如何在 Windows 中将组策略设置应用于特定本地帐户

如何在 Windows 中将组策略设置应用于特定本地帐户

我创建了一个受限用户帐户,并希望使用组策略设置限制 USB 和 CD 驱动器访问。因此,我想使用 gpedit.msc 对受限帐户强制执行限制并禁用对 USB 和 CD 驱动器的访问,并防止受限帐户修改这些更改。如何在不限制任何其他帐户的情况下实现此目的?

答案1

在 Windows Vista 及更高版本中,您只能将策略应用于特定帐户,但您必须从 Microsoft 管理控制台加载组策略对象编辑器,而不是直接打开管理单元。

  1. 打开 mmc.exe
  2. 当 MMC 控制台打开时,单击“文件”->“添加/删除管理单元”
  3. 选择“组策略对象编辑器”,然后单击“添加 >”按钮
  4. 在出现的对话框中,单击“浏览”。
  5. 单击“用户”选项卡并选择一个用户。

  6. 单击“确定”,然后单击“完成”,然后再次单击“确定”

现在,您将拥有所选用户的组策略用户对象。应用您想要的任何限制。您可能有兴趣查看“隐藏我的电脑中的这些指定驱动器” User Configuration > Administrative Templates > Windows Components > Windows Explorer

答案2

您必须从管理员帐户而不是受限帐户进行这些组策略更改。

答案3

为了限制对 USB 设备的访问,Microsft 有一篇关于拒绝访问某些文件的知识库文章 -http://support.microsoft.com/kb/823732。您可能需要保留 SYSTEM 权限才能访问其他帐户的文件,需要进行一些反复试验。

编辑-

似乎有一些相当实惠的第三方软件可以满足您的需求,但我自己还没有测试过。 http://www.devicelock.com/

答案4

(我发布“答案”是因为我没有足够的声誉来发表评论。但是,这些信息很重要。)

测试:Windows 8.1

上面 nhinkle 给出的答案很有效。但是,它不会阻止您打开命令提示符并手动导航到驱动器。在另一个驱动器上启动 JPG 文件会打开图像查看器。

您可以通过“用户配置\管理模板\系统”禁用命令提示符,但我还没有找到使用 MMC 允许命令提示符同时限制其导航的方法。

有一个解决方法,通过访问驱动器/根文件夹(如 D:)的“安全” “属性”(右键单击),为相关用户帐户添加专用行并选中“拒绝” “[x] 完全控制”(可能标签不同,我使用非 EN Windows 版本)。

相关内容