Negar acesso a portas USB, mas configurar um “escalonamento” para permitir acesso sob demanda

Eu criei um grupo Disable, read enable group e escrevo o grupo enable para isso. Com os GPOs, você os encomenda para que sejam processados um após o outro. Então todo mundo fica empacotado no grupo de desativação, que é executado primeiro, depois os grupos de leitura e gravação são executados em segundo lugar e revertem qualquer uma das políticas implementadas no gpo de desativação. Você também pode "impor" os GPOs de leitura e gravação, portanto, o de desativação não pode substituí-lo se for aplicável.

Então você só tem que enviar um ticket ou o que você e você colocá-los no grupo, gpupdate \ force sobre eles e, em seguida, tê-los fazer w / e.

Você também pode ir até lá e modificar a política de grupo local para permitir isso.

Como alternativa, você pode usar um aplicativo de terceiros ou copiar os dados no próprio bastão para eles.

Se você tem o Symantec Endpoint Protection em seu ambiente, além de usar o SEP do GPO, é possível fazer isso de forma nativa. O SEP pode manter a integridade dos hosts ao impor sua política de mídia removível. Também é importante definir uma política muito mais rígida para máquinas off-net. Você pode usar Atributos do AD para atribuir a política, o que coincide com sua intenção de permitir o acesso dos administradores. Você também pode usar o subsídio definido para determinados tipos de unidades flash, como as criptografadas seguras.

Não tente enfiá-lo na garganta, mas essa é uma opção de produto à sua disposição, além do método de GPO que o Desthro sugeriu.