使用策略禁止USB（XP/2000/2003）

源自微软KB http://support.microsoft.com/kb/823732/zh-cn

如果计算机上尚未安装 USB 存储设备如果计算机上尚未安装 USB 存储设备，请向用户或组分配对下列文件的“拒绝”权限：
%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf
这样，用户将无法在计算机上安装 USB 存储设备。



要向用户或组分配对 Usbstor.pnf 和 Usbstor.inf 文件的“拒绝”权限，请按照下列步骤操作：
启动 Windows 资源管理器，然后找到 %SystemRoot%\Inf 文件夹。
右键单击“Usbstor.pnf”文件，然后单击“属性”。
单击“安全”选项卡。
在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。
在“用户名或组名 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。
右键单击“Usbstor.inf”文件，然后单击“属性”。
单击“安全”选项卡。
在“组或用户名称”列表中，单击要为其设置“拒绝”权限的用户或组。
在“用户名或组名 的权限”列表中，单击以选中“完全控制”旁边的“拒绝”复选框，然后单击“确定”。

如果计算机上已经安装了 USB 存储设备
警告： “注册表编辑器”使用不当可导致严重问题，可能需要重新安装操作系统。Microsoft 不能保证您可以解决因“注册表编辑器”使用不当而导致的问题。使用注册表编辑器需要您自担风险。 如果计算机上已经安装了 USB 存储设备，请将以下注册表项中的“Start”值设置为 4：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

这样，当用户将 USB 存储设备连接到计算机时，该设备将无法运行。要设置“Start”的值，请按照下列步骤操作：
单击“开始”，然后单击“运行”。
在“打开”框中，键入“regedit”，然后单击“确定”。
找到并单击下面的注册表项：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

在右窗格中，双击“Start”。
在“数值数据”框中，键入 4，单击“十六进制”（如果尚未选中），然后单击“确定”。
退出“注册表编辑器”。

在实践操作的时候，可以结合策略中的设定计算机安全属性中的“登陆”和“文件系统”来做策略的分发

通过在登陆项目中新增机码（主键）（注：一般dc如果没有使用过usb设备，那么usbstor这键值是不会产生的，可以手动添加此主键。策略分发到client后，会自动应用于client的注册表中对应键值;      在添加用户的时候可以酌情考虑，是使用domain users还是其他；权限的设置，请点击修改旁边的拒绝，这样当usbstor主键权限继承下去后，如果原来下面的子键已经有相应的权限，那么也会以拒绝优先）

通过在档案系统中新增资料夹（文件夹）（注：在指定文件夹路径的时候，为了使用win2k和winxp，请使用%systemroot%）

就可以完成这一点。

client登入后，如果插入usb设备，系统将会提示：

“您的安全性特殊權限不足,所以無法在這部電腦上安裝新的裝置.請聯絡您的站台系統管理員,或者登出後重新以系統管理員的身分登入,然後再安裝一次.”

至此，USB禁止策略实施成功。