iT邦幫忙

0

AD開機時利用BAT來登錄reg

我的bat內容是@echo off
regedit /s \\192.168.1.155\download\DisableUSB.reg
REG的內容是Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor]
"Start"=dword:00000004
bat跟REG在本機測試都可以,但是如果是再AD讓使用者登入/登出執行bat檔便無法成功,這應該是client吳權限去修改登錄檔造成的吧,請問要如何再開機時可以順利完成我需要的動作,但是進入桌面後,使用者依舊不能去修改登錄檔

CalvinKuo iT邦大師 7 級 ‧ 2013-08-30 16:15:35 檢舉
打算鎖USB阿...
你要動到的 HKEY_LOCAL_MACHINE 可以遠端修改...
http://blog.pmail.idv.tw/?p=1428
如果有AD的話,用群組原則會比較方便。
http://wnchn.blogspot.tw/2012/07/usb.html
我是想用AD測試,大大提的第二個那個方案,我有試過,在AD也有弄出範本,但是client卻都是測試失敗,不知道是哪裡搞錯了

2 個回答

6
vino1
iT邦大師 1 級 ‧ 2013-09-02 08:37:35
最佳解答

如果你的 AD Server 是 2008 Server
請參考底下這篇微軟technet的教學
http://technet.microsoft.com/zh-tw/magazine/2007.06.grouppolicy.aspx

上述方法只對2008網域且Client為 Win7 / Vista 有效, 如果你的Client 還有 Winxp 的話,請參考底下這篇微軟的官方教學,
http://support.microsoft.com/kb/555324/en-us

或是參考底下這篇, 也有詳細的教學
http://www.petri.co.il/disable\_usb\_disks\_with\_gpo.htm

我我的AD(2008)跟Client(XP)都是架在VirtualBox測試,上述兩個方法都行不通,而且在利用regedit /s disableUSB.reg除了在啟動那邊有設定外還在登入/登出那邊也都設定了,也都還是不行
disableUSB.reg的內容是Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor]
"Start"=dword:00000004

今天把clinet端換成實體機,仍舊是不行,兩個方法都無法限制XP的USB,也不清楚是哪方面有問題,還有其他方案能夠解決嗎?我只是在做測試,但測不出來也不知道問題在哪

4
freelab
iT邦新手 1 級 ‧ 2013-09-01 11:02:18

是要限制USB使用嗎?

我要發表回答

立即登入回答