创建允许访问可移动存储的本地组

创建允许访问可移动存储的本地组

我们有几台 Windows 10 Pro 笔记本电脑,其中本地组策略不允许对可移动磁盘进行读取、写入和执行访问。我们希望某些用户拥有此访问权限。这似乎是一个组可以做的事情,但我们都没有使用 Windows 系统的系统管理员经验,并且对如何实现这一点感到困惑 - 或者这是否是最好的方法。任何建议都将不胜感激。我们目前正在本地组策略编辑器中启用此访问权限,但这似乎太过笼统了。

答案1

对于 Windows 客户端版本

您可以使用该实用程序从管理员 PowerShell 或 CMD 启用或禁用组策略LGPO.exe

您可以从以下位置下载 Microsoft 安全合规工具包 1.0,您可以在其中获取文件LGPO.zip。此文件包含 LGPO.exe及其文档。

要备份“可移动磁盘:拒绝写访问”策略,请使用以下命令:

LGPO.exe /b C:\Temp\backup1 /n "Removable Disks: Deny write access"

这会将策略的当前设置保存在“backup1”下的新子文件夹中。您也可以将相反的设置保存在“backup2”下。

要应用设置,请使用以下命令:

LGPO.exe /g C:\Temp\backup1

设置策略“可移动磁盘:拒绝写访问”会导致立即重新挂载所有存储设备。

如果你喜欢使用 Windows PowerShell 中的组策略 Cmdlet 它们可以通过以下方式安装 设置 > 应用 > 可选功能 > + 添加功能,搜索并勾选“选择RSAT:组策略管理工具”,点击安装。

然后,您将在 PowerShell 中以管理员身份运行,并使用以下命令导入 cmdlet:

Install-WindowsFeature GPMC
Import-Module GroupPolicy

对于域

文章中对此进行了描述
如何使用组策略在 Windows 中禁用或启用 USB 驱动器?

以下是“通过 GPO 阻止某些用户使用 USB 驱动器”部分的摘录,当您希望策略不适用于已包含允许访问可移动存储的用户的组时。

您可以使用 GPO安全过滤在策略中设置例外。例如,您想要阻止 USB 阻止策略应用于域管理员组:

  1. 选择您的禁用 USB 访问组策略管理控制台中的策略
  2. 添加域管理员组中安全过滤部分

在此处输入图片描述

  1. 前往代表团选项卡并点击先进的. 在安全设置编辑器中,指定不允许域管理员组应用此 GPO(应用组策略 – 拒绝)。

在此处输入图片描述

相关内容