1、首先打開Active Directory用戶和計算機,然後選擇需要禁用USB設備的OU,並點擊鼠標右鍵進行組策略;
2、然後創建一個針對USB的GPO,並點擊編輯,打開組策略編輯器;
3、進入組策略編輯器,依次展開“計算機配置”--“Windows設置”--“安全設置”-“文件系統”;
4、接著鼠標右鍵點擊“添加文件”,彈出“添加文件和文件夾”,在“文件夾”欄輸入“%systemroot%infusbstor.inf“,然後點擊確定。
5、在“數據庫安全設置”中,刪除所有的用戶,並添加“Everyone”,去掉默認的允許“讀取和執行”、“列出文件夾內容”、“讀取”,添加拒絕“完全控制”,然後依次點擊“應用---確定”;
6、在“添加對象”窗口,默認當前設置,若要重新編輯安全權限,則可點擊“編輯安全設置”進行重新設置,並點擊確定退出設置;
7、除此之外,重復4、5、7步驟,對“%systemroot%infusbstor.PNF&ldquo進行設置,之後關閉組策略編輯器,使用“gpupdate /force”,強行刷新策略即可。
ps:上面的只能針對還沒有使用過USB的計算機才能生效,如果計算機已經使用過U盤等設備,那還需要修改注冊表來達到目的。具體步驟如下:
1)首先打開win7系統中的“開始--運行”,在運行對話框中輸入“regedit”,回車打開注冊表;
2)然後在打開的注冊表中依次展開並定位到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor”項;
3)然後打開上面注冊表位置,我們可以看到start的鍵值,需要將該鍵值修改為4,默認情況下為3(3表示手動、2表示自動、4表示停用),若要使用組策略來部署。
