» Отключение USB через GPO (групповые политики)

to Vsevolod
Да у меня тоже не получилось, не знаю почему.Может кто-нибудь подскажет нам, а то не использовать такую возможность сервера просто ......

Если пользоваться общей GP то подцепляется и блокирует на всех компах, отдельно поробывал в группу компы запихнуть и создал GP, не подцепилось, как и по пользователям не подцепилось. осталось только попробовать скрипт, что на 3 странице в 1 сообщении.

Добавлено:
Со скриптами тоже не прошло.

Цитата:

По пользователям:

1. Создаём GP (читай групповые политики что это и зачем это)
2. добавляем в автозагрузку vbs файл описанный выше
3. раздаём права на чтение данной политики конкретными пользователями

добавлял в GP для пользователя при загрузке.

Vsevolod
Вообщем у тебя получилось или нет?

Если менять для всех машин в GP, что по умолчанию, то получилось, но мне надо только для некоторых пользователей, а это пока нет. В понедельник ещё поизвращаюсь.

Что-то нифига не работает. Пробую запретить запись на cd-rom'ах и фиг. Использую GP, параметры применяются (вижу изменения в реестре на машине), но все равно записывает. Применяю для отдельных компьютеров. МОжет быть это не работает на DVD-приводах?

Vsevolod

Цитата:

Если пользоваться общей GP то подцепляется и блокирует на всех компах

Ты имеешь виду на уровне домена если применить то получается, а на OU нет да?Я правильно понял тебя?


Цитата:

Если менять для всех машин в GP, что по умолчанию, то получилось, но мне надо только для некоторых пользователей, а это пока нет. В понедельник ещё поизвращаюсь

а здесь ничего не понял.

Цитата:

Ты имеешь виду на уровне домена если применить то получается, а на OU нет да?Я правильно понял тебя?

да, если ко всему домену, то всё отлично, если на пользователя, то смог прописать в групповой политике в автозагрузку на этого пользователя тот скрипт, что на 3 странице в 1 сообщении и меняет на 4 в реестре, но на 3 вернуть немогу, как только пользователь выходит, хотя таким же скриптом, но с 3 пытался запихнуть и на выход пользователя и на отключение компа.

Привет всем

Попробовал скрипт c 3 страницы на vbs, просто без политик запустил, в реестре значение изменилось, но флоповод как работал так и работает.
Чето не фурычит, кто еще пробовал, вопрос то актуальный хотелось бы все таки группы безопасности по юзерам рулить а не по машинам

Vsevolod
то что на сайте майкрасофт, я имею скрипт не идет почему то на уровне домена. Может быть опишешь как ты все делал. Заранее благодарен.

я себе вывел через mmc - групповые политики.msc и там редактировал, хотя и через
пуск - программы - администрирование - Active Directory пользователи и компьютеры, там по своему домену правой кнопкой мыши свойства - там доменая политика по умолчанию и входишь в свойства и там уже в "Машин..." всё правишь.

DmitriyGDG
Чтобы служба остановилась, необходимо отключить устройство, использующее эту службу
Вот принцип отключения устройств:
1.Ставим службу в disable путем установки ключика Start = 4
2.Отключаем само устройство (например с использованием утилиты devcon.exe http://support.microsoft.com/default.aspx?scid=kb;en-us;311272 )
Получаем: отключенное устройство, которое видно в диспетчере устройств. При попытке его включить оно ругается на отключенный драйвер.
Если службу запустить (установкой ключика в значение 3), то тупо мышкой можно устройство через диспетчер включить. Служба - отключает драйвер.

