根据您的描述，我对这个问题的理解是：您想禁止用户使用usb设备。如果我的理解有误，请告诉我。

我假设您只是想禁止用户使用USB存储设备，而不是所有USB设备。

根据下面两篇KB，您能通过禁止用户对usbstor.pnf和usbstor.inf的访问来实现禁用USB存储设备：
如何禁用 USB 存储设备
http://support.microsoft.com/kb/823732/zh-cn
如何使用 Xcacls.exe 修改 NTFS 权限
http://support.microsoft.com/kb/318754/zh-cn

参考上面两篇KB，您只需建立一条使用xcacls，设置usbstor.pnf和usbstor.inf上domain users组用户的拒绝权限的登陆脚本，在用户登陆后他们自然就无法使用USB存储设备了，而administrator由于访问权限没有更改，所以可以继续使用USB存储设备。
我以domain users组为例：
Xcacls %systemroot%\inf\usbstor.pnf /d “domain users” /y
Xcacls %systemroot%\inf\usbstor.inf /d “domain users” /y

我以编辑域策略为例提供设置脚本的步骤如下：
1. 将xcacls和脚本放在所有用户都能访问的共享目录内（比如netlogon）
2. 运行dsa.msc命令
3. 右键点击域名，打开属性
4. 点击组策略属性页
5. 新建一个组策略，给予一个恰当的名称然后点击编辑（或者编辑默认域策略）
6. 定位到：计算机配置->Windows 设置->脚本->启动
7. 双击启动脚本，将配置的脚本添加进去
8. 点击确定
9. 运行gpupdate /force刷新这一策略
这样下次计算机重启后本地文件的权限酒杯更改了。这一脚本只需运行一次，在您确认所有计算机都执行过这一脚本后，您就可以撤销这条策略了。

希望我的回答对您有所帮助，如果有不清楚的地方，请告诉我。

感谢您选择微软产品并使用微软合作伙伴新闻组技术支持！

SEAN CAI 蔡怡林
MCSE2000
在线合作伙伴支持工程师
合作伙伴支持部
微软全球技术支持中心