利用组策略限制访问可移动存储设备
系统管理员可以利用组策略来限制用户访问可移动存储设备(例如:U盘),以免企业内部员工轻易的通过这些存储设备将重要数据带离公司
- 如果针对计算机配置来设置这些策略的话,则任何域用户只要在这个组织单位内的计算机登录,就会受到限制
- 如果针对用户配置来设置这些策略的话,则所有位于此组织单位内的用户到任何一台域成员计算机上登录时,都会受到限制
系统提供的对可移动设备的限制策略,如图:
- CD和DVD:拒绝读取权限、拒绝写入权限
拒绝用户读取或写入属于CD与DVD类的设备(包含通过USB连接的设备)
- 自定义类:拒绝读取权限、拒绝写入权限
属于同一类型的设备会拥有相同的设备类型,例如所有的光驱都是隶属于CD ROM设备类型,它们都采用相同的安装与设置方式。设备类型代码是采用32个字符的GUID格式。
可以通过设备类型来拒绝用户读取或写入到拥有此GUID的存储设备
可以通过设备管理器来查询设备的GUID
- 软盘驱动器:拒绝读取权限、拒绝写入权限
拒绝用户读取或写入属于软盘驱动器类型的设备(包含通过USB连接的设备)
- 可移动磁盘:拒绝读取权限、拒绝写入权限
拒绝用户读取或写入属于可移动磁盘类型的设备,例如U盘或外接式USB硬盘
- 所有可移动存储类:拒绝所有权限
拒绝用户访问所有的可移动存储设备,此策略设置的优先权高于其他策略,因此如果启用此策略的话,则不论其他策略设置如何,都会拒绝用户读取与写入到可移动存储设备。如果禁用或未配置此策略的话,则用户是否可以读取或写入到可移动存储设备,需要根据其他策略的设置而定
- 磁带驱动器:拒绝读取权限、拒绝写入权限
拒绝用户读取或写入隶属于磁带驱动器类型的设备(包含通过USB连接的设备)
- WPD设备:拒绝读取权限、拒绝写入权限
拒绝用户读取或写入隶属于WPD(Windows Portable Device)的设备,例如移动电话、媒体播放器、Windows CE等设备
针对计算机配置来设置的具体步骤:
利用组策略工具针对组织单位"财务部"下的计算机配置无法写入U盘
Step1:单击左下角"开始"图标 -> Windows管理工具 -> 组策略管理 -> 展开组织单位"财务部" -> 选中 Finance Department GPO 并右击 -> 编辑
Step2:展开计算机配置 -> 策略 -> 管理模板 -> 系统 -> 可移动存储访问 -> 双击"可移动磁盘:拒绝写入权限"按钮
Step3:勾选"已启用",然后点击"确定"按钮,即可。
针对组织单位里用户配置来设置的方法,与针对组织单位内计算机配置来设置的方法雷同,不再赘述。