筆者在一家區級法院網絡中心工作,爲確保局域網內的計算機安全,省高院要求全省聯網的法院客戶端的機器光軟驅都要拆除,而且禁止在局域網內使用U盤。我們知道,現在局域網中使用的操作系統絕大多數都是Windows系列,對於Windows 98說,做到這些並不難,因爲U盤第一次使用時需要安裝相應的驅動程序,拆除了光、軟驅後,驅動無法安裝,U盤也就無法使用,但對於Windows 2000、Windows XP來說,情況就不同了,用過U盤的人都知道這些操作系統不需要安裝驅動,U盤即插即用。
對於大多數用戶來說,這的確很方便,但對於單位有要求的網管來說,就頭疼了,現在新買的機器不能總是安裝Windows 98吧,畢竟Windows 98就要“下崗”了,但面對U盤,卻沒有好的辦法,也許您會想到可以在BIOS設置裏屏蔽USB端口,但這是“寧可錯殺一千,不能放過一個”的辦法,如果您的單位客戶端沒有使用USB接口的鍵盤、鼠標、打印機等設備,那您完全可以採用此方法,不過您以後採購設備的時候要注意了,最好不要採購USB設備,除非咱們網管自己用,哈哈!那有沒有簡單易行的辦法呢?經過一段時間摸索和試驗,筆者終於找到了使用修改組策略模板的方法實現此目標。
實現條件
當然這是有前提條件的,首先,您的局域網必須以域爲架構(我們知道Windows 2000、Windows XP自己都自帶有組策略編輯器,使用組策略編輯器可單獨編輯每臺機器的策略,而使用域時,只要用戶登錄到域,就會自動應用策略,在服務器端修改一次,就可以在全域實現管理目標,如果不採用域模式,您需要每臺都要設置組策略,失去了效率,也就沒有采用的必要了)。
其次,客戶端必須以域用戶的身份登錄網絡,且不能被賦予客戶端本機管理員的權限。客戶端操作系統推薦使用Windows 2000和Windows XP,雖然Windows 98也能在域環境下應用組策略,但Windows 2000 Server組策略對Windows 98的支持並不完全,且需要採用兩種完全不同的方法分別管理他們,會對您以後的網絡管理帶來不便。
特別說明:這裏介紹的方法並不適用於Windows 98,只適用於服務器端安裝Windows 2000 Server或Windows Server 2003。只要您的網絡滿足以上條件,我們就可以利用組策略屏蔽U盤,而對於其他USB設備卻無任何影響,筆者在單位實施1年多來,效果很好,現將詳細方法介紹出來,希望能給衆多網管們提供一點借鑑。
基本原理
組策略實現的原理實際上就是修改註冊表,當域用戶登錄到域上時,系統會對指定的客戶端實施組策略,也即修改客戶端的註冊表,當我們新建了一個組策略時,系統實際上是拷貝了三個模板文件,在您修改組策略時,實際上是在修改這些模板的副本,然後把這些策略應用到指定的客戶端中去,然而Windows 2000 Server系統提供的組策略模板中並沒有我們想要的屏蔽U盤的策略,但我們可以手動修改系統的模板文件,使組策略模板具備屏蔽U盤的策略,實際上根據其原理,凡是修改註冊表能做到的,基本上都可以在域中使用組策略實現。
實現方法
1、在域控制器上打開Active Directory用戶和計算機,找到您要屏蔽U盤的組織單位(Organizational Unit 簡稱OU),右鍵查看此組織單位的屬性,點擊組策略頁面,新建一個組策略,命名並保存爲“屏蔽U盤”,建好後,雙擊“屏蔽U盤”(必需先打開一次,否則系統不會拷貝那幾個模板文件),在打開的標題爲“組策略”的窗口的左邊,按以下順序定位“用戶配置-管理模板-Windows組件-Windows資源管理器”,選中Windows資源管理器,在右邊的窗口中會顯示如圖1所示。
我們可以看到有“隱藏我的電腦中的這些指定的驅動器”和“防止從我的電腦訪問驅動器”,雙擊打開其中一項策略,選擇“啓用”,下面的下拉框會變亮,單擊下拉框,如圖2所示,您會發現系統提供了7種限制訪問驅動器號的組合,其中也包括了“不限制驅動器”,顯然,這些組合不能滿足我們的要求(因爲U盤的盤符通常是排在最後的,而且現在的硬盤比較大,少則也有三四個分區)。
2、在域控制器上打開Active Directory 用戶和計算機,在剛纔我們新建的“屏蔽U盤”策略上單擊右鍵選擇查看屬性,在如圖3所示的位置找到"屏蔽U盤"的組策略的唯一的名稱,此名稱爲一長串數字和字母組成,本例中爲{82F86A8E-B345-4DDC-A304-E448F6E900A9},記下此字符串。
3、打開系統盤,定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夾,此文件夾位於“C:WINNTSYSVOLbaling.com.cnPolicies”下(盤符依賴於您安裝的操作系統所在的分區),注意其中baling.com.cn是您的Windows 2000的域名,打開{82F86A8E-B345-4DDC-A304-E448F6E900A9}目錄,找到ADM目錄下的system.adm文件,此文件是我們在實施組策略的模板文件,是一個純文本文件,可用記事本打開,找到下面這兩段代碼:
