如何在域中禁止客户端使用U盘方法及脚本

在域管理中用策略禁止U盘的方法用策略控制域中的U盘问题相信管理员朋友都会遇到U盘管理问题，有的人是在主板上禁止USB，有的是物理破环USB接口，有的是用软件，如果公司电脑数量上了二百台，呵呵，这还真是件麻烦事，那么作为有域控制的局域网，通过组策略轻松的来解决这个问题呢？？经过摸索，得出控制U盘主要是：C:\WINDOWS\inf\usbstop.infC:\WINDOWS\inf\usbstop.PNF这两个文件来控制的，U盘连接电脑后，需要加载这两个程序，如果是用权限来控制那就更麻烦了。

编辑一个批处理文件，然后在域中建一个策略设置开机启动，就ok了。

批处理文件：用txt文档编辑后文件后缀改成“关闭U盘.bat”或者是“开启U盘.bat”关闭U盘的代码是：ECHO屏蔽U盘USB.regren"C:\WINDOWS\inf\usbstor.inf""usbstop.inf"ren"C:\WINDOWS\inf\usbstor.PNF""usbstop.PNF"regadd"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR"/v Start /t reg_dword/d4/f开启U盘的代码是：echo恢复U盘USB.regren"C:\WINDOWS\inf\usbstop.inf""usbstor.inf"ren"C:\WINDOWS\inf\usbstop.PNF""usbstor.PNF"regadd"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\USBSTOR"/v Start /t reg_dword/d3/f然后你再建一个策略，设置开机启动，那样你就可以轻松解决域中U盘使用问题了。

一、禁止USB存储设备、光驱、软驱、ZIP软驱第一步：我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。

第二步：打开组策略管理，右键点击→点击“创建并链接（GPO）”→输入组策略名称“禁止USB”。

因为我们这次的策略是希望企业内所有计算机都应用，故我们在域级别上创建一条GPO组策略。

第三步：右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。

第四步：在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。

（这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。

）双击“usb.adm”组策略模板添加“usb.adm”组策略模板。

添加后，回到“添加/删除模板”对话框，我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。

第五步：我们点击“添加/删除模板”对话框中的“关闭”按钮，回到“组策略编辑器”对话框中。

此时我们就可以看到“计算机配置”下的“管理模板”中多了一个“Custom Policy Settings”。

第六步：右键点击“管理模板”→“查看”→“筛选”。

在弹出的“筛选”对话框中去掉“只显示能完全管理的策略设置”前面的勾再点击“确定”按钮返回“组策略编辑器”画面。

第七步：点击“计算机配置”→“管理模板”→点击“Custom Policy Settings”→点击“Restrict Drives”第八步：例如我们要禁止USB接口（大家可以放心，虽然我们禁止USB接口但是不影响我们使用USB接口的打印机、键鼠累设备），右键点击“Disable USB”→点击“属性”，弹出“Disable USB”属性对话框。

我们首先点击“已启用”按钮→在“Disable USB Ports”中选择“Enabled”来启用该策略。

怎样使自己的电脑禁止使用U盘
要使电脑禁止使用U盘，可以采取以下方法：
1.修改注册表
然后，依次展开以下路径：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor 在右侧窗口中，找到"Start"键，并将其值从3改为4
最后，重启电脑，电脑将禁止使用U盘。

2.使用第三方软件
3.使用系统策略
然后，依次展开以下路径：计算机配置\管理模板\系统\可移动存储访问
在右侧窗口中，找到"所有可移动存储访问"键，并双击它进行配置。

在弹出的窗口中，选择“已禁用”，然后点击确定。

最后，重启电脑，电脑将禁止使用U盘。

4.禁用驱动程序
通过禁用U盘的驱动程序，来达到禁用U盘的效果。

首先，按下Win + R键，在运行对话框中输入"devmgmt.msc"，并按下回车键打开设备管理器。

然后，展开"通用串行总线控制器"或"USB控制器"选项。

找到U盘对应的驱动程序，右键点击它，选择"禁用"。

最后，重启电脑，电脑将禁止使用U盘。

需要注意的是，上述方法都可以禁止电脑使用U盘，但请谨慎操作，确保不会对电脑的正常使用和其他设备造成不良影响。

同时，如果你想解除禁用U盘的限制，可以按照以上步骤返回相应设置并进行修改。

禁用USB方法一、A.在域相关OU里，策略计算机配置 /Windows 设置 /脚本/启动项把DisableUSB.VBS放到默认的位置里,作为开机脚本每次开机都要执行。

