It's my life

Người ta làm ra tiền, người ta đòi hỏi phải được phục vụ đúng với số tiền người ta bỏ ra.
Và những người nào đòi hỏi sự phục vụ, chính họ sẽ phục vụ lại người khác hết mình...

1/ Mở Nodepad, copy đoạn text dưới đây và Save as dạng disableusb.adm file:
Trích:
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED


VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
labeltextusb="Disable USB Ports"
Enabled="Enabled"
Disabled="Disabled"
2/ Tạo OU, right click Properties, chọn Group Policy.
3/ Tạo Group Policy: New, đặt tên “disable usb”Sau đó, chọn Edit.
4/ Trong Group Policy Object Editor, chọn Computer Configuration -> Administrative Templates. Right click Add/Remove Templates, chọn Add và Browse đến file disableusb.adm và Close.
5/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings và right click View chọn Filtering, bỏ check box Only show policy settings that can be fully managed.
6/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings -> Restrict Drivers, double click Disable USB,chọn Disable ->OK
7/ Theo đường dẫn sau:
Computer Config \ Admin Template \ system \ Group Policy \ “User Group Policy loopback processing mode” => Enable nó lên và chọn Mode là Merge
8/ Properties cái GPO “disable usb” lên -> qua tab WMI Filter -> check vào This Filter và click vào nút Browse \ Manage -> Click nút advange -> New -> đặt tên cho WMI filter -> paste cái này vào ô queries:
Trích:
SELECT * FROM Win32_ComputerSystem WHERE Name = "pc01" or Name = "pc03"
=> Save
9/ muốn u1 không bị disable usb thì deny quyền read + apply của u1 trên GPO đó đi là xong.
10/Move các Computers muốn disable USB vào OU. (pc01 + pc03)
11/Start ->Run: gpupdate /force
=> Test

Ngoài ra bạn có thể sử dụng soft để remote disable usb đi, nếu trúng máy sếp mà sếp ko sử dụng dc usb thì sếp la lên -> mình open lại
Thà disable nhầm còn hơn bỏ sót

Bổ sung thêm là bạn có thể dùng script để disable usb đi:
Trích:
Const HKEY_LOCAL_MACHINE = &H80000002

strComputer = "."

Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\ " & _
strComputer & "\root\default:StdRegProv")

strKeyPath = "SYSTEM\CurrentControlSet\Services\USBSTOR"
strValueName = "Start"
dwValue = 4
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue

Link