Làm cách nào để khóa USB theo User khi đăng nhập vào Domain. Chẳng hạn trên PC1 khi User U1 Logon vào thì cắm USB vào sẽ không sử dụng được, nhưng user U2 Logon vào PC1 thì sẽ cho sử dụng USB (đại loại là U2 được phân quyền cho sử dụng USB). Vì trên thực tế 1 máy tính có thể cho nhiều User sử dụng .
1/ Mở Nodepad, copy đoạn text dưới đây và Save as dạng disableusb.adm file:
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY
[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
labeltextusb="Disable USB Ports"
Enabled="Enabled"
Disabled="Disabled"
2/ Tạo OU, Right click Properties, chọn Group Policy.
3/ Tạo Group Policy: New, đặt tên “disable usb”Sau đó, chọn Edit.
4/ Trong Group Policy Object Editor, chọn Computer Configuration -> Administrative Templates. Right click Add/Remove Templates, chọn Add và Browse đến file disableusb.adm và Close.
5/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings và Right click View chọn Filtering, bỏ check box Only show policy settings that can be fully managed.
6/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings ->Restrict Drivers, double click Disable USB,chọn Disable ->OK
7/ Theo đường dẫn sau:
Computer Config \ Admin Template \ system \ Group Policy \ “User Group Policy loopback processing mode” => Enable nó lên và chọn Mode là Merge
8/ Properties cái GPO “disable usb” lên -> qua tab WMI Filter -> check vào This Filter và click vào nút Browse \ Manage -> Click nút advange -> New -> đặt tên cho WMI filter -> paste cái này vào ô queries:
SELECT * FROM Win32_ComputerSystem WHERE Name = "pc01" or Name = "pc03"
=> Save
9/ Muốn u1 không bị disable usb thì deny quyền read + apply của u1 trên GPO đó đi là xong.
10/ Move các Computers muốn disable USB vào OU. (pc01 + pc03)
11/ Start ->Run: gpupdate /force
=> Test
Ngoài ra bạn có thể sử dụng soft để remote disable usb đi, nếu trúng máy sếp mà sếp ko sử dụng dc usb thì sếp la lên -> mình open lại
Thà disable nhầm còn hơn bỏ sót
Bổ sung thêm là bạn có thể dùng script để disable usb đi:
Const HKEY_LOCAL_MACHINE = &H80000002
strComputer = "."
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\ " & _strComputer & "\root\default:StdRegProv")
strKeyPath = "SYSTEM\CurrentControlSet\Services\USBSTOR"strValueName = "Start"dwValue = 4oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
Nguồn bài viết: Sưu tầm
0 Comments