問題一, 可以抓機器名稱, 但效果好像不怎麼好 ~ 抓使用者是最好的, 而且換使用者登入的時候, 不會影響到原來的使用者~

問題二, disable_ubs.bat 的檔案要放在指定的目錄下, 如果是放在別的地方, 失敗機率蠻高的, 強制套用無效的情形有可能是, 那台電腦沒有插過 USB 裝置, 導致這個指令碼無效~

我好像有看過似類的說法是, 這串指令只能針對有插過 USB 的電腦去控制, 意思就是說, 如果是一台剛灌好的 XP , 沒有插過任何的隨身碟裝置, 那這串指令碼是無效的..

USB 的防範, 很多年前就在玩了, 最後還是落在人的問題啦, 電腦怎麼鎖, 還是有辦法解的, 尤其是 USB 這種東西, 不用很多事情都很麻煩...

唔…我做過單機的，不是很有效。
有效一點的做法是購買軟體來做…( 這是最有效的 )

問題1
1如果你的GPO是套用在電腦層級，那套用的OU底下就要放電腦，反之是使用者就要放使用者。
2我是沒適過用新增的方式，因為當Join domain時，就會自動建立user跟電腦的物件，通常我是直接把我測試PC(電腦、使用者物件)拉到要套用的ou下
3我會在Client的PC上下GPREUST指令看是否有套用到。

問題二
1因資歷尚淺，WIN 2000摸的不多，所以不熟。
2如果在WIN2003以上的，可去GPMC管理工具，在GPO按右鍵，就會有強制選項了。

話說，我們之前辦公室USB病毒流行的不得了(現在好像也還有殘黨)，我就無聊寫了一支程式，仿效那個USB隨身碟病毒的作法，長駐在系統中(一旦運行會拷貝自己到系統中躲起來，在開機流程中找位置安插，讓開機時可以被執行到)檢查USB隨身碟插入的事件及關閉監視系統autorun的功能，當出現removable的裝置時，程式就會自己刪除該磁碟根目錄上的執行檔，然後砍掉autorun.inf檔案，建立一個隱藏且唯讀的資料夾autorun.inf，底下連建十層資料夾，在放個檔案卡病毒寫入檔案，這種東西有蠻多用功能的，比如說寫個後門程式監視電腦，被監視的人也沒真的有感覺，當然改一下這隻程式，它就具有感染的能力，當removable裝置出現時，把自己拷貝到裝置上，並且寫下autorun.inf檔案，讓感染的隨身碟autorun時會自動執行自己，這行為就跟病毒沒兩樣，後來也沒真的這樣寫，就只是拿來防範隨身碟病毒而已。

話說，伺服器權限應該有問題吧，怎麼會是ADM登入在用呢？

其實權限設定好的MS-Windows，這種病毒是活不下去的，或是在註冊檔上把某些KEY的權限改掉也會讓病毒無法運作，會流行純粹是絕大多數的使用者，都是開POWER USER或ADM帳號在用電腦。