Table of contents
本指南包含逐步说明如何通过在AD域2016或2012中使用组策略来阻止整个域或特定域用户的USB存储设备。 更具体地说,在阅读本指南的说明后,您将学会如何防止访问任何USB存储设备(闪存驱动器、外部硬盘驱动器、智能手机、平板电脑等),它们可以连接到任何在域中的计算机,或拒绝USB存储的访问,只给特定的域用户。
今天,我们很多人都使用USB存储设备来传输数据。 然而,对于一个组织来说,其员工使用外部存储设备的能力可能包含安全风险,如传播恶意软件或截获敏感数据。 为了避免这些风险,你可以阅读以下说明,以阻止你域中的所有用户和计算机对USB存储设备的访问,或对某些通过使用组策略,只为域内用户提供服务。
注意事项。
1.在这篇文章中,为了通过组策略阻止U盘,我们使用活动目录2016域控制器来创建新的组策略,并在Windows 10 Pro和Windows 7 Pro工作站上应用它。
2. "阻止USB访问 "策略不会影响网域管理员或任何其他连接的USB设备,如USB键盘、鼠标、打印机等。
应用组策略后,用户将无法访问任何类型的USB存储设备,并且在试图访问其电脑上的USB存储设备时,将收到以下错误信息之一。
如何使用组策略来阻止对USB存储设备的访问(Server 2012/2012R2/2016)
- 第1部分:禁止所有域内用户的USB读写访问。 第2部分:禁止某些域内用户的USB读写访问。
第1部分:如何在2016年整个域中阻止对USB存储设备的访问。
要禁止域上的任何计算机(用户)访问任何连接的USB存储设备。
1. 在服务器2016 AD域控制器中,打开 服务器经理 然后从 工具 菜单,打开 组策略管理。 *
此外,导航到 控制面板 -> 管理工具 -> 组策略管理。
2. 隶属 领域 ,选择你的域名,然后 右击 于 默认的域名政策 并选择 编辑 .
3. 在 "组策略管理编辑器 "中,导航到。
- 用户配置 > 策略 > 管理模板 > 系统 > 系统 可移动存储访问
4. 在右边的窗格,双击在。 可移动磁盘:拒绝读取访问。
* 注意事项。
1.许多教程在这一点上建议 启用 的"。 所有可移动存储类:拒绝所有访问 政策,但在我们的测试中,我们发现这一政策不适用于(工作)智能手机或平板电脑。
2.如果你想阻止USB的写访问,选择 可移动磁盘:拒绝写入访问。
5. 检查 已启用 并点击 好的。
6.关闭 组策略编辑器。
7.重新启动 服务器和客户端机器,或运行 gpupdate /force 命令将新的组策略设置(无需重启)应用到服务器和客户端。
第二部分:如何防止特定领域用户访问USB存储设备。
要通过使用组策略禁止特定用户访问USB存储设备,你必须为不想访问USB存储设备的用户创建一个组,然后将新策略应用到这个组。 要做到这一点。
第1步,用禁用的USB用户创建一个组。
注意:如果你已经创建了一个带有禁用USB用户的组,请继续进行第2步。
1. 开放式 活动目录用户和计算机。
2. 在""处右键单击。 用户 在左侧窗格中的 "对象",并选择 新的 > 集团
3. 为新组输入一个名称(例如 "USB禁用用户"),然后点击 OK . *
注意:不要勾选 "全局 "和 "安全 "选项。
4. 打开新创建的组,选择 成员 选项卡,并点击 添加
5. 现在,选择您想阻止的域用户,然后点击 好的。
6. 点击 OK 来关闭组属性。
第2步,创建一个新的组策略对象来禁用USB存储设备。
1. 打开 组策略管理。
2. 在 "域 "对象下,右击你的域并选择 在这个域中创建一个GPO,并将其链接到这里。
3. 为新的GPO键入一个名称(例如 "USB已禁用"),然后点击 好的。
4. 在新的GPO上点击右键,然后点击 编辑。
5. 在 "组策略管理编辑器 "中,导航到。
- 用户配置 > 策略 > 管理模板 > 系统 > 系统 可移动存储访问
4. 在右边的窗格,双击在。 可移动磁盘:拒绝读取访问。 *
* 注意。
1.许多教程在这一点上建议 启用 的"。 所有可移动存储类:拒绝所有访问 政策,但在我们的测试中,我们发现这一政策不适用于(工作)智能手机或平板电脑。
2.如果你想阻止USB写访问,选择 可移动磁盘:拒绝写入访问。
5. 检查 已启用 并点击 好的。
6.关闭 的 组策略管理编辑器 窗口。
7. 回到 "组策略管理",选择 "USB已禁用 "GPO,在 "范围 "选项卡上点击 添加 按钮(在 "安全过滤 "设置下)。
8.键入 "USB禁用用户 "组的名称(例如本帖中的 "USB禁用用户"),然后点击 OK .
9. 完成后,选择 代表团 标签。
10. 在'授权'标签。 选择 的 认证的用户 并点击 先进。
11 在安全选项。 选择 的 认证的用户 和 取消检查 的 应用组策略 完成后,点击 好的。
6.关闭 组策略编辑器。
7.重新启动 服务器和客户机,或运行" gpupdate /force "命令(作为管理员),将新的组策略设置(无需重启)应用于服务器和客户端。
就是这样!让我知道本指南是否对你有帮助,请留下你的经验评论。 请喜欢并分享本指南以帮助他人。
Andy Davis
A system administrator s blog about Windows