在域环境中用组策略禁用USB存储设备

用组策略彻底禁止USB存储设备、光驱、软驱、ZIP软驱

附件下载：https://www.wendangku.net/doc/034444791.html,/thread-301183-1-1.html

一、禁止USB存储设备、光驱、软驱、ZIP软驱

在现在企业网络环境下，由于企业网络越来越大环境越来越复杂。公司内员工素质参差不齐，公司为了加强网络安全性、数据保密性提出要封堵USB存储设备、光驱、软驱、ZIP软驱设备。首先我们在企业网络环境要想实现以上目的，必须要有域环境。这里肯定有朋友会说，没有域环境也能实现。是的没有域环境我们可以通过修改每个客户端的注册表来实现，大家可以试想下我们企业环境就算不是很大的集团就算是个60多台小型网络环境，一台一台的去一个个修改每台客户端计算机的注册表也会累死。所以我们在域环境下就可以通过在DC上建立策略，客户端应用策略后我们就比一台台的去客户端修改注册表来

的简单省事多了。

好的言归正传，大家先下载我博文中的附件，附件内是该文中的核心。其次我想推荐大家可以在自己的DC上安装GPMC组策略管理工具，来方便我们大家来对组策略管理已经排错。

第一步：我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。

第二步：打开组策略管理，右键点击https://www.wendangku.net/doc/034444791.html,→点击“创建并链接（GPO）” →输入组策略名称“禁止USB”。因为我们这次的策略是希望企业内所有计算机都应用，故我们在域级别上创建一条GPO组策略。

第三步：右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加

/删除模板”。

第四步：在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。（这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。）双击“usb.adm” 组策略模板添加“usb.adm” 组策略模

板。

添加后，回到“添加/删除模板”对话框，我们此时清楚看到“添加/删除模板”对话框中多了一个名称为

“USB”的组策略模板。

第五步：我们点击“添加/删除模板”对话框中的“关闭”按钮，回到“组策略编辑器”对话框中。此时我们就可以看到“计算机配置”下的“管理模板”中多了一个“Custom Policy Settings”。

第六步：右键点击“管理模板”→“查看”→“筛选”。

在弹出的“筛选”对话框中去掉“只显示能完全管理的策略设置”前面的勾

再点击“确定”按钮返回“组策略编辑器”画面。

第七步：点击“计算机配置”→“管理模板”→点击“Custom Policy Settings”→点击“Restrict Drives”

第八步：例如我们要禁止USB接口（大家可以放心，虽然我们禁止USB接口但是不影响我们使用USB接口的打印机、键鼠累设备），右键点击“Disable USB”→点击“属性”，弹出“Disable USB” 属性对

话框。

我们首先点击“已启用”按钮→在“Disable USB Ports”中选择“Enabled”来启用该策略。

注意：这里我要提醒的是，很多朋友可能在这里就把该策略点击“已启用”按钮后，然后用“GPupdate /force”来强行在客户端和DC上刷新策略，最后发现为什么策略已经启用了，就是不生效呢。这里我要提醒大家就是一定要点击“已启用”后还要在下面选项中选为“Enabled”，否则你做的策略是不会生效的。

此时我们点击“应用”→点击“确定”返回到“组策略编辑器”对话框，我们可以看到“Disable USB”状态已经变为“已启用”，关闭“组策略编辑器”对话框返回“组策略管理”对话框画面。

二、禁止访问注册表编辑器工具

到了这里我想提醒大家一句，因为企业环境不同，有些客户端给的权限也一样，那么为此防止客户端计算机使用者擅自修改组策略表来打开USB接口（虽然有朋友会说策略默认刷新间隔时间是5分钟，我们可以通过修改为0，是每7秒刷新一次，但是问题会增加客户端和域控制器的负担以及已经造成网络阻塞。），为此我们可以通过建立“禁止访问组册表”策略来弥补。

第一步：我们我们在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。

第二步：打开组策略管理，右键点击https://www.wendangku.net/doc/034444791.html,→点击“创建并链接（GPO）” →输入组策略名称“禁止访问注册表”。因为我们这次的策略是希望企业内所有计算机都应用，故我们在域级别上创建一条GPO

组策略。

第三步：右键点击“禁止访问注册表”策略→点击“编辑”→右键点击“计算机配置”→“管理模板”→点

击“系统”。

第三步：右键点击“组织访问注册表编辑工具”→“属性”弹出“组织访问注册表编辑工具”属性对话框→点击“已启用”→点击“应用”→点击“确定”。

好的下面我们来验证下我们策略的效果，因为我们做的是计算机策略，我们首先在DC上运行“GPupdate /force”命令然再到客户端计算机重启计算机来应用该策略。此时我们发现我们在客户端计算机

