Win7巧用组策略如何阻止陌生u盘启动

系统大全为您提供

使用个人电脑肯定要经常使用U盘，作为便捷的临时存储设备，U盘是我们不可缺少的文件交换的手段，设置作为临时文件存储设备，但同时也对个人电脑资料产生很大威胁，不光有病毒传播的危险，还可能产生盗取、剽窃等恶性事件。那有没有办法让系统只能使用指定的U盘或者移动硬盘，而禁止其它U盘呢？我们可以通过组策略来完成这项任务。通过设置可以让系统只能使用指定的U盘。注意：—此功能的实现，是通过组策略的限制，阻止安装未知硬件ID的移动存储设备安装驱动，从而达到阻止其使用的目的。—对于已经在该电脑上使用并运行的可移动存储设备，只需在设备管理器上卸载其驱动即可，以后再插入该电脑，由于阻止其驱动安装，从而达到阻止启动的目的。实现步骤：第一步：把自己的U盘先插入，让系统可以正常使用U盘，然后进入“控制面板”，打开“设备管理器”，在里面展开“磁盘驱动器”，可以看见里面有你的U盘。第二步：在上面点击鼠标右键来选择“属性”，在弹出的“属性”窗口中点击“详细信息”标签，然后在设备“属性”下拉框中选择“硬件ID”，下面的“值”中会出现字符串，这个就是你的U盘的硬件ID，把它复制出来保存好。

第三步：还需要复制“通用串行总线控制器”中“USB大容量存储设备”的硬件ID，在“设备管理器”中展开“通用串行总线控制器”列表，找到“USB大容量存储设备”，在它的“属性”窗口中点击“详细信息”标签，复制出它的硬件ID也保存一下。

（注：可将所有个人常用移动存储设备的硬件ID记下，以避免造成不必要的麻烦，以后添加新的可移动设备，可另行记下，后续加入）第四步：找出U盘的硬件ID后就可以通过组策略来实现了。在开始菜单中搜索“运行”，点击运行，或者直接Win+R打开“运行”窗口，输入“gpedit.msc”，或者在魔方优化大师的“实用工具”中打开“Windows系统工具箱”，找到组策略。

依次展开“计算机配置→管理模板→系统→设备安装→设备安装限制”。（1）打开右侧的“禁止安装未由其他策略设置描述的设备”，在弹出的窗口中选择“已启用”，再点击“确定”按钮。（2）然后再打开“允许安装与下列设备ID相匹配的设备”，设置为“已启用”，在“选项”窗格中点击“显示”，将第三步中复制好的硬件ID分别添加进去。

注：只有在（1）设置为“已启用”的前提下，（2）的设置才会生效，这样就可以来禁止策略没描述的USB设备。设置成功，无需重启。当插入新的可移动存储设备（从未在此电脑上运行过的）时，在安装驱动的过程中，弹出以下提示，成功阻止。

注意：当需要添加新的可信任移动存储设备时，只需将第四步中的（1）设置为“未配置”或者“已禁用”，然后重新插入新设备，即可实现启动，再讲硬件ID添加至（2）中即可。

最后说一句，设置有风险，操作需谨慎。

以上就是系统大全给大家介绍的如何使的方法都有一定的了解了吧，好了，如果大家还想了解更多的资讯，那就赶紧点击系统大全官网吧。

本文来自系统大全http://www.win7cn.com/如需转载请注明！推荐：win7纯净版

win7系统，怎么禁止u盘自动启动？

方法1，

改注册表

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\USBSTOR]

