最近根据公司数据安全要求，禁用客户端电脑使用usb存储设备。

网上搜了些方法，总结如下

一、机箱里拔掉usb连接线   优点：一了百了，任你用什么软件都破解不了   缺点：动作太大，需要拆机器；拆了之后要加锁；机箱背面主板自带usb口没法禁用；无法使用usb鼠标

二、BIOS里面禁掉   优点：设置简单  缺点：无法使用usb鼠标；需要设置BIOS密码

三、拿口香糖堵上    优点：一了百了，任你用什么软件都破解不了   缺点：用口香糖，是不是太那个啥了，而且要嚼好多口香糖；以后还原的话，难度有点大

四、修改注册表  HKEY_LOCAL_MACHINE\SYSTEM\CurrentCntrolSet\Services\USBSTOR\Start   将其值修改为4 （十六进制）   优点：设置简单，可以有效的禁用U盘 ；usb鼠标可用   缺点：可以有效的禁用U盘，不能禁用usb移动硬盘，（很郁闷，我测试出来的）不知道为什么，不过打开我的电脑看看，移动硬盘和u盘确实不是在一个组里面，移动硬盘属于硬盘组，u盘属于可移动存储设备组

五、好 终极办法来了啊，来源于网络，借鉴了网友的图片，思路源于Microsoft 

http://support.microsoft.com/kb/231289/zh-cn

使用本地策略 gpedit.msc-用户配置-管理模板-windows组件-Windows资源管理器-隐藏“我的电脑”中的这些指定的驱动器

列表中可能没有需要的组合，可以自己指定，方法如下

搜索C盘下的system.adm文件，能搜出来好几个，分布在不同的文件夹，大小及修改日期都一样。随便修改其中1个（这几个都一样，修改前做好备份），用记事本打开，查找“Nodrives”及“Noviewondrives”，在ITEMLIST段各增加一行 "NAME !!FoxtoxOnly  VALUE NUMERIC  67108851"如图(借用网友的图)

然后继续查找“Strings”，添加一行“FoxtoxOnly="限制除C、D外其他驱动器"”，如图(借用网友的图)

修改后保存

编辑域用户的组策略，发现里面已经有了我们想要的策略：限制除C、D外其他驱动器（借用网友的图）

为了保险起见，关闭组策略中的自动播放

gpedit.msc-用户配置-管理模板-系统-关闭自动播放-启用-所有驱动器

Ok，设置完成

下面说一下67108851怎么回事

确定数字与盘符的关系

因为我需要隐藏及禁用的是除了C、D盘之外的磁盘分区，按照Microsoft文章所述，需要隐藏的驱动器的值设为1，不隐藏的驱动器的值为0，那么数字与盘符的对应关系如下表：

计算方法如下2的26次方=67108863  上面图片里面有，自己找  nodrives 里面 alldrives

从上图知道要隐藏C、D就是 1100 就是12

所以67108851=67108863-12

其他盘符同理

经过测试可以达到目的，但是仅是不显示usb存储设备的盘符，所以无法打开usb存储设备。不保证通过其他办法能不能打开。

客户端使用poweruser权限