电脑组策略里面的禁止访问磁盘和隐藏磁盘设置无效

方法1，改注册表[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\USBSTOR]"Start"=dword:00000004方法2，如何利用AD 组策略来屏蔽U 盘等可移动磁盘如何利用AD 组策略来屏蔽U 盘最近在外面做点小方案，捞点外块，根据客户的要求，研究了一个新东西:如何利用组策略来屏蔽U 盘等可移动磁盘。一部份来自于互联网，通过分析和整理，总结如下：1、 在域控制器上打开Active Directory 用户和计算机，找到您要屏蔽U 盘的组织单位（Organizational Unit 简称OU），右键查看此组织单位的属性，点击组策略页面，新建一个组策略，命名并保存为“屏蔽U 盘”，建好后，双击“屏蔽U 盘”（必需先打开一次，否则系统不会拷贝那几个模板文件），在打开的标题为“组策略”的窗口的左边，按以下顺序定位“用户配置－管理模板-Windows 组件-Windows 资源管理器”，选中Windows 资源管理器，我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”，双击打开其中一项策略，选择“启用”，下面的下拉框会变亮，单击下拉框，您会发现系统提供了7 种限制访问驱动器号的组合，其中也包括了“不限制驱动器”，显然，这些组合不能满足我们的要求（因为U 盘的盘符通常是排在最后的，而且现在的硬盘比较大，少则也有三四个分区）。2、 在域控制器上打开Active Directory 用户和计算机，在刚才我们新建的“屏蔽U 盘”策略上单击右键选择查看属性，找到"屏蔽U 盘"的组策略的唯一的名称，此名称为一长串数字和字母组成，本例中为{82F86A8E-B345-4DDC-A304-E448F6E900A9}，记下此字符串。3、 打开系统盘，定位以{82F86A8E-B345-4DDC-A304-E448F6E900A9}命名的文件夹，此文件夹位于C:\WINDOWS\SYSVOL\sysvol\hcsAD.hc\Policies（盘符依赖于您安装的操作系统所在的分区，如果安装AD 时在C 盘，默认则就是这个路径，其中hcsad.hc 则是你给这个AD 取得名字，我这里给这个域的顶级域名取为为HC，所以这里就是HCSAD.HC），打开{82F86A8E-B345-4DDC-A304-E448F6E900A9}目录，找到ADM 目录下的system.adm 文件，此文件是我们在实施组策略的模板文件，是一个纯文本文件，可用记事本打开，找到下面这两段代码：* POLICY !!NoDrivesEXPLAIN !!NoDrives_HelpPART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME "NoDrives"ITEMLISTNAME !!ABOnly VALUE NUMERIC 3NAME !!COnly VALUE NUMERIC 4NAME !!DOnly VALUE NUMERIC 8NAME !!ABConly VALUE NUMERIC 7NAME !!ABCDOnly VALUE NUMERIC 15NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULTlow 26 bits on (1 bit per drive)NAME !!RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY如何利用AD 组策略来屏蔽U 盘等可移动磁盘* POLICY !!NoViewOnDriveEXPLAIN !!NoViewOnDrive_HelpPART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME "NoViewOnDrive"ITEMLISTNAME !!ABOnly VALUE NUMERIC 3NAME !!COnly VALUE NUMERIC 4NAME !!DOnly VALUE NUMERIC 8NAME !!ABConly VALUE NUMERIC 7NAME !!ABCDOnly VALUE NUMERIC 15NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULTlow 26 bits on (1 bit per drive)NAME !!RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY说明：这是两个策略，第一个!!NoDrive，它的作用是在我的电脑中不显示指定的驱动器名，驱动器号代表的所有驱动器不出现在标准的打开对话框上，但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式，用户仍然可以访问该驱动器；第二个!!NoViewOnDrive 的作用是阻止用户访问驱动器。可以阻止上述情况的出现，但是仅仅用第二个的话，用户可以看见该驱动器的盘符，但不能访问，一般情况，两个同时使用，可以达到比较理想的效果。仔细观察上述代码，不难发现，其中一共有7 个NAME 项，后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的规则取值，low 26 bits on 的意思说值为26 位的二进制，最多可指定26 个驱动器盘符，而1 bit per drive 则代表1 位代表1 个驱动器，举例说A=1，B=2，C=4，D=8，E=16，F=32，G=64，H=128，I=256，由低到高，以此类推。我们可根据我们的需要修改此代码段，假如我们要隐藏A、B、C、F、G、H、I，您可以根据您的需要而定，推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所有的USB 接口数（防止有人同时插入几个U 盘，呵呵,但是我建议，在做系统规划时就要注意这个问题：就是固定给所有的电脑分配几个盘，如4 个，即：CDEF，这样我们就可以利用禁掉除CDEF 所有的盘，这样就可以保证万无一失啦，哈哈…）。那么我们计算出VALUE NUMERIC 的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487，在两个策略中的NAME !!ABCDOnly VALUE NUMERIC 15下插入一行NAME !!ABCFGHIOnly VALUE NUMERIC 487随后，利用查找命令，找到以下字段：在 ABConly="仅限制驱动器 A、B 和 C" ，这一段文字，下面插入一行数据， ABCFGHIOnly="仅限制驱动器A、B、C、F、G、H、I"，等于号后引号内的说明您可以根据自己的喜好定义，它将会显示在策略的下拉框中。保存后，打开“屏蔽U 盘”策略，定位“用户配置-管理模板-Windows 组件-Windows 资源管如何利用AD 组策略来屏蔽U 盘等可移动磁盘理器”，在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问驱动器”其中的一个，点击“启用”，再点击下拉框，哈哈，您会发现您多了一个选项这时候，您只要在您想屏蔽的用户的组织单位上应用此策略（别忘了这两个策略都需要设置），保存后，包含于该组织单位下的用户登录时，便会发现他的U 盘插上后，系统虽能识别并正确安装驱动，但在“我的电脑”中却无法看见，并且通过其他方法也无法访问，包括在地址栏中输入盘符。最后，附上从A 到Z 对应的每一个数字，方便大家理解：A B C D E F1 2 4 8 16 32G H I J K L64 128 256 512 1024 2048M N O P Q R4096 8192 16384 32768 65536 131072S T U V W X262144 524288 1048576 2097152 4194304 8388608Y Z16777216 33554432根据上表中的数字，大家可以根据实际想禁用的盘符然后对应表上的数字得出的总数，如想禁用所有的盘符，即从A 到Z，则以上的数字相加等于67108863，以上面找到的那两段代码，其中就有一项禁用所有盘符，后面的数字也正好是这个。举例：比如你如果想禁止除CDEF 这四个盘以外的所有盘，则是按上表中的数字去掉CDEF 中对应的数字，四个盘对应的数字正好是60，因此，将这个总数：67108863 减去60=67108803。然后在上面插入的那段字符里做相应的调整，你也可以根据喜好，创建多个组合，如禁止CDEFGHIJK,或是禁止XYZ 等等。但是要注意此段代码：NAME !!ABCFGHIOnly VALUENUMERIC 487（比如你想禁用从除CDEF 之外的所有盘符，是要在这段代码的！！后面写成这样：ABGHIJKLMNOPQRSTUVWXYZOnly VALUE……，后面的NUMERIC 487 则根据你想要禁用的盘符的数值（见上表）加起来的和，总而言之一句话，你想要禁用的盘符都要在这段代码里面。至此，全部设置完毕，让您的客户段使用此OU 下的用户登录看看吧！网界网论坛

