La configuración para deshabilitar el acceso al disco y ocultar discos en la política del grupo de computadoras no es válida.

Cambiar el registro

[HKEY_LOCAL_MACHINE\SYSTEM\controlset 001\Services\USB stor]

"Start"=dword ：00000004

Método 2,

Cómo usar la Política de grupo de AD para bloquear unidades flash USB y otros discos extraíbles

Cómo usar la Política de grupo de AD para proteger el USB unidades

Recientemente hice un pequeño plan para conseguir algunos artículos extranjeros. A petición del cliente, investigué algo nuevo: cómo aprovechar los grupos.

Estrategia de bloqueo de unidades flash USB y otros discos extraíbles. Parte de esto proviene de Internet. Después del análisis y clasificación, el resumen es el siguiente:

1. Abra Usuarios y computadoras de Active Directory en el controlador de dominio y busque la unidad organizativa para bloquear el disco USB.

(Unidad organizativa, denominada OU), haga clic derecho para ver las propiedades de la unidad organizativa, haga clic en la página Política de grupo y cree una nueva unidad organizativa.

Una política de grupo, denominada y guardada como "Block U Disk". Una vez completado, haga doble clic en "Bloquear disco U" (debe abrirse una vez, no.

El sistema no copiará esos archivos de plantilla). En el lado izquierdo de la ventana titulada Política de grupo, haga clic en el siguiente orden.

Haga clic en "Configuración de usuario-Plantillas administrativas-Componentes de Windows-Explorador de Windows" y seleccione Explorador de Windows.

Para los dispositivos, podemos ver que hay "Ocultar estas unidades especificadas desde Mi PC" y "Bloquear el acceso a la unidad desde Mi PC".

Haga doble clic en una de las políticas para abrirla y seleccione Habilitar. El cuadro desplegable a continuación se iluminará. Haga clic en el cuadro desplegable y encontrará indicaciones del sistema.

Hay siete combinaciones de letras de unidad de acceso restringido, incluida "Unidad sin restricciones". Evidentemente, estas combinaciones no pueden ser completas.

Cumple con nuestros requisitos (porque las letras del disco USB suelen estar en la parte inferior, y ahora el disco duro es relativamente grande, con al menos tres

Cuatro particiones).

2. Abra Usuarios y equipos de Active Directory en el controlador de dominio. Según nuestra política "Shield U Disk" recién creada,

Haga clic derecho y seleccione Ver propiedades para encontrar el nombre único de la política de grupo "Block U Disk", que es una larga cadena de números y texto. .

Composición principal, este ejemplo es { 82 f 86 a8e-b345-4 DDC-a304-e 448 f 6 Fe 900 a 9 }, anota esta cadena.

3. Abra el disco del sistema y busque la carpeta llamada { 82 f 86 a8e-B345-4 DDC-A304-e 448 f 6 Fe 900 a 9 }.

La carpeta se encuentra en c:\Windows\sysvol\sysvol\hcsad.HC\policies(disk

El operador depende de la partición donde esté instalado el sistema operativo. Si están en la unidad c Instalar AD, esta es la configuración predeterminada

Ruta, donde hcsAD.hc es el nombre que le dio a este AD, aquí le daré a este dominio el nombre de dominio de nivel superior

Tome HC. Digamos que esto es HCSAD), abierto.

{ 82 f 86 a8e-b345-4 DDC-a304-e 448 f 6a e 900 a 9 } directorio y encontrado.

El archivo System.adm es el archivo de plantilla para la implementación de nuestra política de grupo. Es un archivo de texto sin formato que se puede recordar.

Abra el libro y encuentre los siguientes dos fragmentos de código:

*¡Política! ! NoDrives

¡Explícalo! ! ¡Sección NoDrives_Help

! ! No es necesario ordenar

Nombre del valor "NoDrives"

Lista de elementos

¡Nombre! ! Sólo valor 3

¡Nombre! ! Sólo valor 4

¡Nombre! ! Sólo valor 8

¡Nombre! ! Valor ABConly número 7

¡Nombre! ! ABCDOnly valor 15

¡Nombre! ! Valor de ALLDrives 67108863 valor predeterminado

; los 26 bits inferiores están activados (1 bit para cada unidad)

¡Nombre! ! RestNoDrives valor 0

Finalizar lista de elementos

Cola

Finalizar política

Cómo utilizar la política de grupo AD para bloquear discos extraíbles como USB unidades flash

*¡Política! ! NoViewOnDrive

¡Explícalo! ! ¡No hay sección ViewOnDrive_Help

! ! No es necesario ordenar

nombre del valor "NoViewOnDrive"

Lista de elementos

¡Nombre! ! Sólo valor 3

¡Nombre! ! Sólo valor 4

¡Nombre! ! Sólo valor 8

¡Nombre! ! Valor ABConly número 7

¡Nombre! ! ABCDOnly valor 15

¡Nombre! ! Valor de ALLDrives 67108863 valor predeterminado

; los 26 bits inferiores están activados (1 bit para cada unidad)

¡Nombre! ! RestNoDrives valor 0

Finalizar lista de proyectos

Cola

Estrategia final

Explicación: Estas son dos estrategias, ¡la primera! ! NoDrive, su función no es mostrar la unidad especificada en Mi PC.

Todas las unidades representadas por el nombre del dispositivo y la letra de la unidad no aparecen en el cuadro de diálogo Abrir estándar, sino que la letra de la unidad se ingresa en la barra de direcciones.

