Windows Server 2008中的抽取式存放裝置訪問組原則設定

在Windows Server 2008 中，管理員可以應用組策略來控制使用者是否可以對使用可移動介質的任何裝置進行讀取或寫入。這些策略可用於協助禁止將敏感或機密材料寫入可移動介質或包含儲存地區的可行動裝置後帶走。

此原則設定可以在兩個位置找到。在"電腦配置\系統管理範本\系統\抽取式存放裝置訪問"中找到的原則設定將影響電腦和登入電腦的每個使用者。在"使用者配置\系統管理範本\系統\抽取式存放裝置訪問"中找到的原則設定僅影響對其應用了原則設定的使用者，包括組（如果使用 Active Directory 應用了組策略）。

每個裝置類別都支援兩個策略：一個是拒絕讀取許可權，另一個是拒絕寫入許可權：

- 強制實施重新啟動的時間（以秒為單位）。設定為了對抽取式存放裝置裝置的存取權限強制實施更改，重新啟動系統需要等待的時間（以秒為單位）。只有在不通過重新啟動無法應用限制策略時才強制實施重新啟動。

-　CD 和 DVD。這些原則設定允許您拒絕對 CD 和 DVD 抽取式存放裝置類中的裝置（包括通過 USB 串連的裝置）進行讀取或寫入訪問。

執行個體：

（一）準備工作

- 運行 Windows Vista 的用戶端電腦。假定為 DMI-Client。

- USB 儲存磁碟機。本指南中描述的方案將 USB 儲存磁碟機用作樣本裝置。此裝置像是一個可移動磁碟機，它也被稱為"拇指磁碟機"、"快閃記憶體磁碟機"或"鑰匙圈磁碟機"。大多數 USB 儲存磁碟機不需要製造商提供的任何驅動程式，這些裝置使用Windows Server 2008 提供的驅動程式。

（二）使用裝置管理員尋找裝置標識字串

1.　以 DMI-Client\TestAdmin 身份登入到電腦。

2.　插入 USB 儲存磁碟機，然後完成安裝。

3.　若要開啟裝置管理員，請單擊"開始"按鈕，在"開始搜尋"框中鍵入 mmc devmgmt.msc，然後按 Enter。

4.　如果出現"使用者賬戶控制"對話方塊，請確認所顯示的是您想要執行的操作，然後單擊"繼續"。

裝置管理員啟動並顯示一個表示在您的電腦上檢測到的所有裝置的樹。樹頂部的節點旁顯示了您的電腦名稱。下面的節點表示各種類別的硬體，您的電腦裝置被歸類到這些節點中。

5.　雙擊"磁碟機"開啟列表。

6.　按右鍵 USB 儲存磁碟機對應的條目，然後單擊"屬性"。

此時將出現"裝置屬性"對話方塊。

7.　單擊"詳細資料"選項卡。

8.　在"屬性"列表中，單擊"硬體 Id"。

在"值"下面，記錄所顯示的字串。

註：您可以通過反白文本並按 Ctrl-C 將這些字串複製到剪貼簿。因為許多硬體識別碼 都具有多個底線，所以將它們複製到文字檔十分有用，您可以在必須指定標識符時從文字檔中進行粘貼。這種方法大大降低了您必須向批准或禁止的裝置列表中添加特定標識符時出錯的可能性。