利用组策略限制访问可移动存储设备

系统管理员可以利用组策略来限制用户访问可移动存储设备(例如：U盘)，以免企业内部员工轻易的通过这些存储设备将重要数据带离公司

• 如果针对计算机配置来设置这些策略的话，则任何域用户只要在这个组织单位内的计算机登录，就会受到限制
• 如果针对用户配置来设置这些策略的话，则所有位于此组织单位内的用户到任何一台域成员计算机上登录时，都会受到限制

系统提供的对可移动设备的限制策略，如图：

• CD和DVD：拒绝读取权限、拒绝写入权限

拒绝用户读取或写入属于CD与DVD类的设备(包含通过USB连接的设备)

• 自定义类：拒绝读取权限、拒绝写入权限

属于同一类型的设备会拥有相同的设备类型，例如所有的光驱都是隶属于CD ROM设备类型，它们都采用相同的安装与设置方式。设备类型代码是采用32个字符的GUID格式。

可以通过设备类型来拒绝用户读取或写入到拥有此GUID的存储设备

可以通过设备管理器来查询设备的GUID

• 软盘驱动器：拒绝读取权限、拒绝写入权限

拒绝用户读取或写入属于软盘驱动器类型的设备(包含通过USB连接的设备)

• 可移动磁盘：拒绝读取权限、拒绝写入权限

拒绝用户读取或写入属于可移动磁盘类型的设备，例如U盘或外接式USB硬盘

• 所有可移动存储类：拒绝所有权限

拒绝用户访问所有的可移动存储设备，此策略设置的优先权高于其他策略，因此如果启用此策略的话，则不论其他策略设置如何，都会拒绝用户读取与写入到可移动存储设备。如果禁用或未配置此策略的话，则用户是否可以读取或写入到可移动存储设备，需要根据其他策略的设置而定

• 磁带驱动器：拒绝读取权限、拒绝写入权限

拒绝用户读取或写入隶属于磁带驱动器类型的设备(包含通过USB连接的设备)

• WPD设备：拒绝读取权限、拒绝写入权限

拒绝用户读取或写入隶属于WPD(Windows Portable Device)的设备，例如移动电话、媒体播放器、Windows CE等设备

   

针对计算机配置来设置的具体步骤：

利用组策略工具针对组织单位"财务部"下的计算机配置无法写入U盘

Step1：单击左下角"开始"图标 -> Windows管理工具 -> 组策略管理 -> 展开组织单位"财务部" -> 选中 Finance Department GPO 并右击 -> 编辑

Step2：展开计算机配置 -> 策略 -> 管理模板 -> 系统 -> 可移动存储访问 -> 双击"可移动磁盘：拒绝写入权限"按钮

Step3：勾选"已启用"，然后点击"确定"按钮，即可。

针对组织单位里用户配置来设置的方法，与针对组织单位内计算机配置来设置的方法雷同，不再赘述。