群組原則設定USB Device

By
noah
 on 2008/09/11 | | Comments (0) | TrackBacks (0)


某些狀況下,系統管理員會從AD 下手,將USB 、CD-ROM、Floppy用「群組原則」給鎖起來,使用方法即可將設定給解開(前提:USER為Administrators群組人員)。

要設定USB的群組原則時,需先確認USB驅動程式是否已正常安裝,如果沒正常安裝,有可能是從bios即被停用,此種狀況需先從bios作設定(如放電)

以下為windows 2000以後的設定方法:
  • 先把下列群組設定存成一個檔案如:usb.adm 
CLASS MACHINE
CATEGORY !!category
 CATEGORY !!categoryname
  POLICY !!policynameusb
   KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
   EXPLAIN !!explaintextusb
     PART !!labeltextusb DROPDOWNLIST REQUIRED
 
       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynamecd
   KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
   EXPLAIN !!explaintextcd
     PART !!labeltextcd DROPDOWNLIST REQUIRED
 
       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 1 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynameflpy
   KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
   EXPLAIN !!explaintextflpy
     PART !!labeltextflpy DROPDOWNLIST REQUIRED
 
       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynamels120
   KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
   EXPLAIN !!explaintextls120
     PART !!labeltextls120 DROPDOWNLIST REQUIRED
 
       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
 END CATEGORY
END CATEGORY
 
[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"
  • 這個功能可以在AD使用,也可以使用在本機電腦裡。適用Windows 2000 以後的作業系統
  • 請照以下步驟操作:
  1. 「開始」=>「執行」=>「gpedit.msc」,執行「群組原則」設定程式
  2. 進到群組原則後,選擇「電腦設定」=>「系統管理範本」。然後按右鍵,選新增移除範本。按下新增,選擇剛剛的usb.adm,然後按「關閉」
  3. 按下MCC上方的「檢視」=>「篩選」=>「只顯示可以完全管理原則設定」取消勾選
  4. 回到系統管理範本,會多出一項「Custom Policy Settings」,即可設定相關硬體裝置(USB、CD-ROM、Floppy)
  5. 設定USB 裝置時其名稱為,其子項目裡的「Disabled USB Port = Enable」代表「啟用禁止功能」(不能使用USB)
    如果要能使用USB Device ,則需改成「Disabled USB Port = Disable」,即可正常使用USB裝置
  6. 設定ok 後,如果沒有馬上生效,則執行「開始」=>「執行」=>「gpupdate /force」即會馬上生效
    1. USB裝置可能需要重新插入
    2. 光碟機則需要重新開機。

Categories:

0 TrackBacks

Listed below are links to blogs that reference this entry: 群組原則設定USB Device.

TrackBack URL for this entry: http://blog.db.idv.tw/cgi-bin/mt/mt-tb.cgi/9

Leave a comment