前提背景：

研發部門圖紙經常泄漏，領導說要管控USB,但是要能讀，只限制不能寫。本想大力推薦Devicelock，

因費用原因沒了后話，只好使用最基本的域策略進行實施.

51CTOblog傳圖片這么麻煩，還是全部寫文字好了。

實施涉及到兩個知識點：

一：批量移動AD對象(用戶或計算機)

二：組策略設置

一：

在域lee.cn中新建立一個名為“研發部”的OU

1. 新增一個研發部的OU, New-ADOrganizationalUnit -name "研發部" -Path "dc=lee,dc=cn"

  2.Powershell命令  遷移所有的研發計算機(研發的電腦都是以YF-XXX開頭)到新建立的OU

Get-ADComputer -filter 'name -like "*YF-*"' | Move-ADObject -TargetPath "OU=研發部,DC=lee,DC=CN"

二：運行gpmc.msc打開組策略編輯器選擇"研發部"該OU創建一個DisabelUsbWrite的GPO編輯如下參數：

計算機配置-策略-管理模板-系統-可移動存儲訪問

可移動磁盤：拒絕寫入權限：將狀態改為  已啟用

WPD設備：  拒絕寫入權限：將狀態改為  已啟用

DVD-CD 看需求是否進行設置。

另外有需要云服務器可以了解下創新互聯scvps.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業上云的綜合解決方案，具有“安全穩定、簡單易用、服務可用性高、性價比高”等特點與優勢，專為企業上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。