Запрет записи на USB-Flash в GPO

Групповая политика (Group Policy Object, GPO) - это инструмент Microsoft для централизованной настройки конфигурации и параметров операционной системы, пользователей и приложений в доменной среде Active Directory (AD). Групповая политика позволяет ИТ-администраторам управлять пользователями и компьютерами на центральном уровне, обеспечивая единое управление и стандартизацию конфигурации.

Создаем flash_block.bat с содержанием: 

REG ADD "HKLM/System/CurrentControlSet/Control/Storage/DevicePolicies" /v "WriteProtect" /t "REG_DWORD" /d "1" /f

В домене:

• Пользователи и компьютеры - правой конпкой клик на объект групповой политики (в моем случае Office)

Вкладка Групповая политика - создать.

Называем созданную политику как хотим

Заходим в Свойства, вкладка Безопастность

Группу прошедшие проверку удаляем, добавляем нужных пользователей (либо группу) и ставим галку Применение групповой политики (на каждом пользователе/группе)

Жмем “применить”, “ок”.

Возвращаемся во вкладку Групповая политика

Выделяем созданную политики - Изменить

• Конфигурация пользователя - Конфигурация Windows - Сценарии (Вход/Выход) - Вход в систему

Добавляем наш  flash_block.bat  (должен лежать в общем сетевом хранилище)

Далее все закрываем, запускаем коммандную строку и выполняем в ней gpupdate/force, чтоб применились групповые политикик

Авторизируемся с учетной записью, на которой запретили запись на флэшки и проверяем.

PS. Чтоб вернуть возможность записи: либо снесите ветку реестра, либо выполните батник flash_unblock.bat с содержанием:

REG ADD "HKLM/System/CurrentControlSet/Control/Storage/DevicePolicies" /v "WriteProtect" /t "REG_DWORD" /d "0" /f

PPS. Проверена работоспособность в Windiws XP (sp2, sp3) и Windows 7.