在域控制器上打開Active Directory用戶和計算機，找到您要屏蔽U盤的組織單位（Organizational Unit 簡稱OU），右鍵查看此組織單位的屬性，點擊組策略頁面，新建一個組策略，命名并保存為“屏蔽U盤”，建好后，雙擊“屏蔽U盤”（必需先打開一次，否則系統不會拷貝那幾個模板文件），在打開的標題為“組策略”的窗口的左邊，按以下順序定位“用戶配置－管理模板-Windows組件-Windows資源管理器”，選中Windows資源管理器，在右邊的窗口中會顯示。　　

我們可以看到有“隱藏我的電腦中的這些指定的驅動器”和“防止從我的電腦訪問驅動器”，雙擊打開其中一項策略，選擇“啟用”，下面的下拉框會變亮，單擊下拉框，如圖2所示，您會發現系統提供了7種限制訪問驅動器號的組合，其中也包括了“不限制驅動器”，顯然，這些組合不能滿足我們的要求（因為U盤的盤符通常是排在最后的，而且現在的硬盤比較大，少則也有三四個分區）。　　

在域控制器上打開Active Directory 用戶和計算機，在剛才我們新建的“屏蔽U盤”策略上單擊右鍵選擇查看屬性，在如圖3所示的位置找到"屏蔽U盤"的組策略的唯一的名稱，此名稱為一長串數字和字母組成。　　

打開系統盤，定位到以剛才查看屬性看到的那串數字命名的文件夾，此文件夾位于“C:\Windows\SYSVOL\你的域名\Policies”下（盤符依賴于您安裝的操作系統所在的分區），注意其中打開以剛才查看屬性看到的那串數字命名的文件夾，找到ADM目錄下的system.adm文件，此文件是我們在實施組策略的模板文件，是一個純文本文件，可用記事本打開，找到下面這兩段代碼：　　　

* POLICY !!NoDrives 　　　

EXPLAIN !!NoDrives_Help 　　　　

PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED 　　　

VALUENAME "NoDrives" 　　　

ITEMLIST 　　　

NAME !!ABOnly VALUE NUMERIC 3 　　　

NAME !!COnly VALUE NUMERIC 4 　　　

NAME !!DOnly VALUE NUMERIC 8 　　　

NAME !!ABConly VALUE NUMERIC 7 　　　

NAME !!ABCDOnly VALUE NUMERIC 15 　　　

NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive) 　　　

NAME !!RestNoDrives VALUE NUMERIC 0 　　　

END ITEMLIST 　　　

END PART 　　　

END POLICY 　　　

* POLICY !!NoViewOnDrive 　　　

EXPLAIN !!NoViewOnDrive_Help 　　　

PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED 　　　

VALUENAME "NoViewOnDrive" 　　　

ITEMLIST 　　　

NAME !!ABOnly VALUE NUMERIC 3 　　　

NAME !!COnly VALUE NUMERIC 4 　　　

NAME !!DOnly VALUE NUMERIC 8 　　　

NAME !!ABConly VALUE NUMERIC 7 　　　

NAME !!ABCDOnly VALUE NUMERIC 15 　　　

NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT 　　　 ; low 26 bits on (1 bit per drive) 　　　

NAME !!RestNoDrives VALUE NUMERIC 0 　　　

END ITEMLIST 　　　

END PART 　　　　

END POLICY 　　

說明：這是兩個策略，第一個!!NoDrive，它的作用是在我的電腦中不顯示指定的驅動器名，驅動器號代表的所有驅動器不出現在標準的打開對話框上，但是在地址欄中輸入盤符或新建一個指向硬盤盤符的快捷方式，用戶仍然可以訪問該驅動器；第二個!!NoViewOnDrive的作用是阻止用戶訪問驅動器。可以阻止上述情況的出現，但是僅僅用第二個的話，用戶可以看見該驅動器的盤符，但不能訪問，一般情況，兩個同時使用，可以達到比較理想的效果。

仔細觀察上述代碼，不難發現，其中一共有7個NAME項，正好和下拉框中的一一對應，后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的規則取值，low 26 bits on的意思說值為26位的二進制，最多可指定26個驅動器盤符，而1 bit per drive則代表1位代表1個驅動器，舉例說A=1，B=2，C=4，D=8，E=16，F=32，G=64，H=128，I=256，由低到高，以此類推。我們可根據我們的需要修改此代碼段，其實就是看你要隱藏的盤符在字母表里面第幾位，然后2的他的位數的次方，如果有多個那就是每個盤符計算下來的結果相加。

然后繼續查找“Stings”，添加一行“（剛才新加的名稱例如E ONLY）=“除E外其他驅動器"” 等于號后引號內的說明您可以根據自己的喜好定義，它將會顯示在如圖2的下拉框中。保存后，打開“屏蔽U盤”策略，定位“用戶配置-管理模板-Windows 組件-Windows 資源管理器”，在右邊的窗口中雙擊“隱藏我的電腦中的這些指定的驅動器”或“防止從我的電腦訪問驅動器”其中的一個，點擊“啟用”，再點擊下拉框，哈哈，您會發現您多了一個選項　這時候，您只要在您想屏蔽的用戶的組織單位上應用此策略（別忘了這兩個策略都需要設置），保存后，包含于該組織單位下的用戶登錄時，便會發現他的U盤插上后，系統雖能識別并正確安裝驅動，但在“我的電腦”中卻無法看見，并且通過其他方法也無法訪問，包括在地址欄中輸入盤符。　至此，全部設置完畢，讓您的客戶段使用此OU下的用戶登錄看看吧！

————————————————————————————————————————————————————————————

如果域內電腦磁盤盤符不一致，這個方法就不適用了，只能換2008,2008有個獨立的組策略可以實現

轉載于:https://www.cnblogs.com/dingyichao/archive/2011/01/14/1935529.html

總結

以上是生活随笔為你收集整理的WINDOWS2003域控制器禁止U盘的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。