用组策略彻底禁止USB存储设备、光驱、软驱、ZIP软驱

首先要去下面一个USB组策略模版.

第一步：新建 “禁止 USB ”策略 →点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。

第二步： 在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”组策略模板。（这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。）双击“usb.adm” 组策略模板添加“usb.adm” 组策略模板。

添加后，回到“添加 / 删除模板”对话框，我们此时清楚看到“添加 / 删除模板”对话框中多了一个名称为“ USB ”的组策略模板。

第三步：我们点击“添加 / 删除模板”对话框中的“关闭”按钮，回到“组策略编辑器”对话框中。此时我们就可以看到“计算机配置”下的“管理模板”中多了一个“ Custom Policy Settings ”。

第四步：右键点击“管理模板” →“查看”→“筛选”。

在弹出的“筛选”对话框中去掉“只显示能完全管理的策略设置”前面的勾

再点击“确定”按钮返回“组策略编辑器”画面。

第五步：点击“计算机配置” → “管理模板” → 点击“ Custom Policy Settings ” → 点击“ Restrict Drives ”

第六步：例如我们要禁止 USB 接口（大家可以放心，虽然我们禁止 USB 接口但是不影响我们使用 USB 接口的打印机、键鼠累设备），右键点击“ Disable USB ” → 点击“属性”，弹出“ Disable USB ” 属性对话框。

我们首先点击“已启用”按钮→在“Disable USB Ports”中选择“Enabled”来启用该策略

注意：这里我要提醒的是，很多朋友可能在这里就把该策略点击“已启用”按钮后，然后用“GPupdate /force”来强行在客户端和DC上刷新策略，最后发现为什么策略已经启用了，就是不生效呢。这里我要提醒大家就是一定要点击“已启用”后还要在下面选项中选为“Enabled”，否则你做的策略是不会生效的。