用AD組策略------靈活禁用USB

用AD組策略------靈活禁用USB

場景以下：
公司要禁止普通用戶使用USB、Floppy、CD-ROM等驅動器防止病毒和資料外泄，只給公司的少數人使用好比說各部門經理；
實際應用以下：
一、
在Dc上創建一個OU命名爲Workstations,把全部的計算機都放到這個OU裏面(請參見下面AD結構圖)



二、爲Workstations這個OU創建組策略ZHKD_GPO_USBDisable_Computers，添加USB.adm



三、把USB、Floppy、CD-ROM選項都設置爲Enabled（也就是禁用）



四、爲了給部分經理或少數人開啓驅動器，在DC新建一個EnabledUSB_Computers全局組；



五、把經理們的計算機賬號添加到EnabledUSB_Computers這個組






六、設置Workstations上的ZHKD_GPO_USBDisable_Computers策略把EnabledUSB_Computers






說明：在黓認狀況下，全部Workstations這個OU下的計算機的USB、Floppy、CD-ROM都會被禁掉，當有用戶要使用時，把他們的計算機賬號加到EnabledUSB_Computers組，再把用戶的計算機註冊表鍵值改成3。