活动目录网域中禁用移动存 储(U盘)活动目录网域中禁用移动存储(U盘):由于安全须要,要禁用U盘的使用,但是不禁用其它 usb接口的设备,查了一下,发现有一份资料这样写: 运行注册表编辑器,找到 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\USBSTOR键,取消System的所有控制 权。如果要分配控制权,只需要对相应用户设置控制权限就可以了。 问题1:我按照上面的描述, 我在DC上的组策略中的"安全选项"-"注册表",新建一项,然后找到HKEY_LOCAL_MACHINE\SYSTEM, 但是里面没有ControlSet002,只有ControlSet001和ControlSet003.不知是什么原因? 问题2:上面要求分配控制权,如果客户端的系统所在的分区 不是NTFS,那么这个安全策略是否起作用? 答:关于Active Directory中禁用移动存储的问题,我之前写过两篇文章 一、关于如 何使用策略禁用USB的问题 此文章中借用MS KB823732 来说明禁用USB存储设备的原理,但这个方法存在两点问题: 1、要求用户之前没有使用过USB,否则可能就不起作用了。 2、由于是 针对计算机的策略,故而无法针对用户来控制。(用户有可能在其他计算机上登陆,也有可能临时的开放使用USB设备) BTW:用策略控制移动存储有些难度,制作策略比较麻烦,于是国外的一个MVP Simon Geary 写了一个kb555324 HOWTO: 使用组策略来禁用 USB、 CD-ROM、 软盘和 LS-120 驱动程序 大家可以用他写的adm模版直接导入GPO使用。 二、移动存储管理 由于上面方法中存在的问题,我就写了这个文章,大家可以用一些第三方的工具来灵活管控用户账户使用USB的权限,诸如 GFI LANguard 或者 CenterTools DriveLock 等等。这些工具都具有如下这些特点:
BTW:一直到Vista,虽然在策略中添加了移动存储的项目,但仅仅是计算机的策略,不能针对用户管理。呵呵MS要把空间留给第三 方厂商嘛:)OK,下面来回答您的问题: 问题1:我按照上面的描述,我在DC上的组策略中 的"安全选项"-"注册表",新建一项,然后找到HKEY_LOCAL_MACHINE\SYSTEM,但是里面没有ControlSet002,只有 ControlSet001和ControlSet003.不知是什么原因? 回答:您看到的 描述可能有问题,请直接修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor 关于 ControlSetxxx是这样的,这个项目的作用就是您在计算机启动的时候按 F8,然后选择 最近一次的正确配置 那么,OS就会加载 ControlSet001下的配置,如果仍旧失败,尝试002,依此类推。关于此项的详细描述,请参考 http://gnaw0725./logs/4888540.html 问题2:上面要求分配控制权,如果客户端的系统所在的分区不是NTFS,那么这个安全策略是否起作用? 回答:如果系统所在分区不是NTFS,则安全项目无效。 |
|
来自: clardemasol > 《活动目录》