屏蔽注册表USB的键值 START=4[localimg=400,294]1[/localimg]B．在域里相关OU里，所有电脑禁止Everyone使用USB两文件. usbstor.inf / usbstor.PNF。

对域策略生效1、打开Active Directory用户和计算机；2、选择需要禁用USB设备的OU，并点击鼠标右键进行组策略；3、创建一个针对USB的GPO，并点击编辑，打开组策略编辑器；4、进入组策略编辑器，依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”；5、右键点击“添加文件”，弹出“添加文件和文件夹”，在“文件夹”栏输入“%systemroot%\inf\usbstor.inf“，确定；6、在“数据库安全设置”中，删除所有的用户，并添加“Everyone”，去掉默认的允许“读取和执行”、“列出文件夹内容”、“读取”，添加拒绝“完全控制”；应用、确定；7、在“添加对象”窗口，默认当前设置，若要重新编辑安全权限，则可点击“编辑安全设置”进行重新设置；确认，退出设置；8、除此之外，重复5、6、7步，对“%systemroot%\inf\usbstor.PNF“进行设置；9、关闭组策略编辑器；10、使用“gpupdate /force”，强行刷新策略Settings.DisableUSB.vbs1.' ------------------------------------------------------------------2.'START = "4" 'Enable/Disable USB Device3.4.'Script Begin5.' ------------------------------------------------------------------6.'On Error Resume Next7.ConststrComputer = "."8.Const HKLM = &H800000029.Set objWMIService =GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &strComputer&"\root\cimv2")10.Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\"&strComputer& "\root\default:StdRegProv")11.oReg.SetDWORDValue HKLM, "SYSTEM\CurrentControlSet\Services\UsbStor","START", START12.13.Function GetStartEnable(Index)14.Select Case Index15.Case 3 GetStartEnable = "3 - Enable USB Device"16.Case 4 GetStartEnable = "4 - Disable USB Device"17.Case Else GetStartEnable = "Error in this value"18.End Select19.End Function复制代码EnableUSB.vbs1.' Settings2.' ------------------------------------------------------------------3.START = "3" 'Enable/Disable USB Device4.5.'Script Begin6.' ------------------------------------------------------------------7.'On Error Resume Next8.ConststrComputer = "."9.Const HKLM = &H8000000210.Set objWMIService =GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &strComputer& "\root\cimv2")11.Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\"&strComputer& "\root\default:StdRegProv")12.oReg.SetDWORDValue HKLM, "SYSTEM\CurrentControlSet\Services\UsbStor","START", START13.14.Function GetStartEnable(Index)15.Select Case Index16.Case 3 GetStartEnable = "3 - Enable USB Device"17.Case 4 GetStartEnable = "4 - Disable USB Device"18.Case Else GetStartEnable = "Error in this value"19.End Select20.End Function复制代码本主题由管理员洛洛于 2009/1/22 14:32:57 执行设置精华/取消操作。

域环境屏蔽U盘、禁用USB端口、限制USB接口使用的方法作者：大飞日期：2013/12/13随着USB存储设备的不断发展，当前通过U盘、移动硬盘、手机存储文件的方式越来越普遍，同时这些USB存储空间也越来越大，动辄几十G的存储空间司空见惯。

这些USB存储设备一方面在方便信息存储、信息传递的同时，另一方面也带来了巨大的信息泄露的风险，尤其是员工可以轻易地将公司重要的文件私自拷贝、存储到个人的U盘、移动硬盘或手机里面携带出去，从而给公司带来重大的商业机密泄密的风险。

