在Windows Server 2008 中，管理員可以應用組策略來控制用戶是否可以對使用可移動介質的任何設備進行讀取或寫入。這些策略可用于幫助禁止將敏感或機密材料寫入可移動介質或包含存儲區域的可移動設備后帶走。

此策略設置可以在兩個位置找到。在'計算機配置/管理模板/系統/可移動存儲訪問'中找到的策略設置將影響計算機和登錄計算機的每個用戶。在'用戶配置/管理模板/系統/可移動存儲訪問'中找到的策略設置僅影響對其應用了策略設置的用戶，包括組（如果使用 Active Directory 應用了組策略）。

每個設備類別都支持兩個策略：一個是拒絕讀取權限，另一個是拒絕寫入權限：

- 強制實施重新啟動的時間（以秒為單位）。設置為了對可移動存儲設備的訪問權限強制實施更改，重新啟動系統需要等待的時間（以秒為單位）。只有在不通過重新啟動無法應用限制策略時才強制實施重新啟動。

-; CD 和 DVD。這些策略設置允許您拒絕對 CD 和 DVD 可移動存儲類中的設備（包括通過 USB 連接的設備）進行讀取或寫入訪問。

實例：

（一）準備工作

- 運行 Windows Vista 的客戶端計算機。假定為 DMI-Client。

- USB 存儲驅動器。本指南中描述的方案將 USB 存儲驅動器用作示例設備。此設備像是一個可移動磁盤驅動器，它也被稱為'拇指驅動器'、'閃存驅動器'或'鑰匙圈驅動器'。大多數 USB 存儲驅動器不需要制造商提供的任何驅動程序，這些設備使用Windows Server 2008 提供的驅動程序。

（二）使用設備管理器查找設備標識字符串

1.; 以 DMI-Client/TestAdmin 身份登錄到計算機。

2.; 插入 USB 存儲驅動器，然后完成安裝。

3.; 若要打開設備管理器，請單擊'開始'按鈕，在'開始搜索'框中鍵入 mmc devmgmt.msc，然后按 Enter。

4.; 如果出現'用戶賬戶控制'對話框，請確認所顯示的是您想要執行的操作，然后單擊'繼續'。

設備管理器啟動并顯示一個表示在您的計算機上檢測到的所有設備的樹。樹頂部的節點旁顯示了您的計算機名稱。下面的節點表示各種類別的硬件，您的計算機設備被歸類到這些節點中。

5.; 雙擊'磁盤驅動器'打開列表。

6.; 右鍵單擊 USB 存儲驅動器對應的條目，然后單擊'屬性'。

此時將出現'設備屬性'對話框。

7.; 單擊'詳細信息'選項卡。

8.; 在'屬性'列表中，單擊'硬件 Id'。

在'值'下面，記錄所顯示的字符串。

注：您可以通過突出顯示文本并按 Ctrl-C 將這些字符串復制到剪貼板。因為許多硬件 ID 都具有多個下劃線字符，所以將它們復制到文本文件十分有用，您可以在必須指定標識符時從文本文件中進行粘貼。這種方法大大降低了您必須向批準或禁止的設備列表中添加特定標識符時出錯的可能性。

9.; 在'屬性'列表中，單擊'兼容 Id'。

在'值'下面，記錄所顯示的字符串。

10.; 單擊'確定'關閉對話框。

（三）卸載 USB 存儲驅動器

1.; 以 DMI-Client/TestAdmin 身份登錄到計算機。

2.; 若要打開設備管理器，請單擊'開始'按鈕，在'開始搜索'框中鍵入 mmc devmgmt.msc，然后按 Enter。

3.; 如果出現'用戶賬戶控制'對話框，請確認所顯示的是您想要執行的操作，然后單擊'繼續'。

4.; 右鍵單擊 USB 存儲驅動器對應的條目，然后單擊'卸載'。

5.; 在'確認設備刪除'對話框中，單擊'確定'完成卸載過程。

6.; 當 Windows 完成卸載過程時，它將從設備管理器樹中刪除該設備條目。

7.; 從 USB 端口中拔出 USB 存儲驅動器。