2008 R2 AD卸除式磁碟存取權限問題

Jonas 2014-08-08 10:39:49 ‧ 2375 瀏覽

各位邦神好

個人我知道AD有可以限制使用者卸除式儲存裝置存取權，但是，因為這部分是在AD上看到，
但是，若我將AD上啟用此功能，我該怎麼設定
誰能夠只讀取、誰能夠讀取寫入、誰不能寫入呢？
然後，派送到各個使用者作為限制呢？

P.S 個人有翻閱"利用群組原則控管裝置之安裝與使用的逐步指南"，但是，總覺得有些不對勁，
所以，還是來請各位邦神指點迷津

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

u8526425

iT邦大師 1 級 ‧ 2014-08-08 11:26:31

最佳解答

GPO可以指派的最小單位
應該是OU
沒辦法單獨對Account
以這個前提做好OU規劃
依需求權限把User Account放到不同OU
把GPO指派給不同OU

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

Jonas iT邦新手 4 級 ‧ 2014-08-08 11:51:34 檢舉

u8526425你好

我有瀏覽到此篇主題"在AD中設定子OU的群組原則"，但是，不敢貿然亂移動群組，
因為一動就影響眾多使用者

能否指導小弟該怎麼建立OU，雖然只能針對最小單位，但是，個人在實際落實之前，
想先針對此做測試，看個別測試結果，再落實到實際網域當中

u8526425 iT邦大師 1 級 ‧ 2014-08-08 13:06:49 檢舉

我是不知道你的單位架構怎樣
我之前是依部門做OU來分類
如果要做到你的需求
各部門之下要再開依存取權限不同來開OU做分類

Jonas iT邦新手 4 級 ‧ 2014-08-08 14:20:03 檢舉

u8526425你好

卸除式儲存裝置需求有下列情況：1.可讀取不可寫入 2.不可使用 3.可讀取也可寫入

我稍微看了一下，群組原則管理→群組原則物件，我是要在群組原則物件
裡面去新增嗎?

michaelwan iT邦高手 1 級 ‧ 2014-08-08 17:24:04 檢舉

開個測試的OU, 丟個幾個人進去試試, 不會影響別人的, 丟自己進去總可以吧.

Jonas iT邦新手 4 級 ‧ 2014-08-11 11:43:23 檢舉

michaelwan你好

所以，我模擬一下測試的OU流程，
群組原則管理→群組原則物件

若我們要在群組原則物件新增一個GPO，來源入門GPO要怎麼選擇呢？

個人我有點開群組原則物件，知道選擇編輯可以設定卸除式儲存裝置的
存取權，只是，在這設定之前的步驟並不確定，so,就來請益各位邦神囉

ra605002 iT邦新手 3 級 ‧ 2014-08-11 14:08:15 檢舉

入門GPO只是個預先設定好的範本
例如每個GPO都會用到某一個設定，就可以建立一個入門GPO
而建立新GPO A時就可以選擇此入門GPO，新的GPO A就會直接套用入門GPO的設定

登入發表回應

enen1980

iT邦研究生 1 級 ‧ 2014-08-11 14:32:56

系統管理工具->群組原則管理->網域(右鍵)->在這個網域中建立GPO並連結到->
命名群組原則物件(USB Disk Read Only)->右鍵編輯->電腦設定->原則->系統管理範本->系統->
卸除式儲存裝置存取權->卸除式磁碟:拒絕寫入存取權(Only support Vista↑)->啟用

立即執行剛制造的POLICY->命令提示字元下指令 gpupdate /force

回應 1
分享
檢舉

Jonas iT邦新手 4 級 ‧ 2014-08-11 14:43:45 檢舉

enen1980你好

系統管理工具->群組原則管理->網域(右鍵)->在這個網域中建立GPO並連結到->
命名群組原則物件(USB Disk Read Only)
這部分是會新增到群組原則物件，然後，我們在將要限制的使用者名稱或群組
加入到這個群組原則物件就可以了嗎？
那，之後若要新增其他的GPO功能，亦也是相同的方式嗎？

登入發表回應