none
特定群組鎖usb

    問題

  • 我現在有主要2個群組,一個歸類在administrator群組,一個另外新增群組

    我新增這2個GPO,administrator為A、新增的群組為B

    DDCP、DDC都沒改,就只改A、B

    A群組我要開放可以讀取USB裝置。B群組我要禁用讀取USB裝置

    可是我這樣做的時候,A、B都不能讀,都打開連B也可以讀

    請問要如何在A群組可以讀取,B群組不行

    在不靠任何付費軟體狀況下


    • 已編輯 Lion Wei 2012年5月25日 下午 02:42
    2012年5月25日 下午 02:40

所有回覆

  • Hi

    鎖定USB的GPO是Computer Object的Policy,並不是User Object的

    並不能以User Group的方式去套用

    您可能要用些比較奇怪的Login Script去達成

    例如透過cacls這個Command去更改Usbstor.sys的存取權,使該PC在被B群組的User登入時,該PC的USB驅動並無法被使用

    在群組A登入時,PC的USB驅動的存取權將會被重新賦予

    您可以參考這篇如何避免使用者連接至 USB 儲存裝置?

    至於如果B群組並沒有Local Administrators的權限的作法

    您會需要搭配3rd party的軟體,使Login Script具有Administrators的權限

    您可以參考這篇解決執行RUNAS,自動帶密碼的方法

    這兩篇您邏輯貫通起來,其實就可以做到您的需求


    Best Regards, Daniel Liang

    • 已提議為解答 Kill Apple 2012年6月1日 上午 02:23
    2012年5月25日 下午 05:08