Windowsのリムーバブルメディアブロッキング戦略XPネットワーク

ドメインコンピュータでこれを設定するための万能の戦略は見つかりませんでした。あなたは間違いなくさまざまな方法を検討する必要があります（おそらく自分でいくつか試してみる必要があります）、そしてあなたのユーザー（そしてあなた）にとって何が最もうまくいくかを見てください）。 Microsoftはレジストリの変更を提案していますが、GPOsやstartup /などのより効率的な方法を使用してこれを実装する方法については言及していません。ログオンスクリプト。

Hannes Schmidtによるこのブログ投稿 ADMテンプレート（によって提供される）でGPOを使用してUSBストレージデバイスの使用を制限する自動化された方法について詳しく説明します。彼）。これは、プラグアンドプレイ（PNP）プロセスが[〜＃〜] usbstor [〜＃〜]（USBSTOR.INFおよびUSBSTORE.PNFへのアクセス）で実行されないように制限することを目的としています。このアプローチで私が気に入っているのは、それでも'allowed'ユーザーがUSBストレージデバイス（管理者や特別な原因のグループなど）を使用するためのアクセス権を提供することです。いくつかの追加手順に従う必要があります。

ハウツー！

1. Active Directoryユーザーとコンピューターで、既存のGPOを開くか、新しいものを作成して開きます。そのGPOのセキュリティ設定を使用して、影響を受けるコンピューターを指定します。
2. そのGPOで、[コンピューターの構成]Windowsの設定]-[セキュリティの設定]-[ファイルシステム]に移動し、新しいエントリを作成します（[ファイルシステム]を右クリックして[ファイルの追加]を選択します）。 USBSTOR.INFの場所を指定します（通常はSystemRoot％\ Inf\USBSTOR.INF）
3. 新しいエントリのセキュリティ設定を変更します。ここで指定したセキュリティ設定は、GPOが適用されるすべてのコンピューターのUSBSTOR.INFに適用されます。このプロセスは追加的ではありません。つまり、USBSTOR.INFの以前のセキュリティ設定は、GPOで指定されたものによって上書きされます。したがって、SYSTEMおよびローカル管理者にフルコントロールを付与することをお勧めします。ただし、USBSTOR.INFのデフォルトのセキュリティ設定とは異なり、Everybodyに特権を付与しないでください。アクセスを明示的に拒否する必要はありません。Everybodyのエントリを省略するだけです。オプションで、特定のグループに読み取りアクセスを許可できます。このグループのメンバーは、USBストレージを使用できるようになります。
4. USBSTOR.PNFについて、上記の2つの手順を繰り返します。
5. ダウンロード SBSTOR.ADM 。
6. GPOに戻り、[コンピューターの構成]の下の[管理用テンプレート]を右クリックして、[テンプレートの追加と削除]を選択します。 [追加]をクリックして、USBSTOR.ADMの場所を参照します。ダイアログを閉じます。
7. これで、管理用テンプレートに「サービスとドライバー」という追加のエントリが表示されます。クリックして。空の場合は、メニューから[表示]を選択し、[ポリシーのみを表示]のチェックを外します。管理用テンプレートの[サービスとドライバー]をクリックします。 USBストレージポリシーが表示されます。それをダブルクリックし、[有効]を選択して、[スタートアップの種類]ドロップダウンから[無効]を選択します。この場合も、ポリシーを有効にする必要がありますが、スタートアップの種類は無効にする必要があります。
8. ダイアログとGPOを閉じて、ワークステーションの1つを起動/再起動します。そのコンピューターにUSBストレージデバイスが接続されていないことを確認してください。管理者権限でログオンし、USBSTOR.INFおよびUSBSTOR.PNFの権限を確認してください。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor\Startの値を確認してください。 4である必要があります。UsbStorキーがまったく存在しなくても問題ありません。
9. 同じワークステーションで、USBストレージにアクセスできないユーザーとしてログオフしてから再度ログオンします。 USBメモリースティックなどを接続します。何も起こらないはずです。メモリースティックを取り外します。
10. USBストレージにアクセスできるユーザーとしてログオンし、コマンドシェルまたは[スタート] – [実行]でnetstartusbstorを実行してからメモリースティックを接続します。メモリースティックを初期化し、ドライブ文字にマッピングする必要があります。 USBSTORが起動しない場合は、メモリースティックをワークステーションに接続するのが初めてである可能性があります。この場合、USBSTORはまだインストールされていません。それでも、メモリースティックは初期化して正しくマップする必要がありますが、USBSTORが再び無効になるように管理用テンプレートを再適用するには、再起動する必要があります。または、ダウンロードしてダブルクリック SBSTOR.REG を実行し、net stop usbstorを実行して、手動で無効にすることもできます。
11. USBストレージにアクセスできるユーザーに、USBストレージデバイスを接続する前にnet startusbstorを実行する必要があることを指示します。

以下のコメントを読むと、トラブルシューティングのヒントがたくさん見つかります--- [ ハンネの記事。