在以前旧版本的Windows中，方法大多麻烦且缺乏简便的管理途径。但是到了Vista中，这个问题已经变得微不足道了。你可以通过组策略中的相关设置集中控制组织中安装的设备。比如创建策略限制usb设备，cd-rw或是dvd-rw驱动器，以及 其它的可移动媒体的使用。鉴于目前大家用XP比较多，在这里我简单的说明如何阻止用户写数据到usb设备。可以创建自定义adm模版：限制Windows XP sp2为写保护：

class machine
gategory "usb storage"
  policy "write protect usb storage"
    keyname "system\curreNTcoNTrolset\coNTrol\stroagedevicepolicies"
    valuename "writeprotect"
    valueon numeric 1
    valueoff numeric 0
  end policy
end category

限制Windows XP/sp2以前的计算机（将完全禁用usb设备）

class machine
gategory "usb storage"
  policy "disable usb storage"
    keyname "system\curreNTcoNTrolset\services\usbstor
    valuename "start"
    valueon numeric 4
    valueoff numeric 3
  end policy
end category

注意，这是有前提条件的，首先，局域网必须以域为架构（我们知道Windows 2000、Windows XP自己都自带有组策略编辑器，使用组策略编辑器可单独编辑每台机器的策略，而使用域时，只要用户登录到域，就会自动应用策略，在服务器端修改一次，就可 以在全域实现管理目标，如果不采用域模式，你需要一台一台的设置，失去了效率，也不符合你的“一招搞定”，也就没有采用的必要了）其次，客户端必须以域用 户的身份登录网络，且不能被赋予客户端本机管理员的权限。客户端操作系统推荐使用Windows 2000和Windows XP，虽然Windows 98也能在域环境下应用组策略，但Windows 2000 Server组策略对Windows 98的支持并不完全，且需要采用两种完全不同的方法分别管理他们，会对以后的网络管理带来不便。

文章如转载，请注明转载自：http://www.5iadmin.com/post/326.html