※【Dean小子ㄟ甜蜜窩】※

先把下列指令複製到記事本，存成 DisableUSB.adm

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"

這項功能可以用在 AD 群組原則，也可以用在本機電腦原則，
以下用本機群組原則當作範例。


1. 開始 -> 執行 -> gpedit.msc，這是本機電腦原則
2. 看你要對整台電腦生效，或者針對部份使用者生效，選擇電腦設定 -> 系統管理範本
3. 在系統管理範本按右鍵選新增移除範本，
按下新增，選擇剛剛建立的 DisableUSB.adm，然後關閉
4. 按下 MMC 上方的檢視 -> 篩選 -> 將下方「只顯示可以完全管理原則設定」取消勾選
5. 回到系統管理範本，會發現底下多出 "Custom Policy Settings"，
按照你的需求去設定吧。

設定完後如果沒有馬上生效，記得下指令 gpupdate /force
才會生效喔。
USB 裝置在重新插入後馬上生效，光碟機則要到重新開機後才會生效，
生效後，該項裝置在裝置管理員裡面會變成驚嘆號，無法安裝驅動程式，
這樣就成功了。

請注意，如果要「禁止」設備(包括光碟機、隨身碟等)，
請選擇子項目裡的「Disable USB Port = Enable」
表示「啟用禁止功能」

如果要恢復正常使用，
請選擇子項目裡的「Disable USB Port = Disable」
表示「停用禁止功能」，就是負負得正的意思啦........

光是改為"已停用"或是"尚未設定"是不能恢復正常的，
測試完後務必恢復正常，然後再從管理範本裡面移除該項範本，
這點千萬要注意，不然搞下去不能恢復就糗了。