我们需要设置您的系统以允许管理用户访问 USB 驱动器(如果插入 USB 端口)但拒绝非管理员用户。
我发现了大量在线文章描述如何锁定或拒绝用户使用 USB 端口连接驱动器,例如启用或禁用 USB 驱动器访问的五种方法
但是,我无法确定这些方法是否适用于管理员和非管理员用户
这超级用户入口暗示该设置适用于非管理员,但我不太确定我是否理解了正确的答案。它指出,
“...选择非管理员组”
我通常不管理 Windows,所以我不太熟悉组策略编辑器如何针对特定组或用户等应用设置。相同的文件和文件夹权限。除了非常基本的允许/拒绝之外的任何操作都超出了我的核心经验。
一个有趣的方法指定设置几个文件的文件权限以拒绝 SYSTEM 和用户访问这些文件。我认为这种方法是允许管理员访问这些文件同时拒绝非管理员访问的好方法;但是,我担心 SYSTEM 被拒绝会给工作带来麻烦。我需要允许管理员/SYSTEM 访问并拒绝用户/SYSTEM 访问。这可能吗?
话虽如此,我还是会非常感激任何帮助。我们正在使用 Windows Server 2008 R2 以及一堆 Windows 8 和 10 工作站。
答案1
我和负责我们系统管理的人谈过。他的目的是创建一个组策略,禁止所有用户访问驱动器(拇指驱动器等)的 USB 端口。然后,拒绝域管理员访问该组策略。这样,当域管理员访问此组策略时,它就不会适用于他们。
我们正在等待一个周末来尝试这一点,以防这项工作实际上产生一些意想不到的负面影响(例如锁定所有 USB 设备如鼠标和键盘)并测试它是否有效。
当我找到结果后,我会回复此帖。