AD组策略巧妙禁用U盘

1、在域控制器上打开ActiveDirectory用户和计算机，找到您要屏蔽U盘的组织单位（OrganizationalUnit简称OU），右键查看此组织单位的属性，点击组策略页面，新建一个组策略，命名并保存为“屏蔽U盘”，建好后，双击“屏蔽U盘”（必需先打开一次，否则系统不会拷贝那几个模板文件），在打开的标题为“组策略”的窗口的左边，按以下顺序定位“用户配置－管理模板-Windows组件-Windows资源管理器”，选中Windows资源管理器在右边的窗口中会显示如图，记住这两个策略后关掉组策略。

2、在域控制器上打开ActiveDirectory用户和计算机，在刚才我们新建的“屏蔽U盘”策略上单击右键选择查看属性，在如图3所示的位置找到"屏蔽U盘"的组策略的唯一的名称，此名称为一长串数字和字母组成，本例中为{C799927A-1D2C-4AD6-9A4C-46F292B97}，记下此字符串(如图)。

3、打开系统盘，定位以{C799927A-1锓旆痖颧D2C-4AD6-9A4C-46F292B97}命名的文件夹，此文件夹位于“C:\WINDOWS\SYSVOL\sysvol\baling.com（\Policies”下（盘符依赖于您安装的操作系统所在的分区），注意其中baling.com是您的Windows2003的域名，打开{C799927A-1D2C-4AD6-9A4C-46F292B97}目录，找到ADM目录下的system.adm文件，此文件是我们在实施组策略的模板文件，是一个纯文本文件，可用记事本打开，搜索NoDrives 找到（如图）的代码

4、举例说A=1，B=2，C=4，锓旆痖颧D=8，E=16，F=32，G=64，H=128，I=256，由低到高，以此类推。我们可根据我们的需要修改此沪枭诽纾代码段，假如我们要隐藏A、B、G、H、I，您可以根据您的需要而定，推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所有的USB接口数（防止有人同时插入几个U盘，呵呵！）。那么我们计算出VALUENUMERIC的数值A+B+G+H+I=1+2+4+32+64+128+256=451，在两个代码中的两句NAME!!ABCDOnlyVALUENUMERIC15下各插入一行��NAME!!ABCFGHIOnlyVALUENUMERIC451（如图）��

5、随后，搜索strings，在ABConly="仅限制驱动器A、B和C"下面插入一行数据，　　　　ABGHIOnly="仅限制驱动器A、B、G、H、I"等于号后引号内的说明您可以根据自己的喜好定义.然后保存关闭文件"

6、打开“屏蔽U盘”策略，定位“用户配置-管理模板-Windows组件-Windows资源管理器”，在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问驱动器”其中的一个，点击“启用”，再点击下拉框，哈哈，您会发现您多了一个选项（如图）启用了策略就大功告成了。如果要此用户能用U盘则把该用户移出OU。在注销重新登录就好了