点击开始→运行输入“Regdiet”则会提示如下图所示：

到此我们“禁止注册表”策略已经完成。

三、破解“禁止注册表编辑器工具”

这时候这个时候有朋友会说有办法破解禁止访问注册表这个策略，的确，这里我可以明确告诉大家有些网络的方法后缀名名.reg的就不要想在系统中运行了，但是可以在该文中下载名为“reg.inf”的文件可以破解此策略。如果大家有什么更好的办法来禁止破解“禁止访问注册表”方法，大家也可以再次留言一起

讨乱学习。

但是这里我要奉劝大家一句，我们在做一个系统管理员或是网络管员理的时候，不要认为技术是万能的，我们要技术手段加行政手段来综合的管理我们的网络，毕竟我们的岗位上都套有管理员这三个字，

我们不单单是一个技术的执行者,更是一个管理者。这个又谈到如何成为一个合格的网络管理员或是系统管

理员了，今天很晚了，在这里我就不多说了

(完整)域组策略--+域控中组策略基本设置

(完整)域组策略--+域控中组策略基本设置 编辑整理： 尊敬的读者朋友们： 这里是精品文档编辑中心，本文档内容是由我和我的同事精心编辑整理后发布的，发布之前我们对文中内容进行仔细校对，但是难免会有疏漏的地方，但是任然希望（(完整)域组策略--+域控中组策略基本设置）的内容能够给您的工作和学习带来便利。同时也真诚的希望收到您的建议和反馈，这将是我们进步的源泉，前进的动力。 本文可编辑可修改，如果觉得对您有帮助请收藏以便随时查阅，最后祝您生活愉快业绩进步，以下为(完整)域组策略--+域控中组策略基本设置的全部内容。

域控中组策略基本设置 计算机配置：要重启生效用户配置：注销生效 策略配置后要刷新：gpupdate /force 组策略编辑工具！—-—-—gpmc.msi （工具） 使用：运行---〉gpmc。msc 如下键面： 文件夹重定向： 1。在域控建立一共享文件夹,权限放到最大（完全控制，无安全隐患!）

2．域账户用户登录任一台机器都能看到我的文档里的自己的东西！ 禁止用户安装软件: 1.给域用户基本权限（Domain user）,但有时基本应用软件也不能运行！ 2.把域用户加入到本地power user 组可以运行软件！ 域用户添加Power user组

3.用本地用户登录机器查看！ 禁止卸载: 1。权限domain user + 管理模板（相当于改动注册表！！）

2.再把控制面板里的“添加删除程序"禁用

禁止使用USB： 1.工具(程序模板usb.adm),拷到C：\WINDOWS\inf\usb。adm 2. 3。 4。

如何禁用U盘,但可以使用USB鼠标

方法一：修改BIOS设置这种方法虽然比较“原始”、简单，但却很有效。因为是在Windows 启动前就从硬件层面关闭了电脑的USB功能，所以比较适合长期不使用USB设备（包括USB键盘及鼠标）的用户。具体操作如下：在电脑开机或重新启动出现主板开机画面的时候，迅速按键盘上的“Delete”键（或根据画面上的提示按相应的键盘按键）进入BIOS设置界面，选择“Integrated Peripherals”选项，展开后将“USB 1.1 Controller”和“USB 2.0 Contr01ler”选项的属性设置为“Disabled”，即可禁用电脑的所有USB接口。最好再顺便设置一个BIOS密码，这样其他人就无法随意进入BIOS更改设置了。 方法二：修改系统文件/注册表与第一种方法所不同的是，这种方法仅能禁用USB储存设备，如移动硬盘或优盘，对于其他USB设备，如USB鼠标、USB键盘就不起作用了。但我们的主要目的是禁止他人在电脑上使用优盘或移动硬盘等可移动存储设备。该方法分两种情况：如果电脑尚未使用过USB设备（比如刚重装好系统），可以通过向用户或组分配对Usbstor.pnf和Usbstor.inf两个文件的“拒绝”权限来实现对USB设备的禁用。对于已经使用过USB设备的电脑，要禁用电脑的USB功能，就得通过注册表来实现。如果你对电脑并不熟悉，修改前请先备份注册表。 【未使用过USB设备的电脑】1、启动资源管理器，依次打开Windows文件夹下面的子目录Inf。2、在Inf文件夹里，找到“Usbstor.pnf”文件，右键单击该文件，然后选择“属性”。 3、再“属性”对话框里单击“安全”选项卡。 4、在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。 5、在“UserName or Group?鄄Name 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。注意：此外，还需将系统账户添加到“拒绝”列表中。 6、右键单击“Usbstor.inf”文件，然后单击“属性”。 7、单击“安全”选项卡。 8、在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。 9、在“UserName or Group?鄄Name 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。 【使用过USB设备的电脑】1、单击“开始”，然后单击“运行”。2、在“打开”框中，键入“regedit”，然后单击“确定”。3、找到并单击下面的注册表项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor 4、在右边窗格中，双击“Start”。5、在“数值数据”框中，将原始数值“3”改成“4”。（如果想恢复对USB 设备的支持，只需将该值改回“3”即可。）6、退出注册表编辑器。 -------------------------------------------------------------------------------- 改注册表在开始----程序----运行，输入regedit 就进入注册表了找到注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor，将右边的“Start”数值数据改为4（注意必须为16进制），确定并重新启动后生效。这样就可以简单 --------------------------------------------------------------------------------