"Start"=dword:00000004

方法2，

如何利用AD 组策略来屏蔽U 盘等可移动磁盘

如何利用AD 组策略来屏蔽U 盘

最近在外面做点小方案，捞点外块，根据客户的要求，研究了一个新东西:如何利用组

策略来屏蔽U 盘等可移动磁盘。一部份来自于互联网，通过分析和整理，总结如下：

1、 在域控制器上打开Active Directory 用户和计算机，找到您要屏蔽U 盘的组织单位

（Organizational Unit 简称OU），右键查看此组织单位的属性，点击组策略页面，新建

一个组策略，命名并保存为“屏蔽U 盘”，建好后，双击“屏蔽U 盘”（必需先打开一次，否

则系统不会拷贝那几个模板文件），在打开的标题为“组策略”的窗口的左边，按以下顺序定

位“用户配置－管理模板-Windows 组件-Windows 资源管理器”，选中Windows 资源管理

器，我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”，

双击打开其中一项策略，选择“启用”，下面的下拉框会变亮，单击下拉框，您会发现系统提

供了7 种限制访问驱动器号的组合，其中也包括了“不限制驱动器”，显然，这些组合不能满

足我们的要求（因为U 盘的盘符通常是排在最后的，而且现在的硬盘比较大，少则也有三

四个分区）。

2、 在域控制器上打开Active Directory 用户和计算机，在刚才我们新建的“屏蔽U 盘”策略上

单击右键选择查看属性，找到"屏蔽U 盘"的组策略的唯一的名称，此名称为一长串数字和字

母组成，本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9}，记下此字符串。

3、 打开系统盘，定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹，

此文件夹位于C:\WINDOWS\SYSVOL\sysvol\hcsAD.hc\Policies（盘

符依赖于您安装的操作系统所在的分区，如果安装AD 时在C 盘，默认则就是这个

路径，其中hcsad.hc 则是你给这个AD 取得名字，我这里给这个域的顶级域名

取为为HC，所以这里就是HCSAD.HC），打开

{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录，找到ADM 目录下的

system.adm 文件，此文件是我们在实施组策略的模板文件，是一个纯文本文件，可用记

事本打开，找到下面这两段代码：

* POLICY !!NoDrives

EXPLAIN !!NoDrives_Help

PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED

VALUENAME "NoDrives"

ITEMLIST

NAME !!ABOnly VALUE NUMERIC 3

NAME !!COnly VALUE NUMERIC 4

NAME !!DOnly VALUE NUMERIC 8

NAME !!ABConly VALUE NUMERIC 7

NAME !!ABCDOnly VALUE NUMERIC 15

NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT

low 26 bits on (1 bit per drive)

NAME !!RestNoDrives VALUE NUMERIC 0

END ITEMLIST

END PART

END POLICY

如何利用AD 组策略来屏蔽U 盘等可移动磁盘

* POLICY !!NoViewOnDrive

EXPLAIN !!NoViewOnDrive_Help

PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED

VALUENAME "NoViewOnDrive"

ITEMLIST

NAME !!ABOnly VALUE NUMERIC 3

NAME !!COnly VALUE NUMERIC 4

NAME !!DOnly VALUE NUMERIC 8

NAME !!ABConly VALUE NUMERIC 7

NAME !!ABCDOnly VALUE NUMERIC 15

NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT

low 26 bits on (1 bit per drive)

