Як застосувати налаштування групової політики до конкретних локальних облікових записів у Windows


17

Я створив обмежений обліковий запис користувача і хочу обмежити доступ USB-накопичувачів та компакт-дисків, використовуючи налаштування групової політики. Отже, я хочу використовувати gpedit.msc, щоб застосувати обмеження на обмежений обліковий запис і відключити доступ до USB-накопичувачів та компакт-дисків, а також не допустити зміни обмежених облікових записів. Як я можу досягти цього, не обмежуючи жодних інших облікових записів?

Відповіді:


18

У Windows Vista та пізніших версіях ви можете застосовувати політики лише до певного облікового запису, але вам потрібно завантажити редактор об’єктів групової політики з консолі управління Microsoft, а не відкривати оснащення безпосередньо.

  1. Відкрити mmc.exe
  2. Коли відкриється консоль MMC, натисніть "Файл" -> "Додати / видалити оснащення"
  3. Виберіть "Редактор об’єктів групової політики" та натисніть кнопку "Додати>"
  4. У діалоговому вікні, що з’явиться, натисніть «Огляд».
  5. Перейдіть на вкладку «Користувачі» та виберіть користувача.

  6. Натисніть "ОК", потім "Готово", а потім знову "ОК"

Тепер у вас буде об’єкт користувача групової політики для вибраного користувача. Застосовуйте всі необхідні обмеження. Вас може зацікавити перевірка "Сховати ці задані диски в" Мій комп'ютер "в User Configuration > Administrative Templates > Windows Components > Windows Explorer.


1
+1 - Це справді дивовижно! Цікаво, чому MS не навчає користувачів про такі функції. Тим більше, що Windows дуже ретельно ставиться до того, щоб усе ускладнити :) Де ви дізнаєтесь такі речі? Книги?
Робінікс

@nhinkle Що робити, якщо я хотів би застосувати ті ж самі політики до більшої кількості користувачів, які не мають домену Win7? Чи є спосіб їх копіювання?
AJaM

@AJaM Я не знаю, як скопіювати їх. На жаль, вам доведеться робити це для кожного окремого комп'ютера.
nhinkle

2
Мені стає сумно, наскільки це приховано. Зайняв час, щоб знайти рішення, і я нарешті натрапив на вашу відповідь. Чудово, дякую!
Хоробрий новачок

+1: Це саме те, що мені теж потрібно було! Я не можу повірити, наскільки це приховано.
Джон Н

2

Вам потрібно буде внести ці зміни до групової політики з облікового запису адміністратора, а не з обмеженого облікового запису.


Спробував це, але це стосується всіх облікових записів, як я можу внести зміни лише до обмеженого облікового запису?
rzlines

Виправте мене, якщо я помиляюся, але чи не є пунктом групової політики відключення доступу до USB в конфігурації машини? Якщо це так, неважливо, під яким обліковим записом ви внесете зміни, це вплине на всіх користувачів комп'ютера.
dsolimano

ой! якщо це так, як я можу обмежити обмежений обліковий запис користувача. Я не хочу обмежувати обліковий запис адміністратора, просто обліковий запис користувача - це все, що я хочу обмежити
rzlines

@Rogue, я розмістив нижче про USB-пристрої. Я подумаю ще трохи про компакт-диски та відредагую, коли щось зрозумію. Я відчуваю, що тут пропускаю щось очевидне.
dsolimano

1

Щодо обмеження доступу до USB-пристроїв, Microsft має статтю в KB про заборону дозволу на певні файли - http://support.microsoft.com/kb/823732 . Можливо, вам доведеться залишити SYSTEM з доступом до файлів для інших облікових записів, деякі спроби та помилки в порядку.

EDIT-

Здається, є якесь досить доступне сторонне програмне забезпечення, яке робить те, що ви шукаєте, але я сам не перевіряв його. http://www.devicelock.com/


0

(Я розміщую "відповідь", оскільки у мене недостатньо репутації, щоб коментувати вище. Однак ця інформація важлива.)

Тестовано: Windows 8.1

Відповідь, яку дав nhinkle вище, працює добре. Однак це не заважає вам відкривати командний рядок і переходити до накопичувачів вручну. Запуск файлу JPG на іншому диску відкриє програму перегляду зображень.

Ви можете відключити командний рядок за допомогою "Конфігурація користувача \ Адміністративні шаблони \ Система", але я не знайшов способу за допомогою MMC дозволити командний рядок, не обмежуючи його переміщення навколо.

Існує вирішення , відкривши доступ до "Властивості" "Властивості" (клацання правою кнопкою миші) папки / накопичувача / кореня (наприклад, D :), додавши виділений рядок для відповідного облікового запису користувача та встановіть прапорець "Відмовлено" "[ x] Повний контроль "(може бути позначений інакше, я використовую версію Windows, яка не є EN).


Це справді коментар, а не відповідь на початкове запитання. Щоб критикувати або вимагати роз'яснення у автора, залиште коментар під їх публікацією - ви завжди можете коментувати свої власні публікації, і як тільки у вас буде достатня репутація, ви зможете коментувати будь-яку публікацію .
DavidPostill

Як я вже сказав, я знаю про це. І це не критика, ані прохання. Це додаткова інформація, яку я вважав важливою знати. Мої системи в порядку, але було б дуже погано, якби люди, які використовують метод вище, вважають, що вони знаходяться в безпеці, а їх немає. Якщо ви вважаєте, що цю інформацію не варто зберігати в «неправильному місці»,
сміливо
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.