組策略對(duì)于保障系統(tǒng)的安全性方面起著至關(guān)重要的作用，而可移動(dòng)存儲(chǔ)設(shè)備往往會(huì)對(duì)系統(tǒng)的安全性造成威脅，本文介紹了如何利用windows 2008中的組策略來設(shè)置可移動(dòng)存儲(chǔ)設(shè)備的訪問。

在Windows Server 2008 中，管理員可以應(yīng)用組策略來控制用戶是否可以對(duì)使用可移動(dòng)介質(zhì)的任何設(shè)備進(jìn)行讀取或?qū)懭搿＿@些策略可用于幫助禁止將敏感或機(jī)密材料寫入可移動(dòng)介質(zhì)或包含存儲(chǔ)區(qū)域的可移動(dòng)設(shè)備后帶走。

此策略設(shè)置可以在兩個(gè)位置找到。在"計(jì)算機(jī)配置\管理模板\系統(tǒng)\可移動(dòng)存儲(chǔ)訪問"中找到的策略設(shè)置將影響計(jì)算機(jī)和登錄計(jì)算機(jī)的每個(gè)用戶。在"用戶配置\管理模板\系統(tǒng)\可移動(dòng)存儲(chǔ)訪問"中找到的策略設(shè)置僅影響對(duì)其應(yīng)用了策略設(shè)置的用戶，包括組（如果使用 Active Directory 應(yīng)用了組策略）。

每個(gè)設(shè)備類別都支持兩個(gè)策略：一個(gè)是拒絕讀取權(quán)限，另一個(gè)是拒絕寫入權(quán)限：

- 強(qiáng)制實(shí)施重新啟動(dòng)的時(shí)間（以秒為單位）。設(shè)置為了對(duì)可移動(dòng)存儲(chǔ)設(shè)備的訪問權(quán)限強(qiáng)制實(shí)施更改，重新啟動(dòng)系統(tǒng)需要等待的時(shí)間（以秒為單位）。只有在不通過重新啟動(dòng)無法應(yīng)用限制策略時(shí)才強(qiáng)制實(shí)施重新啟動(dòng)。

-  CD 和 DVD。這些策略設(shè)置允許您拒絕對(duì) CD 和 DVD 可移動(dòng)存儲(chǔ)類中的設(shè)備（包括通過 USB 連接的設(shè)備）進(jìn)行讀取或?qū)懭朐L問。

實(shí)例：

（一）準(zhǔn)備工作

- 運(yùn)行 Windows Vista 的客戶端計(jì)算機(jī)。假定為 DMI-Client。

- USB 存儲(chǔ)驅(qū)動(dòng)器。本指南中描述的方案將 USB 存儲(chǔ)驅(qū)動(dòng)器用作示例設(shè)備。此設(shè)備像是一個(gè)可移動(dòng)磁盤驅(qū)動(dòng)器，它也被稱為"拇指驅(qū)動(dòng)器"、"閃存驅(qū)動(dòng)器"或"鑰匙圈驅(qū)動(dòng)器"。大多數(shù) USB 存儲(chǔ)驅(qū)動(dòng)器不需要制造商提供的任何驅(qū)動(dòng)程序，這些設(shè)備使用Windows Server 2008 提供的驅(qū)動(dòng)程序。

二）使用設(shè)備管理器查找設(shè)備標(biāo)識(shí)字符串

1.  以 DMI-Client\TestAdmin 身份登錄到計(jì)算機(jī)。

2.  插入 USB 存儲(chǔ)驅(qū)動(dòng)器，然后完成安裝。

3.  若要打開設(shè)備管理器，請(qǐng)單擊"開始"按鈕，在"開始搜索"框中鍵入 mmc devmgmt.msc，然后按 Enter。

4.  如果出現(xiàn)"用戶賬戶控制"對(duì)話框，請(qǐng)確認(rèn)所顯示的是您想要執(zhí)行的操作，然后單擊"繼續(xù)"。

設(shè)備管理器啟動(dòng)并顯示一個(gè)表示在您的計(jì)算機(jī)上檢測(cè)到的所有設(shè)備的樹。樹頂部的節(jié)點(diǎn)旁顯示了您的計(jì)算機(jī)名稱。下面的節(jié)點(diǎn)表示各種類別的硬件，您的計(jì)算機(jī)設(shè)備被歸類到這些節(jié)點(diǎn)中。

5.  雙擊"磁盤驅(qū)動(dòng)器"打開列表。（圖1）

6.  右鍵單擊 USB 存儲(chǔ)驅(qū)動(dòng)器對(duì)應(yīng)的條目，然后單擊"屬性"。

此時(shí)將出現(xiàn)"設(shè)備屬性"對(duì)話框。（圖2）

7.  單擊"詳細(xì)信息"選項(xiàng)卡。

8.  在"屬性"列表中，單擊"硬件 Id"。

在"值"下面，記錄所顯示的字符串。（圖3）

注：您可以通過突出顯示文本并按 Ctrl-C 將這些字符串復(fù)制到剪貼板。因?yàn)樵S多硬件 ID 都具有多個(gè)下劃線字符，所以將它們復(fù)制到文本文件十分有用，您可以在必須指定標(biāo)識(shí)符時(shí)從文本文件中進(jìn)行粘貼。這種方法大大降低了您必須向批準(zhǔn)或禁止的設(shè)備列表中添加特定標(biāo)識(shí)符時(shí)出錯(cuò)的可能性。

9.  在"屬性"列表中，單擊"兼容 Id"。

在"值"下面，記錄所顯示的字符串。（圖4）

10.  單擊"確定"關(guān)閉對(duì)話框。

（三）卸載 USB 存儲(chǔ)驅(qū)動(dòng)器
1.  以 DMI-Client\TestAdmin 身份登錄到計(jì)算機(jī)。

2.  若要打開設(shè)備管理器，請(qǐng)單擊"開始"按鈕，在"開始搜索"框中鍵入 mmc devmgmt.msc，然后按 Enter。

3.  如果出現(xiàn)"用戶賬戶控制"對(duì)話框，請(qǐng)確認(rèn)所顯示的是您想要執(zhí)行的操作，然后單擊"繼續(xù)"。

4.  右鍵單擊 USB 存儲(chǔ)驅(qū)動(dòng)器對(duì)應(yīng)的條目，然后單擊"卸載"。（圖5）

5.  在"確認(rèn)設(shè)備刪除"對(duì)話框中，單擊"確定"完成卸載過程。

6.  當(dāng) Windows 完成卸載過程時(shí)，它將從設(shè)備管理器樹中刪除該設(shè)備條目。

7.  從 USB 端口中拔出 USB 存儲(chǔ)驅(qū)動(dòng)器。

希望本文介紹的Windows 2008中組策略設(shè)置可移動(dòng)存儲(chǔ)訪問的方法能夠?qū)ψx者有所幫助，更多有關(guān)組策略的知識(shí)還有待于讀者去學(xué)習(xí)和掌握。

【編輯推薦】

1. 巧用Windows7的組策略
2. windows vista組策略中探索的新事物
3. Windows Vista組策略中新事物的探索
4. 巧用組策略輕松將常用軟件安裝到IE上
5.  Windows2008組策略如何保證系統(tǒng)安全？