![]() |
Подскажите, пожалуйста, как в W2000/XP запретить работу по USB-порту с любыми устройствами, кроме мыши и сканера, *пользователю с правами ADVANCED USER.
|
К сожалению это не возможно с помощья политик...
Есть простой способ: Запретить использование драйвера для устройств "Съёмный диск" (не помню как он называется :)) всего один файлик... |
2 способа:
1. Запретить доступ определенным пользоваетлям к %windir%\system32\drivers\usbstor.sys 2. Не стартовать "Драйвер запомнинающих устройств для USB" (он же и есть usbstor.sys) По умолчанию он подключается автоматически при "втыкании" usb-флешки. |
Поставил разрешения тольок администраторам, результат то же, переткнул флешку и диск нарисовался
[s]Исправлено: Dennis, 13:34 3-11-2003[/s] Добавлено: Единственное что удалось, так запретить "Запоминающее устройство для USB" |
Цитата:
Попробуй пункт 2 из моего предыдущего поста. |
Цитата:
А пункт 2 прошел. |
Dennis
Цитата:
|
Да, для всех. Что и требуется в моем случае.
А по п.1. :gigi: Удалил доступ ВСЕМ, ктроме админа (даже system), результат не изменился, как будто система плюет на права на уровне драйверов... |
Dennis
Цитата:
|
Тут пришла в голову мысль попробовать воспользоваться сценарием входа. Для пользователей, которым разрешена такая работа с USB - прописать копирование этого драйвера из специально созданного резервного каталога туда, где его потом ищет система, а для тех, кому подобная работа запрещена - прописать в сценарии удаление этого драйвера из системного каталога. Единственный минус - не знаю можно ли в вин2к прописывать сценарии для групп, а не для отдельных пользователей - я не нашел...:(
|
Цитата:
|
Raistlin
На сколько я понял (по крайней мере я писал именно об этом) речь шла о локальных политиках. Что на сервере можно процедуры для групп оформлять я в курсе (по крайней мере на вин2003). А здесь я поднял вопрос, справедливый для всех станций, в том числе и вообще не включенных в сеть. |
Цитата:
|
Цитата:
если указать сценарий на запуск компьютера - то они будут выполняться от имени localSystem. |
SkyF
Цитата:
|
Цитата:
я указывал на сценарий "автозагрузки" компьютера в групповой политике домена, а не на атрибут учетной записи "сценарий входа". в этом сценарии, конечно все от имени пользователя делается.. |
Цитата:
Цитата:
|
Greyman
Цитата:
тут имеется ввиду вообще возможность замены драйверов - для одних пользователей и копирование для других. как именно это делать - это вторично.. просто автор не акцентировал на этом внимание. С моей точки зрения, если заменить "сценарием входа" (logon) на сценарий автозагрузки (start), то предложение будет законченным и верным. ИМХО. =) Другое дело, что етсь желание прописывать всеэто именно сценариями входа - тогда действительно, для этого учетные записи должны иметь право доступа к замене системных файлов - те членами локальной группы администраторов. что явно пойдет на вред безопасности домена. С этим согласен. достигнули консенсуса? =) |
Тут кстати наткнулся на одну вестч, дык может она подойдет:
Цитата:
|
Время: 10:55. |
Время: 10:55.
© OSzone.net 2001-