Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] Как запретить использование USB портов, дисководов CD-ROM и Floppy

< Предыдущая 1 2
Ответить
Настройки темы
[решено] Как запретить использование USB портов, дисководов CD-ROM и Floppy

Новый участник


Сообщения: 12
Благодарности: 1

Профиль | Отправить PM | Цитировать

Изменения
Автор: Danwer
Дата: 18-05-2006
Изображения
Тип файла: jpg consol.JPG
(38.7 Kb, 272 просмотров)
Т.к раздел администрирование нет на форуме, то пишу в эту ветку.
Давно задавался вопросом как запретить флэшки в сети сразу скопом. Воспользовальcя информацией изложенной в "Как запретить использование USB портов, дисководов CD-ROM и Floppy с помощью групповых политик". Причем раннее я раскопал это на сайте майкрософта еще до публикации на oszone.net. Когда я пытюсь импортировать adm файл в Групповые политики то в итоге я получю вот это. Кодировка содержимого файла - win1251, пробовал таже Unicode, но результат то же самый. У кого получилось вопользоваться описанным выше советом?

Отправлено: 11:50, 18-05-2006

 

Аватара для Dan Swano

Пользователь


Сообщения: 88
Благодарности: 5

Профиль | Отправить PM | Цитировать

Пока что решил проблему так, как описано в http://support.microsoft.com/kb/823732/ru
Цитата:
Если USB-устройство хранения данных еще не установлено в компьютер
Если USB-устройство хранения данных еще не установлено в компьютер, назначьте пользователю или группе запрещающие разрешения на следующие файлы:
• %SystemRoot%\Inf\Usbstor.pnf
• %SystemRoot%\Inf\Usbstor.inf
После этого пользователи не смогут установить USB-устройство хранения данных в компьютер. Чтобы назначить пользователю или группе запрещающие разрешения на файлы Usbstor.pnf и Usbstor.inf, выполните следующие действия.
1. Запустите проводник Windows и найдите папку %SystemRoot%\Inf.
2. Щелкните правой кнопкой мыши по файлу Usbstor.pnf и выберите пункт Свойства.
3. Перейдите на вкладку Безопасность.
4. В списке Группы или пользователи выберите пользователя или группу, для которых необходимо установить запрещающие разрешения.
5. В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив элемента Полный доступ и нажмите кнопку OK.
Примечание. Кроме того, добавьте в список Запретить учетную запись System.
6. Щелкните правой кнопкой мыши по файлу Usbstor.inf и выберите пункт Свойства.
7. Перейдите на вкладку Безопасность.
8. В списке Группы или пользователи выберите пользователя или группу, для которых необходимо установить запрещающие разрешения.
9. В списке Разрешения для имя_пользователя или имя_группы установите флажок Запретить напротив элемента Полный доступ и нажмите кнопку OK.
Оказывается, надо не просто удалить группу SYSTEM из списка пользователей, а запретить ей доступ. Однако, это придется делать на каждой рабочей станции, что неудобно. Я думаю, можно соответсвующий logon-скрипт написать, да вот только выполняется он с правами пользователя, входящего в домен...

-------
Hasta la victoria siempre!

Это сообщение посчитали полезным следующие участники:

Отправлено: 13:23, 20-08-2008 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать

Цитата Dan Swano:
Применил политику, не работает. »
я где то читал, что это рабоатет если стоят только майкрасофтовские драва...

-------
Вежливый клиент всегда прав!

Отправлено: 18:21, 20-08-2008 | #12


Аватара для Delirium

Ветеран


Сообщения: 5624
Благодарности: 936

Профиль | Отправить PM | Цитировать

Цитата Dan Swano:
Оказывается, надо не просто удалить группу SYSTEM из списка пользователей, а запретить ей доступ. Однако, это придется делать на каждой рабочей станции, что неудобно. Я думаю, можно соответсвующий logon-скрипт написать, да вот только выполняется он с правами пользователя, входящего в домен... »
надо положить скрипт на сервере, дать пользователям право на запуск (не чтение), в нем прописать скрипт, меняющий политику для SYSTEM (через cacls). А чтобы выполнилось под правами админа - достаточно использовать runas в том же скрипте

-------

Пройденные курсы:
[Microsoft №10174 Sharepoint], [SharePoint]
Мои проекты:[CheckAdmins], [NetSend7], [System Uptime], [Remote RAdmin LogViewer],[Netdom GDI], [Holidays - напоминалка о днях рождения]

А я офис-гуру :)

Отправлено: 01:45, 21-08-2008 | #13


Новый участник


Сообщения: 1
Благодарности: 0

Профиль | Отправить PM | Цитировать

Цитата Dan Swano:
Применил политику, не работает. »
У меня тоже самое.
На одном из форумов нашел другой код, с ним всё ОК.

