Как применить параметры групповой политики к определенным локальным учетным записям в Windows

17

Я создал ограниченную учетную запись пользователя и хочу ограничить доступ к USB и CD-дискам с помощью параметров групповой политики. Поэтому я хочу использовать gpedit.msc, чтобы наложить ограничения на ограниченную учетную запись и запретить доступ к USB и CD-приводу, а также предотвратить изменение этих изменений ограниченной учетной записью. Как я могу добиться этого, не ограничивая другие учетные записи?

rzlines
источник

Ответы:

19

В Windows Vista и более поздних версиях вы можете применять политики только к определенной учетной записи, но вам нужно загрузить редактор объектов групповой политики из консоли управления Microsoft, а не открывать оснастку напрямую.

  1. Открыть mmc.exe
  2. Когда откроется консоль MMC, нажмите «Файл» - & gt; «Добавить / удалить оснастку»
  3. Выберите «Редактор объектов групповой политики» и нажмите «Добавить & gt;» кнопка
  4. В появившемся диалоговом окне нажмите «Обзор».
  5. Нажмите вкладку «пользователи» и выберите пользователя.

  6. Нажмите «ОК», затем «Готово», затем «ОК» снова

Теперь у вас будет объект пользователя групповой политики для выбранного пользователя. Примените все ограничения, которые вы хотите. Вы можете быть заинтересованы в проверке «Скрыть эти указанные диски в моем компьютере» в User Configuration > Administrative Templates > Windows Components > Windows Explorer,

nhinkle
источник
1
+1 - это действительно потрясающе! Интересно, почему MS не информирует пользователей о таких функциях. Тем более, что Windows делает все возможное, чтобы все усложнить :) Где вы изучаете такие вещи? Книги?
Robinicks
@nhinkle Что если я захочу применить одну и ту же политику к одному и тому же пользователю на доменной Win7? Есть ли способ их скопировать?
AJaM
@ AJaM Я не знаю, как их скопировать. К сожалению, вам придется сделать это для каждого отдельного компьютера.
nhinkle
2
Мне грустно, как это скрыто. Мне потребовалось некоторое время, чтобы найти решение, и я наконец наткнулся на ваш ответ. Это здорово, спасибо!
Brave Newbie
+1: это как раз то, что мне тоже нужно! Я не могу поверить, насколько это скрыто.
John H
2

Вам придется вносить эти изменения в групповую политику из учетной записи администратора, а не из ограниченной учетной записи.

th3dude
источник
Пробовал, но это относится ко всем учетным записям, как я могу внести изменения только для ограниченной учетной записи?
rzlines
Поправьте меня, если я не прав, но разве элемент групповой политики не запрещает доступ через USB в конфигурации компьютера? В этом случае не имеет значения, под какой учетной записью вы вносите изменения, это повлияет на всех пользователей компьютера.
dsolimano
ой! если это так, как я могу ограничить ограниченную учетную запись пользователя. Я не хочу ограничивать учетную запись администратора, только учетная запись пользователя - это все, что я хочу ограничить
rzlines
@ Роуг, я писал ниже об USB-устройствах. Я подумаю еще немного о дисководах и отредактирую, когда что-нибудь придумаю. Я чувствую, что упускаю что-то очевидное здесь.
dsolimano
1

Для ограничения доступа к USB-устройствам у Microsoft есть статья в КБ об отказе в разрешении на определенные файлы - http://support.microsoft.com/kb/823732 , Возможно, вам придется оставить SYSTEM с доступом к файлам для других учетных записей, некоторые проб и ошибок в порядке.

РЕДАКТИРОВАТЬ-

Кажется, есть какое-то довольно доступное стороннее программное обеспечение, которое делает то, что вы ищете, но я не проверял это сам. http://www.devicelock.com/

dsolimano
источник
0

(Я публикую «ответ», потому что у меня недостаточно репутации, чтобы комментировать выше. Однако эта информация важна.)

Протестировано: Windows 8.1

Ответ, данный nhinkle выше, работает хорошо. Однако это не мешает вам открыть командную строку и перейти к дискам вручную. При запуске файла JPG на другом диске открывается программа просмотра изображений.

Вы можете отключить командную строку через «Конфигурация пользователя \ Административные шаблоны \ Система», но я не нашел способа использовать консоль MMC, чтобы разрешить командную строку, ограничивая при этом ее навигацию.

Eсть обходной путь , открыв «Свойства» «Свойства» (щелчок правой кнопкой мыши) диска / корневой папки (ов) (например, D :), добавив выделенную строку для рассматриваемой учетной записи пользователя и отметив «Отклонено» «[x] Total Control msgstr "(может быть помечено иначе, я использую не EN версию для Windows).

Imifos
источник
Это действительно комментарий и не ответ на оригинальный вопрос. Чтобы критиковать или запросить разъяснения у автора, оставьте комментарий под его постом - вы всегда можете прокомментировать свои собственные посты, и как только у вас будет достаточно репутации Вы сможете комментировать любой пост ,
DavidPostill
Как я уже сказал, я знаю об этом. И это не критика и не просьба. Это дополнительная информация, которую я счел важным знать. Мои системы в порядке, но было бы очень плохо, если бы люди, использующие описанный выше метод, думали, что они в безопасности, а они - нет. Если вы считаете, что эту информацию не стоит хранить в «неправильном месте», смело удаляйте ее.
Imifos