2008R2Win7管理二组策略之控管USB及QQ等
本篇仅为列举2个例子一个封锁qq,一个封锁USB,根据这个路线走可以封锁任何你想封锁的程序,以及封锁usb存储设备,光驱设备,以及软驱设备.例子一为封锁qq等你想封锁的程序,例子二为封锁usb存储设备但不封锁usb鼠标等设备.
开始正题1.封锁QQ
首先单击组策略管理,来进行组策略管理
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image002_thumb.jpg
在组策略管理里面,新建一个组策略.
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image003_thumb.jpg
输入组策略的名称
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image004_thumb.jpg
创建完成.单击编辑来编辑组策略.
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image005_thumb.jpg
分为计算机策略和用户策略,计算机策略只针对OU里面有计算机对象的才能生效,如果OU里面没有计算机,做了计算机策略是不能生效的,用户策略则是针对用户的.
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image006_thumb.jpg
我们目前做针对用户的策略,来封锁程序,在软件限制策略上单击创建软件限制策略.
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image007_thumb.jpg
创建以后则有了默认级别的规则.
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image008_thumb.jpg
右键单击新建哈希规则
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image009_thumb.jpg
单击浏览找到QQ.exe单击确定则会自动读取QQ的哈希值
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image010_thumb.jpg
单击确定完成哈希规则的创建
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image011_thumb.jpg
新建路径规则也简单描述一番,路径可以用万有字符代替,只要路径中包含该字符,则无法访问.
这样做的目的是一旦QQ的哈希值大升级变更了哈希值,还能用路径规则限制QQ的访问
创建完成如图,下面我们要做的就是将office这个组策略套用到office这个ou上或者我们要控制的ou上,因为做的是用户策略,也要保证该OU下存在用户账户,并且客户端使用该账户登录.直接将office这个组策略向欲连接的ou上拖拽即可连接.
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image012_thumb.jpg
拖拽到office这个ou出现提示,是否连接,单击确定连接
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image013_thumb.jpg
连接完成,查看office这个ou连接的组策略,可以看到如图
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image014_thumb.jpg
查看继承,可以看到继承了默认的组策略.,也受全域策略限制
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image016_thumb.jpg
下面我们在客户端上手动刷新一下组策略
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image017_thumb.jpg
打开QQ程序,则出现阻止错误
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image018_thumb.jpg
2.USB存储封锁,在2008R2网域后,针对usb存储已经不像2003网域那样封锁比较麻烦,这里能很好的做封锁,也有针对计算机和针对用户.
针对用户的,不管他在何电脑都不能使用usb,针对计算机的则是不管是什么用户到该电脑都无法使用usb,各位酌情选择.
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image020_thumb.jpg
这是封锁前,插入的一个量产过的u盘,能正常识别出usb-cdrom和U盘设备.
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image021_thumb.jpg
下面开始做策略,这个是针对计算机的策略,位于计算机配置=策略-管理模版=系统-可移动存储访问
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image023_thumb.jpg
用户的位于用户配置-策略=管理模版-系统-可移动存储访问
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image025_thumb.jpg
编辑可移动磁盘拒绝读取权限,选择已启用
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image026_thumb.jpg
拒绝写入权限启用
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image027_thumb.jpg
设置2个策略完成如图
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image028_thumb.jpg
在客户端刷新一下,再插入U盘,看看,能正常识别,但是F这个U盘无法访问.
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image030_thumb.jpg
但是量产成光驱的还能正常读取
http://images.cnblogs.com/cnblogs_com/ccfxny/WindowsLiveWriter/2008R2Win7USBQQ_6D6F/clip_image032_thumb.jpg
如果我们在上面设置了禁止存取光驱,那么光驱也会不能读取,看看简单的几步就能将在windows 2003环境中封锁U盘存储设备的困境解决,2003封锁U盘就是一刀切,连usb鼠标也封锁了,使用本文则不会,本文只针对usb存储设备!是不是很实用呢. 很实用的哦 我顶你个肺啊!
页:
[1]