Включение / отключение USB-устройств в Windows с использованием Active Directory для определенных пользователей

Меня попросили отключить доступ к USB-устройствам на компьютерах с Windows по причинам раскрытия информации.

Хотя это можно сделать с помощью Active Directory, проблема в том, что решение должно позволить нам разрешить доступ для определенных пользователей на ограниченные периоды авторизации.

Как это можно сделать с помощью Active Directory (если это возможно)?

Если нет, то какое программное обеспечение я могу использовать для этого?

Вы говорите о настройке, которая применяется к компьютерам, а не к пользователям. Если вы не против применить его к компьютерам, вы можете создать группу безопасности и поместить в нее компьютеры, которые не должны быть «ограниченными». Измените разрешения объекта групповой политики, в котором вы применяете эти ограничения, чтобы включить «Запретить применение групповой политики» для созданной вами группы компьютеров, и настройки больше не будут применяться к этим компьютерам. Вы можете перемещать компьютеры в группу и из нее по мере необходимости, но я почти уверен, что вам придется перезагружать компьютеры, чтобы изменение ограничения или отсутствие ограничений вступило в силу.

Если отключено запоминающее устройство USB с помощью gpedit в windows7

Сбросить конфигурацию gpedit Установить все классы съемных носителей: запретить любой доступ к не настроенным
Затем Gpupdate
Установка драйвера
Диспетчер устройств -> обновить драйвер -> просмотреть: c -> windows -> inf-> usbsstore.disabled (переименовать usbstore.disabled в usbstore.inf, затем выбрать usbstore.inf) -> далее Готово
Перезагрузите машину

Я установил ADM в моей последней компании и установил GP для определенных групп. Включено Mass Storage и отключено Mass Storage. При смене групп требовалась перезагрузка. Это изменение реестра, чтобы в основном отключить драйвер USB-накопителя.

Вот ADM, который я использовал. Взял его в Google много лет назад.

CLASS MACHINE
CATEGORY !!category
 CATEGORY !!categoryname
  POLICY !!policynameusb
   KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
   EXPLAIN !!explaintextusb
     PART !!labeltextusb DROPDOWNLIST REQUIRED

       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynamecd
   KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
   EXPLAIN !!explaintextcd
     PART !!labeltextcd DROPDOWNLIST REQUIRED

       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 1 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynameflpy
   KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
   EXPLAIN !!explaintextflpy
     PART !!labeltextflpy DROPDOWNLIST REQUIRED

       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynamels120
   KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
   EXPLAIN !!explaintextls120
     PART !!labeltextls120 DROPDOWNLIST REQUIRED

       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
 END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB Removable Drives"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the USB Removable Drives capability by disabling the usbstor.sys driver. \n\nSelect the ENABLED radiobox, then select STOPPED for the usbstore.sys driver status in the drop-down list.  \n\nNote that this will only prevent usage of newly plugged-in USB Removable Drives or Flash Drives, devices that were plugged-in while this option was not configured will continue to function normally. Also, devices that use the same device or hardware ID (for example - 2 identical Flash Disks made by the same manufacturer) will still function if one of them was plugged-in prior to the configuration of this setting. In order to successfully block them you will need to make sure no USB Removable Drive is plugged-in while you set this option. \n\nIn order to re-enable the usage of USB Removable Drives select STARTED for the usbstore.sys driver status in the drop-down list."
explaintextcd="Disables the CD-ROM Drive by disabling the cdrom.sys driver. \n\nSelect the ENABLED radiobox, then select STOPPED for the cdrom.sys driver status in the drop-down list. \n\nIn order to re-enable the usage of USB Removable Drives select STARTED for the cdrom.sys driver status in the drop-down list."
explaintextflpy="Disables the Floppy Drive by disabling the flpydisk.sys driver. \n\nSelect the ENABLED radiobox, then select STOPPED for the flpydisk.sys driver status in the drop-down list. \n\nIn order to re-enable the usage of USB Removable Drives select STARTED for the flpydisk.sys driver status in the drop-down list."
explaintextls120="Disables the High Capacity Floppy Drive by disabling the sfloppy.sys driver. \n\nSelect the ENABLED radiobox, then select STOPPED for the sfloppy.sys driver status in the drop-down list. \n\nIn order to re-enable the usage of USB Removable Drives select STARTED for the sfloppy.sys driver status in the drop-down list."
labeltextusb="usbstore.sys driver status"
labeltextcd="cdrom.sys driver status"
labeltextflpy="flpydisk.sys driver status"
labeltextls120="sfloppy.sys driver status"
Enabled="Stopped"
Disabled="Started"

Насколько я знаю, эпоксидная смола - очень популярное решение этой проблемы.

Как запретить пользователям использовать USB-накопители, нарушающие безопасность

физические блокировки портов для Ethernet, USB, телефона и т. д.?

На самом деле, GP выглядит лучшим ответом:

http://windowsdevcenter.com/pub/a/windows/2005/11/15/disables-usb-storage-with-group-policy.html