Alex Ruben
如何使用 GPO 阻止網域使用者將檔案複製到 USB 磁碟機
如何使用群組原則阻止網域使用者將檔案複製到 USB 磁碟機
## 步驟 1:開啟群組原則管理控制台
1.點選伺服器管理員(可能位於伺服器桌面的某個位置)。 2.點選右上角選單中的「工具」 。 3.選擇「群組原則管理」。
## 步驟 2:建立並連結新的 GPO
1.在左側窗格中,找到您的網域,然後以滑鼠右鍵按一下您的使用者所在的OU (組織單位)。 2.選擇「在此網域中建立 GPO,並將其連結到此處」 。 3.將其命名為「USB 寫入存取阻止」或其他適當的名稱。 4.點選「確定」。
## 步驟 3:編輯 GPO
1.右鍵單擊新策略並選擇編輯。 2.這將開啟群組原則管理編輯器。
## 步驟 4:設定策略路徑
按照此導航:
電腦設定 → 策略 → 管理範本 → 系統 → 可移動儲存存取
## 步驟 5:在可移動磁碟上啟用“拒絕寫入存取”
1.尋找可移動磁碟:拒絕寫入存取。 2.雙擊它 。 3.將其設定為已啟用。 4.點選應用並確定。
## 步驟 6:關閉並強制策略更新
– 只需關閉編輯器。 – 在用戶端電腦(使用者將插入磁碟機的 PC)上,開啟Command Prompt並執行:
bash gpupdate /force
– 等待幾秒鐘。有時,政策生效需要一段時間,尤其是在存在許多其他限制的情況下。
## 步驟 7:測試
插入一個 U 盤。嘗試複製一些文件到裡面。如果一切設定正確,Windows 應該會阻止你,並顯示「你沒有權限」或類似的訊息,以確認策略正在生效。
## 其他提示和故障排除
– 仔細檢查您的 GPO 是否*準確*連結到您的使用者帳戶所在位置。 – 如果使用者仍然能夠複製文件,請尋找其他衝突的策略—尤其是預設策略或透過本機群組原則套用的策略。 – 請記住,有時安全性原則不會立即生效,尤其是在使用者登入多台電腦的情況下。可能需要重新啟動或等待一段時間。
最後的想法
如果使用者擁有管理員權限,或者您的網路設定複雜,這並非萬無一失,但對於大多數標準網域而言,這將大大減少未經授權的 USB 檔案複製。只要留意策略的執行情況—有時,關鍵在於時機和衝突。
概括
- 建立了連結到正確 OU 的新 GPO
- 啟用“可移動磁碟:拒絕寫入存取”
- 強制進行 GP 更新並在客戶端機器上進行測試
- 確認寫入 USB 被阻止但讀取被允許
希望這能為某些人節省幾個小時。雖然並不總是完美,但總比讓每個人都到處複製要好。