsysvol域名policies目录下面找到刚刚那个唯一的名称的文件夹然后进入Adm 目录下面，用写字板打开 system.adm 文件，然后查找定位到67108863，总共有两处如下，修改的地方很少，我复制的内容，大家可以比对下自己的，修改两个地方的数字为，我们刚刚算出来的，67102691红字为修改的地方如下： POLICY !!NoDrives #if version >= 4 SUPPORTED !!SUPPORTED_Win2k #endif

ITEMLIST NAME !!ABOnly VALUE NUMERIC 3 NAME !!COnly VALUE NUMERIC 4 NAME !!DOnly VALUE NUMERIC NAME !!ABConly VALUE NUMERIC 8 7 NAME !!ABCDOnly VALUE NUMERIC 67102691 NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive) NAME !!RestNoDrives VALUE NUMERIC 0 END ITEMLIST END PART END POLICY POLICY !!NoViewOnDrive #if version >= 4 SUPPORTED !!SUPPORTED_Win2k #endif EXPLAIN !!NoViewOnDrive_Help PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED VALUENAME "NoViewOnDrive" ITEMLIST NAME !!ABOnly VALUE NUMERIC 3 NAME !!COnly VALUE NUMERIC 4 NAME !!DOnly VALUE NUMERIC NAME !!ABConly VALUE NUMERIC 8 7 NAME !!ABCDOnly VALUE NUMERIC 67102691 NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive) NAME !!RestNoDrives VALUE NUMERIC 0 END ITEMLIST

为了更人性化，可以多修改一处，定位到strings

[strings]

ABCDOnly=" 只允许 C、D 、E 、L 和 M"

ABConly="仅限制驱动器 A、B 和 C"

ABOnly="仅限制驱动器 A 和 B"

ActiveDesktop="Active Desktop"

记住，ABCDOnly 和上面的NAME !!ABCDOnly要对应，不要搞混了，把自己用晕了，然后保存。

好了最后一步，打开AD-选择用户目录-鼠标右键属性-选择组策略-选中刚刚的策略编辑-用户配置-管理模版-windows 组件-windows 资源管理器-隐藏 “我的电脑”中这些指定的驱动器-

选择启用-选择，只允许 C、D 、E 、L 和 M，确定完成，退出，然后就等待客户机注销从新登陆就会生效了。

备注：

1. 我二进制写出来以后，在百度上找二进制进行计算，因为数据量毕竟太大，结果，在线的计算器不是不支持这么厂的数值（26位），就是算错了，最可恶的是这个网站的计算器，http://www.6wm.cn/16_10/，计算出来的结果是，67108832，制定策略以后，给我保留了5个盘，A 、B 、C 、D 、E 。害我检查了很久的策略。最后在

好的，如果大家算好了二进制的值想进行测试的话，可以进入自己单机修改注册表路径如下：

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer] 新建DWORD 值修改名字为NoDrives ，输入十进制67102691，然后注销测试就好，反正我没有重启。

附一个小问题，为什么我域出现问题，在window 官网上收不到解决方案，可以人知道下，如何在官网上找帮助不？

如有问题，可直接联系我的MSN ，lxp_tcd@hotmail.com

相关推荐