ограничьте доступ к среде пользователем
Я недавно принял сеть, и я - все еще симпатичные сырые данные в отношении AD и групповой политики. Я пытался использовать групповую политику для ограничения CD горящие права только 3 пользователям и только их 3 компьютерам. Если бы это невозможно, я согласился бы на ограничение всех кроме тех 3 пользователей от горящих CD. Я переделывал "CD/DVD: Отклоните доступ для записи" политика некоторое время, но я продолжаю сталкиваться с той же проблемой. Я или открываю его для всех пользователей и компьютеров, или завершаю работу его для всех пользователей и компьютеров. Действительно ли возможно настроить эту политику так, чтобы я имел CD горящие права на компьютере, когда я вхожу в систему, и следующий парень не делает, когда он входит в систему?
Ответ Раваскесгта работает, но вы обнаружите, что он разваливается, когда вам нужно несколько групп пользователей для разных политик. Вы могли бы сделать это НАМНОГО проще с помощью фильтрации безопасности. Просто создайте группу в AD для пользователей, которых вы хотите ограничить, добавьте этих пользователей в эту группу, а затем добавьте эту группу в список фильтрации безопасности в объекте политики (сначала удалите группу «аутентифицированных пользователей» по умолчанию). Хотя пользователь может одновременно находиться только в одном OU, он может находиться в неограниченном количестве групп, что делает это гораздо более гибкое решение.
Вы можете ограничить пользователям права на запись для CD / DVD, но сначала вы должны создать две OU в вашем AD, например, имена для OU могут быть Restricted и Unrestricted, переместите ограниченных пользователей к ограниченному OU и свяжите этот GPO с ограниченным OU:
User Configuration \ Policies \ Administrative Templates \ System \ Removable Storage Access \ CD и DVD: Deny Write Access
Обратите внимание, что это GPO для пользователей, а не для компьютера, поэтому это применимо только к ограниченному OU.
Наконец, переместите неограниченных пользователей в другое OU, чтобы они использовали GPO домена по умолчанию или связали GPO по вашему выбору.
Если у вас есть внутренние политики безопасности в объект групповой политики, вы можете использовать его в качестве шаблона для добавления опции Deny Write Access DVD.