AD開機時利用BAT來登錄reg

isaepfkeyr 2013-08-30 15:55:57 ‧ 6076 瀏覽

我的bat內容是@echo off
regedit /s \\192.168.1.155\download\DisableUSB.reg
REG的內容是Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor]
"Start"=dword:00000004
bat跟REG在本機測試都可以，但是如果是再AD讓使用者登入/登出執行bat檔便無法成功，這應該是client吳權限去修改登錄檔造成的吧，請問要如何再開機時可以順利完成我需要的動作，但是進入桌面後，使用者依舊不能去修改登錄檔

CalvinKuo iT邦大師 7 級 ‧ 2013-08-30 16:15:35 檢舉

打算鎖USB阿...
你要動到的 HKEY_LOCAL_MACHINE 可以遠端修改...
http://blog.pmail.idv.tw/?p=1428
如果有AD的話，用群組原則會比較方便。
http://wnchn.blogspot.tw/2012/07/usb.html

isaepfkeyr iT邦研究生 4 級 ‧ 2013-08-30 17:04:30 檢舉

我是想用AD測試，大大提的第二個那個方案，我有試過，在AD也有弄出範本，但是client卻都是測試失敗，不知道是哪裡搞錯了

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

vino1

iT邦大師 1 級 ‧ 2013-09-02 08:37:35

最佳解答

如果你的 AD Server 是 2008 Server
請參考底下這篇微軟technet的教學
http://technet.microsoft.com/zh-tw/magazine/2007.06.grouppolicy.aspx

上述方法只對2008網域且Client為 Win7 / Vista 有效, 如果你的Client 還有 Winxp 的話,請參考底下這篇微軟的官方教學,
http://support.microsoft.com/kb/555324/en-us

或是參考底下這篇, 也有詳細的教學
http://www.petri.co.il/disable_usb_disks_with_gpo.htm

回應 2
分享
檢舉

isaepfkeyr iT邦研究生 4 級 ‧ 2013-09-04 13:28:28 檢舉

我我的AD(2008)跟Client(XP)都是架在VirtualBox測試，上述兩個方法都行不通，而且在利用regedit /s disableUSB.reg除了在啟動那邊有設定外還在登入/登出那邊也都設定了，也都還是不行
disableUSB.reg的內容是Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor]
"Start"=dword:00000004