在 Windows 2003 上使用 GPO 禁用 USB

Question 1

首先，检查以确保 GPO 确实适用于您要限制的计算机。确保 GPO 已应用于 Active Directory 中的正确 OU，并且不受用户或组的限制。如果您刚刚应用于默认域策略或刚刚创建了一个新的 GPO，则权限可能不是问题，但检查一下也无妨 :)。如果它不起作用，您可能需要刷新 GPO。在客户端的命令提示符下：

gpupdate /force

重启并登录，看看是否有效。如果仍然无效，则可能是遇到了问题现存的允许使用设备，因为它们已经安装好了 - 因此请尝试使用以前没有安装过的设备，看看它是否被阻止安装。

虽然 Charnley 的建议很好，但是如果您想禁用标准用户的 USB 和 CD 但允许管理员使用（使用组策略的一个非常简单的过程），那么您可能会遇到麻烦。

然而，它是一种非常非常非常好的主意设置 BIOS 密码并禁用 USB 启动和从 CD 启动，以防止用户从闪存驱动器或 CD 启动机器（例如进入 Linux）以及访问硬盘驱动器并复制类似的文件...

Answer

首先，检查以确保 GPO 确实适用于您要限制的计算机。确保 GPO 已应用于 Active Directory 中的正确 OU，并且不受用户或组的限制。如果您刚刚应用于默认域策略或刚刚创建了一个新的 GPO，则权限可能不是问题，但检查一下也无妨 :)。如果它不起作用，您可能需要刷新 GPO。在客户端的命令提示符下：

gpupdate /force

重启并登录，看看是否有效。如果仍然无效，则可能是遇到了问题现存的允许使用设备，因为它们已经安装好了 - 因此请尝试使用以前没有安装过的设备，看看它是否被阻止安装。

虽然 Charnley 的建议很好，但是如果您想禁用标准用户的 USB 和 CD 但允许管理员使用（使用组策略的一个非常简单的过程），那么您可能会遇到麻烦。

然而，它是一种非常非常非常好的主意设置 BIOS 密码并禁用 USB 启动和从 CD 启动，以防止用户从闪存驱动器或 CD 启动机器（例如进入 Linux）以及访问硬盘驱动器并复制类似的文件...

Question 2

我知道使用组策略来执行此操作更好，但由于您只有 10 个客户端......

只需在所有计算机的 BIOS 中禁用 CD 和 USB 驱动器并设置 BIOS 密码即可。这样就可以锁定所有人，而无需对 gpo 进行任何改动。

Answer

我知道使用组策略来执行此操作更好，但由于您只有 10 个客户端......

只需在所有计算机的 BIOS 中禁用 CD 和 USB 驱动器并设置 BIOS 密码即可。这样就可以锁定所有人，而无需对 gpo 进行任何改动。

在 Windows 2003 上使用 GPO 禁用 USB

答案1

答案2

相关内容