Отключение USB и Floppy через GPO
 

Подскажите пожалуйста как по средствам групповой политики отключить на клиентских машинах использования USB и Flopy.
Если можно более подробно описать... Заранее спасибо!!!

p.s. А CD-Rom должен быть доступен)

насколько мне известно, то с помощью ГПО можно отключить только устройства в драйверами майкрасофт.
При этом, в Server 2003 AD - нет таких политик по умолчанию, нужно "дописывать" их туда.
А вот в Server 2008 говорят это уже есть...
Я вам посоветую использовать ПО GFI - отлично всё закрывает.

Вот это как раз мне и нужно... есть ли у кого админ шабло который отключает использования USB и Floppy на клиентских машинах?

И как правильно его импортировать?!

Этот ключик в реестре делает USB read only:

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies] "WriteProtect"=dword:00000000

Можно запхать в сценарий входа скрипт:
usbWriteOnly.js

Есть такое) Но вот у мну есть клавиатура и мышка и принтера USB... А доступ надо полностью отключить)

Нашёл прогу DeviceLock щя пробую вроде то что надо)

рид онли им. но мы через GFI так, а через ГПО вроде полностью отключите.
погуглите на эту тему. там будет сценарий. а ещё лучше на этом форуме поищите. я вроде тему создовал там написали...

DarkMaximus, Запрет на показ содержимого в логических дисках

USB отключается вот в этой ветке:
HKLM\SYSTEM\CurrentControlSet\Services\UsbStor
Находим параметр Start типа DWORD, меняем цифру 3 на 4, после перезагрузки этот порт не будет работать.

Лучше выше описаные манипуляции сделать на каждой машине в ручную, а не на административном компьютере.

Здесь можно поступить следующим способом:
В ветке реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Создать параметр типа DWORD NoViewOnDrive поставить значение 1. И флопи не будет открываться

Тут много написано про отключении USB-накопителей через GPO.
А если нужно отключить доступ к флешкам в раб.группе?
На сайте MS нашел http://support.microsoft.com/kb/823732.
По второму пункту мне понятно:
В реестр добавляем
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000003
Как назначить группе "Пользователи" "Опытные пользователи" запрещающие разрешения на следующие файлы:
%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf
через реестр ?? Не будешь же каждый раз заходиnm во вкладку безопасность. ПК около 100 штук.

И еще вот, что заметил. Если Администратор изменяет параметр "Start" на 4 (запрет), по после подключения флешки, параметр справывается на 3. И после подключения пользователя USER у него работает флешка

Спасибо

Батником (.cmd):
cacls /?
Xcacls
SubInACL

P. S. Есть сторонний софт типа DeviceLock.

Нашёл вот такое, отключение как USB, Floppy и CD-Rom
http://support.microsoft.com/kb/555324/en-us
А вот как насчёт того что у меня клавиатуры и мышки и принтеры + карт-ридеры подключены через USB?
Они будут работать?

Нет. Поэтому и предлагал Вам DeviceLock.

monkkey, ну не все не будет работать. Мышка, клава, принтер работать будут. А вот карт-ридер врядли.

USB? Сомневаюсь.

Зря. Во-первых, потому что эта политика запрещает доступ к файлам Usbstor.pnf и Usbstor.inf и к разделу реестра [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] . Слог stor - во всех этих параметрах означает Storage. Перевод я уверен Вам знаком. Поэтому эта политика действует только на то, что система считает хранилищем\диском. Принтер, клава и мышь системой так не определяются. Поэтому и будут работать.
Во-вторых, я проверил это все у себя на работе. Все замечательно работает. К примеру, Canon чтобы "обойти" этот запрет, стал делать так чтобы его фотики в системе тоже не определялись как USB-Storage. И тогда их можно подрубать к компу на который распространяется политика запрета использования USB. :)

Здравствуйте :) Вопрос стоит тот же, закрыть usb средствами AD. Нюанс - пользователи работают с хардварными usb-ключами, то есть закрывать надо на запись. Перерыл инет, нашел пару скриптов, в т. ч. от мелкомягких, которые должны бы добавить шаблон, но политики в шаблоне почему-то работать не хотят, как ни старайся. Пошел другим путем, в AD в конфигурации пользователей написал пару сценариев на вход и выход пользователя (правка dword-параметра реестра WriteProtect). Мне надо, чтобы когда пользователь, кому нельзя использовать флешки, входил в систему, применялся бы сценарий на запрет, а при разлогинивании его применялся бы сценарий на разрешение, для того, чтобы другие пользователи, которые могут их использовать, могли это сделать на том же компьютере. Однако сценарий запрета работает, а вот сценарий обратного разрешения почему-то нет (после разлогинивания и последующего логина другого пользователя запись на флешку все равно невозможна). С этим можно что-то поделать?

Всем привет! и все таки решение вопроса то какое?
Как запретить флешки через GPO у определенных груп пользователей.

Заранее спасибо.

обновится до Winodws Server 2008 R2 \ 2012 самое верное решение, или сторонние программы.

exo, я на сервер 2008 R2! и как сделать? подскажи! )))