Вот этот код

;Removable media/serial ports/parallel ports access policy settings

CLASS MACHINE
CATEGORY !!CATDESCR
KEYNAME !!REGKEY
POLICY !!FDDDESCR
KEYNAME !!FDDREGKEY
#if VERSION >= 3
EXPLAIN !!FDDEXPLAIN
#endif
VALUENAME "Start"
VALUEON NUMERIC 4
VALUEOFF NUMERIC 3
END POLICY; Block FDD

POLICY !!USBDESCR
KEYNAME !!USBREGKEY
#if VERSION >= 3
EXPLAIN !!USBEXPLAIN
#endif
VALUENAME "Start"
VALUEON NUMERIC 4
VALUEOFF NUMERIC 3
END POLICY; Block USB

POLICY !!CDROMDESCR
KEYNAME !!CDROMREGKEY
#if VERSION >= 3
EXPLAIN !!CDROMEXPLAIN
#endif
VALUENAME "Start"
VALUEON NUMERIC 4
VALUEOFF NUMERIC 1
END POLICY; Block CD-ROM

POLICY !!LPTDESCR
KEYNAME !!LPTREGKEY
#if VERSION >= 3
EXPLAIN !!LPTEXPLAIN
#endif
VALUENAME "Start"
VALUEON NUMERIC 4
VALUEOFF NUMERIC 1
END POLICY; Block LPT port

POLICY !!SERDESCR
KEYNAME !!SERREGKEY
#if VERSION >= 3
EXPLAIN !!SEREXPLAIN
#endif
VALUENAME "Start"
VALUEON NUMERIC 4
VALUEOFF NUMERIC 1
END POLICY; Block Serial ports
END CATEGORY; Block devices

[STRINGS]
CATDESCR="Block removable storage/ports"
REGKEY="system\currentcontrolset\services"

FDDDESCR="Block Floppy drives"
FDDREGKEY="system\currentcontrolset\services\flpydisk"
FDDEXPLAIN="This policy removes the ability of user to access floppy drives."

USBDESCR="Block USB Storage"
USBREGKEY="system\currentcontrolset\services\usbstor"
USBEXPLAIN="This policy removes the ability of user to access USB Storage drives."

CDROMDESCR="Block CD-ROM drives"
CDROMREGKEY="system\currentcontrolset\services\cdrom"
CDROMEXPLAIN="This policy removes the ability of user to access CD-ROM drives."

LPTDESCR="Block LPT ports"
LPTREGKEY="system\currentcontrolset\services\parport"
LPTEXPLAIN = "This policy removes the ability of user to access LPT ports or any devices connected to LPT ports."

SERDESCR="Block Serial ports"
SERREGKEY="system\currentcontrolset\services\serial"
SEREXPLAIN="This policy removes the ability of user to access Serial ports or any devices connected to Serial ports."

Отправлено: 17:29, 17-11-2008 | #14

< Предыдущая 1 2


Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] Как запретить использование USB портов, дисководов CD-ROM и Floppy

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Windows 2003 R2 проблема с ограничением USB, дисководов linus87 Microsoft Windows NT/2000/2003 10 11-08-2009 22:56
Интерфейс - Как запретить использование паролей на русском языке? zhy4ok Microsoft Windows NT/2000/2003 13 03-09-2008 18:47
Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 drivers Bardissimo ISA Server / Microsoft Forefront TMG 1 04-10-2007 13:12
Как ограничить доступ к floppy, CD, USB Success Microsoft Windows NT/2000/2003 5 16-11-2006 09:31
как запретить использование файла на другом компьютере? ghost99 Microsoft Windows 2000/XP 0 07-04-2006 11:49


« Предыдущая тема | Следующая тема »


 
Переход