Отключение USB-storage в AD под 2008 R2 для пользователей
 

Доброе время суток.
Дано:
AD с набором политик для определенных групп (2008 R2).
Компы пользователей под Win 7.
Пользователи которым нужно заблокировать использование флешек и USB-винтов.
Пользователи которым использование USB накопителей отключать нельзя.
Пользователи меняют рабочее место время от времени.

Нужно:
Чтобы тем кому нельзя - не использовали, тем которым можно - использовали (в зависимости от учетки, а не от компа).

Читал и пробовал использовать:
http://forum.oszone.net/thread-253492.html
http://forum.oszone.net/thread-222719.html
Больше вот по этим ссылкам:
http://www.oszone.net/5001/
http://faqman.ru/kontrol-dostupa-i-s...-politiki.html

Проблема в том, что эти инструкции ориентированы на локальный комп с кипой пользователей на нем, но применить нужно именно к пользователям домена на кипе разных компов.

Для пользовательской ветки(User Configuration, а не только Computer Confuguration, как в ваших ссылках) ведь тоже есть в доменных политиках подветка Административные шаблоны-Система-Доступ к сменным устройствам(Removable Storage Access)- Removable Disks(Deny Read/Write)

Проверял эту ветку, почему-то не блокирует. В наглую читает и пишет как надо, точнее как НЕ надо :/

А как Вы проверяли, опишите пошагово. Может чего упустили.

Еще как вариант.
У вас какой корпоративный антивирус стоит ? У себя на работе я ограничиваю через Kaspersky Administration Kit. Разнес по группам USB open - USB close и все.
как вариант.... не претендую на истину последней инстанции

Цитата alef2474:
А как Вы проверяли, опишите пошагово. »
- Создал новую политику, ничего в ней не указывал кроме вот этих двух параметров (съемные диски read-write, позже пробовал WPD устройства read-write, и даже вообще запретить ЗУ всех классов).
- К тестовому доменному пользователю на стоящем в домене компе применял одну эту голую политику, пользователь больше ни в каких группах не состоит, админской или даже какой расширенной учетной записи не имеет.
- gpupdate /force
читаем-пишем хотя вроде не должны
- на всякий случай ребут компа (ну мало ли что-то не подхватилось)
хрен там, все так же читаем-пишем

Цитата Dreamer_UFA:
У вас какой корпоративный антивирус стоит ? »
SEP. Клиенты настроены из расчета на компьютер, не на пользователя, так что, к сожалению, не вариант.

http://hunter-lee.blogspot.ru/2011/0...sta-seven.html

http://www.frickelsoft.net/blog/?p=28

Хороший вариант, добрый, и если бы не наши пользователи - подошедший бы вполне.
Представим такую ситуацию: два пользователя логинятся на один комп не глуша сессии друг друга, у одного доступ разрешен, у второго - нет. Получается что к HKLM будет применены изменения последнего залогиненого.
Скорей всего буду на основе этого варианта ваять костыли, или, может, придумывать какой обработчик событий в стиле:
"Появилось устройство"----(Что за оно?)----->"Съемный USB накопитель"----(Кто является текущим пользователем?)---->"Юра Семецкий"----(Доступ у Семецкого есть?)---->"Нет"-----{Убить Cемецкого!!!}

В любом случае - всем спасибо! Если будут еще какие идеи - прошу писать, не хочется изобретательством виласапеда заниматься.

Лучше покажите скриншоты подключения политик и Group Policy Results.

Господа, я конечно ничего не понимаю, все выставил так же как вчера и оно внезапно заработало, скорей всего где-то несколько раз подряд допустил ряд ошибок.
Если кому пригодится то финальный вариант выглядит следующим образом (рубит подключение как флешек так и телефонов, фотоаппаратов и проч.):



Еще раз всем спасибо, тему можно закрывать.