http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=30631&forum=14&2
http://support.microsoft.com/default.aspx?scid=kb;ja;823732

USBを完全に殺してもいいなら、これがいいかも。これをグループポリシとして定義して、データアクセスを許可されたユーザがファイルサーバに置いてある暗号化されたファイルを参照する。暗号化を、このユーザのキーでする設定にして、このユーザでのログオンにUSBを殺す制限を課す。管理者はUSBを利用できるけど、暗号化のキーを持たないので平文を読み取れない。

試してみたいなー。どっかに環境作れんもんか。

む、新たな心配はウィルススキャンか！　サーバのウィルススキャンを、この暗号化キーを持っているユーザのアカウントで実行すればいいのかな。それともウィルススキャンンのサービスアカウントはマスターキーみたいなものを持たせて、超複雑なパスワードを設定する。うーん、どうだろｗ