朋友公司的热心网管通过让大家更为别扭的使用电脑寻找存在感，所以设定域组策略限制了她们用u盘备份资料。话说，真想搞点小动作、扮演个商业间谍的员工，用网盘邮件什么的发送多实时啊，至于上u盘吗。至于域管理，也是大小儿就听说，就没见过真身。此番游玩后发觉这一功能是企业集团这辈子必须依赖的，至于Linux/OSX，这点不服不行。

为了简化原理，以简单的形式来说，就是一台 Windows 2008 和一台 Windows 7：

• Windows 2008 上面开启了活动目录(AD)，也就是域管理。
• 同时 Windows 2008 上面建立一个账户
• 这台 Win7 配置了接入域，通俗的说就是登陆验证需连接 Win 2008完成，域名解析也需要借助服务器，可能连ip分配都如此。

一个简单的域就组建好了。由于Win7的账户验证在Win2008完成，这个账户的权限和允许的操作都是受服务器定义的。一旦Win2008设置了组策略管理的规则，连接他的Win7也得受之管辖。不过网管配置时候疏忽了一点，人家Win 7虽然登陆了域，但也可以切换用户，然后登陆本地账户。

这点是他可以通过高级的配置手段残忍阻止的。

虽说由于域管理的缓存机制，本地账户也受到域组策略的限制，但本地账户可是本地管理员级别的。想删改系统文件，装个驱动，格式化个磁盘都没人拦得住啊。至于写U盘被阻止的规则，那只是资源管理器，命令行什么的正常调用AP的程序才遵守。既然我是本地管理员，你组策略又没限制我装驱动，那我从驱动级别去直接调用内核API访问U盘，网管就管不着了。

可这驱动自己写不免有点折腾了，兼容性也不好讲。干脆，用现成的VirtualBox。VirtualBox里面创建一个Guest的Win7，也是可以访问U盘的，因为VirtualBox会在Host系统，也就是原Win7装一个驱动，而这个驱动就完成了底层接管USB设备的任务。既然是驱动级别的接管，你组策略就奈何不了。然后Guest的Win7再访问U盘，实则通过这个底层的驱动完成，效果看起来和组策略失效了一样，随意写。

最无奈，网管过滤了百度网盘，QQ离线发送等网络通讯，煞费苦心哎。最后只能通过新加坡一个VPS主机做中专才把VirtualBox传过去。

其实真逼急了，狠招也有的是，拿到笔记本，我U盘启动个Kali Linux，连Windows都不进，你组策略个溜溜球啊，我爱拷啥拷啥。或者你改了本地管理员口令，我U盘KonBoot启动绕过密码进去，然后爱怎么改怎么改。唯一的问题是，本儿不是我用，选择一个持久、麻瓜、易操作的方案才是最优解。

后记，对比发现，利用本地管理员权限直接改注册表似乎就可以对抗域组策略。对比前后注册表的变化，一般是safe descriptor 之类的字段，有个两三个，全删掉就可以了。