Аналогично включение:
1. Сначала ключик ставим = 3
2. Затем втыкаем или включаем утилитой уже установленное устройство


Как всё это реализовать - это уже на ваше усмотрение. Хоть политиками, хоть скриптами, хоть тупо bat-файлами... Всё это можно повесить на пользователя на logon-скрипт.
У себя я сделал таким образом:
Создал группы безопасности пользователей USB Users, CDROM Users, Floppy Users (это те, кому разрешено).
С этого сайта http://forum.lavteam.com/index.php?showtopic=7385&mode=threaded взял скрипт devcfg.vbs (Сырец #2).
Немного переделал, закоментировал строки (чтобы всегда раздавать права на службу для группы):
if instr(S, "Access is denied .")=0 then
endif
Увеличил паузы, сделал отдельные скрипты для CDRom, Floppy, USB
Для USB устройств в переменную device прописал *usbstor* (звездочки - это маска для кода экземпляра устройства. Кто не понял - через диспетчер устройств - свойства устройства - Сведения...)
В службу - usbstor
Группу назвал USB Users
и повесил их отдельными политиками (Disable_USB, Disable_CDRom, Disable_Floppy) на весь домен на логон-скрипт пользователя с параметром disable.
В логофф-скрипт поставил его-же, но с параметром enable.
Применил каждую политику на "прошедших проверку", но запретил применение на группы USB Users, CDROM Users, Floppy Users (каждую - на соответствующую группу безопасности)
Тем самым получаем:
Машина грузится с запущенными службами. При логине пользователя, которому РАЗРЕШЕНО использование определенных устройств, НЕ ЗАПУСКАЕТСЯ соответствующий скрипт. На то, что ЗАПРЕЩЕНО - ЗАПУСКАЕТСЯ скрипт.
При логоффе пользователя запускается обратный скрипт, разрешающий использование устройств.
Почему всё разрешено, а при логине - запрет: глюки с USB-устройствами. Например если сделать наоборот, то пользователю обязательно нужно будет вставлять флешку уже после логина, иначе она просто не будет определяться.
В общем пробуйте. У меня к сожалению упорно не хочет работать, если юзеры не локальные админы, хотя по описанию должно работать.

И напоследок ссылка: несколько примеров реализации одной и той же задачи (через скрипты, батники, политики):
http://www.petri.co.il/forums/archive/index.php/t-3164.html

З.ы. Если у вас пользователи являются локальными админами, всё это можно упростить и использовать батники в две строки:
sc config usbstor start= disabled
devcon disable *usbstor*
либо
sc config cdrom start= disabled
devcon disable *cdrom*
либо
sc config flpydisk start= disabled
devcon disable *floppy*

Может не совсем в тему, но тоже про запреты и USB
Но после какого запрета, который я поставил юзерам при нажатии на иконку безопасного октлючения в трее, появляется сообщение о том что им надо обратится к администратору, т.к. это запрещено ?

можно ли реализовать в домене такую фичу:
при подключении пользователем флэшки, автоматически на нее ставилась админская шара ($).

единственный выход 100% исключить пользование флэшками - выковырять usb порты, а принтеры купить с lan интерфейсом


Добавлено:
ну это для экстрималов-параноиков
а так можно запретить пользователям установку нового оборудования только самому на их компах флэшку не фтыкать ато анологичные будут работать

По USB - есть прога USBDevKill там фича есть - запретит использование USB накопителей.. СД - запись отрубается ко всем козявкам двумя способами - химичис со службой IMAPI, или из групповых политик - я точчно помню - я один раз так в сетке накосячил на работе - точно не вспомню где но есть там такая фича. возможно из другой оснастки... ну и с драйверами похимичить можно)

Загвозка-то не отрубить везде USB, это и так получается, а отрубить только нужным пользователям/группам

Vsevolod
Политиками
Читай пост от 04-12-2007
Только есть проблема...
если пользователи не являются локальными админами, надо будет еще политикой дать права на ветку реестра соответствующую.
Но тут возникает проблема: продвинутый юзер может зайти в реестр и изменить значение ключика, тем самым получив доступ к USB
А если пользователям запретить изменение данного ключа, то тогда применять политику по включению-отключению флешек на комп.

в server 2008 есть такой шаблон по носителям, но он в новом формате (естественно) admx. может можно какнибудь его прикрутить к 2003?

crazyspoOky
http://technet2.microsoft.com/WindowsVista/en/library/5ae8da2a-878e-48db-a3c1-4be6ac7cf7631033.mspx?mfr=true
Только работать он будет для Vista и 2008го.

