Отключение USB и Floppy через GPO
Подскажите пожалуйста как по средствам групповой политики отключить на клиентских машинах использования USB и Flopy.
Если можно более подробно описать... Заранее спасибо!!! p.s. А CD-Rom должен быть доступен) |
Цитата:
При этом, в Server 2003 AD - нет таких политик по умолчанию, нужно "дописывать" их туда. А вот в Server 2008 говорят это уже есть... Я вам посоветую использовать ПО GFI - отлично всё закрывает. |
Цитата:
И как правильно его импортировать?! |
Этот ключик в реестре делает USB read only:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies] "WriteProtect"=dword:00000000 Можно запхать в сценарий входа скрипт: usbWriteOnly.js Код:
var WSHShell = WScript.CreateObject("WScript.Shell"); WSHShell.RegWrite ("HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\StorageDevicePolicies\\WriteProtect", 1, "REG_DWORD"); |
Цитата:
Нашёл прогу DeviceLock щя пробую вроде то что надо) |
Цитата:
Цитата:
|
В ОС Windows XP вроде такой параметр в реестре: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Start"=dword:00000004 - запретить; 00000003 - разрешить http://forum.sysfaq.ru/index.php?showtopic=6247 http://www.winblog.ru/admin/1147765513-17060802.html http://support.microsoft.com/kb/823732/ru |
Цитата:
|
DarkMaximus, Запрет на показ содержимого в логических дисках
|
USB отключается вот в этой ветке:
HKLM\SYSTEM\CurrentControlSet\Services\UsbStor Находим параметр Start типа DWORD, меняем цифру 3 на 4, после перезагрузки этот порт не будет работать. Цитата:
|
Цитата:
В ветке реестра: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Создать параметр типа DWORD NoViewOnDrive поставить значение 1. И флопи не будет открываться |
Тут много написано про отключении USB-накопителей через GPO.
А если нужно отключить доступ к флешкам в раб.группе? На сайте MS нашел http://support.microsoft.com/kb/823732. По второму пункту мне понятно: В реестр добавляем [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Start"=dword:00000003 Как назначить группе "Пользователи" "Опытные пользователи" запрещающие разрешения на следующие файлы: %SystemRoot%\Inf\Usbstor.pnf %SystemRoot%\Inf\Usbstor.inf через реестр ?? Не будешь же каждый раз заходиnm во вкладку безопасность. ПК около 100 штук. И еще вот, что заметил. Если Администратор изменяет параметр "Start" на 4 (запрет), по после подключения флешки, параметр справывается на 3. И после подключения пользователя USER у него работает флешка Спасибо |
Цитата:
cacls /? Xcacls SubInACL P. S. Есть сторонний софт типа DeviceLock. |
Нашёл вот такое, отключение как USB, Floppy и CD-Rom
http://support.microsoft.com/kb/555324/en-us А вот как насчёт того что у меня клавиатуры и мышки и принтеры + карт-ридеры подключены через USB? Они будут работать? |
Цитата:
|
monkkey, ну не все не будет работать. Мышка, клава, принтер работать будут. А вот карт-ридер врядли.
|
Цитата:
|
Цитата:
Во-вторых, я проверил это все у себя на работе. Все замечательно работает. К примеру, Canon чтобы "обойти" этот запрет, стал делать так чтобы его фотики в системе тоже не определялись как USB-Storage. И тогда их можно подрубать к компу на который распространяется политика запрета использования USB. :) |
Здравствуйте :) Вопрос стоит тот же, закрыть usb средствами AD. Нюанс - пользователи работают с хардварными usb-ключами, то есть закрывать надо на запись. Перерыл инет, нашел пару скриптов, в т. ч. от мелкомягких, которые должны бы добавить шаблон, но политики в шаблоне почему-то работать не хотят, как ни старайся. Пошел другим путем, в AD в конфигурации пользователей написал пару сценариев на вход и выход пользователя (правка dword-параметра реестра WriteProtect). Мне надо, чтобы когда пользователь, кому нельзя использовать флешки, входил в систему, применялся бы сценарий на запрет, а при разлогинивании его применялся бы сценарий на разрешение, для того, чтобы другие пользователи, которые могут их использовать, могли это сделать на том же компьютере. Однако сценарий запрета работает, а вот сценарий обратного разрешения почему-то нет (после разлогинивания и последующего логина другого пользователя запись на флешку все равно невозможна). С этим можно что-то поделать?
|
Всем привет! и все таки решение вопроса то какое?
Как запретить флешки через GPO у определенных груп пользователей. Заранее спасибо. |
Цитата:
|
exo, я на сервер 2008 R2! и как сделать? подскажи! )))
|
|
Время: 21:08. |
Время: 21:08.
© OSzone.net 2001-