以前曾经工作过的单位为了杜绝员工使用USB设备擅自复制公司资料,极端的采取了直接吧USB口用胶水封掉的方法,这个好像有点夸张。在企业应用中完全杜绝U盘的使用会造成一些不便。并且针对不同的员工这种应用是应该有所区分的。好在现在有了域,那么使用域的组策略设置加上一些简单的脚本就可以实现特定员工无法使用U盘或者只能读取U盘中数据。
首先制作一个简单的批处理,内容如下:
reg add HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /v WriteProtect /t REG_DWORD /d 00000001
把上面的文字复制到记事本,另存为read.bat即可。
这个批处理的目的主要是在注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\项目下创建名为StorageDevicePolicies的子项目,并且在该子项目下建立Writeprotect键 Dword值为00000001
做完上面的东西后如果直接在XP下运行该批处理文件后再插入U盘,U盘就已经是只读的无法写入数据了。
如果要恢复只需把最后的DWORD值改为00000000即可。
真的要一个一个拷贝到每个客户端去运行这个批处理也真的是蛮累人的,有了域环境大可不必这样做。虽然可以用很多方法来实现这个功能,我这介绍一下用登陆注销脚本来实现的方法。
您可以先行建立组织单元,把需要管制的用户全部归类进来。然后选择组策略设置-》用户设置-》脚本(登陆注销),双击登陆选择显示文件-》把刚才编辑好的read.bat复制进去选择并关闭该窗口-》选择添加-》浏览-》选择read.bat-》确定。(需要注意的是批处理文件的权限,放置目录的权限是否和需要管制的用户权限有冲突,如果需要管制的用户组织单元中的用户没有权限读取read.bat那么将导致策略失败)
至此您已经成功的设置了组策略,管制组的用户只要使用其账户登陆计算机后就会直接应用该批处理。
为了不让用户自己更改注册表键值,可以在策略中将注册表禁用。该用户注销后已经更改的注册表值是不会自动更改回来的。如果需要把它该回到原来的状态那么就需要添加注销脚本,怎么做????这个不用再说了吧^_^。
至于USB设备的禁用。实际上原理都是更改注册表,差不多的啦^_^。唯一提醒一下大家的是这个方法对Windows 2003 不管用哦。
订阅:
博文评论 (Atom)
0 评论:
发表评论