通过域组策略停止USB如何再次开启？

Question

现在使用域管理方式 ，领导要求停止全部人员USB设备的使用。因临时有项目需要，需要开通USB。



停止策略：stopusb 在用户配置-策略-管理模板-系统-可移动存储访问：

CD 和 DVD: 拒绝读取权限 已启用
CD 和 DVD: 拒绝写入权限    已启用
WPD 设备: 拒绝读取权限      已启用
WPD 设备: 拒绝写入权限 已启用
可移动磁盘: 拒绝读取权限 已启用
可移动磁盘: 拒绝写入权限 已启用
所有可移动存储类: 拒绝所有权限 已启用

然后又创建了一个开启的USB设备的策略。startusb

CD 和 DVD: 拒绝读取权限 已禁用
CD 和 DVD: 拒绝写入权限    已禁用
WPD 设备: 拒绝读取权限      已禁用
WPD 设备: 拒绝写入权限 已禁用
可移动磁盘: 拒绝读取权限 已禁用
可移动磁盘: 拒绝写入权限 已禁用
所有可移动存储类: 拒绝所有权限 已禁用

客户端系统为win7 U SP 1

更新策略 成功。 查看策略已经应用到本地计算机上。

使用rsop查看 移动设备处都为禁用状态。

但是用户的USB设备还是无法使用？ 策略应用有先后运行级别吗？

请版主帮助我处理了下。十分感谢。

Answer 1

把需要啟用 USB 的電腦移入一個專門的 OU, 然後只應用啟用 USB 的 GPO.

---

Folding@Home

Answer 2

测试一下！一会汇报！

Answer 3

把需要啟用 USB 的電腦移入一個專門的 OU, 然後只應用啟用 USB 的 GPO.

---

Folding@Home

测试失败！新建OU应该开启USB。还是一样的！CDROM拒绝访问。

Answer 4

按照之前設置的禁用移動設備訪問權限，建立一個反向設置的 GPO，然後將這個 GPO 應用到一個單獨的 OU 中。

是可以恢復移動設備的訪問權限。

如果測試失敗，建議通過

gpresult /z

或

gpresult /h

檢查一下哪些機器的 GPO 應用情況，必要時可以考慮强制執行特定的 GPO。

---

Folding@Home

Answer 5

按照之前設置的禁用移動設備訪問權限，建立一個反向設置的 GPO，然後將這個 GPO 應用到一個單獨的 OU 中。

是可以恢復移動設備的訪問權限。

如果測試失敗，建議通過

gpresult /z

或

gpresult /h

檢查一下哪些機器的 GPO 應用情況，必要時可以考慮强制執行特定的 GPO。

---

Folding@Home

通rsop.msc查看策略应用情况，开户USB策略完全生效并且针对CDROM策略执行为禁用模式！但是CDROM还是无法正常访问

双击CDROM提示：访问拒绝。

因策略修改本地注册表方式进行相关的功能的开启或关闭。手动修改注册键值后。结果也是一样的无法访问。

后单独做了一台测试机器。全部策略都是按要求执行，无此问题。

可能和系统版本有关吗？

新测试机为：win7 U 中文版。客户机：win 7 U 日语版。

Answer 6

如果基於 OU 的 GPO 應用設置正確, 那麼建議你檢查一下是否當初還應用其他方面的限制.

比如修改 cdrom 驅動的啟動方式.

你可以通過在命令提示符執行

sc qc cdrom

檢查其 start 類型是否為 SYSTEM_START

---

Folding@Home

Answer 7

其他方面的限制都已经检查了！没有检查到任何的限制地方。

运行sc qc cdrom 命令如下：

[SC] QueryServiceConfig SUCCESS

SERVICE_NAME: cdrom
        TYPE               : 1  KERNEL_DRIVER
        START_TYPE         : 1   SYSTEM_START
        ERROR_CONTROL      : 1   NORMAL
        BINARY_PATH_NAME   : system32\DRIVERS\cdrom.sys
        LOAD_ORDER_GROUP   : SCSI CDROM Class
        TAG                : 3
        DISPLAY_NAME       : CD-ROM Driver
        DEPENDENCIES       :
        SERVICE_START_NAME :