1、首先在DOS下运行SPFDISK,进入，出现一个欢迎界面，按回车后进入。 2、选择硬碟分割工具，原先硬盘是分成3个盘的，把光标移到C盘上，按回车，出现一个工具条，选择删除分割，提示“确定要删除此分割”，按“Y”确定。这样C盘就变成未配置分割了。 3、然后在上面按回车，选择建立分割，选择建立主分割后，出现“是否配置整块区域”，按“N”，如果是硬盘没有坏区，到这一步就应该按“Y”. (如果有坏区的就不能这样的，因为如果按“Y”，那分出来的硬盘还是有坏区的。) 4、按“N”后提示输入开始磁柱，输入50。出现输入结束磁柱直接按回车就可以了。 注： （1）在上面已经检测到磁柱0到20都是坏的，这里输入50意思就是说 C盘不是从0磁柱开始的，而是从50磁柱开始的，这样50以前的磁柱就没分配，使系统不去读取该区，从而达到屏蔽坏区的效果。 （2）可能有人也许会说怎么不从21磁柱开始呢？这是因为如果划得跟坏区太接近了，会使坏区扩散的。分区完毕，再按一下回车，选择设置活动，然后按ESC键，连续按三个“Y”，最后按“N”完成分区表的保存。 5、保存完分区表，就退出到主界面，再按硬碟分割工具进入，在C盘上按回车，选择最后的DOS工具中的快速格式化，完成硬盘的格式化。如果坏区在其它部分也可以参照上面的例子变通一下屏蔽掉的。但是，如果坏区太分散了，用SPFDISK屏蔽就不太方便了，可以用FBDISK试试。 朱子 回答时间 2007-10-31 15:45 检举 首先确定坏道的大概位置，就是大概在整个硬盘容量的哪个位置，例如80G的硬盘，在20％-25%之间，也就是在16G之后，20G之前的位置，然后用图形化的分区软件，例如PQ8.0，先分一个15G的区，再分一个7G的区，这个7G的区就是坏道所在的区域，把这个区设置为隐藏，就可以忽略坏道了 不知道这样说你是否明白！

---