組策略禁止USB最好的方法

把下段斜槓內的內容拷到文本文檔中，保存成.ADM文件，然後打開你要做限制的OU的組策略，展開“用戶配置,管理模板”,右擊管理模板,添加/刪除模板,然後把剛纔保存的ADM文件導入!現在在這個OU下的所有用戶將無法使用USB存儲設備!
//////////////////////////////////////////////////////
CLASS USER

CATEGORY !!ADMDesc

POLICY !!MMC_DeviceManagerX
KEYNAME "Software\Policies\Microsoft\MMC\{90087284-d6d6-11d0-8353-00a0c90640bf}"
#if version >= 4
SUPPORTED !!SUPPORTED_Win2k
#endif
EXPLAIN !!MMC_Restrict_Explain
valueNAME "Restrict_Run"
valueON NUMERIC 0
valueOFF NUMERIC 1
END POLICY

POLICY !!MMC_DeviceManager
KEYNAME "Software\Policies\Microsoft\MMC\{74246bfc-4c96-11d0-abef-0020af6b0b7a}"
#if version >= 4
SUPPORTED !!SUPPORTED_Win2k
#endif
EXPLAIN !!DEVMGR_Restrict_Explain
valueNAME "Restrict_Run"
valueON NUMERIC 0
valueOFF NUMERIC 1
END POLICY

End CATEGORY

CLASS MACHINE

CATEGORY !!ADMDesc

POLICY !!USB_UHCD_PARAMS
KEYNAME "SYSTEM\CurrentControlSet\Services\uhcd"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY

POLICY !!USB_UHCI_PARAMS
KEYNAME "SYSTEM\CurrentControlSet\Services\usbuhci"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY

POLICY !!USB_EHCI_PARAMS
KEYNAME "SYSTEM\CurrentControlSet\Services\usbehci"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY

POLICY !!USB_HUB
KEYNAME "SYSTEM\CurrentControlSet\Services\usbhub"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY

POLICY !!CD_ROM
KEYNAME "SYSTEM\CurrentControlSet\Services\cdrom"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY

POLICY !!Floppy_Disk
KEYNAME "SYSTEM\CurrentControlSet\Services\flpydisk"
EXPLAIN !!STARTUPTYPE_HELP
PART !!STARTUPTYPE NUMERIC REQUIRED
valueNAME "START"
MIN 3 MAX 4 DEFAULT 3
END PART
END POLICY

End CATEGORY

[strings]
ADMDesc="自定義策略"
MMC_DeviceManagerX="設備管理器擴展插件"
MMC_DeviceManager="設備管理器"
SUPPORTED_Win2k="至少使用Microsoft Windows 2000"
MMC_Restrict_Explain="Disable —— 禁用設備管理器擴展插件；Enable —— 啓用設備管理器擴展插件 "
DEVMGR_Restrict_Explain="Disable —— 禁用設備管理器；Enable —— 啓用設備管理器"
USB_UHCD_PARAMS="USB通用主控制器驅動器"
STARTUPTYPE_HELP="啓動類型，3-手動，4-禁用"
STARTUPTYPE="啓動類型"
USB_EHCI_PARAMS="Microsoft USB 2.0 Enhanced Host Controller Miniport Driver"
USB_UHCI_PARAMS="Microsoft USB Universal Host Controller Miniport Driver"
USB_HUB="Microsoft USB Standard Hub Driver"
CD_ROM="光驅"
Floppy_Disk="軟驅"
//////////////////////////////////////////////////////////

還有種方法就是讓每臺機子開機時導入一個註冊表文件（如何讓每臺機子開機導入註冊表文件，就不用我講了吧），文件內容爲：
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"start"=dword:00000004

然後在OU的計算機配置--windows設置--安全設置-註冊表 裏面添一條：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
在該註冊表項的權限設置中，將所有用戶刪除！只留 domain\administrator用戶！
一、在WindowsXP中禁用和管理USB接口

1. 計算機未安裝USB設備

這種情況可以採取將%SystemRoot%Inf下的Usbstor.pnf和Usbstor.inf兩個文件設置其用戶的控制權
限。

Step1：右擊這兩個文件，選擇“屬性→安全→高級”，在“權限”頁面中取消“從父項繼承那些可以應
用到子對象的權限項目，包括那些在此明確定義的項目”複選框。

Step2：在“安全”頁面中，選擇要屏蔽的用戶或用戶組，在“完全控制”中選擇“拒絕”複選框，然後
單擊“確定”。

這種通過分配權限的方法，可以指定哪些用戶可以使用USB設備，哪些用戶不可以使用USB設備，和下面的
“Windows NT以上系統通用方法”一樣，靈活性較大，所以建議採用該方法限制用戶安裝USB設備。

2. 計算機已安裝了USB設備

這種情況可以通過修改註冊表來實現。方法是修改註冊表中
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR下的“Start”值，改爲十六位進制
數值“4”。

該方法修改後，當用戶將USB存儲設備連接到計算機時，該設備將無法運行。

二、Windows NT以上系統通用方法

運行註冊表編輯器，找到HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR鍵，取消
System的所有控制權。如果要分配控制權，只需要對相應用戶設置控制權限就可以了。

小提示：Windows 2000中要設置註冊表的控制權限，需用Regedt32.exe註冊表編輯器。

三、禁止和管理域中多臺計算機USB設備的使用

方法很簡單，就是在域控制器上通過組策略限制用戶對“Windows NT以上系統通用方法”中註冊表鍵的控
制權即可。本文出自 51CTO.COM技術博客