我正在寻找在 Win 2008R2 SP1 服务器中阻止 USB 设备的方法。我已经知道 GPO 策略“\User Configuration\Policies\Administrative Templates\System\Removable Storage Access”,并且它在这里运行良好。
仅存在以下几个值得关注的问题。
1:我想从此策略中排除某些用户/群组。
2:原始“默认域控制器策略”中的所有其他规则/策略都应应用于所有人,如 PW 策略、WSUS 策略等。
谢谢,Sandesh
答案1
在新的 GPO 中配置所需的设置。
为您希望应用该策略的用户创建一个安全组。
将适当的用户添加到此安全组。
在新的 GPO 上配置安全过滤以仅适用于此安全组。
将 OU 链接到用户对象所在的位置(如果您的用户在 OU 中,则在域级别或 OU 级别)。
答案2
我认为,排除用户最简单的方法是利用组策略对象的委派选项卡上的高级按钮。添加要排除的用户/组,然后选中复选框以拒绝他们对该策略的所有权限。由于拒绝语句优先于允许,因此这将适用于排除某些用户/组,即使他们是具有 GPO 权限的组(例如“经过身份验证的用户”)的成员