组策略分发软件全攻略

组策略分发软件全攻略 2008-12-23 13:26 在规模比较大的网络环境里面，为了对服务器和客户机上的软件、系统补丁进行集中统一的管理，我们可能会用到SUS、WSUS、SMS等。SUS、WSUS管理系统更新，不在本文讨论，请参考其它相关技术文档。虽然SMS功能较强大，兼容性好，绝大多数应用软件都可以用它来管理，但是它比较复杂，实现起来要考虑的问题也比较多。如果要部署的应用程序不多不十分复杂的话，其实我们还是可以回归到比较原始的技术： 利用GPO实现软件设置 ● 分发软件 ● 修复软件 ● 删除软件 ● 升级软件 优点：易实现 缺点：功能简单、兼容性差（只能分发winodows安装程序包——.msi，exe 封装的程序安装包要用Advanced Installer重新封装成msi文件） 实现：前提是熟悉Winodows Server活动目录的基本管理，理解组策略，熟悉通过AD部署组策略 一、获取要分发的软件

如图从网上下载了GreenBrowser和千千静听来分发给所有客户机或者用户使用，但都是exe封装的安装包。因为通过组策略只能够分发msi封装的程序安装包，所以我们要使用Advanced Installer把他们都重新封装成msi格式的安装包： 1、运行Advanced Installer，打开新建工程向导，按向导做 选择“语言”、“重新包装安装”——>“确定” 2、按向导提示，关掉真正运行的其它程序，下一步

3、选中捕获新的安装

4、指定要重新包装的源程序，并设置名称、版本等信息 5、如图，选中新的系统捕获

6、指定“安装捕获配置文件”保存路径，其它默认

USB端口禁用

一．此种状况多半是在BIOS中屏蔽了USB端口，通过复位BIOS 默认设置即可解决。 又及，一般说来会想到这一点的老师通常也会为BIOS设置口令，可按如下方式清除： 进入DOS界面或WINDOWS的DOS窗口执行如下命令： debug o 70 10 o 71 11 q 请勿滥用 最佳答案 禁止使用闪存 出于某种特殊的原因，有些单位或公司不允许使用闪存。其实禁止使用闪存的方法较多，一般情况下可采用两种方法，一种是BIOS设置，另一种是修改注册表。 BIOS设置：进入BIOS设置，选择“Integrated Peripherals”选项，展开后将USB选项的属性设置为“Disabled”，即可禁用USB接口。需要说明的是，为了安全性，一定要给BIOS设置密码。不过，通过上面的修改完全禁止了USB接口，也就是说各种USB接口的设备均不能用了。

修改注册表：打开注册表编辑器，依次展开如下分支 [HKEY_LOCAL_MACHINESYSTEMCurrentCntrolSetServicesUSB STOR]，在右侧的窗格中找到名为“Start”的DWORD值，双击，在弹出的编辑对话框中，将数值修改为十六进制数值“4”。点“确定”按钮并关闭注册表编辑器，重新启动计算机，设置即可生效。不过此法仅适用于Windows XP/2000/2003操作系统。 ---------------------------------------------------------------------- “第三者”休插足——利用Vista系统，禁用外来MP3设备 (2007年5月14日第19期) 编者按：在使用电脑时，我们往往担心他人MP3播放机的病毒，也不希望外来的MP3机越权进入自己的系统。为解决这个问题，往往通过在BIOS中设置禁用USB端口的方式来实现，可如此一来，会让自己的MP3播放机或其它USB设备也无从发挥自己的“功力”。究竟有何良方去解决这个问题呢？看看本期救护员的高招吧。 读者曾广武：寝室里就只有一台电脑，同学们经常从我这里拷贝流行歌曲，我非常担心别人把MP3闪存上的病毒文件感染到我的电脑中，也不希望别人“偷取”我的下载成果。请问，有什么方法能让系统禁用别人的MP3？另外，我使用的是Vista系统，希望能在Vista系统下解决问题。

