Você pode substituir seu servidor Windows por um servidor samba4 como zentyal .
Primeiro, apresente-a como um BDC. Depois disso, você deve mover as funções de FSMO do servidor do Windows para o zentyal (ou o servidor samba4) (usando dcpromo no servidor Windows para fazer o downgrade do servidor como servidor e convertê-lo em um servidor normal cliente).
Nesse ponto, você terá que configurar seus GPOs para suas máquinas Windows para não permitir o uso de pen drives, é muito fácil usar RSAT de uma máquina cliente Windows.
Se você quiser usar máquinas GNU / Linux, você tem algumas opções dependendo da distro que você deseja usar.
Usando um sistema ubuntu / debian você precisa configurar o automount opções para evitar a montagem de pen drives.
Se o número de máquinas GNU / Linux for muito para fazer alterações uma a uma, você pode substituir o GPO por um software como Ansible ou fantoche .