MorozovAV, а если с помощью
SubInACL, например?
Код:
subinacl /subkeyreg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB /revoke=Все /grant=Все=R /revoke=Администраторы
(учитывая, что по умолчанию полный доступ имеет только SYSTEM, а группа Все - только чтение).
Скопировать subinacl.exe юзерам, вставить в скрипт команду. Скрипт, который для компьютера, а не для пользователя.
Если системы английские, Все поменять на Everyone, Администраторы на Administrators.