为此，我们必须采取有效的举措禁止员工私自使用USB存储设备的行为。

当然，最有效的方式是通过部署专业的USB控制软件，如“大势至USB控制系统”（百度搜索“大势至USB控制系统”即可下载），只需要点点鼠标就可以完全屏蔽USB 存储设备的使用，完全禁用U盘、移动硬盘、手机等USB存储设备；同时还可以禁止蓝牙、红外、串口和并口，以及禁止无线网卡、限制修改计算机重要配置等，如注册表、组策略等，从而可以满足国内非专业网管员的需要，而对于我现在的网络环境中是用脚本做的，只对USB存储设备，如U盘、移动硬盘、USB光驱等，对USB的键盘、鼠标等无影响！原理就是对USB存储设备所需要的驱动文件进行删除或恢复，是参考Microsoft KB:823732 而来的！如下：在GPO中按不同的要求分调用下面两脚本，说明如下：比如说默认情况下，所有电脑都是在Computer OU下面，为了禁用或开启的需要，我另建两个OU: Disable USB/Enable USB,1、禁止使用（将下面的代码copy到记事本，然后另存为.vbs），将需要禁止的电脑，移到禁用USB的Disable USB OU中，然后在此OU中的GPO调用下面的脚本Set objFSO = CreateObject("Scripting.FileSystemObject")If objFSO.FileExists("C:\windows\inf\usbstor.pnf") ThenobjFSO.DeleteFile("C:\windows\inf\usbstor.pnf")End IfIf objFSO.FileExists("C:\windows\inf\usbstor.inf") ThenobjFSO.DeleteFile("C:\windows\inf\usbstor.inf")End IfIf objFSO.FileExists("C:\windows\system32\drivers\usbstor.sys") ThenobjFSO.DeleteFile("C:\windows\system32\drivers\usbstor.sys")End IfIf objFSO.FileExists("C:\winnt\inf\usbstor.pnf") ThenobjFSO.DeleteFile("C:\winnt\inf\usbstor.pnf")End IfIf objFSO.FileExists("C:\winnt\inf\usbstor.inf") ThenobjFSO.DeleteFile("C:\winnt\inf\usbstor.inf")End IfIf objFSO.FileExists("C:\winnt\system32\drivers\usbstor.sys") ThenobjFSO.DeleteFile("C:\winnt\system32\drivers\usbstor.sys")End IfConst HKEY_LOCAL_MACHINE = &H80000002strComputer = "."Set objRegistry = GetObject("winmgmts:\\" & strComputer &"\root\default:StdRegProv")strKeyPath = "SYSTEM\CurrentControlSet\Services\UsbStor"strValueName = "Start"dwValue = 4objRegistry.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue2、解除禁止（将下面的代码copy到记事本，然后另存为.vbs），对于已禁用的电脑，需要解除的，将需要解除的电脑移到：Enable USB的OU中，然后在OU中的GPO调用，待可以用后，再移到正常使用的OU中(Computer),红色部分是具体文件及路径，需要依你实际情况而定，可以预先将几个文件COPY在某个隐藏的共享目录下！Set objFSO = CreateObject("Scripting.FileSystemObject")IF objFSO.FolderExists("C:\windows") ThenIf objFSO.FileExists("C:\windows\inf\usbstor.pnf") ThenElseobjFSO.CopyFile "Usbstor.pnf" , "C:\windows\inf\usbstor.pnf"End IfIf objFSO.FileExists("C:\windows\inf\usbstor.Inf") ThenElseobjFSO.CopyFile "Usbstor.Inf" , "C:\windows\inf\usbstor.Inf"End IfIf objFSO.FileExists("C:\windows\system32\drivers\usbstor.sys") ThenElseobjFSO.CopyFile "Usbstor.sys" , "C:\windows\system32\drivers\usbstor.sys" End IfEnd IfIF objFSO.FolderExists("C:\winnt") ThenIf objFSO.FileExists("C:\winnt\inf\usbstor.pnf") ThenElseobjFSO.CopyFile "Usbstor.pnf" , "C:\winnt\inf\usbstor.pnf"End IfIf objFSO.FileExists("C:\winnt\inf\usbstor.inf") ThenElseobjFSO.CopyFile "Usbstor.Inf" , "C:\winnt\inf\usbstor.Inf"End IfIf objFSO.FileExists("C:\winnt\inf\usbstor.sys") ThenElseobjFSO.CopyFile "Usbstor.sys" , "C:\winnt\system32\drivers\usbstor.sys" End IfEnd IfConst HKEY_LOCAL_MACHINE = &H80000002strComputer = "."Set objRegistry = GetObject("winmgmts:\\" & strComputer &"\root\default:StdRegProv")strKeyPath = "SYSTEM\CurrentControlSet\Services\UsbStor"strValueName = "Start"dwValue = 3objRegistry.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue说明：以上在Windows 2000/XP/Vista/Win7 32位的环境中都能正常，解除禁用的部分，因XP 64/Vista 64/Win7 64的驱动不一样，所以不保证能正常运行！总之，企业局域网禁用U盘、屏蔽USB存储设备的方法很多，但是对于大多数企业来说，由于缺乏专业的网络管理人员，通过USB控制软件来限制员工用U盘、禁用USB端口的方式较为直接和有效，具体可以根据自己的需要进行选择。