O crear un acceso directo a una nueva letra de disco duro para que los usuarios aún puedan acceder al disco en segundo lugar

¡Maldita sea! ! NoViewOnDrive se utiliza para evitar que los usuarios accedan a la unidad. Esto se puede evitar, pero sólo

En el segundo caso, el usuario puede ver la letra de la unidad pero no puede acceder a ella. Generalmente se pueden utilizar ambos al mismo tiempo, pero sólo para conseguir el efecto deseado

.

Mirando detenidamente el código anterior, no es difícil encontrar que un * * * tiene siete elementos NOMBRE, seguidos de VALOR NUMÉRICO.

El valor es 26 bits según la regla baja de 26 bits (1 bit por unidad).

El archivo binario puede especificar hasta 26 letras de unidad, 1 bit por unidad significa 1 bit significa 1 unidad.

Por ejemplo, A=1, B=2, C=4, D=8, E=16, F=32, G=64, H=128, I=256, de menor a mayor ,

Y así sucesivamente. Podemos modificar este código según sea necesario. Si queremos ocultar A, B, C, F, G, H, I,

Según sus necesidades, se recomienda que el número de letras de unidad ocultas sea mayor que las letras de unidad existentes más la letra de unidad del cliente.

Algunas interfaces USB (para evitar que alguien pueda enchufar varios discos USB a la vez, jaja, pero recomiendo hacer esto a la hora de planificar el sistema.

Presta atención a este tema: es para todos. La computadora asigna varios discos, como cuatro, que son CDEF, de modo que podemos desactivar todos los discos excepto CDEF para asegurarnos de que nada salga mal, jaja...).

Luego calculamos el valor de

VALOR NUMÉRICO como a b c f g h I = 1 2 4 32 64 128 256 = 487.

De estas dos estrategias,

¡Nombre! ! ABCDOnly valor 15

Inserte una fila a continuación.

¡Nombre! ! ABCFGHIOnly valor 487

Luego, use el comando de búsqueda para encontrar el siguiente campo: En ABConly= "Sólo las unidades A, B y C están restringidas",

En este párrafo, en Inserte una fila de datos a continuación, ABCFGHIOnly = "Solo conduzca A, B, C, F, G, H,

I", la declaración entre comillas después del signo igual se puede definir según su propia preferencias, se mostrará en el cuadro desplegable de estrategia. Protección

Después de guardar, abra la política "Bloquear disco U" y navegue hasta "Configuración de usuario-Plantillas administrativas-Componentes de Windows-Explorador de Windows"

Cómo usar la Política de grupo de AD para bloquear Disco U y otros discos extraíbles

Administrador", haga doble clic en "Ocultar estas unidades especificadas en mi computadora" o "Impedir acceso desde mi computadora" en la ventana derecha.

"Controlador ", haga clic en "Habilitar" y luego haga clic en el cuadro desplegable, jaja, encontrará que tiene una opción más.

En este punto, solo necesitas aplicar la política a la unidad organizativa del usuario que deseas bloquear (no olvides que es necesario configurar ambas políticas).

Establecer ) y guardar, el usuario incluido en la unidad organizativa encontrará que después de conectar su disco USB, el sistema puede reconocerlo y el controlador está instalado correctamente, pero no se puede ver en mi computadora y no se puede acceder a él a través de otros métodos. , incluida la barra de direcciones.

Ingrese la letra de la unidad.

Finalmente, adjunta cada número de la A a la Z para una mejor comprensión:

Fuerzas británicas y francesas

1 2 4 8 16 32

G H I J K L

64 128 256 512 1024 2048

M N O P Q R

4096 8192 16384 32768 65536 131072

S T U V W X

262144 524288 1048576 2097152 4194304 8388608

Y Z

16777216 33554432

Según los números de la tabla anterior, puede basarse en la letra de unidad real que desea para desactivar, luego Corresponde a los números en la tabla para obtener el total. Si desea desactivarlo,

Para todas las letras de unidad, es decir, de la A a la Z, la suma de los números anteriores es igual a 67108863, que se basa en los dos códigos que se encuentran arriba

Uno de los elementos es Para deshabilitar todas las letras de unidad, el número detrás es exactamente este.

Por ejemplo: Por ejemplo, si desea deshabilitar todos los discos excepto CDEF, debe eliminarlos de CDEF de acuerdo con los números en la tabla anterior.

El número correspondiente a cuatro discos es exactamente 60, así que resta 60 de este total = 67108863.

Luego haz los ajustes correspondientes en los caracteres insertados arriba. También puedes crear múltiples combinaciones según tus preferencias, como prohibiciones.

CDEFGHIJK, o prohibir XYZ, etc. Pero presta atención a este código: ¡nombre! ! Valor único ABC

Número 487 (por ejemplo, si desea deshabilitar todas las letras de unidad excepto CDEF, ¡debe hacerlo en el siguiente código! Escriba después de

Entonces: abghijklmnopqrstuvwxyzonly valor ..., seguido de su número 487.

La suma de los valores de letras de unidad a deshabilitar (ver tabla arriba) En resumen, todas las letras de unidad que desea deshabilitar deben estar en esta sección .

En código.

En este punto, todas las configuraciones están completas, ¡deje que su segmento de clientes inicie sesión como usuario bajo esta unidad organizativa!

Foro en línea