NAME !!RestNoDrives VALUE NUMERIC 0

END ITEMLIST

END PART

END POLICY

说明：这是两个策略，第一个!!NoDrive，它的作用是在我的电脑中不显示指定的驱动

器名，驱动器号代表的所有驱动器不出现在标准的打开对话框上，但是在地址栏中输入盘符

或新建一个指向硬盘盘符的快捷方式，用户仍然可以访问该驱动器；第二

个!!NoViewOnDrive 的作用是阻止用户访问驱动器。可以阻止上述情况的出现，但是仅仅

用第二个的话，用户可以看见该驱动器的盘符，但不能访问，一般情况，两个同时使用，可

以达到比较理想的效果。

仔细观察上述代码，不难发现，其中一共有7 个NAME 项，后面的VALUE NUMERIC

按照low 26 bits on (1 bit per drive)的规则取值，low 26 bits on 的意思说值为26 位

的二进制，最多可指定26 个驱动器盘符，而1 bit per drive 则代表1 位代表1 个驱动器，

举例说A=1，B=2，C=4，D=8，E=16，F=32，G=64，H=128，I=256，由低到高，

以此类推。我们可根据我们的需要修改此代码段，假如我们要隐藏A、B、C、F、G、H、I，

您可以根据您的需要而定，推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所

有的USB 接口数（防止有人同时插入几个U 盘，呵呵,但是我建议，在做系统规划时就要

注意这个问题：就是固定给所有的电脑分配几个盘，如4 个，即：CDEF，这样我们就可

以利用禁掉除CDEF 所有的盘，这样就可以保证万无一失啦，哈哈…）。那么我们计算出

VALUE NUMERIC 的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487，

在两个策略中的

NAME !!ABCDOnly VALUE NUMERIC 15

下插入一行

NAME !!ABCFGHIOnly VALUE NUMERIC 487

随后，利用查找命令，找到以下字段：在 ABConly="仅限制驱动器 A、B 和 C" ，

这一段文字，下面插入一行数据， ABCFGHIOnly="仅限制驱动器A、B、C、F、G、H、

I"，等于号后引号内的说明您可以根据自己的喜好定义，它将会显示在策略的下拉框中。保

存后，打开“屏蔽U 盘”策略，定位“用户配置-管理模板-Windows 组件-Windows 资源管

如何利用AD 组策略来屏蔽U 盘等可移动磁盘

理器”，在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问

驱动器”其中的一个，点击“启用”，再点击下拉框，哈哈，您会发现您多了一个选项

这时候，您只要在您想屏蔽的用户的组织单位上应用此策略（别忘了这两个策略都需要设

置），保存后，包含于该组织单位下的用户登录时，便会发现他的U 盘插上后，系统虽能识别并

正确安装驱动，但在“我的电脑”中却无法看见，并且通过其他方法也无法访问，包括在地址栏中

输入盘符。

最后，附上从A 到Z 对应的每一个数字，方便大家理解：

A B C D E F

1 2 4 8 16 32

G H I J K L

64 128 256 512 1024 2048

M N O P Q R

4096 8192 16384 32768 65536 131072

S T U V W X

262144 524288 1048576 2097152 4194304 8388608

Y Z

16777216 33554432

根据上表中的数字，大家可以根据实际想禁用的盘符然后对应表上的数字得出的总数，如想禁用

所有的盘符，即从A 到Z，则以上的数字相加等于67108863，以上面找到的那两段代码，其

中就有一项禁用所有盘符，后面的数字也正好是这个。

举例：比如你如果想禁止除CDEF 这四个盘以外的所有盘，则是按上表中的数字去掉CDEF 中

对应的数字，四个盘对应的数字正好是60，因此，将这个总数：67108863 减去60=67108803。

然后在上面插入的那段字符里做相应的调整，你也可以根据喜好，创建多个组合，如禁止

CDEFGHIJK,或是禁止XYZ 等等。但是要注意此段代码：NAME !!ABCFGHIOnly VALUE

NUMERIC 487（比如你想禁用从除CDEF 之外的所有盘符，是要在这段代码的！！后面写成

这样：ABGHIJKLMNOPQRSTUVWXYZOnly VALUE……，后面的NUMERIC 487 则根据你

想要禁用的盘符的数值（见上表）加起来的和，总而言之一句话，你想要禁用的盘符都要在这段

代码里面。

至此，全部设置完毕，让您的客户段使用此OU 下的用户登录看看吧！

程栋良

2007-11-25

Win7禁止用户打开U盘的方法

1、点击开始菜单中的运行按钮，输入gpedit.msc回车打开组策略编辑器

2、点击用户配置中的“管理模板”--“系统”--“可移动存储访问”

3、在右侧找到并双击打开“可移动磁盘：拒绝读取权限”选项

4、在弹出的设置中勾选“已启用”，点击确定退出

5、设置完成，之后再想打开U盘时就会出现用户拒绝对话框。

相关推荐：

抖音春晚直播观看人数破1.3亿， 火山引擎技术助力“新年俗”新体验

win7系统打不开本地磁盘怎么办

Win7巧用组策略如何阻止陌生u盘启动

Win7系统百度云盘下载速度提升方法步骤 如何在

新年之际，倍思给你带来最佳桌面搭档

春节全家聚会氛围神器 B8967全景声回音壁

OPPO携手创维电视，共建潘塔纳尔开放生态的美好未来

win7下设备管理器摄像头显示黄感叹号怎么办

声明：《Win7巧用组策略如何阻止陌生u盘启动》一文由排行榜大全（佚名 ）网友供稿，版权归原作者本人所有，转载请注明出处。如果您对文章有异议，可在反馈入口提交处理！