Come applicare le impostazioni dei criteri di gruppo a specifici account locali in Windows


17

Ho creato un account utente limitato e desidero limitare l'accesso all'unità USB e CD utilizzando le impostazioni dei criteri di gruppo. Quindi desidero utilizzare gpedit.msc per imporre restrizioni sull'account limitato e disabilitare l'accesso all'unità USB e CD e impedire all'account limitato di modificare tali modifiche. Come posso raggiungere questo obiettivo senza limitare altri account?

Risposte:


18

In Windows Vista e versioni successive è possibile applicare i criteri solo a un account specifico, ma è necessario caricare l'editor degli oggetti dei criteri di gruppo da Microsoft Management Console, non aprendo direttamente lo snap-in.

  1. Apri mmc.exe
  2. Quando si apre la console MMC, fai clic su "File" -> "Aggiungi / rimuovi snapin"
  3. Seleziona "Editor oggetti Criteri di gruppo" e fai clic sul pulsante "Aggiungi>"
  4. Nella finestra di dialogo che appare, fai clic su "Sfoglia".
  5. Fai clic sulla scheda "utenti" e seleziona un utente.

  6. Fai clic su "OK", quindi su "Fine", quindi nuovamente su "OK"

Ora avrai un oggetto utente di criteri di gruppo per l'utente selezionato. Applica le restrizioni che desideri. Potresti essere interessato a controllare "Nascondi queste unità specificate in Risorse del computer" in User Configuration > Administrative Templates > Windows Components > Windows Explorer.


1
+1 - Questo è davvero fantastico! Mi chiedo perché MS non istruisca gli utenti su tali funzionalità. Soprattutto dal momento che Windows si prende la massima cura per complicare tutto :) Dove impari queste cose? Libri?
Robinicks,

@nhinkle E se volessi applicare gli stessi criteri a più utenti su un Win7 non di dominio? C'è un modo per copiarli?
AJaM,

@AJaM Non sono a conoscenza di un modo per copiarli. Sfortunatamente, dovresti farlo per ogni singolo computer.
nhinkle

2
Mi rende triste quanto sia nascosto. Mi ci è voluto un po 'per trovare una soluzione e finalmente ho trovato la tua risposta. È fantastico, grazie!
Brave Newbie,

+1: Questo è proprio quello di cui avevo bisogno! Non riesco a credere quanto sia nascosto.
John H,

2

Dovresti apportare queste modifiche ai criteri di gruppo da un account amministratore, non dall'account limitato.


Ho provato che, ma si applica a tutti gli account, come faccio a modificare solo l'account limitato?
rzlines,

Correggimi se sbaglio, ma la voce dei criteri di gruppo non disabilita l'accesso USB nella configurazione della macchina? In tal caso, non importa in quale account si apporta la modifica, interesserà tutti gli utenti del computer.
dsolimano,

Oh! in tal caso, come posso limitare un account utente limitato. Non voglio limitare l'account amministratore, solo l'account utente è tutto ciò che voglio limitare
rzlines

@Rogue, ho pubblicato di seguito sui dispositivi USB. Ci penserò un po 'di più sulle unità CD e le modificherò quando capirò qualcosa. Sento che mi manca qualcosa di ovvio qui.
dsolimano,

1

Per limitare l'accesso ai dispositivi USB, Microsft ha pubblicato un articolo KB sulla negazione del permesso a determinati file: http://support.microsoft.com/kb/823732 . Potrebbe essere necessario lasciare SYSTEM con accesso ai file per gli altri account, alcune prove ed errori sono in ordine.

MODIFICARE-

Sembra che ci sia un software di terze parti abbastanza conveniente che fa quello che stai cercando, ma non l'ho testato da solo. http://www.devicelock.com/


0

(Pubblico "una risposta" perché non ho abbastanza reputazione per commentare sopra. Tuttavia, questa informazione è importante.)

Testato: Windows 8.1

La risposta data da nhinkle sopra funziona bene. Tuttavia, non impedisce di aprire un prompt dei comandi e accedere manualmente alle unità. L'avvio di un file JPG sull'altra unità apre il visualizzatore di immagini.

È possibile disabilitare il prompt dei comandi tramite "Configurazione utente \ Modelli amministrativi \ Sistema", ma non ho trovato il modo di utilizzare MMC per consentire al prompt dei comandi di impedirgli di navigare.

Esiste una soluzione alternativa , accedendo alla "Proprietà" "Proprietà" (clic con il tasto destro) delle cartelle dell'unità / radice (come D :), aggiungendo una riga dedicata per l'account utente in questione e selezionando "Rifiutato" "[ x] Total Control "(potrebbe essere etichettato in modo diverso, utilizzo una versione non EN di Windows).


Questo è davvero un commento e non una risposta alla domanda originale. Per criticare o richiedere chiarimenti a un autore, lascia un commento sotto il suo post: puoi sempre commentare i tuoi post e una volta che avrai una reputazione sufficiente sarai in grado di commentare qualsiasi post .
DavidPostill

Come ho detto, ne sono consapevole. E questa non è una critica né una richiesta. È un'informazione aggiuntiva che ho ritenuto importante sapere. I miei sistemi vanno bene, ma sarebbe un peccato se le persone che usano il metodo sopra pensassero di essere in sicurezza mentre non lo sono. Se ritieni che non valga la pena conservare queste informazioni "nel posto sbagliato", sentiti libero di rimuoverle.
Imifos,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.