我的域上有活动目录(Windows Server 2003)和 10 个客户端(Windows XP),我想禁用其上的 USB 和 CD 驱动器,我尝试了此链接:
http://www.petri.co.il/disable_usb_disks_with_gpo.htm
但什么都没有改变,有人有其他好的链接可以做到这一点吗?
谢谢。
答案1
首先,检查以确保 GPO 确实适用于您要限制的计算机。确保 GPO 已应用于 Active Directory 中的正确 OU,并且不受用户或组的限制。如果您刚刚应用于默认域策略或刚刚创建了一个新的 GPO,则权限可能不是问题,但检查一下也无妨 :)。如果它不起作用,您可能需要刷新 GPO。在客户端的命令提示符下:
gpupdate /force
重启并登录,看看是否有效。如果仍然无效,则可能是遇到了问题现存的允许使用设备,因为它们已经安装好了 - 因此请尝试使用以前没有安装过的设备,看看它是否被阻止安装。
虽然 Charnley 的建议很好,但是如果您想禁用标准用户的 USB 和 CD 但允许管理员使用(使用组策略的一个非常简单的过程),那么您可能会遇到麻烦。
然而,它是一种非常非常非常好的主意设置 BIOS 密码并禁用 USB 启动和从 CD 启动,以防止用户从闪存驱动器或 CD 启动机器(例如进入 Linux)以及访问硬盘驱动器并复制类似的文件...
答案2
我知道使用组策略来执行此操作更好,但由于您只有 10 个客户端......
只需在所有计算机的 BIOS 中禁用 CD 和 USB 驱动器并设置 BIOS 密码即可。这样就可以锁定所有人,而无需对 gpo 进行任何改动。