谈组策略禁移动设备
发布:admin | 发布时间: 2010年2月4日组策略是一个管理用户工作环境的技术,通过它可以确保用户拥有所需的工作环境,也可以通过它来限制用户,这不仅让用户拥有适当的环境,也减轻了系统管理员的管理负担。
在Windows 2000/XP/2003等操作系统目录中包含了几个 .adm 文件。这些文件是文本文件,称为“管理模板”,它们为组策略管理模板项目提供策略信息。虽然它们已经定制了许多策略用来完善管理员的日常操作,很可惜并没有将移动设备(指U盘/光驱/A驱等)列入到管理模板中,使现实环境中管理员对移动设备的管控成了很头痛的一件事。那么我们能否通过自建一个策略生成管理模板呢?答案是肯定的。接下来,我们将通过一个完整的实例来说明。
此实例将假设整个st.local域默认将关闭移动设备,通过新建一个名为Open Device的OU,并为其新建一个策略,此OU阻止域组策略继承,并将需要开通移动设备的计算机存放到此OU中来达到管控的目的。我们将使用组策略的计算机配置来修改并完成。
将以下文本复制到记事本后保存后缀名为Device.adm文件(关于adm文件的结构请另参照微软官方说明)
CLASS MACHINE
CATEGORY !!Categoryname
POLICY !!USB
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
VALUENAME Start
VALUEON NUMERIC 3
VALUEOFF NUMERIC 4
END POLICY
POLICY !!USB_Type
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
VALUENAME Type
VALUEON NUMERIC 1
VALUEOFF NUMERIC 16
END POLICY
POLICY !!FDC
KEYNAME "SYSTEM\CurrentControlSet\Services\FDC"
VALUENAME Start
VALUEON NUMERIC 3
VALUEOFF NUMERIC 4
END POLICY
POLICY !!CDROM
KEYNAME "SYSTEM\CurrentControlSet\Services\CDROM"
VALUENAME Start
VALUEON NUMERIC 3
VALUEOFF NUMERIC 4
END POLICY
END CATEGORY
[strings]
Categoryname="限制驱动器"
USB="禁用USB"
USB_Type="USB类型"
FDC="软驱设备"
CDROM="光驱设备"
第一步:我们将在st.local域根新建一个“禁移动设备”的策略,使整个域默认是禁用USB设备、软驱、光驱。
1. 单击-开始-运行-输入dsa.msc弹出“Active Directory用户和计算机”窗口,右击st.local选择“属性”
2. 弹出“st.local”属性窗口选择“组策略”选项卡,点击“新建”一个新组策略将其更名为“禁移动设备”
3. 点击“编辑”按钮打开“禁移动设备”的组策略编辑器,依次展开计算机配置-右击管理模板-点击“添加/删除模板”
4. 在弹出的“添加/删除模板”窗口中点击“添加”,将Dvevic.adm文件添加进来,点击关闭“添加/删除模板”窗口
5. 点击“组策略编辑器”的查看菜单,选择“筛选”,在弹出的“筛选”窗口中将“只显示能完全管理的策略设置”的勾给去掉,点击确定
6. 展开计算机名配置-管理模板-限制驱动器,我们看到了Device.adm模板的内容,双击各个子项,并更改状态为“已禁用”
7. 关闭所有打开的窗口完成第一步的操作。
第二步:我们将新建一个名为Open Device的OU,并新建一条“开移动设备”策略
1. 单击-开始-运行-输入dsa.msc弹出“Active Directory用户和计算机”窗口,右击st.local选择“新建”-点击“组织单位”
2. 弹出窗口,输入“Open Device”,点确定
3. 右击“Open Device”,属性,弹出“Open Device”的属性窗口,新建一条“开移动设备”的策略,并将“阻止策略继承”打上勾
4. 与第一步骤的2~5小点相同,在此就略过啦,请各位自行操作。
5. 展开计算机名配置-管理模板-限制驱动器,双击各个子项,并更改状态为“已启用”
第三步:将所需要开通的计算机移到“Open Device”的OU中,就完成了。
通过以上的操作就可以指定域中的计算机的开通或禁止移动设备,从而达到管控的目的。
文章如转载,请注明转载自:http://www.5iadmin.com/post/221.html
- 相关文章:
通过组策略找回“网上邻居” (2010-1-29 13:46:18)
利用组策略进行的一次Windows主机安全整改 (2010-1-23 18:56:7)
发表评论
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。