引用:
* POLICY !!NoDrives
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
* POLICY !!NoViewOnDrive
EXPLAIN !!NoViewOnDrive_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoViewOnDrive"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
說明:這是兩個策略,第一個!!NoDrive,它的作用是在我的電腦中不顯示指定的驅動器名,驅動器號代表的所有驅動器不出現在標準的打開對話框上,但是在地址欄中輸入盤符或新建一個指向硬盤盤符的快捷方式,用戶仍然可以訪問該驅動器;第二個!!NoViewOnDrive的作用是阻止用戶訪問驅動器。可以阻止上述情況的出現,但是僅僅用第二個的話,用戶可以看見該驅動器的盤符,但不能訪問,一般情況,兩個同時使用,可以達到比較理想的效果。
仔細觀察上述代碼,不難發現,其中一共有7個NAME項,正好和我們圖2下拉框中的一一對應,後面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的規則取值,low 26 bits on的意思說值爲26位的二進制,最多可指定26個驅動器盤符,而1 bit per drive則代表1位代表1個驅動器,舉例說A=1,B=2,C=4,D=8,E=16,F=32,G=64,H=128,I=256,由低到高,以此類推。我們可根據我們的需要修改此代碼段,假如我們要隱藏A、B、C、F、G、H、I,您可以根據您的需要而定,推薦隱藏的盤符數量應該大於您的現有的盤符數加上您客戶端所有的USB接口數(防止有人同時插入幾個U盤,呵呵!)。那麼我們計算出VALUE NUMERIC的數值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487,在兩個策略中的
NAME !!ABCDOnly VALUE NUMERIC 15
下插入一行
NAME !!ABCFGHIOnly VALUE NUMERIC 487
隨後,移到System.adm文件的末尾,在 ABConly="僅限制驅動器 A、B 和 C" 下面插入一行數據, ABCFGHIOnly="僅限制驅動器A、B、C、F、G、H、I"
等於號後引號內的說明您可以根據自己的喜好定義,它將會顯示在如圖2的下拉框中。保存後,打開“屏蔽U盤”策略,定位“用戶配置-管理模板-Windows 組件-Windows 資源管理器”,在右邊的窗口中雙擊“隱藏我的電腦中的這些指定的驅動器”或“防止從我的電腦訪問驅動器”其中的一個,點擊“啓用”,再點擊下拉框,哈哈,您會發現您多了一個選項(如圖4)。
這時候,您只要在您想屏蔽的用戶的組織單位上應用此策略(別忘了這兩個策略都需要設置),保存後,包含於該組織單位下的用戶登錄時,便會發現他的U盤插上後,系統雖能識別並正確安裝驅動,但在“我的電腦”中卻無法看見,並且通過其他方法也無法訪問,包括在地址欄中輸入盤符。
至此,全部設置完畢,讓您的客戶段使用此OU下的用戶登錄看看吧!
其他注意事項:
1、這種方法在您的客戶端很多的時候,很方便,您只要確保客戶端登錄用戶屬於您已應用此組策略的OU下即可,如果暫時需要允許他使用U盤,那隻要把該用戶移出此OU,該用戶再註銷重新登錄一下就OK。
2、需要注意的是,您在OU中建立用戶時,用戶缺省是屬於Domain users組,這對於大多數軟件來說沒有問題,但會使有些軟件無法安裝或運行,您可以賦予這些用戶在客戶端本機的Power user組的權限,即可解決。
3、注意這種方法同時也屏蔽了您的光驅盤符,光驅也是不能訪問的。當然U盤都屏蔽了,我想光驅就更該屏蔽了,呵呵!如果實在要訪問,可以在計算機管理中的磁盤管理中賦予光驅一個靠後的盤符即可。
4、OU是可以嵌套的,客戶端組策略的應用是從域根到OU再到子OU,而且是可以覆蓋的,除非您選定了“阻止策略繼承”。如果您在父OU上設置了屏蔽U盤,但在子OU中又取消了屏蔽,那麼客戶端的U盤是不會被屏蔽的。
5、如果您在一個OU中設置了此屏蔽策略,但您又要在其他同級的OU中要開放一些用戶的U盤時,您需要重新建一個策略,而不是直接在“屏蔽U盤”的策略上修改成不屏蔽U盤,因爲這是個鏈接到“屏蔽U盤”的策略,您實際修改的是“屏蔽U盤”策略,這會影響到他管理下的所有的OU,他們都將會應用您修改後的策略。
6、在域中應用組策略時,系統只能對整個域、組織單位實施組策略,不能對單個的用戶或者計算機指定組策略,在實際應用的時候,可多建立幾個組織單位來管理用戶。