我们有几台 Windows 10 Pro 笔记本电脑,其中本地组策略不允许对可移动磁盘进行读取、写入和执行访问。我们希望某些用户拥有此访问权限。这似乎是一个组可以做的事情,但我们都没有使用 Windows 系统的系统管理员经验,并且对如何实现这一点感到困惑 - 或者这是否是最好的方法。任何建议都将不胜感激。我们目前正在本地组策略编辑器中启用此访问权限,但这似乎太过笼统了。
答案1
对于 Windows 客户端版本
您可以使用该实用程序从管理员 PowerShell 或 CMD 启用或禁用组策略LGPO.exe
。
您可以从以下位置下载
Microsoft 安全合规工具包 1.0,您可以在其中获取文件LGPO.zip
。此文件包含
LGPO.exe
及其文档。
要备份“可移动磁盘:拒绝写访问”策略,请使用以下命令:
LGPO.exe /b C:\Temp\backup1 /n "Removable Disks: Deny write access"
这会将策略的当前设置保存在“backup1”下的新子文件夹中。您也可以将相反的设置保存在“backup2”下。
要应用设置,请使用以下命令:
LGPO.exe /g C:\Temp\backup1
设置策略“可移动磁盘:拒绝写访问”会导致立即重新挂载所有存储设备。
如果你喜欢使用 Windows PowerShell 中的组策略 Cmdlet 它们可以通过以下方式安装 设置 > 应用 > 可选功能 > + 添加功能,搜索并勾选“选择RSAT:组策略管理工具”,点击安装。
然后,您将在 PowerShell 中以管理员身份运行,并使用以下命令导入 cmdlet:
Install-WindowsFeature GPMC
Import-Module GroupPolicy
对于域
文章中对此进行了描述
如何使用组策略在 Windows 中禁用或启用 USB 驱动器?
以下是“通过 GPO 阻止某些用户使用 USB 驱动器”部分的摘录,当您希望策略不适用于已包含允许访问可移动存储的用户的组时。
您可以使用 GPO安全过滤在策略中设置例外。例如,您想要阻止 USB 阻止策略应用于域管理员组:
- 选择您的禁用 USB 访问组策略管理控制台中的策略
- 添加域管理员组中安全过滤部分
- 前往代表团选项卡并点击先进的. 在安全设置编辑器中,指定不允许域管理员组应用此 GPO(应用组策略 – 拒绝)。