Как применить параметры групповой политики к конкретным локальным учетным записям в Windows

49847
rzlines

Я создал ограниченную учетную запись пользователя и хочу ограничить доступ к USB и CD-дискам с помощью параметров групповой политики. Поэтому я хочу использовать gpedit.msc, чтобы наложить ограничения на ограниченную учетную запись и запретить доступ к USB и CD-приводу, а также предотвратить изменение этих изменений ограниченной учетной записью. Как я могу добиться этого, не ограничивая другие учетные записи?

17

4 ответа на вопрос

19
nhinkle

В Windows Vista и более поздних версиях вы можете применять политики только к определенной учетной записи, но вам нужно загрузить редактор объектов групповой политики из консоли управления Microsoft, а не открывать оснастку напрямую.

  1. Открыть mmc.exe
  2. Когда консоль MMC откроется, нажмите «Файл» -> «Добавить / удалить оснастку».
  3. Выберите «Редактор объектов групповой политики» и нажмите кнопку «Добавить>»
  4. В появившемся диалоговом окне нажмите «Обзор».

  5. Перейдите на вкладку «пользователи» и выберите пользователя.

  6. Нажмите «ОК», затем «Готово», затем «ОК» снова

Теперь у вас будет объект пользователя групповой политики для выбранного пользователя. Примените все ограничения, которые вы хотите. Вы можете быть заинтересованы в проверке «Скрыть эти указанные диски в моем компьютере» в User Configuration > Administrative Templates > Windows Components > Windows Explorer.

+1 - это действительно потрясающе! Интересно, почему MS не информирует пользователей о таких функциях. Тем более, что Windows делает все возможное, чтобы все усложнять :) Где вы изучаете такие вещи? Книги? Robinicks 14 лет назад 1
@nhinkle Что если я захочу применить одни и те же политики к одному и тому же пользователю на доменной Win7? Есть ли способ их скопировать? AJaM 12 лет назад 0
@ AJaM Я не знаю, как их скопировать. К сожалению, вам придется сделать это для каждого отдельного компьютера. nhinkle 12 лет назад 0
Мне грустно, как это скрыто. Мне понадобилось время, чтобы найти решение, и я наконец наткнулся на ваш ответ. Это здорово, спасибо! Brave Newbie 12 лет назад 2
+1: это как раз то, что мне тоже нужно! Я не могу поверить, насколько это скрыто. John H 11 лет назад 0
@nhinkle, почему это отличается, когда мы открываем его в `mmc`? В чем причина? Pacerier 9 лет назад 0
@Pacerier, если вы не откроете его через mmc, политики будут применены ко всему компьютеру. Когда вы открываете через mmc, вы можете выбрать, применять ли их только к определенной учетной записи. nhinkle 9 лет назад 0
2
th3dude

Вам придется вносить эти изменения в групповую политику из учетной записи администратора, а не из ограниченной учетной записи.

Пробовал, но это относится ко всем учетным записям, как я могу внести изменения только в ограниченную учетную запись? rzlines 14 лет назад 0
Correct me if I'm wrong, but isn't the group policy item to disable USB access in the Machine configuration? If that's the case, it doesn't matter which account you make the change under, it will affect all users of the computer. dsolimano 14 лет назад 0
ой! если это так, как я могу ограничить ограниченную учетную запись пользователя. Я не хочу ограничивать учетную запись администратора, только учетная запись пользователя - это все, что я хочу ограничить rzlines 14 лет назад 0
@Rogue, I posted below about the USB devices. I'll think some more about the CD drives and edit when I figure something out. I feel like I'm missing something obvious here. dsolimano 14 лет назад 0
1
dsolimano

Для ограничения доступа к USB-устройствам в Microsft имеется статья в КБ об отказе в разрешении доступа к определенным файлам - http://support.microsoft.com/kb/823732 . Возможно, вам придется оставить SYSTEM с доступом к файлам для других учетных записей, в порядке проб и ошибок.

РЕДАКТИРОВАТЬ-

Кажется, есть какое-то довольно доступное стороннее программное обеспечение, которое делает то, что вы ищете, но я не проверял это сам. http://www.devicelock.com/

0
Imifos

(I post "an answer" because I have not enough reputation to comment above. However, this information is important.)

Tested: Windows 8.1

The answer given by nhinkle above works well. However, it does not prevent you from opening a command prompt and navigate to the drives manually. Starting a JPG file on the other drive opens the image viewer.

You can disable the command prompt via "User Configuration\Administrative Templates\System", but I haven't found a way using the MMC to allow the command prompt while restricting it from navigating around.

There is a workaround, by accessing the "Security" "Properties" (right click) of the drive/root folder(s) (like D:), adding a dedicated line for the user account in question and check "Refused" "[x] Total Control" (might be labeled differently, I use a non-EN Windows version).

Это действительно комментарий, а не ** ответ ** на оригинальный вопрос. Чтобы критиковать или запрашивать разъяснения у автора, оставьте комментарий под его сообщением - вы всегда можете прокомментировать свои собственные сообщения, и как только у вас будет достаточно [репутации] (http://superuser.com/help/whats-reputation), вы будете быть в состоянии [комментировать любой пост] (http://superuser.com/help/privileges/comment). DavidPostill 8 лет назад 0
Как я уже сказал, я знаю об этом. И это не критика и не просьба. Это дополнительная информация, которую я счел важным знать. Мои системы в порядке, но было бы слишком плохо, если бы люди, использующие описанный выше метод, думали, что они в безопасности, а они - нет. Если вы считаете, что эту информацию не стоит хранить в «неправильном месте», смело удаляйте ее. Imifos 8 лет назад 0

Похожие вопросы