组策略详解

组策略详解(图解) 电脑知识2008-05-27 06:11 阅读138 评论0 字号：大中小 组策略是管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说，是介于控制面板和注册表之间的一种修改系统、设置程序的工具。微软自W indows NT 4.0开始便采用了组策略这一机制，经过Windows 2000发展到Windows XP已相当完善。利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许 多设置。 平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改，但大家对此肯定都有不满意，因为通过控制面板能修改的东西太少；水平稍高点的用户进而使用修改注册表的方法来设置，但注册表涉及内容又太多，修改起来也不方便。组策略正好介于二者之间，涉及的内容比控制面板中的多，安全性和控制面板一样非常高，而条理性、可操作性则比注册表 强。 本文主要介绍Windows XP Professional本地组策略的应用。本地计算机组策略主要可进行两个方面的配置：计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中，用户配置保存到H KEY_CURRENT_USER。 一、访问组策略 有两种方法可以访问组策略：一是通过gpedit.msc命令直接进入组策略窗口；二是 打开控制台，将组策略添加进去。 1. 输入gpedit.msc命令访问 选择“开始”→“运行”，在弹出窗口中输入“gpedit.msc”，回车后进入组策略窗口（图1）。组策略窗口的结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点，节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置，便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的，那么我们该改哪一处？“计算机配置”节点中的设置应用到整个计算机策略，在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户，如果你用别的用户名登录计算机，设置就不会管用了。但一般情况下建议在“用户配置”节点下修改，本文也将主要讲解“用户配置”节点的各项设置的修改，附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广，因此也 是本文的重中之重。

域组策略域控中组策略基本设置

域控中组策略基本设置 计算机配置：要重启生效用户配置：注销生效 策略配置后要刷新：gpupdate /force 组策略编辑工具！-----gpmc.msi （工具） 使用：运行--->gpmc.msc 如下键面： 文件夹重定向： 1.在域控建立一共享文件夹,权限放到最大（完全控制，无安全隐患！） 2．域账户用户登录任一台机器都能看到我的文档里的自己的东西！ 禁止用户安装软件： 1.给域用户基本权限（Domain user），但有时基本应用软件也不能运行！ 2.把域用户加入到本地power user 组可以运行软件！ 域用户添加Power user组 3.用本地用户登录机器查看！ 禁止卸载： 1.权限domain user + 管理模板（相当于改动注册表！！） 2.再把控制面板里的“添加删除程序”禁用 禁止使用USB: 1.工具（程序模板usb.adm）,拷到C:\WINDOWS\inf\usb.adm 3. 4. 5. 6. 7.客户端机器重启生效 禁止绿色软件安装，如：迅雷，QQ等--------建立哈希规则： 建立了哈希规则后不论此软件放在机器的任何路径，都将被禁止！ GPO软件分发： 1.工具：Advanced Installer 制作MSI格式文件 2.在DC上建立一共享文件夹。把*.MSI格式文件放入，附Authenticated 可读，Admini 完 全控制 3.编辑组策略-→用户配置-→软件安装-右击→\\(DC的IP\共享名) 4.软件安装右击→程序包-→*.MSI →已发布\已指派 停止域客户端的防火墙： 右击，域→计算机-→Windows-设置→安全设置-→系统服务→windows firewall 漫游： 1.账号在客户机上登录 2.在server上建议账号空间

组策略终极应用技巧

组策略终极应用技巧 出处：中国IT实验室责任编辑：ANSON2006-03-17 15:39:34 关闭缩略图的缓存（Windows XP/2003） Windows XP/20003系统系统具有缩略图的功能，为加快那些被频繁浏览的缩略图显示速度，系统还会将这些显示过的图片置于缓存中，以便下次打开时直接读取缓存中的信息，从而达到快速显示的目的。若你不希望系统进行缓存的话，则可利用组策略轻松地关闭缓存功能。由于不进行缓存处理，反而会大大加快第一次浏览的速度。方法如下：打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“关闭缩略图的缓存”并启用此策略。提示：若你的电脑是一个网络中的共享工作站，为了数据安全，建议你启用该设置以关闭缩略图视图缓存，因为缩略图视图缓存可以被任何人读取。

