1:禁止OU中所有用户使用USB存储设备,请参考。
Windows Server 2016 AD域(一)禁用USB存储设备_yleihj的博客-CSDN博客
2:有时候因工作需要有事用户还是需要使用USB设备,我是用用户限制和允许的,也可以使用计算机,但是要保证计算机在这个OU内。
3:登陆域,之前在OU中建立了两个用户。想实现it3不允许使用USB设备,it4允许使用USB设备。
4:运行组策略管理,找到之前建立的GPO,点击委派。
5:先点击添加把it4加入到委派中。
6: 确定,添加完成。
7: 找到添加的it4,点高级。
8:找到用户it4,在权限中应用组策略,选择拒绝。
9:确定后找一台机器分别用it3和it4登录。
10:用it3登录,使用gpupdate /force刷新组策略,无法使用USB存储设备。
11:使用gpresult /v查看,已应用的组策略对象中有禁用USB设备策略。
12: 用it4登录,使用gpupdate /force刷新组策略,可以使用USB存储设备。
13:使用gpresult /v查看,已应用的组策略对象中出来默认的策略没有禁用USB设备策略。