我最近接管了一个网络,但对 AD 和组策略还不是很熟悉。我一直在尝试使用组策略将 CD 刻录权限限制为 3 个用户和他们的 3 台计算机。如果这不可能,我会限制除这 3 个用户之外的所有用户刻录 CD。我一直在修改“CD/DVD:拒绝写入访问”策略,但总是遇到同样的问题。我要么为所有用户和计算机打开它,要么为所有用户和计算机关闭它。是否可以设置此策略,以便我在登录时在计算机上拥有 CD 刻录权限,而下一个人登录时没有?
答案1
Ravasquezgt 的答案是可行的,但是当您需要针对不同策略设置多个用户组时,您会发现它不起作用。使用安全过滤,您可以更轻松地完成此操作。只需在 AD 中为要限制的用户创建一个组,将这些用户添加到该组,然后将该组添加到策略对象上的安全过滤列表中(首先删除默认的“经过身份验证的用户”组)。虽然用户一次只能属于一个 OU,但他们可以属于无限数量的组,这使得这是一个更加灵活的解决方案。
答案2
您可以限制用户对 CD/DVD 的写入权限,但您必须首先在 AD 中创建两个 OU,例如 OU 的名称可以是受限和不受限,将受限用户移动到受限 OU 并将此 GPO 链接到受限 OU:
用户配置\策略\管理模板\系统\可移动存储访问\CD 和 DVD:拒绝写访问
请注意,这是一个针对用户的 GPO,而不是针对计算机的 GPO,因此它仅适用于受限的 OU。
最后将不受限制的用户移动到其他 OU,以便他们采用默认域 GPO 或链接您喜欢的 GPO。
如果您在 GPO 中有一个内部安全策略,则可以使用它作为模板来添加拒绝写访问 DVD 选项。