屏蔽系统自带的CD刻录功能（Windows XP/2003） Windows XP/2003系统自带CD刻录功能，若你有刻录机连接在电脑上，在Windows 资源管理器中可以直接将数据犹如复制一样写到CD－R上。这样虽然方便，但是会影响系统性能和资源管理器的执行速度，再加之大部分用户都习惯了运用专用刻录软件进行刻录，所以我们建议无论电脑上有无刻录机，都可以利用组策略来屏蔽此功。方法如下：打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“删除CD刻录功能”并启用此策略。提示：该设置不会阻止用户使用第三方应用程序来刻录或修改CD－R。 限制IE浏览器的保存功能（Windows 2000/XP/2003）

当多人共用一台计算机时，为了保持硬盘的整洁，对浏览器的保存功能进行限制使用是很有必要。那么怎样才能实现呢？具体步骤如下：打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→浏览器菜单”，然后将右侧窗格中的“…文件?菜单：禁用…另存为...?菜单项”、“…文件?菜单：禁用另存为网页菜单项”、“…查看?菜单：禁用…源文件?菜单项”和“禁用上下文菜单”等策略项目全部启用即可。如果不希望别人对IE 浏览器的设置随意更改，可以将“…工具?菜单：禁用…Internet选项...?”策略启用。此外，如果个人需要的话，还可以在该窗格中禁用其他项目。 禁止修改IE浏览器的主页（Windows 2000/XP/2003） 在IE浏览器中可以设置默认主页，如果不希望他人对自己设定的IE浏览器主页进

禁用和解除USB 多方法

USB 禁用与解除 法一： 禁用主板usb设备。管理员在CMOS设置里将USB设备禁用，并且设置BIOS密码，这样U 盘插到电脑上以后，电脑也不会识别。这种方法有它的局限性，就是不仅禁用了U盘，同时也禁用了其他的usb设备，比如usb鼠标，usb 光驱等。所以这种方法管理员一般不会用，除非这台电脑非常重要，值得他舍弃掉整个usb总线的功能。但是这种屏蔽也可以破解，即便设置了密码。整个BIOS设置都存放在CMOS 芯片里，而COMS的记忆作用是靠主板上的一个电容供电的。电容的电来源于主板电池，所以，只要把主板电池卸下来，用一根导线将原来装电池的地方正负极短接，瞬间就能清空整个CMOS设置，包括BIOS的密码。随后只需安回电池，自己重新设置一下CMOS，就可以使用usb设备了。（当然，这需要打开机箱，一般众目睽睽之下不大适用~~） 方法二： 修改注册表项，禁用usb移动存储设备。打开注册表文件，依次展开 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbehci”双击右面的“Start”键，把编辑窗口中的“数值数据”改为“4”，把基数选择为“十六进制”就可以了。改好后注销一下就可以看见效果了。为了防止别人用相同的方法来破解，我们可以删除或者改名注册表编辑器程序。 提示：“Start”这个键是USB设备的工作开关，默认设置为“3”表示手动，“2”是表示自动，“4”是表示停用。 方法三：隐藏盘符和禁止查看（适用于Windows系统）打开注册表编辑器，依次展开如下分支[HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurrentVersionPloiciesExplorer]，新建二进制值“NoDrives”，其缺省值均是00000000，表示不隐藏任何驱动器。 键值由四个字节组成，每个字节的每一位（bit）对应从A:到Z:的一个盘，当相应位为1时，“我的电脑”中相应的驱动器就被隐藏了。 第一个字节代表从A到H的8个盘，即01为A，02为B，04为C……依次类推，第二个字节代表I到P，第三个字节代表Q到X，第四个字节代表Y和Z。比如要关闭C盘，将键值改为04000000；要关闭D盘，则改为08000000，若要关闭C盘和D盘，则改为0C000000(C 是十六进制，转成十进制就是12)。 理解了原理后，下面以我的电脑为例说明如何操作：我的电脑有一个软驱、一个硬盘(5个分区)、一个光驱，盘符分布是这样的：A:（3.5软盘）、C:、D:、E:、F:、G:、H:（光盘），所以我的“NoDrives”值为“02ffffff”，隐藏了B、I到Z盘。重启计算机后，再插入U盘，在我的电脑里也是看不出来的，但在地址栏里输入I:（我的电脑电后一个盘符是H）还是可以访问移动盘的。到这里大家都看得出“NoDrives”只是障眼法，所以我们还要做多一步，就是再新建一个二进制“NoViewOnDrive”，值改为“02ffffff”，也就是说其值与“NoDrives”相同。这样一来，既看不到U盘符也访问不到U盘了。 方法四：禁止安装USB驱动程序在Windows资源管理器中，进入到“系统盘:WINDOWSinf”目录，找到名为“Usbstor.pnf”的文件，右键点击该文件，在弹出菜单中选择“属性”，然后切换到“安全”标签页，在“组或用户名称”框中选中要禁止的用户组，接着在用户组的权

