本教程将向您展示如何配置组策略以禁用Windows 2012服务器上可移动设备上的USB写访问。

本教程还将介绍如何禁用CD或DVD上的写访问权限。

这将有助于您的计算机环境实现更高的安全级别。

域控制器正在运行Windows 2012 R2。

域计算机正在运行Windows 7和10。

硬件清单:

以下部分介绍了用于创建此Windows教程的设备列表。

上面列出的每一件硬件都可以在亚马逊网站上找到。

Windows Playlist:

在此页面上,我们可以快速访问与Windows相关的视频列表。

不要忘记订阅我们命名的youtube频道 FKIT.

Windows相关教程:

在此页面上,我们提供了与Windows相关的教程列表的快速访问。

教程 – 创建GPO以禁用USB写访问

在运行带有Active Directory的Windows 2012 R2的域控制器上执行了以下任务。

单击“开始”菜单,找到并打开“组策略管理”工具。

在“组策略管理”屏幕上,找到名为“组策略对象”的文件夹。

右键单击“组策略对象”文件夹,然后选择“新建”选项。

输入新策略的名称。

gpo deny usb write

在我们的示例中,新GPO被命名为:DENY USB WRITE。

在“组策略管理”屏幕上,展开名为“组策略对象”的文件夹。

右键单击新的组策略对象,然后选择“编辑”选项。

gpo deny usb write access

在组策略编辑器屏幕上,您将看到用户配置和计算机配置。

我们只会更改计算机配置。

我们不需要更改任何用户配置。

在组策略编辑器屏幕上,展开“计算机配置”文件夹,然后找到以下项目。

•计算机配置>管理模板>系统>可移动存储访问

gpo usb write access configuration

在右侧,将显示可用配置选项列表。

Windows 2012 - gpo usb write deny

首先,让我们禁用对USB存储设备的写访问。

双击名为“可移动磁盘:拒绝写入访问”的配置项。

在配置项屏幕上,您需要选择“启用”选项。

GPO disable usb write access

如果您还想禁用对CD和DVD的写访问权限。

双击名为CD和DVD的配置项:拒绝写访问。

在配置项屏幕上,您需要选择“启用”选项。

gpo disable cd dvd

要完成组策略创建,您需要关闭“组策略编辑器”窗口。

仅当您关闭组策略窗口时,系统才会保存您的配置。

教程 – 应用USB写访问限制GPO

您已完成网络限制GPO的创建。

但是,您仍需要启用新的组策略。

在组策略管理屏幕上,您需要右键单击所需的组织单位,然后选择链接现有GPO的选项。

在我们的示例中,我们将名为DENY USB WRITE的组策略链接到名为TECH.LOCAL的域的根。

windows 2012 - deny usb write access

应用GPO后,您需要等待10或20分钟。

在此期间,GPO将复制到您可能拥有的其他域控制器。

等待20分钟后,您应该重新启动用户的计算机。

在引导期间,计算机将获取并应用新组策略的副本。

要测试配置,您需要将USB存储驱动器连接到计算机并尝试保存文件。

您的计算机应自动拒绝对USB存储设备的写入权限。