第一步：

       在域控制器上点击开始→运行输入“GPMC.MSC”→点击确定启动组策略管理。

第二步：

       打开组策略管理，右键点击zhp.com→点击“创建并链接（GPO）” →输入组策略名称“禁止USB”。因为我们这次的策略是希望企业内所有计算机都应用，故我们在域级别上创建一条GPO组策略。

第三步：

       右键点击“禁止USB”策略→点击“编辑”→右键点击“计算机配置”下的“管理模板”中的“添加/删除模板”。

第四步：

       在弹出的“添加/删除模板”对话框中点击“添加”按钮在弹出“策略模板”对话框中来添加“usb.adm”（请把附件中的usb.txt文本的扩展名改为adm）组策略模板。（这里我们可以事先把“usb.adm”组策略模板拷贝到c:\windows\inf目录下也可以通过路径选择“usb.adm”组策略模板所存放的位置。）双击“usb.adm” 组策略模板添加“usb.adm” 组策略模板。添加后，回到“添加/删除模板”对话框，我们此时清楚看到“添加/删除模板”对话框中多了一个名称为“USB”的组策略模板。

第五步：

       我们点击“添加/删除模板”对话框中的“关闭”按钮，回到“组策略编辑器”对话框中。此时我们就可以看到“计算机配置”下的“管理模板”中多了一个“Custom Policy Settings”。

第六步：

       右键点击“管理模板”→“查看”→“筛选”。在弹出的“筛选”对话框中去掉“只显示能完全管理的策略设置”前面的勾再点击“确定”按钮返回“组策略编辑器”画面。

第七步： 

       点击“计算机配置”→“管理模板”→点击“Custom Policy Settings”→点击“Restrict Drives”

第八步：

       例如我们要禁止USB接口（大家可以放心，虽然我们禁止USB接口但是不影响我们使用USB接口的打印机、键鼠累设备），右键点击“Disable USB”→点击“属性”，弹出“Disable USB” 属性对话框。我们首先点击“已启用”按钮→在“Disable USB Ports”中选择“Enabled”来启用该策略。

注意：

       这里我要提醒的是，很多朋友可能在这里就把该策略点击“已启用”按钮后，然后用“GPupdate /force”来强行在客户端和DC上刷新策略，最后发现为什么策略已经启用了，就是不生效呢。这里我要提醒大家就是一定要点击“已启用”后还要在下面选项中选为“Enabled”，否则你做的策略是不会生效的。此时我们点击“应用”→点击“确定”返回到“组策略编辑器”对话框，我们可以看到“Disable USB”状态已经变为“已启用”，关闭“组策略编辑器”对话框返回“组策略管理”对话框画面。