将一台成员服务器升为域控制器

将一台成员服务器升为域控制器 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。 首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统， 我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:

向下搬运右边的滚动条，找到“网络服务”，选中: 默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:

然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。 安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导” 在这里直接点击“下一步”:

3种用组策略将域帐号加入本地管理员组的方法

3种用组策略将域帐号加入本地管理员组的方法 1、对于WIN2003域控制器(DC)环境，使用计算机策略的“受限制的组”

2、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。 3、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用计算机配置首选项中“本地用户和组”，用在将重要的域组加入客户端本地管理员组的场合。

下面让我细细道来。 第1种方法的步骤很简单： .在域中创建一个test01\g1组帐号，将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组，然后把一些元素添入选项，参照本文第1幅图.刷新域客户机的组策略，就可以看到test01\g1组被自动加入到本地管理员组了，如下图 第2种方法：

为了避免干扰，我创建了另一个2008R2的域来验证第2种方法，该域WINXP03客户机的初始本地管理员成员如下： 为了使GPO“首选项”能作用到客户端，需要在域客户端安装客户端扩展集组件(CSE)，URL为： https://www.wendangku.net/doc/034444791.html,/zh-cn/library/cc731892(WS.10).aspx 根据客户端OS类型选相应组件下载，并安装到WINXP03客户机中，如下图（XMLLite XML无需安装）：

在2008R2上开始设置GPO的用户配置项，按下图添加对客户端本地Administrators的操作策略 操作中的“更新”代表更新域客户端Administrators组中的成员，“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组，只要域帐号一登录，就把它加入本地管理员组

怎样使USB接口锁住或不可用

怎样使USB接口锁住或不可用 https://www.wendangku.net/doc/034444791.html,/270731/viewspace-69641.html 方法一：修改BIOS设置 这种方法虽然比较“原始”、简单，但却很有效。因为是在Windows启动前就从硬件层面关闭了电脑的USB功能，所以比较适合长期不使用USB设备（包括USB键盘及鼠标）的用户。 具体操作如下：在电脑开机或重新启动出现主板开机画面的时候，迅速按键盘上的“Delete”键（或根据画面上的提示按相应的键盘按键）进入BIOS设置界面，选择“Integrated Perip herals”选项，展开后将“USB 1.1 Controller”和“USB 2.0 Contr01ler”选项的属性设置为“Disabled”，即可禁用电脑的所有USB接口。最好再顺便设置一个BIOS密码，这样其他人就无法随意进入BIOS更改设置了。 方法二：修改系统文件/注册表 与第一种方法所不同的是，这种方法仅能禁用USB储存设备，如移动硬盘或优盘，对于其他USB设备，如USB鼠标、USB键盘就不起作用了。但我们的主要目的是禁止他人在电脑上使用优盘或移动硬盘等可移动存储设备。 该方法分两种情况：如果电脑尚未使用过USB设备（比如刚重装好系统），可以通过向用户或组分配对Usbstor.pnf和Usbstor.inf两个文件的“拒绝”权限来实现对USB设备的禁用。对于已经使用过USB设备的电脑，要禁用电脑的USB功能，就得通过注册表来实现。如果你对电脑并不熟悉，修改前请先备份注册表。 【未使用过USB设备的电脑】 1、启动资源管理器，依次打开Windows文件夹下面的子目录Inf。 2、在Inf文件夹里，找到“Usbstor.pnf”文件，右键单击该文件，然后选择“属性”。 3、再“属性”对话框里单击“安全”选项卡。 4、在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。 5、在“UserName or Group?鄄Name 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。 注意：此外，还需将系统账户添加到“拒绝”列表中。 6、右键单击“Usbstor.inf”文件，然后单击“属性”。 7、单击“安全”选项卡。 8、在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。 9、在“UserName or Group?鄄Name 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。 【使用过USB设备的电脑】 1、单击“开始”，然后单击“运行”。 2、在“打开”框中，键入“regedit”，然后单击“确定”。 3、找到并单击下面的注册表项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor 4、在右边窗格中，双击“Start”。 5、在“数值数据”框中，将原始数值“3”改成“4”。（如果想恢复对USB设备的支持，只需将该值改回“3”即可。） 6、退出注册表编辑器。

