如何限制用户格式化驱动器?计算机处于域环境中。我可以使用 GPO 或其他东西吗?
我正在尝试隐藏 HDD 分区。我们使用 truecrypt 和 token,如果驱动器未安装,并且用户尝试打开加密分区,Windows 会对其进行格式化。我正在尝试防止意外格式化。
答案1
如果用户是受限用户,即不是本地组管理员的成员,他们将没有足够的权限来格式化附加磁盘。如果您希望控制格式化可移动媒体的权限,您可以使用域或本地组策略:
计算机配置\Windows 设置\安全设置\本地策略\安全选项
设备:允许格式化和弹出可移动媒体
将此选项设置为“管理员”或“管理员和高级用户”将阻止受限用户格式化此媒体。
看到这个Technet 文章了解详情。
答案2
你的意思是限制他们格式化 USB 驱动器?我听说他们的做法包括用胶水封住端口,和/或删除 USB 控制器的驱动程序。
从 Server 2003 开始(至少),似乎有一种方法可以限制 GPO 中的驱动程序。快速谷歌搜索后,我找到了http://support.microsoft.com/kb/555324
如果您在 Google 上搜索“gpo restrict usb”,可能会找到其他版本或略有改动的说明。我并不总是信任 AD,因为我们的机器并不总是能正常“运行”。
请注意,除非机器的 BIOS 已设置密码并设置为在启动时绕过 USB 和 CDROM,否则用户仍然可以从可启动光盘启动并以此方式格式化(除非您物理阻止端口)或格式化硬盘。对用户施加此限制只会增加另一个障碍。这不是一种保证停止的措施。