我需要仅允许特定的授权 USB 存储设备连接到客户端计算机,其他 USB 存储设备应被阻止。如何在 Windows Server 2012 Active Directory 中为此配置设置组策略?
答案1
组策略的魔力。
复制并粘贴自:
https://msdn.microsoft.com/en-us/library/bb530324.aspx#grouppolicydeviceinstall_topic6
允许用户仅安装授权的设备
这个场景建立在第一个场景的基础上,防止安装所有设备,其中您阻止了任何设备的安装。在这种情况下,您将允许的设备列表添加到策略中,并包含 USB 内存驱动器的硬件 ID。
因此,您首先使用一个 GPO 设置阻止安装所有 USB 设备,然后使用另一个 GPO 设置仅允许某些设备安装。后一个设置将优先,从而有效地创建“例外”。
答案2
AFAIK您只能阻止 USB 设备类型- 不是特定设备,仅在驱动程序安装期间。
您可能能够找到第三方实用程序,但我找不到任何地方。
此外,似乎还有USB 驱动器没有唯一 ID,因此即使自己写点东西也会很困难。
综上所述,最接近的做法是写一些事件触发脚本它会查找你之前放置的信号文件,如果文件不存在,它会弹出 USB 驱动器,但这很容易被篡改。