【IT168 专稿】前文介绍了如何禁止安装所有设备，以及如何做到仅允许用户安装授权的设备（阅读1、2）。本文则探讨如何在运行Windows Server 2008 的计算机上控制对可移动设备或使用可移动介质的设备的读取或写入权限。在本文中，将设置组策略使USB 存储驱动器处于只读状态。还将设置组策略使连接到计算机的任何 CD 或 DVD 刻录机处于只读状态，从而禁用刻录功能。

　　需要注意的是，在尝试此部分中的过程之前，必须禁用禁止安装 USB 存储驱动器的策略。

　　禁用禁止安装 USB 存储驱动器的策略的步骤

　　1.  如设备当前已安装，请将其卸载并删除。

　　2.  在组策略管理编辑器的细节窗格中，右键单击"禁止安装与下列设备 ID 相匹配的设备"，然后单击"属性"。

　　随即出现策略对话框，其设置为当前设置。

　　3.  在"设置"选项卡上，单击"显示"查看禁止设备列表。

　　4.  在"显示内容"对话框中，单击 USB 存储驱动器，再单击"删除"，然后单击"确定"。

　　5.  在"设置"选项卡上，单击"禁用"关闭该策略设置。

　　6.  单击"确定"保存更改。

　　控制可移动介质上的读取和写入权限的步骤

　　在此部分中，将设置策略以禁止写入几种类型的可移动设备。

　　步骤 1：设置计算机策略以拒绝对特定可移动设备类的写入访问

　　在此过程中设置的策略将阻止对许多可移动存储设备的写入访问。但是，阻止对设备的写入访问的实际计算机策略可能会有所不同，取决于具体的设备种类和型号。还可以使用"自定义类"策略，但它需要您确定特定设备的设备安装程序类 GUID。

　　拒绝对特定可移动设备类的写入访问的步骤

　　1.  在组策略管理编辑器的导航窗格中，依次打开"计算机配置"、"管理模板"和"系统"，然后打开"可移动存储访问"。

　　2.  右键单击"CD 和 DVD：拒绝写入权限"，然后单击"属性"。

　　3.  在"属性"对话框上，单击"启用"打开限制，然后单击"确定"。

　　4.  对下列计算机策略重复步骤 2 和步骤 3：

　　- 可移动磁盘：拒绝写入权限

　　- 软盘驱动器：拒绝写入权限

　　- WPD 设备：拒绝写入权限

　　5.  关闭组策略管理编辑器。

　　步骤 2：测试计算机策略设置

　　如果设备正在使用中，则不能立即强制实施写入权限限制策略。若要应用计算机策略，请重新启动计算机。

　　1.  单击"开始"按钮，在"开始搜索"框中键入 gpupdate /force，然后按 Enter。

　　2.  当 gpudate 命令完成后，重新启动计算机。

　　3.  以 DMI-Client1\TestAdmin 身份登录到计算机。

　　4.  插入 USB 存储驱动器，然后等待 Windows 通知该驱动器已正常运行。

　　5.  单击"开始"，再单击"计算机"，然后双击 USB 存储驱动器。

　　6.  在 Windows 资源管理器中，右键单击细节窗格的空白区域，单击"新建"，然后单击"文件夹"。

　　Windows 将显示一条错误消息，解释尝试创建文件夹失败的原因。（图1）

　　7.  单击"继续"以尝试解决限制。

　　8.  如果出现"用户账户控制"对话框，请确认所显示的是您想要执行的操作，然后单击"继续"。

　　9.  Windows 将显示第二条消息，指明不能写入文件夹的原因。（图2）

　　10.  单击"取消"关闭对话框。