如何将组策略设置应用于Windows中的特定本地帐户

我创建了一个受限用户帐户，并希望使用组策略设置来限制USB和CD驱动器的访问。因此，我想使用gpedit.msc对受限帐户实施限制，并禁用对USB和CD驱动器的访问，并阻止受限帐户修改这些更改。如何在不限制任何其他帐户的情况下实现这一目标？

在Windows Vista和更高版本中，您只能将策略应用于特定帐户，但是必须从Microsoft管理控制台加载组策略对象编辑器，而不必直接打开管理单元。

1. 打开mmc.exe
2. 当MMC控制台打开时，单击“文件”->“添加/删除管理单元”
3. 选择“组策略对象编辑器”，然后单击“添加>”按钮
4. 在出现的对话框中，单击“浏览”。

5. 单击“用户”标签，然后选择一个用户。

   

6. 单击“确定”，然后单击“完成”，然后再次单击“确定”

现在，将为所选用户提供一个组策略用户对象。应用所需的任何限制。您可能有兴趣在中签出“在我的电脑中隐藏这些指定的驱动器” User Configuration > Administrative Templates > Windows Components > Windows Explorer。

您将必须通过管理员帐户而不是受限帐户来更改这些组策略。

为了限制对USB设备的访问，Microsft有一个有关拒绝某些文件的权限的知识库文章-http: //support.microsoft.com/kb/823732。您可能需要让SYSTEM可以访问其他帐户的文件，因此需要进行一些反复试验。

编辑-

似乎有一些负担得起的第三方软件可以满足您的需求，但我自己尚未对其进行测试。 http://www.devicelock.com/

（我发布“答案”，因为我没有足够的声誉在上面发表评论。但是，此信息很重要。）

已测试：Windows 8.1

上面nhinkle给出的答案很好用。但是，这不会阻止您打开命令提示符并手动导航到驱动器。在另一个驱动器上启动JPG文件将打开图像查看器。

您可以通过“用户配置\管理模板\系统”禁用命令提示符，但是我还没有找到一种使用MMC来允许命令提示符同时限制其浏览的方法。

有一种解决方法，通过访问驱动器/根文件夹（如D :）的“安全性”“属性”（右键单击），为有问题的用户帐户添加专用行，然后选中“拒绝”。 x]完全控制”（可能使用不同的标签，我使用的是非EN Windows版本）。