Нам необходимо настроить ваши системы так, чтобы разрешить пользователям с правами администратора доступ к USB-накопителю (если он подключен к USB-порту), но запретить пользователям без прав администратора.
Я нашел множество онлайн-статей, описывающих, как заблокировать или запретить пользователям использовать USB-порт для накопителей, т.е. Пять способов включить или отключить доступ к USB-накопителю
С учетом сказанного, я не могу определить, работает ли что-либо из этого или все из них повсеместно для всех пользователей, включая пользователей с правами администратора, или просто пользователей без прав администратора.
это Запись суперпользователя подразумевает, что этот параметр предназначен для пользователей, не являющихся администраторами, но я не совсем уверен, правильно ли я понимаю ответ. Здесь утверждается,
"... выберите группу без прав администратора"
Обычно я не занимаюсь администрированием Windows, поэтому я не совсем знаком с тем, как редактор групповой политики работает с настройками, применяемыми к определенным группам или пользователям и т. Д. Те же права доступа к файлам и папкам. Все, что выходит за рамки простого разрешения / запрета, выходит за рамки моего основного опыта.
Один интригующий метод задает права доступа к нескольким файлам: Запретить СИСТЕМЕ и Доступ пользователя к файлам. Я думаю, что этот метод был бы хорошим способом позволить администраторам иметь доступ к файлам, запрещая неадминистраторам; однако я обеспокоен тем, что отказ от SYSTEM может помешать работе. Мне нужно, чтобы admin / SYSTEM разрешен, а пользователь / SYSTEM запрещен. Это вообще возможно?
С учетом сказанного, буду признателен за любую помощь. Мы используем Windows Server 2008 R2 вместе с несколькими рабочими станциями с Windows 8 и 10.
Я поговорил с человеком, который выполняет функции системного администратора. Он намерен создать групповую политику, которая блокирует доступ всех пользователей к USB-портам для накопителей (флэш-накопители и т. Д.). Затем запретите доступ к этой групповой политике администраторам домена. Таким образом, когда администратор домена получает доступ к этой групповой политике, она к ним не применяется.
Мы ждем выходных, чтобы попробовать это на случай, если работа действительно окажет неожиданное негативное влияние (например, блокировка всех USB-устройств, таких как мыши и клавиатуры), и проверить, что это работает.
Я отправлю ответ с результатами, когда узнаю.