1、剛接觸域環境的時候在壇子上提過一個在域環境中利用組策略禁止使用USB接口的帖子當時是求助，后來自己解決了 而后就有好多人就加我的QQ,問我是怎么解決的所以把自己的經驗發表一下供大家分享有不明白的請發貼提問這個方法已經經過測試完全好用另外我也有幾個域的問題想問一下希望知道的朋友不吝賜教1. 如何在域服務器上做限制，使域用戶不能訪問INTERNET ,而卻能訪問LAN.2. 如何使域中的電腦一部分要輸入用戶密碼才能登陸，而一部分不需要輸入密碼直接能登陸.下面是屏蔽USB的方法：現在在公司數據保密問題越來越受到領導的重視,U盤自然成為各位領導的一塊心病因為其簡便的操作特性讓人覺的電腦里沒有一樣東西是

2、安全的.如何防范-在BIOS中屏蔽USB端口 ,這個辦法是 寧可錯殺一千，不能放過一個”的笨辦法,U盤是不可以使用了 ，但所有的USB相關設備也都不能使用了 如果是在WINDOWS 2003域環境中，可以利用組策略妥善的來解 決這個問題即可以使用除 U盤以外的任何 USB設備，如打印機,USB鍵盤，鼠標 思路：當計算機插入U盤后，系統會自動增加一個盤符，如果我們想辦法禁止系統增加新的 盤符,那么不就可以把 U盤禁止了嗎。打開Active Directory用戶和計算機，建立一個名為NO USE的組織單位，也就是 0U，如圖：右鍵-屬性組策略，新建一個名為nousb的策略.如圖:點編輯后出現組策

3、略，我們來設置。定位到用戶配置一Windwos組件-Windows資源管理器我們要配置的是“隱藏我的電腦中的這些指定的驅動器”和“防止從我的電腦訪問驅動器” 這兩個選項。而現在這兩個選項的啟用菜單中沒有我們要去禁止訪問的盤符，這就需要手動 的為組策略來添加我們需要的選項。我們重新回到 nousb屬性對話框，選擇 nousb組策略，點下面的屬性，記下彈出的又一個 nousb屬性對話框中的常規選項卡 一摘要-唯一的名稱（C04ED8BO。）中的內容這時來到 c:windowssysvolsysvoltest.testpolicies（其中 test.test 為你所建域名）目錄下，找到和唯一的名稱

4、所對應的文件夾中的adm文件夾，用記事本打開其下的system.adm文件 找到 POLICY !NoDrives #if vers ion = 4SUPPORTED !SUPPORTED_Wi n2k #en difEXPLAIN !NoDrives_HelpPART !NoDrivesDropdow nDROPDOWNLIST NOSORT REQUIREDVALUENAME NoDrivesITEMLISTNAME !ABO nlyVALUE NUMERIC3NAME !CO nlyVALUE NUMERIC4NAME !DO nlyVALUE NUMERIC8NAME !ABCo nl

5、yVALUE NUMERIC7NAME !ABCDO nlyVALUE NUMERIC15NAME !ALLDrivesVALUE NUMERIC67108863 DEFAULT;low 26 bits on (1 bit per drive)NAME !RestNoDrivesVALUE NUMERIC0END ITEMLISTEND PARTEND POLICYPOLICY !NoView OnDrive#if vers ion = 4SUPPORTED !SUPPORTED_Wi n2k #en difEXPLAIN !NoView On Drive_HelpPART !NoDrives

6、Dropdow nDROPDOWNLIST NOSORT REQUIREDVALUENAME NoView On DriveITEMLISTNAME !ABO nlyVALUE NUMERIC3NAME !CO nlyVALUE NUMERIC4NAME !DO nlyVALUE NUMERICNAME !ABCo nlyVALUE NUMERIC7NAME !ABCD OnlyVALUE NUMERIC15NAME !ALLDrivesVALUE NUMERIC67108863 DEFAULT;low 26 bits on (1 bit per drive)NAME !RestNoDrive

7、sVALUE NUMERIC0END ITEMLISTEND PARTEND POLICY說明：這是兩個策略，第一個！!NoDrive，它所對應的策略是“隱藏我的電腦中的這些指定的驅動器”它的作用是在我的電腦中不顯示指定的驅動器名，驅動器號代表的所有驅動器不出 現在標準的打開對話框上，但是在地址欄中輸入盤符或新建一個指向硬盤盤符的快捷方式， 用戶仍然可以訪問該驅動器；第二個!NoViewO nDrive 的作用是“防止從我的電腦訪問驅動器”阻止用戶訪問驅動器?？梢宰柚股鲜銮闆r的出現，但是僅僅用第二個的話，用戶可以看 見該驅動器的盤符，但不能訪問。就是說如果只啟用第一個策略的話，在我的電腦里看不

8、到 策略所定義的盤符，但卻可以通過另外的方法來訪問，而如果只啟用第二個策略的話，用戶 可以看到驅動器的盤符，但不可以訪問，所以同時啟用兩個策略所達到的效果是最佳的。仔細觀察上述代碼，不難發現，其中一共有7個NAME項，正好和我們圖4下拉框中的一一對應，后面的 VALUE NUMERIC 按照 low 26 bits on (1 bit per drive)的規則取值，low 26 bits on的意思說值為26位的二進制，最多可指定26個驅動器盤符，而1 bit per drive則代表1位代表 1 個驅動器，A=1，B=2，C=4，D=8，E=16，F=32，G=64，H=128, 1=25

9、6，J=512, K=1024， L=2048，M=4096，N=8192，O=16384，P=32768，Q=65536，R=131072 , S=262144，T=524288， U=1048576，V=2097152，W=4194304，X=8388608，Y=16777216，Z=33554432。我們可根據我們的需要修改此代碼段。例：假設我們的電腦是分4個區的，算上一個光區，就是除盤符C-G以外的盤符都要隱藏和禁止訪問。現在來做加法，從HZ的和是67108736在加上3,也就是A和B的值。最終的結果是 67108739。在兩個策略中的NAME !ABCD On lyVALUE NUMERIC 15下插入一行NAME !CDEFG On lyVALUE NUMERIC 67108739隨后，移到System.adm文件的末尾處，stri ngsABCDOnly=僅限制驅動器 A、B、C和DABConly=僅限制驅動器 A、B和CABOnly=僅限制驅動器 A和Boooo oooooooooo在ABConly=僅限制驅動器 A、B和C下面插入一行數據，“ CDEFGOnly =僅限制驅動器 G TO Y ”等于號后引號內的說明您可以根據自己的喜好定義，它將會顯示在如圖4的下拉框中。保存后,打開nousb策略，定