Подскажите, пожалуйста, как в W2000/XP запретить работу по USB-порту с любыми устройствами, кроме мыши и сканера, *пользователю с правами ADVANCED USER.

К сожалению это не возможно с помощья политик...
Есть простой способ:
Запретить использование драйвера для устройств "Съёмный диск" (не помню как он называется :)) всего один файлик...

2 способа:
1. Запретить доступ определенным пользоваетлям к %windir%\system32\drivers\usbstor.sys
2. Не стартовать "Драйвер  запомнинающих устройств для USB" (он же и есть usbstor.sys)

По умолчанию он подключается автоматически при "втыкании" usb-флешки.

Поставил разрешения тольок администраторам, результат то же, переткнул флешку и диск нарисовался

[s]Исправлено: Dennis, 13:34 3-11-2003[/s]

Добавлено:

Единственное что удалось, так запретить "Запоминающее устройство для USB"

NTFS или FAT?
Попробуй пункт 2 из моего предыдущего поста.

Ntfs.
А пункт 2 прошел.

Dennis
И флэшки отвалились для всех? А про пункт 1, -  видимо, так и должно быть. Там ведь от имени system (по идее) должно стартовать...

Да, для всех. Что и требуется в моем случае.
А по п.1. :gigi: Удалил доступ ВСЕМ, ктроме админа (даже system), результат не изменился, как будто система плюет на права на уровне драйверов...

Dennis
.... Windows предмет темный, и потому изучению не подлежит :)

Тут пришла в голову мысль попробовать воспользоваться сценарием входа. Для пользователей, которым разрешена такая работа с USB - прописать копирование этого драйвера из специально созданного резервного каталога туда, где его потом ищет система, а для тех, кому подобная работа запрещена - прописать в сценарии удаление этого драйвера из системного каталога. Единственный минус - не знаю можно ли в вин2к прописывать сценарии для групп, а не для отдельных пользователей - я не нашел...:(

Можно. Создай политику, пропиши её всему домену, убери у "Прошедших проверку" право применения этой политики, затем добавь в список доступа нужную группу (NB: глобальную) и дай ей право применять политику.

Raistlin
На сколько я понял (по крайней мере я писал именно об этом) речь шла о локальных политиках. Что на сервере можно процедуры для групп оформлять я в курсе (по крайней мере на вин2003). А здесь я поднял вопрос, справедливый для всех станций, в том числе и вообще не включенных в сеть.

Как-то не подумал об этом :). Зато подумал вот о чём: чтобы твои сценарии заработали, надо будет дать всём пользователям право записи в %SystemRoot% -- ведь сценарии, насколько я знаю, исполняются от имени пользователей. Т. е. дыра в системе безопасности гарантирована.

нихт..
если указать сценарий на запуск компьютера - то они будут выполняться от имени localSystem.

SkyF
Даже если этот сценарий запускается из сценария входа конкретного пользователя (интересно, а это хоть возможно...)?

при чем здесь этот сценарий?
я указывал на сценарий "автозагрузки" компьютера в групповой политике домена, а не на атрибут учетной записи "сценарий входа". в этом сценарии, конечно все от имени пользователя делается..

Речь-то шла о сценариях для пользователей:

Greyman
насколько я понял вот это исходная фраза.
тут имеется ввиду вообще возможность замены драйверов - для одних пользователей и копирование для других.

как именно это делать - это вторично..
просто автор не акцентировал на этом внимание. С моей точки зрения, если заменить "сценарием входа" (logon) на сценарий автозагрузки (start), то предложение будет законченным и верным.
ИМХО. =)

Другое дело, что етсь желание прописывать всеэто именно сценариями входа - тогда действительно, для этого учетные записи должны иметь право доступа к замене системных файлов - те членами локальной группы администраторов.
что явно пойдет на вред безопасности домена. С этим согласен.

достигнули консенсуса? =)

Тут кстати наткнулся на одну вестч, дык может она подойдет:
http://www.securitylab.ru/tools/29777.html