[Dan Swano]

Пока что решил проблему так, как описано в http://support.microsoft.com/kb/823732/ru

Цитата:

Если USB-устройство хранения данных еще не установлено в компьютер Если USB-устройство хранения данных еще не установлено в компьютер, назначьте пользователю или группе запрещающие разрешения на следующие файлы: • %SystemRoot%\Inf\Usbstor.pnf • %SystemRoot%\Inf\Usbstor.inf После этого пользователи не смогут установить USB-устройство хранения данных в компьютер. Чтобы назначить пользователю или группе запрещающие разрешения на файлы Usbstor.pnf и Usbstor.inf, выполните следующие действия. 1. Запустите проводник Windows и найдите папку %SystemRoot%\Inf. 2. Щелкните правой кнопкой мыши по файлу Usbstor.pnf и выберите пункт Свойства. 3. Перейдите на вкладку Безопасность. 4. В списке Группы или пользователи выберите пользователя или группу, для которых необходимо установить запрещающие разрешения. 5. В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив элемента Полный доступ и нажмите кнопку OK. Примечание. Кроме того, добавьте в список Запретить учетную запись System. 6. Щелкните правой кнопкой мыши по файлу Usbstor.inf и выберите пункт Свойства. 7. Перейдите на вкладку Безопасность. 8. В списке Группы или пользователи выберите пользователя или группу, для которых необходимо установить запрещающие разрешения. 9. В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив элемента Полный доступ и нажмите кнопку OK.

Оказывается, надо не просто удалить группу SYSTEM из списка пользователей, а запретить ей доступ. Однако, это придется делать на каждой рабочей станции, что неудобно. Я думаю, можно соответсвующий logon-скрипт написать, да вот только выполняется он с правами пользователя, входящего в домен...