а что за admx.msi для 2003? admx жеж вроде на xml написан,

Я до сих пор не смог реализовать отключения USB,Floppy,CD-ROM через GPO.Использовал *adm из M$ сайта.Может быть я не так создаю OU и привязываю их к GPO. Кто-нибудь может подсказать как применить GPO что бы их запретить вышеуказанные устройства.

Всем привет! перечитал топик на несколько раз, сделал как описано, но через GPO не получается сделать. Где-то читал что в 2008 серваке это реализовано

я сайт нашел ашттп://www.gpanswers.com там где тикс и трикс описаны отключения, завтра поюзаю. и кстати там же на форуме обсуждение как заставить работать адмх ашттп://www.gpanswers.com/community/viewtopic.php?t=2359. надо учить английский и разбираться) как я понял, там можно скачать утилиту с мелкософта. я всетаки не отхожу от мысли какнибудь поддержать адмх, т.к. даже с бета версии 2008 сервера их можно экспортировать. а там 2700

Всем привет.

Вот сайт с шаблоном для GPO и подромным его описанием. я юзал на 2003 и XP, все работает, юзер фтыкает флешку, она не определяется, при этом остальные USB устройства работают нормально: http://www.petri.co.il/disable_usb_disks_with_gpo.htm

Только вот работает это для всех пользователей, тоесть авторизованных. Нет возможности делать исключения или выбирать определенных пользователей.

Пробывал создавать еще одну политику, создавать там этот шаблон и применять его только к определенным ползователям или группам, не работает.

Есть идеи?

Это и есть аналог от Майкрософта, он и так работал для всех реально. Дл отдельных я тоже бьюсь, правда всё времени нет попробывать, на группу вроде могу завести, но вот при смене пользователя чтобы открывалось пока не доконца с этим разобрался. Надеюсь на следующей недели покапаться.

Vsevolod

Цитата:

Это и есть аналог от Майкрософта, он и так работал для всех реально. Дл отдельных я тоже бьюсь, правда всё времени нет попробывать, на группу вроде могу завести, но вот при смене пользователя чтобы открывалось пока не доконца с этим разобрался. Надеюсь на следующей недели покапаться.

А как ты на группу смог завести? Создал Глобальную группу, добавил туда пользователей кого нужно, потом создал НОВУЮ?! политику, убрал у нее Авторизованных пользователей и добавил ту группу которую создал? И в этой политике уже включил только эту опцию?

Я так делал. У меня не получилось. Применяется только моя основная политика. Новую не видит.

Vsevolod
Этот способ в принципе не будет работать для отдельных пользователей, поскольку изменения вносятся раздел реестра относящийся к настройкам компьюа (HKLM ), а не текущего пользователя (HKCU).
И ещё, поскольку изменения вносятся в раздел реестра не относящийс к групповым политикам, изменения вступают в силу только после перезагрузки.

Регулировать доступ к сменным носителям информации подобным способом можно только на уровне компьютеров. Т.е. создать в АД группу компьютеров и применить данную политику только для этой группы. Но в таком случае изменения будут вступать в силу только после второй перезагрузки. Так как после первой перезагрузки компьютер узнает, что он был добавлен в новую группу компьютеров, а после второй уже непосредственно применится политика.

Управление на уровне пользователей возможна только в Widows Vista и Windows 2008 Server, или с помощью стронних утилит, например DeviceLock

Народ у кого нибудь была такая проблема.После применения ГПО все параметры отк. то есть в диспетчерах устройств выводится желтый свет.Потом я удалил ГПО и теперь все на обратное не переходить, то есть все закрыто.Надо в ручную все надо подойти и настроить. Не подскажите в чем проблема?

rkhodjaev

Цитата:

поскольку изменения вносятся в раздел реестра не относящийс к групповым политикам

данную политику необходимо сначала отключить, а потом уже после того, как изменения применится ко всем нужжным компьютерам, её можно удалить

Etalon

Цитата:

данную политику необходимо сначала отключить, а потом уже после того, как изменения применится ко всем нужжным компьютерам, её можно удалить

Ну я уже удалил, теперь что делать?