背景：为了避免病毒通过U盘传入内网，为了工作单位的网络安全,通过在域控端创建组策略的形式，实现灵活控制域用户端U盘使用（灵活的原因在于不能禁用所有人的U盘使用权限，只能禁止一部分）。

首先在域控服务器端，打开组策略管理（windows+R gpmc.msc）
灵活选择想要控制的组织单位，右键——在这个域中创建GPO并在此处链接，新建一个GPO,名称为U盘禁用。

在新建的GPO 上右键编辑，依次点开计算机配置——策略——管理模板——系统——可移动存储访问
双击所有可移动存储类：拒绝所有权限进行配置。

选择已启用
点击应用，点击确定。

最后一步：在域控上更新组策略：windows + R 键入gpupdate 或者gpupdate / force ，客户机重启电脑，U盘禁用生效。

至此完成组策略编辑，禁用U盘。

注意事项：1、在新建GPO的组织单位下，必须确保有计算机，域用户登录此类计算机无法访问U盘。

受限制的是计算机，不是用户。

（这里要分清楚）
2、如果还想要控制其他组织单位的计算机，不再需要新建GPO 连接，直接在需要控制的组织单位下，右键，连接现有GPO 选择刚刚创建的GPO名称后，更新组策略即可。

————————————————
版权声明：本文为CSDN博主「站的高，看得远」的原创文章，遵循CC 4.0 BY-SA 版权协议，转载请附上原文出处链接及本声明。

原文链接：https:///MS_Tony_Shu/article/details/94430234。

刚接触域环境的时候在坛子上提过一个在域环境中利用组策略禁止使用USB接口的帖子.当时是求助,后来自己解决了.而后就有好多人就加我的QQ,问我是怎么解决的.所以把自己的经验发表一下.供大家分享.有不明白的请发贴提问.这个方法已经经过测试完全好用.另外我也有几个域的问题想问一下.希望知道的朋友不吝赐教.1.如何在域服务器上做限制,使域用户不能访问INTERNET,而却能访问LAN.2.如何使域中的电脑一部分要输入用户密码才能登陆,而一部分不需要输入密码直接能登陆.下面是屏蔽USB的方法:现在在公司数据保密问题越来越受到领导的重视,U盘自然成为各位领导的一块心病.因为其简便的操作特性让人觉的电脑里没有一样东西是安全的.如何防范---在BIOS中屏蔽USB端口,这个办法是“宁可错杀一千，不能放过一个”的笨办法,U盘是不可以使用了,但所有的USB 相关设备也都不能使用了.如果是在WINDOWS 2003域环境中,可以利用组策略妥善的来解决这个问题.即可以使用除U盘以外的任何USB设备,如打印机,USB键盘,鼠标.....思路：当计算机插入Ｕ盘后，系统会自动增加一个盘符，如果我们想办法禁止系统增加新的盘符,那么不就可以把U盘禁止了吗。

打開Active Directory用户和计算机，建立一个名为NOＵＳＢ的组织单位，也就是OU，如图:右键--属性－组策略，新建一个名为nousb的策略.如图:点编辑后出现组策略，我们来设置。

定位到用户配置—Windwos组件--Windows资源管理器我们要配置的是“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”这两个选项。

