Модернизация решения по отключению Floppy/CD/USB через политики безопасности.
 

Всем салют!

В моей сети реализовано отключение накопителей и USB методом описанным FAQ по Windows 2000/2003, но данная схема перестала меня устраивать в силу того что политика привязана к компьютеру, а не пользователю. Неудобно это тем что если надо иногда дать доступ к накопителям и USB портам (установка программ админом или обновление каких нибудь баз каким-либо сторонним аникейщиком) приходится временно переносить в домене данный компьютер в OU с политикой разрешающей USB, а после того как необходимые манипуляции закончены возвращать все на место - это довольно утомительно. Плюсом еще некоторые хитрожопые юзвера додумались под своим профилем заходить на компьютеры начальников, когда те отсуствуют на рабочем месте(у некоторых начальников разрешены накопители и USB) и сливать инфу с флешек в сеть, а уже потом забирать из сети на свою машину, ведь описанная выше политика этого не запрещает.

Так вот что хотелось бы получить. Хотелось бы что бы данная политика распространялась именно на пользователя. То есть если пользователю разрешено юзать USB, то придя на любую машину и залогинясь на ней под своей учеткой он получал USB, а выйдя с компьютера все возвращал на свои места, что бы умники которые зашли на машину начальника на которой приведенным ранее шаблоном разрешено использование накопителей так же обламывались.

Пробовал тупо подсунуть административный шаблон указный выше в "Конфигурацию пользователя" вместо "Конфигурации компьютера" для политики безопасности тупо заменив заголовок с
на

не помогло Ветка с элементами политики появилась там где надо и даже успешно установились все значения, но не применяется.

Подскажите пожалуйста как модернизировать политику или чем нибудь дополнить решение вообщем, для получения желаемого?

Гораздо реальнее в вашем случае разрешить некоторые флэшки по их Device ID, можно посмотреть HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
Есть даже решение http://habrahabr.ru/blogs/i_am_clever/52553/

К сожалению данный вариант мне тоже не подходит так как парк более 250 машин и разнесен территориально по области и флешки туда пихаются самые разнообразные. Это решение применимо если флешек 2 шт на всю контору и они просто используются на всех компьютерах, а у нас каждый день приходят несколько аникейщиков что то обновлять (сметные проги, базы нормативки и т.д.) плюсом всякие данные в районы передаются, короче оборот устройств большой.

У меня появилась мысль про создание скрипта, который будет менять ключи в реестре, которые устанавливает шаблон. Повесить этот скрипт на учетки админов, но как то я сомневаюсь в эстетической стороне такого способа решения проблемы. Каждый раз при входе пользователя и при выходе драконить реестр наверно не очень правильно.

Жду еще идей.

Это регулируется регламентом, что каждая новая флешка регистрируется в IT - отделе. Без административной помощи у вас ничего не получится.