Win2019 R2管理二組策略之控管USB

本篇僅為列舉2個例子乙個封鎖qq，乙個封鎖usb，根據這個路線走可以封鎖任何你想封鎖的程式，以及封鎖usb儲存裝置，光碟機裝置，以及軟碟機裝置。

例子一為封鎖qq等你想封鎖的程式，例子二為封鎖usb儲存裝置但不封鎖usb滑鼠等裝置。

開始正題

1、封鎖qq

首先單擊組策略管理，來進行組策略管理（圖1）

在組策略管理裡面，新建乙個組策略。（圖2）

輸入組策略的名稱（圖3）

建立完成。單擊編輯來編輯組策略。（圖4）

分為計算機策略和使用者策略，計算機策略只針對ou裡面有計算機物件的才能生效，如果ou裡面沒有計算機，做了計算機策略是不能生效的，使用者策略則是針對使用者的。（圖5）

我們目前做針對使用者的策略，來封鎖程式，在軟體限制策略上單擊建立軟體限制策略。（圖6）

建立以後則有了缺省級別的規則。（圖7）

右鍵單擊新建雜湊規則（圖8）

單擊瀏覽找到qq。exe單擊確定則會自動讀取qq的雜湊值（圖9）

單擊確定完成雜湊規則的建立（圖10）

新建路徑規則也簡單描述一番，路徑可以用萬有字元代替，只要路徑中包含該字元，則無法訪問。

這樣做的目的是一旦qq的雜湊值大公升級變更了雜湊值，還能用路徑規則限制qq的訪問

建立完成如圖，下面我們要做的就是將office這個組策略套用到office這個ou上或者我們要控制的ou上，因為做的是使用者策略，也要保證該ou下存在使用者賬戶，並且客戶端使用該賬戶登入。直接將office這個組策略向欲連線的ou上拖拽即可連線。（圖11）

拖拽到office這個ou出現提示，是否連線，單擊確定連線（圖12）

連線完成，檢視office這個ou連線的組策略，可以看到如圖（圖13）

檢視繼承，可以看到繼承了預設的組策略。，也受全域策略限制（圖14）

下面我們在客戶端上手動重新整理一下組策略（圖15）

開啟qq程式，則出現阻止錯誤（圖16）

2、usb儲存封鎖。

在2008r2網域後，針對usb儲存已經不像2003網域那樣封鎖比較麻煩，這裡能很好的做封鎖，也有針對計算機和針對使用者。

針對使用者的，不管他在何電腦都不能使用usb，針對計算機的則是不管是什麼使用者到該電腦都無法使用usb，各位酌情選擇。（圖17）

這是封鎖前，插入的乙個量產過的u盤，能正常識別出usb-cdrom和u盤裝置。（圖18）

下面開始做策略，這個是針對計算機的策略，位於計算機配置=策略-管理模版=系統-可移動儲存訪問（圖19）

使用者的位於使用者配置-策略=管理模版-系統-可移動儲存訪問（圖20）

編輯可移動磁碟拒絕讀取許可權，選擇已啟用（圖21）

拒絕寫入許可權啟用（圖22）

設定2個策略完成如圖（圖23）

在客戶端重新整理一下，再插入u盤，看看，能正常識別，但是f這個u盤無法訪問。（圖24）

但是量產成光碟機的還能正常讀取（圖25）

如果我們在上面設定了禁止訪問光碟機，那麼光碟機也會不能讀取，看看簡單的幾步就能將在windows 2003環境中封鎖u盤儲存裝置的困境解決，2003封鎖u盤就是一刀切，連usb滑鼠也封鎖了，使用本文則不會，本文只針對usb儲存裝置!是不是很實用呢。

Win2019 R2管理二 組策略之控管USB