管理员操作手册-AD域控及组策略管理_51CTO下载

AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介2 1、工作组与域的区别 (2) 2、公司采用域管理的好处 (2) 3、Active Directory(AD)活动目录的功能 (4) 二、AD域控（DC）基本操作 (4) 1、登陆AD域控 (4) 2、新建组织单位（OU） (6) 3、新建用户 (8) 4、调整用户 (9) 5、调整计算机 (12) 三、AD域控常用命令 (13) 1、创建组织单位：(dsadd) (13) 2、创建域用户帐户(dsadd) (13) 3、创建计算机帐户(dsadd) (13) 4、创建联系人(dsadd) (14) 5、修改活动目录对象（dsmod） (14) 6、其他命令（dsquery、dsmove、dsrm） (15) 四、组策略管理 (17) 1、打开组策略管理器 (17) 2、受信任的根证书办法机构组策略设置 (18) 3、IE安全及隐私组策略设置 (23) 4、注册表项推送 (28) 五、设置DNS转发 (31)

一、Active Directory(AD)活动目录简介 1、工作组与域的区别 域管理与工作组管理的主要区别在于： 1）、工作组网实现的是分散的管理模式，每一台计算机都是独自自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息，共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器，由浏览主控服务器提供的。而域网实现的是主/从管理模式，通过一台域控制器来集中管理域内用户帐号和权限，帐号信息保存在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。这就是两者最大的不同。 2）、在“域”模式下，资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。 3）、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 2、公司采用域管理的好处 1）、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。 2）、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3）、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。 4）、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。

组策略应用大全

组策略应用大全集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

组策略应用大全专题 先给初学的扫扫盲：说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 运行组策略的方法：在“开始”菜单中，单击“运行”命令项，输入并确定，即可运行组策略。先看看组策略的全貌，如图。 安全设置包括：，，，，。 ：在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面，而其中的“帐户策略”又包括：密码策略、帐户锁定策略和Kerberos策略三个方面；另外的“本地策略”也包括：审核策略、用户权限分配和安全选项三部分。 ： 倘若在Win98工作站中通过“网上邻居”窗口，来访问WinXP操作系统的话，你会发现WinXP工作站会拒绝你的共享请求，这是怎么回事呢原来WinXP系统在默认状态下是不允许以guest方式登录系统的，那么是不是将WinXP系统下的guest帐号“激活”，就能让WinXP工作站被随意共享了呢其实不然，除了要将guest帐号启用起来，还需要指定guest帐号可以通过网络访

创建AD域及用户添加管理

AD 域 域：域是一种管理边界，用于一组计算机共享共用的安全数据库，域实际上就是一组服务器和工作站的集合。 其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略，用户登录也是登录在本机的，密码是放在本机的数据库来验证的。而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。 AD：活动目录(Active Directory)主要提供以下功能： ①基础网络服务：包括DNS、WINS、DHCP、证书服务等。 ②服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。 ③用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。 ④资源管理：管理打印机、文件共享服务等网络资源。 ⑤桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。 ⑥应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。 一、将Windows Server 2003安装至PC上 二、将服务器安装AD控制器 先设置AD域： 1.依次打开：开始-运行-输入：Dcpromo

2.下一步，选择自定义 3.选中域控制器(Active Directory)下一步

4.然后会让你安装dns和配置网络, 5.把网卡的网线接好，处于已经连接状态，下一步

域组策略应用详解

Win2003域之组策略应用 目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是"组策略",利用组策略管理域中的计算机和用户工作环境，实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作. 但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则! 那么我们开始学习组策略吧: 1.理解组策略作用: 组策略又称Group Policy 组策略可以管理计算机和用户 组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等 使用组策略可以: a)对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境 b)降低布置用户和计算机环境的总费用 因为只须设置一次，相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 c)推行公司使用计算机规范 桌面环境规范 安全策略 总结: a)集中化管理 b)管理用户环境 c)降低管理用户的开销 d)强制执行企业策略 总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.

2.组策略的结构 组策略的具体设置数据保存在GPO中 创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:SDOU中的计算机和用户 GPO的组件存储在2个位置: GPC（组策略容器）与GPT（组策略模板） GPC：GPC是包含GPO属性和版本信息的活动目录对象 GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构

Windows操作系统组策略应用全攻略

W i n d o w s操作系统组策略应用全攻略 公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

Windows操作系统组策略应用全攻略 一、什么是组策略 (一)组策略有什么用 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 (二)组策略的版本 大部分Windows 9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板，定义特定的.POL(通常是文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也

支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory 对象(即站点、域或组织单位)并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows 2000/XP/2003目录中包含了几个 .adm 文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。 在Windows 9X系统中，默认的管理模板即保存在策略编辑器同一个文件夹中。而在Windows 2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1)：默认情况下安装在“组策略”中，用于系统设置。 2)：默认情况下安装在“组策略”中;用于Internet Explorer策略设置。 3)：用于Windows Media Player 设置。 4)：用于NetMeeting 设置。

