背景:为了避免病毒通过U盘传入内网,为了工作单位的网络安全,通过在域控端创建组策略的形式,实现灵活控制域用户端U盘使用(灵活的原因在于不能禁用所有人的U盘使用权限,只能禁止一部分)。
首先在域控服务器端,打开组策略管理(windows+R gpmc.msc)
灵活选择想要控制的组织单位,右键——在这个域中创建GPO并在此处链接,新建 一个GPO,名称为U盘禁用。
在新建的GPO 上右键编辑,依次点开计算机配置——策略——管理模板——系统——可移动存储访问
双击所有可移动存储类:拒绝所有权限 进行配置。
选择已启用
点击应用,点击确定。
最后一步:在域控上更新组策略:windows + R 键入gpupdate 或者 gpupdate / force ,
客户机重启电脑,U盘禁用生效。
至此完成组策略编辑,禁用U盘。
注意事项:1、在新建GPO的组织单位下,必须确保有计算机,域用户登录此类计算机无法访问U盘。受限制的是计算机,不是用户。(这里要分清楚)
2、如果还想要控制其他组织单位的计算机,不再需要新建GPO 连接,直接在需要控制的组织单位下,右键,连接现有GPO 选择刚刚创建的GPO名称后,更新组策略即可。
