组策略之(4)-------可移动存储的文件保护（只读设置）

可移动存储的文件保护（只读）策略
目标：让客户端所有电脑能使用U盘、移动硬盘等移动存储设备，但不允许将文件COPY到移动存储，只允许对移动存储内容进行只读操作。
效果图：



设置：
1.打开GPMC>>>组策略对象>>>新建
策略名：GP_ALL_COMPUTER_可移动存储的文件保护（只读设置）
2.选中组策略“GP_ALL_COMPUTER_可移动存储的文件保护（只读设置）”>>>添加作用域>>>选择所要限制的电脑OU（我的例子直接在AD中建立了针对电脑的OU“电脑”）
3.选中组策略“GP_ALL_COMPUTER_可移动存储的文件保护（只读设置）”>>>编辑：
3.1 进入组策略编辑器>>>计算机配置>>>windows设置>>>脚本（启动/关机）
添加启动脚本“ ReadOnlyUsb.bat”
3.2 添加完毕，关闭。
4.客户端电脑重起，测试，OK。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

5.注：如果需要对某些计算机进行例外处理，可按如下方法操作：
5.1.打开GPMC>>>组策略对象>>>“GP_ALL_COMPUTER_可移动存储的文件保护（只读设置）”>>>委派
选择添加
选择需要例外的计算机（小提示：默认是选择不了计算机，要在对象类型中选择好）>>>选择权限(提示：随便选，反正要修改)
5.2 打开GPMC>>>组策略对象>>>“GP_ALL_COMPUTER_可移动存储的文件保护（只读设置）”>>>委派
选择高级（GPMC程序右下角）>>>选中例外用户>>>勾选读取权限对应的“拒绝”项。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

附件中包含：
ReadOnlyUsb.bat（只读）
ReadADNWriteUsb.bat（可读写）
（附件文件没有什么技术含量，仅仅为了策略方便操作）

附件：http://down.51cto.com/data/2356106