Cara menerapkan pengaturan kebijakan grup ke akun lokal tertentu di Windows

17

Saya membuat akun pengguna terbatas dan ingin membatasi akses USB dan drive CD menggunakan pengaturan kebijakan grup. Karenanya saya ingin menggunakan gpedit.msc untuk memberlakukan pembatasan pada akun terbatas dan menonaktifkan akses ke USB dan drive CD, dan mencegah akun terbatas dari memodifikasi perubahan tersebut. Bagaimana saya bisa mencapai ini tanpa membatasi akun lain?

windows-7 user-accounts group-policy limited-access rzlines
sumber

Jawaban:

18

Di Windows Vista dan yang lebih baru Anda dapat menerapkan kebijakan hanya untuk akun tertentu, tetapi Anda harus memuat editor objek kebijakan grup dari Microsoft Management Console, bukan dengan membuka snapin secara langsung.

  1. Buka mmc.exe
  2. Ketika konsol MMC terbuka, klik "File" -> "Add / remove snapin"
  3. Pilih "Editor Objek Kebijakan Grup" dan klik tombol "Tambah>"
  4. Dalam dialog yang muncul, klik "Browse".

  5. Klik tab "pengguna" dan pilih pengguna.

  6. Klik "OK", lalu "Selesai", lalu "OK" lagi

Anda sekarang akan memiliki objek pengguna kebijakan grup untuk pengguna yang dipilih. Terapkan batasan apa pun yang Anda inginkan. Anda mungkin tertarik untuk memeriksa "Sembunyikan drive yang ditentukan ini di Komputer Saya" di User Configuration > Administrative Templates > Windows Components > Windows Explorer.

nhinkle
sumber
1
+1 - Ini sungguh menakjubkan! Saya bertanya-tanya mengapa MS tidak mengedukasi pengguna tentang fitur tersebut. Terutama karena Windows sangat berhati-hati untuk mempersulit semuanya :) Di mana Anda belajar hal-hal seperti itu? Buku?
Robinicks
@nhinkle Bagaimana jika saya ingin menerapkan kebijakan yang sama untuk lebih banyak pengguna di Win7 non-domain? Apakah ada cara untuk menyalinnya?
AJaM
@ AJaM Saya tidak tahu cara menyalinnya. Sayangnya, Anda harus melakukannya untuk setiap komputer.
nhinkle
2
Buat saya sedih betapa tersembunyi ini. Butuh waktu beberapa saat untuk menemukan solusi dan akhirnya saya menemukan jawaban Anda. Bagus, terima kasih!
Newbie yang Berani
+1: Ini juga yang saya butuhkan! Saya tidak percaya betapa tersembunyi ini juga.
John H
2

Anda harus membuat perubahan kebijakan grup ini dari akun administrator, bukan dari akun terbatas.

Teman saya
sumber
Sudah mencoba itu tetapi ini berlaku untuk semua akun, bagaimana cara membuat perubahan hanya pada akun terbatas?
rzlines
Perbaiki saya jika saya salah, tetapi bukankah item kebijakan grup untuk menonaktifkan akses USB di konfigurasi Mesin? Jika itu masalahnya, tidak masalah akun mana Anda membuat perubahan, itu akan mempengaruhi semua pengguna komputer.
dsolimano
oh! jika itu masalahnya bagaimana cara membatasi akun pengguna terbatas. Saya tidak ingin membatasi akun admin, hanya akun pengguna yang ingin saya batasi
rzlines
@ Roger, saya memposting di bawah tentang perangkat USB. Saya akan memikirkan lebih banyak tentang drive CD dan mengedit ketika saya menemukan sesuatu. Saya merasa seperti kehilangan sesuatu yang jelas di sini.
dsolimano
1

Untuk membatasi akses ke perangkat USB, Microsft memiliki artikel KB tentang menolak izin untuk file tertentu - http://support.microsoft.com/kb/823732 . Anda mungkin perlu meninggalkan SYSTEM dengan akses ke file untuk akun lain, beberapa coba-coba.

EDIT-

Tampaknya ada beberapa perangkat lunak pihak ketiga yang cukup terjangkau yang melakukan apa yang Anda cari, tetapi saya belum mengujinya sendiri. http://www.devicelock.com/

dsolimano
sumber
0

(Saya memposting "jawaban" karena saya tidak memiliki reputasi yang cukup untuk berkomentar di atas. Namun, informasi ini penting.)

Diuji: Windows 8.1

Jawaban yang diberikan oleh nhinkle di atas berfungsi dengan baik. Namun, itu tidak mencegah Anda dari membuka prompt perintah dan menavigasi ke drive secara manual. Memulai file JPG di drive lain membuka penampil gambar.

Anda dapat menonaktifkan command prompt melalui "User Configuration \ Administrative Templates \ System", tetapi saya belum menemukan cara menggunakan MMC untuk membolehkan command prompt sementara membatasi dari menavigasi sekitar.

Ada solusi , dengan mengakses "Keamanan" "Properti" (klik kanan) dari folder drive / root (seperti D :), menambahkan baris khusus untuk akun pengguna yang dimaksud dan centang "Ditolak" "[ x] Kontrol Total "(mungkin diberi label berbeda, saya menggunakan versi non-EN Windows).

Imifos
sumber
Ini benar-benar komentar dan bukan jawaban untuk pertanyaan awal. Untuk mengkritik atau meminta klarifikasi dari penulis, tinggalkan komentar di bawah posting mereka - Anda selalu dapat mengomentari posting Anda sendiri, dan setelah Anda memiliki reputasi yang cukup Anda akan dapat mengomentari posting apa pun .
DavidPostill
Seperti yang saya katakan, saya sadar akan hal ini. Dan ini bukan kritik atau permintaan. Ini informasi tambahan yang saya nilai penting untuk diketahui. Sistem saya baik-baik saja, tetapi akan sangat buruk jika orang-orang yang menggunakan metode di atas akan berpikir berada dalam keamanan sementara mereka tidak. Jika Anda menilai informasi ini tidak layak disimpan di 'tempat yang salah ", jangan ragu untuk menghapusnya.
Imifos