1.同意上一家大大的說法,那才是解決的根本之道
但如果你執意要開機就做這件事,可以在開機的時候讀取批次檔
批次檔內容直接打gpupdate /force再另存新檔為.bat的檔案,將此檔案放在netlogon的資料夾,並於AD上使用者的profile設定讀取這個檔案即可
至於usb的問題,那得要看你是怎麼封所,從bios?還是使用registry去封鎖?還是gpo?
另外封鎖usb有分幾種類型,下列這網址有一些討論的文章供您參考!
http://72.14.235.132/search?q=cache:ENNQj1ZRZwIJ:www.blueshop.com.tw/board/show.asp%3Fsubcde%3DBRD20051218073109ZXI%26fumcde%3DFUM200410061529473A1%26rplcnt%3D37+usb+%E5%B0%81%E9%8E%96+%E9%A1%9E%E5%9E%8B&hl=zh-TW&ct=clnk&cd=7&gl=tw

這個指令是在AD上面下的
如果不會執行你的GPO你要查一下用戶端跟AD間的是否正常

1.gpupdate這個指令是強迫重新更新套用群組原則的指令
一般gpo的套用時間都有固定的循環，甚至應該在使用者重新啟動電腦後會被重新套用原則
如果有發現gpo套用不正常時，應該要執行rsop.msc來查看是否真的有原則未被套用

2.封鎖usb是一般大家偷懶的說法
正確說講都是指封鎖住usb儲存裝置才對
對於usb類型的io裝置就不會去封鎖

1.gpupdate這個指令是在AD server上面執行，會立即套用GPO的設定。
2.封鎖usb要清楚你是封鎖usb裝置還是usb儲存！
用MS提供的GPO搭配修給註冊機碼(不用Third party軟體的情況)可控制到個別的usb儲存裝置，且USB滑鼠、鍵盤仍可用。若用Third party軟體甚至可控制可讀不可寫，要寫需要上級電子簽章，且帶出去的資料只可讀取不可複製。而且是針對user登入帳號控管，不是對機器，這樣彈性更高！

盡量以OU去做

不要以整個網域去做

這樣流量太大會無法使用無群派送成功

對AD的負擔也很重

參考:分享的經驗 http://www.wretch.cc/blog/chekinkimo/17344093

有人說錯了。
gpupdate這個指令是client端所使用的，目的是使client端去讀取、設定或重新套用本機或ad上的群組原則，而gpupdate /force是要求目前執行這個指令的這台CLIENT立刻重新套用群組原則。
因此這個指令是屬於CLIENT端單一機器上所使用的，並不是AD上執行了就可以讓所有CLIENT端都套用。
但如果CLIENT端如果都沒有執行這個指令也沒關係，他會在一段時間後就回來重新套用GPO。

單就你的問題，如果你要讓CLIENT重新開機時就立刻執行GPUPDATE /FORCE，可以使用AD上的登入指令檔或是GPO上的指令碼來做。
如果要立刻讓所有電腦執行指令的話，也可以參考sysinternal的psexec，這隻程式可以讓遠端的CLIENT端立刻執行你下的指令。

而至於USB滑鼠的部分，不知道你所使用的是哪個群組原則範本，如果是 http://support.microsoft.com/kb/555324/zh-tw 這個的話，他針對的是機碼中的USBSTOR來做停用的動作，而這個影響的只有USB的大量存取裝置，所以鍵盤並不會有所影響。

在裝置管理的部分，目前賽門鐵克的企業版防毒軟體SEP 11也可以做到，而且可以做得更詳細，目前公司剛好防毒軟體是使用SEP，所以也嘗試使用他這個附加功能，效果還蠻不錯的，還可以限制USB只能唯讀，或是禁止USB中的執行檔直接被執行等等，提供給你參考一下。

一般來說改完GPO後應該沒多久就會生效,你可以自行先測試重登網域,再用群組原則結果去確認一下!(安裝一下gpmc.msc可以測試),並不需要每一台client去下指令,因為還沒幫全部client下完GPUPDATE /FORCE,就已經生效了!
若你的GPO一直未生效,可能是設定有問題,或者一種情況是你的網域內不只一台AD,ad之間尚未複寫,所以Client有可能是找未複寫的AD認證,所以自然就不會去套用GPO,此時就要先手動將AD之間啟動複寫,再確認一下gpo是否套用!

要鎖usb請看這篇