五种方法限制计算机禁用USB接口

首先说明，某家不是教大家使用这种为大众所不耻的方法来忽悠草根级的电脑用户，而是本着以学习、技术交流为目的，发出此文与大家共享! 那么，我们为什么要禁用USB接口啊? 原因太多了，如果您在公用办公室上班，那么您就惨洛，会莫名其妙的有一大堆人来使用您的电脑，您所使用的计算机，就像被“千人压、万人骑”，插一次，有80%的概率会导致计算机中病毒!一天没被压几次，计算机准挂! 还有哦，如果您身为计算机教师，您也应该有所体会，有些学生非智力过人，而是耍小聪明习惯恶搞，经常偷偷的把游戏放在他们的U盘里面，之后带到计算机教室，趁阁下不注意，就安装到电脑里面玩小小游戏! 叽叽歪歪的原因就不多说了!下面进入正题! 要想禁用计算机的USB接口，方法有如下五个! ①通过注册表注册 “开始菜单”→“运行”，输入“regedit”，然后按回车键，之后就打开注册表了，在里面找到注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor，将右边的“Start”数值数据改为4(注意必须为16进制)，确定并重新启动后生效。 评析：此方法不容易操作，但是能起到一劳永逸的效果!同理，别人想解除USB接口的限制，也挺麻烦的! ②修改用户权限 如果USB接口并没有接入USB设备，可以直接修改用户或组对系统目录下“inf”目录中Usbstor.pnf 和Usbstor.inf的“拒绝”权限。 方法是：启动资源管理器，找到%SystemRoot%Inf文件夹，右键单击Usbstor.pnf文件，单击“属性-安全”，在“组或用户名称”列表中选中要设置“拒绝”权限的用户或组，然后复选“用户名或组名的权限-完全控制”旁边的“拒绝”，确定后生效。 评析：这种方法比较符合常人的逻辑思维，但是操作麻烦，并且，有点平庸! ③通过设备管理器禁用USB接口 在桌面上右键“我的电脑”图标，执行“管理”或“设备管理”，打开设备管理器! 如下图!

Windows组策略应用大全

Windows组策略应用大全.txt9母爱是一滴甘露，亲吻干涸的泥土，它用细雨的温情，用钻石的坚毅，期待着闪着碎光的泥土的肥沃；母爱不是人生中的一个凝固点，而是一条流动的河，这条河造就了我们生命中美丽的情感之景。Windows组策略应用大全 一、什么是组策略? （一）组策略有什么用? 说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是?可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。 简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 （二）组策略的版本 大部分Windows?9X/NT用户可能听过“系统策略”的概念，而我们现在大部分听到的则是“组策略”这个名字。其实组策略是系统策略的更高级扩展，它是由Windows?9X/NT的“系统策略”发展而来的，具有更多的管理模板和更灵活的设置对象及更多的功能，目前主要应用于Windows?2000/XP/2003系统。 早期系统策略的运行机制是通过策略管理模板，定义特定的.POL（通常是Config.pol）文件。当用户登录的时候，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows?2000/XP/2003系统的网络功能是其最大的特色之处，其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active?Directory?对象（即站点、域或组织单位）并对它进行设置。这是以前“系统策略编辑器”工具无法做到的。 无论是系统策略还是组策略，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。 二、组策略中的管理模板 在Windows?2000/XP/2003目录中包含了几个?.adm?文件。这些文件是文本文件，称为“管理模板”，它们为组策略管理模板项目提供策略信息。 在Windows?9X系统中，默认的admin.adm管理模板即保存在策略编辑器同一个文件夹中。而在Windows?2000/XP/2003的系统文件夹的inf文件夹中，包含了默认安装下的4个模板文件，分别为： 1）System.adm：默认情况下安装在“组策略”中，用于系统设置。 2）Inetres.adm：默认情况下安装在“组策略”中；用于Internet?Explorer策略设置。 3）Wmplayer.adm：用于Windows?Media?Player?设置。 4）Conf.adm：用于NetMeeting?设置。 在Windows?2000/XP/2003的组策略控制台中，可以多次添加“策略模板”，而在Windows?9X下，则只允许当前打开一个策略模板。下面介绍使用策略模板的方法。首先在Windows?2000/XP/2003组策略控制台中使用如下：首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，按下鼠标右键，在弹出的菜单中选择“添加/删除模板”.然后单击“添加”按钮，在弹出的对话框中选择相应的.adm文件。单击“打开”按钮，则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。