我有一个 Windows 10 Pro 系统(“Backpack”),作为管理员,我将组策略“所有可移动存储类别:拒绝所有访问”设置为启用,然后系统重新启动。
查看注册表,我发现“HKLM\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices!Deny_All”设置为 1。
如果我以非管理员帐户“用户”的身份在本地登录,它可以按预期工作 - 将闪存驱动器插入“背包”系统不起作用。
但是,如果我以“用户”帐户的身份远程桌面进入“Backpack”,然后将闪存驱动器插入“Backpack”,它就可以正常工作!我能够(以“用户”帐户的身份)读取和写入闪存驱动器。
我认为还有一些我不知道的组策略也需要设置,但我不知道我在寻找什么。
根据要求,我在下面附加了 gpresult 输出。gpresult 是从管理命令 shell 运行的。
gpresult /scope computer /z
COMPUTER SETTINGS
------------------
Last time Group Policy was applied: 12/1/2017 at 1:17:30 AM
Group Policy was applied from: N/A
Group Policy slow link threshold: 500 kbps
Domain Name: B-f44d306d50e1
Domain Type: <Local Computer>
Applied Group Policy Objects
-----------------------------
Local Group Policy
The computer is a part of the following security groups
-------------------------------------------------------
BUILTIN\Administrators
Everyone
NT AUTHORITY\Authenticated Users
System Mandatory Level
Resultant Set Of Policies for Computer
---------------------------------------
Software Installations
----------------------
N/A
Startup Scripts
---------------
N/A
Shutdown Scripts
----------------
N/A
Account Policies
----------------
N/A
Audit Policy
------------
N/A
User Rights
-----------
N/A
Security Options
----------------
N/A
N/A
Event Log Settings
------------------
N/A
Restricted Groups
-----------------
N/A
System Services
---------------
N/A
Registry Settings
-----------------
N/A
File System Settings
--------------------
N/A
Public Key Policies
-------------------
N/A
Administrative Templates
------------------------
GPO: Local Group Policy
Folder Id: Software\Policies\Microsoft\Windows\RemovableStorageDevices\Deny_All
Value: 1, 0, 0, 0
State: Enabled
答案1
好吧,我真的不知道组策略是怎么回事。它看起来确实对远程桌面会话关闭了。如果你对 Windows 内部机制有足够的了解,那可能就说得通了,但从我的角度来看,它看起来非常像一个错误。
我确实找到了一种注册表方法来解决这个问题。这是一种较老的方法,似乎可以满足我的要求:
设置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor!Start为4(每此 MS 帮助页面)。
这样做会使 USB 存储设备根本不会出现,而不是被拒绝访问,并且即使通过远程桌面登录,效果仍然存在。