奈得狂想

http://ithelp.ithome.com.tw/question/10007727

windows的設計，看的到就一定可以copy，但是要防止複製到隨身碟或是其他外接儲存設備到是可以透過gpo或是修改註冊表來達到目的。

gpo的設定要靠外掛的adm檔來使用，網路上很好找
修改註冊表的方式我提供在下方，請自行另存成為reg檔，然後利用ad發給你想要鎖定的那些帳號。

=====我是註冊表，欄位不夠長，會造成斷行，請自行修正=====
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000001
======註冊表的結尾，只要複製=號內的文字======

http://social.technet.microsoft.com/Forums/zh-TW/winserverzhcht/thread/14228810-ff5e-4c79-be5e-1f3f6da1d90b

 沒錯，我之前的經驗也是如此，雖然拿掉了，但是"沒有使用過"的裝上去當下，還是可以用。就算利用GPO鎖住User編輯登錄檔也一樣，初次安裝的隨身儲存裝置無效。

後來我們公司改用另一個登錄檔，將USB鎖成唯讀，也就是允許員工帶東西進來公司(當然防毒機制要好)，但是不允許員工將公司資料儲存到隨身碟。然後一樣配合GPO鎖住登錄檔，目前已經使用了快兩年了。

資料引述自網站資料
方案5：將USB大容量儲存裝置設定成只能唯讀

1.重複方案4之步驟1、2，進入「登錄編輯視窗」。

2.接著進入「HKEY_LOCAL_MACHINESystemCurrentControlSet Control」子登錄目錄下，檢視是否有名為「StorageDevicePolicies」的機碼存在，如果有的話，請直接跳至步驟4。

3.若目錄下沒有該機碼，可在「Control」子目錄上，點取滑鼠右鍵，並在下拉視窗中點取「新增／機碼」，將該機碼命名為「StorageDevicePolicies」。
4.在「StorageDevicePolicies」機碼上，點取滑鼠右鍵，然後點選「新增／DWORD值」。
5.接著，「登錄編輯視窗」右欄框中會出現「新數值#1」，將該數值命名為「WriteProtect」。
6.在「WriteProtect」數值名稱上按滑鼠右鍵，於下拉視窗中點取「修改」，即會跳出「編輯DWORD值」視窗。

7.將「編輯DWORD值」視窗中的16進位之「數值資料」，改成「1」（預設值為0），然後按下「確定」鍵。
8.將USB隨身碟插入USB埠中試試看，將USB隨身碟中的資料複製到桌面上，結果確定可以讀取無誤。

9.接下來，再試著將電腦中的資料複製到USB隨身碟中，結果卻出現「複製檔案或資料夾發生錯誤」警訊視窗，說明員工電腦只能讀取USB隨身碟資料，但卻無法將電腦中的資料複製到隨身碟上，整個設定於焉大功告成。
1. 此一方案的優點為員工仍可正常讀取USB隨身碟或外接式硬碟中的資料，但是卻無法將公司網路上或員工電腦中的重要資料，存到USB儲存裝置當中，如此一來，即無須擔心重要的資料遭到惡意員工藉由USB儲存裝置任意外流。但是，該方案仍有安全疑慮，因為惡意程式很可能因此透過USB儲存裝置，傳播到企業各 端點電腦、甚至網路之中。