最近在 AD 上測試 GPO,原本以為下載微軟的 ADM 檔,並套用就可以順利使用了,其實呢..XXXX
孤狗大神上面也是找到許多 solution ,不過也大部分指向同一個 adm 檔...經測試..>_< 不 work .最少在我的環境上是不 work 的.山不轉路轉,路不轉自己轉,只好改另外一種方式了...
改從登錄檔下手,讓登入 AD 的 user login domain 時,就去執行修該的登錄檔...
經過測試精簡有了下列一些檔案出現了
1.Disable USB Storage
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004
2.Disable CDROM
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"Start"=dword:00000004
3.Disable FLOPPY
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Flpydisk]
"Start"=dword:00000004
4.USB Storage Read Only
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000001
大致上大同小異,預設的 "Start"=dword:00000003
重點來了..請劃線
1.GPMC 要安裝,這是使用 GPO 重要的 Console 程式
2.找到群組原則物件,建立一個新的 ADM.
3.GP 中找到使用者設定--系統--登入--當使用者登入執行這些程式,裡面填入 regedit -s 登錄檔名 或者用批次檔也可以
4.在 ad 上下 GPupdate /force ..強制更新 GP..
5. client 重新登入....
6.賓果 !!!! CDROM,USB,FLOPPY 不見了
^_^
34
76658
