1、打開active directory 用戶和計算機,右擊域sqkftest.com選擇“新建組織單位”,可以命名為“禁用usb”
2、 可以把想要禁用usb權限的pc移動到此ou中。
3、 打開組策略運行里輸入gpmc.msc打開組策略管理,找到域控下的組策略對象,選擇新建,命名同上為“禁用usb”
4、選中此策略對象,右擊選擇“編輯”打開組策略管理編輯器。找到禁用usb設備選項,啟用
5、 回到組策略管理器,選擇“禁用usb”ou,右擊選擇“連接現有的GPO…”出現如右側所示,選擇剛才建立的策略“禁用usb”,若想此策略應用到整個域,這右擊“sqkftes.com[test-kfdc01.sq]”,選擇“連接現有的GPO”,選擇要連接的策略,確認即可,當應用到整個域的時候,任何用戶登錄任何電腦usb都不可以使用,因為所有電腦都已經應用了禁用usb策略。
6、若想針對某些用戶執行usb策略,則在2中把人員移動到新建的ou中,4中編輯策略的時候選擇用戶策略,其余步驟一樣。
最后需要注意,組策略對象創建完畢后,在右側作用域里郵件可以看到有強制和已啟用連接,
已啟動,代表策略升生效。
強制
組策略中的“強制”可以保證當前的GPO 里的設置應用到用戶或計算機,當其中的設置與其他GPO中的設置沖突時不被其他GPO里的設置給覆蓋。
一般我們只對一些后來設置的一些策略啟用“強制”,對於默認與策略不建議啟用