1、打开active directory 用户和计算机,右击域sqkftest.com选择“新建组织单位”,可以命名为“禁用usb”
2、 可以把想要禁用usb权限的pc移动到此ou中。
3、 打开组策略运行里输入gpmc.msc打开组策略管理,找到域控下的组策略对象,选择新建,命名同上为“禁用usb”
4、选中此策略对象,右击选择“编辑”打开组策略管理编辑器。找到禁用usb设备选项,启用
5、 回到组策略管理器,选择“禁用usb”ou,右击选择“连接现有的GPO…”出现如右侧所示,选择刚才建立的策略“禁用usb”,若想此策略应用到整个域,这右击“sqkftes.com[test-kfdc01.sq]”,选择“连接现有的GPO”,选择要连接的策略,确认即可,当应用到整个域的时候,任何用户登录任何电脑usb都不可以使用,因为所有电脑都已经应用了禁用usb策略。
6、若想针对某些用户执行usb策略,则在2中把人员移动到新建的ou中,4中编辑策略的时候选择用户策略,其余步骤一样。
最后需要注意,组策略对象创建完毕后,在右侧作用域里邮件可以看到有强制和已启用连接,
已启动,代表策略升生效。
强制
组策略中的“强制”可以保证当前的GPO 里的设置应用到用户或计算机,当其中的设置与其他GPO中的设置冲突时不被其他GPO里的设置给覆盖。
一般我们只对一些后来设置的一些策略启用“强制”,对于默认与策略不建议启用