前提背景:
研發部門圖紙經常泄漏,領導說要管控USB,但是要能讀,只限制不能寫。本想大力推薦Devicelock,
因費用原因沒了後話,只好使用最基本的域策略進行實施.
51CTOblog傳圖片這麼麻煩,還是全部寫文字好了。
實施涉及到兩個知識點:
一:批量移動AD對象(用戶或計算機)
二:組策略設置
一:
在域lee.cn中新建立一個名爲“研發部”的OU
新增一個研發部的OU, New-ADOrganizationalUnit -name "研發部" -Path "dc=lee,dc=cn"
2.Powershell命令 遷移所有的研發計算機(研發的電腦都是以YF-XXX開頭)到新建立的OU
Get-ADComputer -filter 'name -like "*YF-*"' | Move-ADObject -TargetPath "OU=研發部,DC=lee,DC=CN"
二:運行gpmc.msc打開組策略編輯器選擇"研發部"該OU創建一個DisabelUsbWrite的GPO編輯如下參數:
計算機配置-策略-管理模板-系統-可移動存儲訪問
可移動磁盤:拒絕寫入權限:將狀態改爲 已啓用
WPD設備: 拒絕寫入權限:將狀態改爲 已啓用
DVD-CD 看需求是否進行設置。