在Windows Server 2008 中,管理员可以应用组策略来控制用户是否可以对使用可移动介质的任何设备进行读取或写入。这些策略可用于帮助禁止将敏感或机密材料写入可移动介质或包含存储区域的可移动设备后带走。
此策略设置可以在两个位置找到。在"计算机配置\管理模板\系统\可移动存储访问"中找到的策略设置将影响计算机和登录计算机的每个用户。在"用户配置\管理模板\系统\可移动存储访问"中找到的策略设置仅影响对其应用了策略设置的用户,包括组(如果使用 Active Directory 应用了组策略)。
每个设备类别都支持两个策略:一个是拒绝读取权限,另一个是拒绝写入权限:
- 强制实施重新启动的时间(以秒为单位)。设置为了对可移动存储设备的访问权限强制实施更改,重新启动系统需要等待的时间(以秒为单位)。只有在不通过重新启动无法应用限制策略时才强制实施重新启动。
- CD 和 DVD。这些策略设置允许您拒绝对 CD 和 DVD 可移动存储类中的设备(包括通过 USB 连接的设备)进行读取或写入访问。
实例:
(一)准备工作
- 运行 Windows Vista 的客户端计算机。假定为 DMI-Client。
- USB 存储驱动器。本指南中描述的方案将 USB 存储驱动器用作示例设备。此设备像是一个可移动磁盘驱动器,它也被称为"拇指驱动器"、"闪存驱动器"或"钥匙圈驱动器"。大多数 USB 存储驱动器不需要制造商提供的任何驱动程序,这些设备使用Windows Server 2008 提供的驱动程序。
(二)使用设备管理器查找设备标识字符串
1. 以 DMI-Client\TestAdmin 身份登录到计算机。
2. 插入 USB 存储驱动器,然后完成安装。
3. 若要打开设备管理器,请单击"开始"按钮,在"开始搜索"框中键入 mmc devmgmt.msc,然后按 Enter。
4. 如果出现"用户账户控制"对话框,请确认所显示的是您想要执行的操作,然后单击"继续"。
设备管理器启动并显示一个表示在您的计算机上检测到的所有设备的树。树顶部的节点旁显示了您的计算机名称。下面的节点表示各种类别的硬件,您的计算机设备被归类到这些节点中。
5. 双击"磁盘驱动器"打开列表。
6. 右键单击 USB 存储驱动器对应的条目,然后单击"属性"。
此时将出现"设备属性"对话框。
7. 单击"详细信息"选项卡。
8. 在"属性"列表中,单击"硬件 Id"。
在"值"下面,记录所显示的字符串。
注:您可以通过突出显示文本并按 Ctrl-C 将这些字符串复制到剪贴板。因为许多硬件 ID 都具有多个下划线字符,所以将它们复制到文本文件十分有用,您可以在必须指定标识符时从文本文件中进行粘贴。这种方法大大降低了您必须向批准或禁止的设备列表中添加特定标识符时出错的可能性。
9. 在"属性"列表中,单击"兼容 Id"。
在"值"下面,记录所显示的字符串。
10. 单击"确定"关闭对话框。
(三)卸载 USB 存储驱动器
1. 以 DMI-Client\TestAdmin 身份登录到计算机。
2. 若要打开设备管理器,请单击"开始"按钮,在"开始搜索"框中键入 mmc devmgmt.msc,然后按 Enter。
3. 如果出现"用户账户控制"对话框,请确认所显示的是您想要执行的操作,然后单击"继续"。
4. 右键单击 USB 存储驱动器对应的条目,然后单击"卸载"。
5. 在"确认设备删除"对话框中,单击"确定"完成卸载过程。
6. 当 Windows 完成卸载过程时,它将从设备管理器树中删除该设备条目。
7. 从 USB 端口中拔出 USB 存储驱动器。
