Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Не могу заблокировать USB, FDD, CD-ROM на определенных ПК через GPO в AD

Ответить
Настройки темы
Не могу заблокировать USB, FDD, CD-ROM на определенных ПК через GPO в AD

Пользователь


Сообщения: 147
Благодарности: 0

Профиль | Отправить PM | Цитировать

Пожалуйста помогите следующую проблему!
Сделал стенд для опытов - Установил Windows Server 2003, развернул DNS, Active Directory, сделал учетки в AD. Зарегестрировал один комп в AD.

Захотелось мне заблокировать на юзерском компьютере USB, FDD, CD-ROM через GPO в AD.
Скачал скрипт с MS :

-------------------------------------------------------------------

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"

----------------------------------------------------------------

Далее создал объект-папку с палитикой - добавив туда через административные шаблоны *. ADM файл с этим скриптом далее закрыл редактор GPO и потом поместил зарегестрированный ПК в эту папку с этой политикой.
Типа все должно работать но не работает те. и флешки присоединяются и CD диски видятся но ведь все это не должно видится в системе.

Прошу Вас погите - в чем тут дело ?

Отправлено: 23:41, 20-12-2009

 

Экзорцист


Сообщения: 969
Благодарности: 127

Профиль | Отправить PM | Цитировать

Т.е. вы просто вставили этот шаблон и все?
Это не скрипт, этот шаблон, который позволяет менять некие параметры, в данном случае - запрещать/разрешать использование USB, FDD, CD-ROM. Так например для запрета USB-устройств надо в параметре Disable USB поставить Включен, а disable USB ports - Enabled
Как запретить использование USB портов, дисководов CD-ROM и Floppy с помощью Групповых Политик
Если я вас неправильно понял, т.е. вы не просто вставили этот шаблон, но еще и правили параметры в нем, то опишите более подробно что вы делали

Отправлено: 00:07, 21-12-2009 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Ветеран


Сообщения: 1001
Благодарности: 226

Профиль | Отправить PM | Цитировать

Цитата morozov_s_v:
Далее создал объект-папку с палитикой - добавив туда через административные шаблоны *. ADM файл с этим скриптом далее закрыл редактор GPO и потом поместил зарегестрированный ПК в эту папку с этой политикой. »
Этого мало, если просто добавить adm-шаблон в политику - ничего не изменится. Нужно поменть параметры на "disable *".

Отправлено: 00:08, 21-12-2009 | #3


Экзорцист


Сообщения: 969
Благодарности: 127

Профиль | Отправить PM | Цитировать

Цитата Ivan Bardeen:
поменть параметры на "disable *". »
Нет, там должно быть enable, т.к. сам параметр называется "Disable USB port"

Отправлено: 09:27, 21-12-2009 | #4


Пользователь


Сообщения: 147
Благодарности: 0

Профиль | Отправить PM | Цитировать

Те. как я понял мне нужнопоменять параметры в этом скрипте а именно в [strings] те. Enabled="Enabled"
Disabled="Disabled" этии параметрвы наоборот Да ?

Отправлено: 19:05, 21-12-2009 | #5


Экзорцист


Сообщения: 969
Благодарности: 127

Профиль | Отправить PM | Цитировать

morozov_s_v, вот так отключаются USB устройства с помощью этого шаблона. А как добраться до этого параметра я выше уже говорил. Сам шаблон править нельзя ни в коем случае

Отправлено: 22:22, 21-12-2009 | #6


Пользователь


Сообщения: 147
Благодарности: 0

Профиль | Отправить PM | Цитировать

Все сделал как ви сказали но не помогло.

Шаблон не менял, делал в редакторе и enable и disable, но не заработало на прикрепленном к AD компьютере.

???

Отправлено: 00:48, 23-12-2009 | #7


Экзорцист


Сообщения: 969
Благодарности: 127

Профиль | Отправить PM | Цитировать

Цитата morozov_s_v:
не заработало на прикрепленном к AD компьютере »
1. К какой OU применяется политика и в какой OU находится клиент?
2. Блокирование наследования нигде не включено?
3. Сколько времени прошло с момента изменения параметров ГП? Может они еще не успели примениться? Обновление происходит каджые 1,5 часа +- до 30 минут, поэтому перезагрузите целевой комп после обновления политики на контроллере домена
4. В оснастке AD - пользователи и компьютеры ПКМ и выберете Все задачи -> результирующая политика.
5. Что есть в логах клиента и сервера?

Отправлено: 15:41, 23-12-2009 | #8



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Не могу заблокировать USB, FDD, CD-ROM на определенных ПК через GPO в AD

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
[решено] Отключение USB и Floppy через GPO DarkMaximus Microsoft Windows NT/2000/2003 22 24-05-2013 14:04
Заблокировать трафик, кроме определенных IP noleiemit Microsoft Windows NT/2000/2003 17 19-01-2009 21:51
Прочее - Загрузка puppy c usb rmd fdd Gamover jr Общий по Linux 2 14-11-2008 15:50
Установка Windows 2000 SP4 Rus на ноутбук без FDD и CD-ROM Sanc4eZ Microsoft Windows NT/2000/2003 5 28-08-2008 09:41
проблема с отключением USB через GPO Diabolo_co Microsoft Windows NT/2000/2003 8 13-05-2008 12:22


« Предыдущая тема | Следующая тема »


 
Переход