Итак для чистоты эксперимента - - поднял контроллер
- создал OU test_usb
- в этом же ou создал двух пользователей, usb test1 и usb test2
- создал тут же группу "usb allow"( группа не состоит в каких либо других группах , хотя для эксперимента пробовал включать не в состав групп пользователи домена , администраторы - пофиг на результат не влияет)
- включил в эту группу пользователя usb test 1.
- создал политику disable usb access, в самой политике в разделе Конфигурация пользователя > административные шаблоны >доступ к зап устр-м, запретил чтение и запись на usb
- сделал линк на созданное выше OU
- в фильтрах безопасности автоматом прописалась группа " прошедшие проверку" , пошел во вкладку делегирование , посмотрел ее права - чтение и применение, пока оставил все как есть
- поднял виртуалку , прицепил ее к домену , зашёл под usb test 1 ( который состоит в группе usb allow) и командами gpupdate /force
gpresult / r / scope user
Удостоверился , что на пользователя политика применилась и флешка недоступна
- теперь чтобы не применять политику на пользователя usb test 1 , зашёл во вкладку делегирование , добавил туда группу usb allow , в которой он состоит и запретил ей применение политики , по идее флешка , после gpupdate /force на клиенте , то бишь под usb test 1 должна снова стать доступной( gpresult показывает что политика благополучно применяется ) ... Но нет ))
- вот на этом этапе этапе у меня затык
- дальше я удалил группу usb allow из вкладки делегирование и добавил туда пользователя usb test1 и так же как и с политикой выше, запретил ему применять политику
- затем снова на клиенте gpupdate / forse - все отработало нормально , флешка снова доступна.
Вот собственно все мои действия пошагово
