我有一个小型的 Server2008/Win7 网络,我想限制除一位用户之外的所有用户的 CD/DVD 访问权限。我设置了以下 GPO,但是有没有办法让一位特定用户访问所有工作站上的 CD/DVD 驱动器,而无需授予此人管理员权限?
计算机配置 > 管理模板 > 系统 > 可移动存储访问 CD 和 DVD:拒绝执行访问 CD 和 DVD:拒绝读取访问 CD 和 DVD:拒绝写入访问
答案1
使用相同的策略,但使用“用户配置”分支下的策略,而不是“计算机配置”分支下的策略。这样,它将应用于 AD 中的用户对象,而不是计算机对象。
一种应用方法:
- 创建两个新的 GPO,一个将驱动器访问设置为“拒绝”,另一个将驱动器访问设置为“允许”。
- 将用户移至他们自己的(子)OU。
- 将刚刚创建的拒绝 GPO 应用于包含所有用户谁不应该有访问权限。
- 将允许 GPO 应用于包含您想要允许驱动器访问的用户的(子)OU。