Блокирование USB через GPO в 2008 R2 и, исключая определенных пользователей
Все, что записано в файловую систему под точкой монтирования, хранится к любому диску, смонтирован там, не диск, который содержит точку монтирования.
Например,/dev/sda1 смонтирован в/, и/dev/sdb1 смонтирован в / домой: Запись файла к/home/user/file только использует пространство на/dev/sdb1, это не имеет никакого эффекта вообще на файловую систему, содержавшую на/dev/sda1. Единственной вещью, которая находится на/dev/sda1, является / запись корневого каталога.
Если бы некоторым шансом,/dev/sdb1 не был смонтирован, то то независимо от того, что записано в / домой, затем было бы в файловой системе, содержавшей на/dev/sda1.
Дайте команду монтирования без любых аргументов для получения списка того, что смонтировано и где.
Настройте нужные параметры в новом объекте групповой политики.
Создайте группу безопасности для пользователей, к которым вы НЕ ДОЛЖНЫ применять политику.
Добавьте соответствующих пользователей в эту группу безопасности. .
Настройте фильтрацию безопасности в новом объекте групповой политики для применения только к этой группе безопасности.
Свяжите OU с местом, где находятся объекты пользователей (либо на уровне домена, либо на уровне OU, если у вас есть пользователи в OU).
ИМО, самый простой способ исключить пользователей - использовать расширенную кнопку на вкладке делегирования группы объект политики. Добавьте пользователя / группу, которую вы хотите исключить, и установите флажок, чтобы запретить им все права на политику. Поскольку утверждения deny имеют приоритет над allow, это будет работать для исключения определенных пользователей / групп, даже если они являются членами группы (например, «Прошедшие проверку»), имеющей права на GPO