1、灵活应用组策略禁用 USB场景如下:公司要禁止普通用户使用 USB、Floppy、CD-ROM 等驱动器防止病毒和资料外泄,只给公司的少数人使用比如说各部门经理;实际应用如下:1、在 Dc上建立一个 OU命名为 Workstations,把所有的计算机都放到这个OU里面(请参见下面 AD结构图)2、为 Workstations这个 OU建立组策略ZHKD_GPO_USBDisable_Computers,添加 USB.adm模板文件。(请参见我前面写的文章: 用组策略彻低禁止 USB存储设备、光驱、软驱、ZIP 软驱的方法 3、把 USB、Floppy、CD-ROM 选项都设置为 Enable
2、d(也就是禁用) 4、为了给部分经理或少数人开启驱动器,在 DC新建一个EnabledUSB_Computers全局组;5、把经理们的计算机帐号添加到 EnabledUSB_Computers这个组 6、设置 Workstations上的 ZHKD_GPO_USBDisable_Computers策略把EnabledUSB_Computers这个组安全过虑掉,也就是让 EnabledUSB_Computers这个组拒绝应用该策略。 说明:在黓认情况下,所有 Workstations这个 OU下的计算机的USB、Floppy、CD-ROM 都会被禁掉,当有用户要使用时,把他们的计算机帐号加到 EnabledUSB_Computers组,再把用户的计算机注册表键值改为 3。