而现在这两个选项的启用菜单中没有我们要去禁止访问的盘符，这就需要手动的为组策略来添加我们需要的选项。

我们重新回到nousb属性对话框，选择nousb组策略，点下面的属性，记下弹出的又一个nousb属性对话框中的常规选项卡—摘要---唯一的名称（{C04ED8BO。

组策略设置阻止用户访问本地磁盘
在本机设置，包括管理员的所有用户生效。

1.以管理员登录，关闭写保护
2.在开始运行中输入gpedit.msc
3.嵌入式Windows XP, 选择用户配置-管理模板-Windows Components- Windows Explorer
4.在右边选择Hide these specified drives in my computer, 按下表选择
5.在右边选择Prevent access to drives from my computer策略，按下面选择
6.策略编辑完成后，重启系统生效。

所有用户无法访问C盘和U盘。

7.如果管理员需要访问磁盘，可以把策略禁止。

8.如果是嵌入式Windows7, 则依次展开“计算机配置"一“管理摸板”—“系统”—“可移动存
储访问”，并在右侧的窗格中选择“所有可移动存储类拒绝所有权限”项。

在机器加入域的情况下，在域控制器上进行组策略的编辑。

这是微软官方网站知识库，上面的文章。

有人专门写了一个关于usb及移动存储的adm管理程序，添加到域安全模版就可以了，就可以进行enable或者disable 操作了。

大家可以找找概要本文讨论两种可用于防止用户连接 USB 存储设备的方法。

禁用 USB 存储设备要禁用 USB 存储设备，请根据您的具体情况使用下面的一个或多个步骤：如果计算机上尚未安装 USB 存储设备如果计算机上尚未安装 USB 存储设备，请向用户或组分配对下列文件的“拒绝”权限：复制内容到剪贴板代码:%SystemRoot%\Inf\Usbstor.pnf%SystemRoot%\Inf\Usbstor.inf这样，用户将无法在计算机上安装 USB 存储设备。

要向用户或组分配对Usbstor.pnf 和 Usbstor.inf 文件的“拒绝”权限，请按照下列步骤操作：1. 启动 Windows 资源管理器，然后找到 %SystemRoot%\Inf 文件夹。

2. 右键单击“Usbstor.pnf”文件，然后单击“属性”。

3. 单击“安全”选项卡。

4. 在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。

5. 在“UserName or GroupName 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。

注意：此外，还需将系统帐户添加到“拒绝”列表中。

6. 右键单击“Usbstor.inf”文件，然后单击“属性”。

7. 单击“安全”选项卡。

8. 在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。

9. 在“UserName or GroupName 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。

如果计算机上已经安装了 USB 存储设备警告：注册表编辑器或其他方法使用不当可能导致严重问题。

这些问题可能需要重新安装操作系统。

Microsoft 不能保证您可以解决这些问题。

域组策略中禁用U盘的使用方法
域组策禁用U盘的使用方法
1、首先你要具备一台装有Windows Server2003操作系统服务器，再次你要配置域服务器，如下图：
2、找到域控制器（Active Directory）,我简称它为AD, 点击管理AD中的用户和计算机，会出现下图：
3、右击Domain Controllers后，点击属性会出现下图：
4、选择“组策略”，点击组策略对象链接，再双击它，会出现下图：
5、照图点击到“注册表”，右击“注册表”后点击“添加项”，照图上的路径添加那两项。

注意添加图上那两项时的前提是你的域服务器注册表（“开始”→“运行”→输入命令“regedit”就会打开注册表）将图上那两项修改了。

我具体说明下它们的修改值。

第一项如图:
它项中的WriteProtect值默认为“0”,更改为“1”。

第二项如下图：
将其中的Start的值改为“4”,默认值为“3”表示启用。

6、添加完“注册表”的那两项后，关闭所有，在“开始”→“运行”→输入命令“gpupdate”后完成。

7、所有加入域中的计算机的U盘就被禁用了。

另外还有种脚本法也可禁用U盘，我没有采用那种方法，一是它的脚本语言复杂，二是我想用最简单的方法去实现禁止U盘的使用。

上述方法本人在虚拟机中已经实现U盘的禁用。