Aha, dann muß der Zugriff auf Teile der Registry, auf USBSTOR.SYS und andere Dateien unterbunden werden.
Das sind:
HKLM\System\CurrentControlSet\Services\usbstor
%systemroot%\inf\usbstor.inf
%systemroot%\inf\usbstor.pnf
%systemroot%\system32\drivers\usbstor.sys
Also:
1) Benutzergruppe USBSPPEICHER einrichten, die Wechselplatten, Sticks benutzen darf
2) Benutzer der Gruppe USBSPPEICHER zuweisen
3) Zugriff auf USBSTOR.SYS, usbstor.inf und usbstor.pnf dem SYSTEM per ACL entziehen!
4) Zugriff auf USBSTOR.SYS, usbstor.inf und usbstor.pnf per ACL nur für Gruppe USBSPPEICHER und Administratoren erlauben!
5) Zugriff auf die Registry unter HKLM\System\CurrentControlSet\Services\usbstor
mit REGEDIT dem SYSTEM entziehen und nur für die Gruppe USBSPPEICHER und Administratoren erlauben!
Dann dürfen nur bestimmte Leute der Gruppe USBSPEICHER Stick und Festplatte benutzen.
Admins können aber immer noch USB-Speicher benutzen, die sind also immer noch ein Risiko.
//Tip ohne Gewähr. Bitte auch ausprobieren, ob es geht.
Microsoft: How to disable the use of USB storage devices\n\n
<!--EDIT|GwenDragon|1132746347-->