可移动存储的文件保护(只读)策略
目标:让客户端所有电脑能使用U盘、移动硬盘等移动存储设备, 但不允许将文件COPY到移动存储,只允许对移动存储内容进行只读操作。
效果图:
组策略之(4)-------可移动存储的文件保护(只读设置)_第1张图片
 
 
设置:
1.打开GPMC>>>组策略对象>>>新建
 策略名:GP_ALL_COMPUTER_可移动存储的文件保护(只读设置)
2.选中组策略“GP_ALL_COMPUTER_可移动存储的文件保护(只读设置)”>>>添加作用域>>>选择所要限制的电脑OU(我的例子直接在AD中建立了针对电脑的OU“电脑”)
3.选中组策略“GP_ALL_COMPUTER_可移动存储的文件保护(只读设置)”>>>编辑:
    3.1 进入组策略编辑器>>>计算机配置>>>windows设置>>>脚本(启动/关机)
          添加启动脚本“ ReadOnlyUsb.bat”
    3.2 添加完毕,关闭。
4.客户端电脑重起,测试,OK。
 
--------------------------------
 
5.注:如果需要对某些计算机进行例外处理,可按如下方法操作:
5.1.打开GPMC>>>组策略对象>>>“GP_ALL_COMPUTER_可移动存储的文件保护(只读设置)”>>>委派
       选择添加
       选择需要例外的计算机(小提示:默认是选择不了计算机,要在对象类型中选择好)>>>选择权限(提示:随便选,反正要修改)
5.2 打开GPMC>>>组策略对象>>>“GP_ALL_COMPUTER_可移动存储的文件保护(只读设置)”>>>委派
     选择高级(GPMC程序右下角)>>>选中例外用户>>>勾选读取权限对应的“拒绝”项。
    
--------------------------------
 
附件中包含:
ReadOnlyUsb.bat(只读)
ReadADNWriteUsb.bat(可读写)
(附件文件没有什么技术含量,仅仅为了策略方便操作)