為U盤設權限

限制驅動法

將優盤設備插入到計算機后，系統會自動調用有關驅動文件，以便正常識別優盤設備，同時為其分配分區符號。如果我們想辦法阻止Windows系統，不讓其為優盤設備配置驅動程序，那么優盤自然就無法被正常識別顯示，用戶自然也就沒有辦法使用它了。要做到這一點，可以進行如下設置操作：

首先，點擊“開始→程序→附件→Windows資源管理器”命令，逐一展開“Windows”、“system32”、“dllcache”文件夾窗口，找到起始字符為“usb”的幾個文件，這些文件就是與優盤設備相關的驅動文件，將它們拷貝到其他位置，再將原始位置的這些文件全部刪除掉，讓Windows系統日后調用不到相關的驅動文件，或者在調用驅動文件的時候發生錯誤故障。同樣地，我們還需要轉移并刪除“Windows”、“System”、“drivers”文件夾中的上述驅動文件，因為Windows系統也會從這里調用優盤的驅動程序文件。

圖1 文件夾選項設置頁面

其次，進入“Windows→ driver→cache→i386”文件夾窗口，找到并選中“sp3.cab”、“driver.cab”文件，將它們也轉移到一個事先指定好的位置處，因為Windows系統在無法調用到優盤驅動程序，可能會利用上述壓縮包文件進行自動恢復操作。當然，上述所有文件都屬于系統隱藏文件，默認狀態下用戶無法查看到它們。我們可以在資源管理器窗口中，依次點擊“工具→文件夾選項”命令，切換到文件夾選項設置框，點擊“查看”，展開如圖1所示的標簽設置頁面，將其中的“隱藏受保護的操作系統文件”選項取消選中，確認后保存設置操作，這樣，所有處于隱藏狀態的系統文件都能正常顯示了。

經過上述設置操作后，任何用戶的優盤插入計算機，都將無法正常使用，系統僅會出現無法識別之類的提示。

不過，這種方法在拒絕別人的同時，也影響到了自己，而且USB接口的鍵盤、鼠標、音響等設備也無法正常工作了。為了不讓自己的設備受到限制，我們可以啟動記事本程序，生成一個名稱為“111.bat”的批處理文件，在該文件中輸入如下命令代碼：

這里的“F:aaa”文件夾，為用戶事先創建的專門用于備份優盤設備驅動文件的路徑，“usb*.* ”文件為所有與優盤相關的驅動文件，這段代碼的含義表示將之前備份的優盤驅動文件還原到原始位置處，執行該批處理文件時，可以恢復優盤的正常使用。同樣地，再創建好“222.bat”批處理文件，在該文件中輸入下面的命令代碼：

這里的第二段代碼表示刪除位于“C:WindowsSystem32dllcache”位置處的優盤設備驅動文件，第三段代碼表示刪除位于“C:WindowsSystem32drivers”位置處的優盤設備驅動文件，執行該批處理文件時，能取消優盤的安裝使用。

圖2 啟動屬性設置頁面

之后，依次點擊“開始→運行”命令，運行對話框輸入“gpedit.msc”命令并回車，在組策略編輯窗口左側列表中，將鼠標定位到“本地計算機策略→計算機配置→Windows設置→腳本（啟動/關閉）”節點上，雙擊該節點下的“啟動”，切換到如圖2所示的選項設置對話框。按“添加”按鈕，在其后界面中導入“222.bat”批處理文件，確認后保存設置操作。同樣地，在“腳本（啟動/關閉）”節點下，打開關機選項設置對話框，導入“111.bat”批處理文件。這樣，日后計算機每次關機之前，會還原優盤設備的驅動文件，下次啟動系統時，USB接口的設備都能正常加載使用。而在系統啟動成功后，自動刪除系統的優盤設備驅動文件，這時所有用戶都將無法使用優盤。當用戶自己需要使用優盤時，只要手工運行“111.bat”批處理文件即可。

限制權限法

根據優盤設備使用權限的不同，我們可以將優盤用戶分為受限用戶、普通用戶、可信用戶，其中受限用戶多為陌生用戶，他們不能擁有任何優盤使用權限；普通用戶為臨時訪問用戶，他們可以讀取優盤，但不允許向優盤中寫入信息；可信用戶一般是主人，或是系統管理員，他們對優盤具有讀寫權限。

依照這樣的分類，我們只要創建與之對應的賬號即可。比如，假設已經生成受限用戶賬號deny，普通用戶賬號nomal，可信用戶賬號super，同時為這些賬號設置了系統登錄密碼。為了讓不同類型的用戶賬號按權限使用優盤，可以進行下面的設置。

首先生成不同使用權限的操作腳本。開啟記事本程序，創建一個名稱為“deny.bat”的批處理文件：

上面一段代碼可以將優盤設置成禁用狀態，下面一段代碼表示禁止對優盤執行寫入操作，該批處理文件專門用來禁止受限用戶賬號讀寫和顯示優盤的。

繼續創建一個名稱為“normal.bat”的批處理文件：

上一段代碼表示允許系統顯示優盤符號，下一段代碼表示允許用戶讀取優盤中的數據，該批處理文件用來控制普通用戶賬號操作優盤權限的。

圖3 添加腳本設置頁面

再生成一個名稱為“super.bat”的批處理文件：

第一段代碼表示允許Windows系統分配顯示優盤分區符號，第二段代碼表示允許用戶獲得優盤的讀取和寫入權限。另外，上面各行代碼后面的“/f”參數表示在修改系統注冊表中的相關鍵值時，Windows系統不會彈出任何提示信息，這樣能夠保證用戶使用優盤的流暢性。

其次，將計算機默認的優盤操作權限設置為禁用狀態：在運行對話框中輸入“gpedit.msc”命令并回車，在組策略編輯面左側列表中，將鼠標定位到“本地計算機策略→計算機配置→Windows設置→腳本”節點，雙擊“關機”組策略選項，在彈出的選項對話框中按下“添加”按鈕，進入如圖3所示的設置界面，選中并導入之前生成的“deny.bat”批處理文件，確認后結束組策略設置操作。這樣，日后每位用戶使用計算機并關機的時候，Windows系統都會自動調用“deny.bat”腳本文件，來將優盤缺省操作權限恢復為禁用狀態。

第三，為不同用戶設置不同開機腳本。首先以“super”用戶賬號登錄計算機系統，單擊“開始→程序→啟動”，右擊“啟動”命令，點擊“打開”，切換到系統啟動文件夾窗口，將之前生成的“super.bat”腳本文件復制到該窗口中。這樣，日后用戶再次以“super”賬號登錄本地計算機時，Windows系統會自動調用“super.bat”批處理文件，來授予可信用戶的權限。

下面換用“normal”賬號登錄，按照同樣的方法，將“normal.bat”批處理文件拖放到對應賬號的啟動文件夾中即可。

至于受限用戶賬號deny的操作權限，在這里就不需要重復設置了，因為之前通過修改系統組策略，已經讓系統每次關機時自動調用“deny.bat”腳本文件，將優盤缺省的操作權限設置為禁用狀態，當受限用戶賬號deny完成系統登錄操作時，該狀態仍然得以保持。