2008 R2 - [решено] Отключение USB-storage в AD под 2008 R2 для пользователей

alef2474 · Отправлено: **17:50, 02-09-2013** | #2

Для пользовательской ветки(User Configuration, а не только Computer Confuguration, как в ваших ссылках) ведь тоже есть в доменных политиках подветка Административные шаблоны-Система-Доступ к сменным устройствам(Removable Storage Access)- Removable Disks(Deny Read/Write)

Elven · Отправлено: **18:11, 02-09-2013** | #3

Проверял эту ветку, почему-то не блокирует. В наглую читает и пишет как надо, точнее как НЕ надо :/

alef2474 · Отправлено: **19:08, 02-09-2013** | #4

Цитата Elven:

Проверял эту ветку, почему-то не блокирует »

А как Вы проверяли, опишите пошагово. Может чего упустили.

Dreamer_UFA · Конфигурация компьютера

Еще как вариант.
У вас какой корпоративный антивирус стоит ? У себя на работе я ограничиваю через Kaspersky Administration Kit. Разнес по группам USB open - USB close и все.
как вариант.... не претендую на истину последней инстанции

Elven · Отправлено: **20:32, 02-09-2013** | #6

Цитата alef2474:
А как Вы проверяли, опишите пошагово. »
- Создал новую политику, ничего в ней не указывал кроме вот этих двух параметров (съемные диски read-write, позже пробовал WPD устройства read-write, и даже вообще запретить ЗУ всех классов).
- К тестовому доменному пользователю на стоящем в домене компе применял одну эту голую политику, пользователь больше ни в каких группах не состоит, админской или даже какой расширенной учетной записи не имеет.
- gpupdate /force
читаем-пишем хотя вроде не должны
- на всякий случай ребут компа (ну мало ли что-то не подхватилось)
хрен там, все так же читаем-пишем

Цитата Dreamer_UFA:
У вас какой корпоративный антивирус стоит ? »
SEP. Клиенты настроены из расчета на компьютер, не на пользователя, так что, к сожалению, не вариант.

alef2474 · Отправлено: **22:02, 02-09-2013** | #7

http://hunter-lee.blogspot.ru/2011/0...sta-seven.html

Цитата:

Если кого-то заинтересует - я напишу, как я решил проблему, когда одним пользователям можно, другим - нельзя видеть флешки. Отмечу лишь, что принцип в разных политиках доступа к этому файлу в зависимости от контейнера групповой политики...

http://www.frickelsoft.net/blog/?p=28

Elven · Отправлено: **14:47, 03-09-2013** | #8

Цитата alef2474:

http://hunter-lee.blogspot.ru/2011/0...sta-seven.html »

Хороший вариант, добрый, и если бы не наши пользователи - подошедший бы вполне.
Представим такую ситуацию: два пользователя логинятся на один комп не глуша сессии друг друга, у одного доступ разрешен, у второго - нет. Получается что к HKLM будет применены изменения последнего залогиненого.
Скорей всего буду на основе этого варианта ваять костыли, или, может, придумывать какой обработчик событий в стиле:
"Появилось устройство"----(Что за оно?)----->"Съемный USB накопитель"----(Кто является текущим пользователем?)---->"Юра Семецкий"----(Доступ у Семецкого есть?)---->"Нет"-----{Убить Cемецкого!!!}

В любом случае - всем спасибо! Если будут еще какие идеи - прошу писать, не хочется изобретательством виласапеда заниматься.

WindowsNT · Отправлено: **15:38, 03-09-2013** | #9

Лучше покажите скриншоты подключения политик и Group Policy Results.

Elven · Отправлено: **17:00, 03-09-2013** | #10

Господа, я конечно ничего не понимаю, все выставил так же как вчера и оно внезапно заработало, скорей всего где-то несколько раз подряд допустил ряд ошибок.
Если кому пригодится то финальный вариант выглядит следующим образом (рубит подключение как флешек так и телефонов, фотоаппаратов и проч.):

Еще раз всем спасибо, тему можно закрывать.