Наш клиент хочет, чтобы поставляемые нами системы соответствовали следующим требованиям:
В идеале они хотят, чтобы мы не редактировали местные правила. Но если это требуется, это нормально использовать. Компьютер не подключен ни к одному контроллеру домена.
Интересно, возможно ли удовлетворить эти требования?
При этом USB-накопитель не работает, когда пользователь подключает устройство к компьютеру. Чтобы установить начальное значение, выполните следующие действия:
Найдите и щелкните следующий раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
В области сведений дважды щелкните Пуск.
В поле Значение введите 4, нажмите Шестнадцатеричный (если он еще не выбран) и нажмите кнопку ОК.
Выход из редактора реестра.
Если вы хотите включить снова, просто измените это значение на 3.
У Microsoft есть инструмент, который вы можете скачать здесь, чтобы это исправить.
Если на компьютере еще не установлено запоминающее устройство USB
Если запоминающее устройство USB еще не установлено на компьютере, назначьте пользователю или группе и локальной учетной записи SYSTEM разрешения Запретить следующие файлы:
% SystemRoot%\Inf\Usbstor.pnf% SystemRoot%\Inf\Usbstor.inf
Когда вы сделаете это, пользователи не смогут установить запоминающее устройство USB на компьютер.
Чтобы назначить пользователю или группе запрещающие права доступа к файлам Usbstor.pnf и Usbstor.inf, выполните следующие действия.
Запустите проводник Windows и найдите папку% SystemRoot%\Inf.
Щелкните правой кнопкой мыши файл Usbstor.pnf и выберите «Свойства».
Перейдите на вкладку «Безопасность».
В списке «Группа» или «Имена пользователей» добавьте пользователя или группу, для которых вы хотите установить разрешения «Запретить».
В списке «Разрешения для имени пользователя или группы» установите флажок «Запретить» рядом с полным доступом.
Примечание. Также добавьте системную учетную запись в список «Запретить».
В списке имен групп или пользователей выберите учетную запись SYSTEM.
В списке «Разрешения для имени пользователя или имени группы» установите флажок «Запретить» рядом с полным доступом, а затем нажмите кнопку «ОК».
Щелкните правой кнопкой мыши файл Usbstor.inf и выберите пункт «Свойства».
Перейдите на вкладку «Безопасность».
В списке «Группа» или «Имена пользователей» добавьте пользователя или группу, для которых вы хотите установить разрешения «Запретить».
В списке «Разрешения для имени пользователя или группы» установите флажок «Запретить» рядом с полным доступом.
В списке имен групп или пользователей выберите учетную запись SYSTEM.
В списке «Разрешения для имени пользователя или имени группы» установите флажок «Запретить» рядом с полным доступом, а затем нажмите кнопку «ОК».
Для получения дополнительной информации:https://support.microsoft.com/kb/823732
Запустите gpedit.msc и создайте новый объект групповой политики. Установите фильтры так, чтобы пользователь с правами администратора не выполнял этот GP. Настройте доступ к элементам чтения / записи / выполнения в разделе: Конфигурация компьютера> Политики> Административные шаблоны> Система> Доступ к съемному хранилищу.
Изменить: хорошо, я просто перечитал вопрос: нет локальной политики. Хотя это лучший способ сделать это.
