转自WinOS.cn
场景如下:
公司要禁止普通用户使用USB、Floppy、CD-ROM等驱动器防止病毒和资料外泄,只给公司的少数人使用比如说各部门经理;
实际应用如下:
1、
在Dc上建立一个OU命名为Workstations,把所有的计算机都放到这个OU里面(请参见下面AD结构图)
2、 为 Workstations 这个 OU 建立组策略 ZHKD_GPO_USBDisable_Computers ,添加 USB.adm 模板文件
![787018_200910091539442.jpg](http://space.itpub.net/attachments/2009/10/787018_200910091539442.jpg)
3、把USB、Floppy、CD-ROM选项都设置为Enabled(也就是禁用)
4、为了给部分经理或少数人开启驱动器,在DC新建一个EnabledUSB_Computers全局组;
5、把经理们的计算机帐号添加到EnabledUSB_Computers这个组
6、 设置 Workstations 上的 ZHKD_GPO_USBDisable_Computers 策略把 EnabledUSB_Computers 这个组安全过虑掉,也就是让EnabledUSB_Computers这个组拒绝应用该策略。
![787018_200910091539448.gif](http://space.itpub.net/attachments/2009/10/787018_200910091539448.gif)
说明:在黓认情况下,所有 Workstations 这个 OU 下的计算机的 USB 、 Floppy 、 CD-ROM 都会被禁掉,当有用户要使用时,把他们的计算机帐号加到 EnabledUSB_Computers 组,再把用户的计算机注册表键值改为3即HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR、Flpydisk、Sfloppy、Cdrom。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/787018/viewspace-616165/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/787018/viewspace-616165/