公司想透過AD的GPO禁用USB髓身碟
但是又不想完全禁用
公司有準備自己公用的USB髓身碟
只想禁用私人的USB髓身碟
而且也不想禁財會部門會用到的讀卡機
不過我爬文只有看到全面禁用的
沒有看到有禁用但有例外的
請問AD有這樣的功能嗎?
有的話要怎麼設定呢?

2016後的版本我不曉得，2012前是透過登錄檔修改電腦可讀或不可讀usb，至於你要的分哪些usb可讀或不可讀，要透過其他管理軟體

GPO套用到指定群組，沒有套用的群組就等於是例外讀卡機是讀取，隨身碟有讀取也有寫入，只禁寫入應該行得通吧，我沒實際用過不確定公用隨身碟要用就讓他只能在例外的電腦用

ku大 我已經弄好禁用usb了 但是就是全面禁用 沒有例外 看來要有例外的話只靠AD而已的話做不到的樣子

要用第三方資管軟體來管,但那時就不需要GPO了

h大 看起來就是這樣了 我在跟公司回報…

我這是老闆放棄花錢,要求部份開+資訊人員去抓用非公發一整個掩耳盜鈴

我講的方法就可以設例外，沒有看到我的推文嗎？

allen大 我有看到 不過公司的意思是全面鎖 只開放特定usb 所以你的方法可能不太適合

了解

我看你有準備額外的隨身碟，就知道老闆想玩的是特定隨身碟可讀取，而非特定電腦，AD無法判別隨身碟的UUID，只能乖乖用第三方，這點錢都不花，講真的也只是做表面資安 （還沒談到隨身碟存取的記錄追踪咧）

你問題的答案google就有了

你想想"黑帽"開場的清潔工 插個USB當藍芽發信器然後就被駭了

其他的 xfort ciro winnessus...

你如果有防毒 可以先看防毒中空可不可以鎖

這只是做做表面，現在雲端這麼方便XD想杜絕資安問題，就得學台積電，強制使用TSMC手機只要有上網的路、能插的隨身碟，一定有人鑽漏洞，翻拍

你的需求不花錢不可能達到，GPO沒辦法辨識隨身碟的序號，所以你沒辦法只針對私人隨身碟封鎖。單純靠GPO能做的有限

公司是花錢買第三方，最兩光的是買卡巴