Знал что надо в реестре отключать, но оказывается еще можно доступ на файлы закрыть - прикольно
ну а вот что касается доменной политики и как это накатить на все сразу машины а не по одной
то тут наверно надо бы в групповой политике создать сценарий запуска из файла, где будет строка типа regedit /s \\server\1\nousb.reg. А в файле реестра только и нужно утсновить параметр start =4. Но при этом наверно все таки пользователей на коротки срок надо будет включить административную группу на своих машинах, что бы под их учетками можно было это сделать