之前有测试过用脚本结合组策略做客户端USB访问控制的实验，昨天在网上又看到一更好的解决方案，即采用软件GFI LANguard portable storage control在域环境里做CD－ROM，USB STORAGE，及FLOPPY访问控制

    本文测试环境WIN2003 DC ＋ GFI LANguard,到网上下载此软件(免费的不好找啊)，在DC上安装，一路NEXT下去即可，只是在选择我们将要对哪些设备设置访问控制时建议全选上，其中包括“Removable storage media e.g.USB/Firewire Hard disk device、 FLOPPY、CD－ROM/DVD－ROM”，在接下来访问控制设置里如果在有域的环境里一定要选择“Active Directory Global security groups”, 这样才可以和域控制器完美结合对客户端进行控制，其它按默认安装即可

    软件安装完成后，打开GFI LANguard控制台，在"tools"选项下点选“deploy languard p.s.c agents”,在弹出的右边窗口中，按下面的添加按钮可以将域内的计算机机列表或工作组计算机添加至"Deployment targets"窗口中，右边的"Options"选项里有关于客户端分发此服务的选项，第一个是"Deploy the GFI LANguard P.S.C.control access agent(s)",是指在在客户端没有此服务时给客户端部署此服务（发现一个问题，在域内的环境，不用管客户端用何种用户身份登陆，直接就可以部署下去，组环境没有试，不过如果要权限的话，下面还有一个"CONNECT TO TARGET COMPUTER(S) FOR DEPLOYMENT USING:"的选项，如果权限不足，也可以在这里输入有相应权限的用户帐号及密码进行部署，很好很强大！），第二个是"Update the configuration settings of the GFI LANguard P.S.C.control access agent(s)",我们一看应该就会明白，UPDATE，做更新用的，就是说如果对客户端的访问控制有做改动时，我们只需做一下更新服务即可，那样就可以实现灵活运用（这个选项应该是用得最多的），第三个是"Un-Install the GFI LANguard P.S.C.control access agent(s)",当然就是删除客户端已经部署的GFI服务了，呵呵，如果是第一次对对客户端部署，那么我们将要部署的计算机加入列表中后，选择OPTION选项下的第一项部署GFI访问控制代理对客户机进行GFI访问控制服务的部署了。（在下面的选项里有一个"reboot computers after deployment"的选项，默认是打勾的，这里我们可以取消，这样做的话，客户端在不知不觉中实现访问控制服务的部署）

    服务部署完成后，我们就可以根据自己的需要选择，，在“Access Permissions”选项下，选中要进行控制的设备，这里我们以usb为例，打开“REMOVABLE MEDIA”，在打开的右边窗口中，只有一个选项栏"Authorized users",其中包括两个选项"Allow only the users and members of the groups below to access this device"(仅仅只有在下面列出的用户或是成员组才可以访问此设备),"Allow all users except the users and members of the groups below to access this device "(除下表列出的所有用户或成员组都可以访问此设备)，在下面的窗口中，我们就可以点击ADD按钮进行域用户或组及本地用户组的添加了（不过在添加域用户时，如果以单个用户添加到列表时上面的两个选项刚好反了，即如果对某一个用户进行设置时，如果选定上面的只允许下表列出的用户可访问的话，那客户端用此用户登陆就不能访问USB，但是如果在上面选择除此用户之外的所有用户都可访问，那此用户在客户端登陆就可以访问USB了，不知道是什么原因，但是在实际的环境中，我们一般都会对组进行操作，那样就不会有问题了，如将所有是DOMAIN USERS组的成员都不允许访问，那样只要把用户加入到DOMAIN USERS组就行了，这样做下来，上面的选项就不会出错，那同样，有人会讲，我域环境里有某用户必须是DOMAIN USERS组，但是又只想要此用户一个人可以使用USB，怎么办呢，解决办法是：当初我们在安装的时候选择了域用户环境，所以，GFI会在AD中添加一个叫"GFI_LPSC_REMOVABLE"组，这时我们只需将要使用USB的用户再加入这个组就行了，对这个组添加或删除成员后，客户端都要重新登陆一下才可以应用此设置），在此选项中的操作完成后，在屏幕右下角有一个"Update agents..."按钮，我们都要利用它对客户端的服务做一下更新

    好了，关于USB的访问控制就是这样了，其它两项如FLOPPY和CDROM的访问控制和USB的操作就异曲同工了，写了这么多，不知道自己过后看不能不能看明白，为什么不帖图呢，原因是一，自己太懒，不想截图，第二就是博客空间有限，怕以后文章多了，图片一上来没地方放，迟早得没配图，所以就全部是文字表达了，如果真看不懂也没关系，只要不误导大家就是万兴，呵呵。