» Отключение USB через GPO (групповые политики)

For JekaRus:
Можно батник написать SetACL-ом назначить.

А можно написать его здесь?? Что это за SetACL? Объясните поподробнее пожалуйста

Setacl
Сам батник примерно такой

Цитата:

setacl -on "%SystemRoot%\Inf\Usbstor.pnf" -ot file -actn setowner -ownr "n:administrators"
setacl -on "%SystemRoot%\Inf\Usbstor.pnf" -ot file -actn setprot -op "dacl:np"
setacl -on "%SystemRoot%\Inf\Usbstor.pnf" -ot file -actn clear -clr dacl
setacl -on "%SystemRoot%\Inf\Usbstor.pnf" -ot file -actn setprot -op "dacl:p_nc"
setacl -on "%SystemRoot%\Inf\Usbstor.pnf" -ot file -actn ace -ace "n:administrators;i:so,sc;p:full;m:set" -silent
setacl -on "%SystemRoot%\Inf\Usbstor.pnf" -ot file -actn ace -ace "n:system;i:so,sc;p:full;m:set" -silent

setacl -on "%SystemRoot%\Inf\Usbstor.inf" -ot file -actn setowner -ownr "n:administrators"
setacl -on "%SystemRoot%\Inf\Usbstor.inf" -ot file -actn setprot -op "dacl:np"
setacl -on "%SystemRoot%\Inf\Usbstor.inf" -ot file -actn clear -clr dacl
setacl -on "%SystemRoot%\Inf\Usbstor.inf" -ot file -actn setprot -op "dacl:p_nc"
setacl -on "%SystemRoot%\Inf\Usbstor.inf" -ot file -actn ace -ace "n:administrators;i:so,sc;p:full;m:set" -silent
setacl -on "%SystemRoot%\Inf\Usbstor.inf" -ot file -actn ace -ace "n:system;i:so,sc;p:full;m:set" -silent

Установит права только админам и системе. У юзеров доступа не будет даже на чтение. У утилиты куча всяких ключей. Посмотри может лучше напишешь. Хотя по моему излишне запрет ставить. Достаточно просто удалить из доступа.

Спасибо, но воспользовался cacls.exe

Запускаем эти два файла, флешки перестают работать.
offusb.bat

date /T >>acl.log
time /T >>acl.log
cacls "%SystemRoot%\Inf\Usbstor.pnf" /E /P "Опытные пользователи":n "Пользователи":n "SYSTEM":n >> acl.log
cacls "%SystemRoot%\Inf\Usbstor.inf" /E /P "Опытные пользователи":n "Пользователи":n "SYSTEM":n >> acl.log

offusb.reg
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004


Для того чтобы стало работать, под админом:
onusb.bat

date /T >>acl.log
time /T >>acl.log
cacls "%SystemRoot%\Inf\Usbstor.pnf" /E /P "SYSTEM":f >> acl.log
cacls "%SystemRoot%\Inf\Usbstor.inf" /E /P "SYSTEM":f >> acl.log

onusb.reg
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000003

пытаюсь открыть у себя usb на работе, перепробывал много методов, сделал себя админом на компе, в реестре всё вроде нормально, врубаю флэшку, её находит, и всё на ней видно, вот только всё-равно нет права на чтение и запись... дрова ставяться не usbstor.sys, а VolSnap.sys... что может быть, может кто-нить сказать???

Использую adm шаблон (просто текстовый фал с расширением adm) чтобы запретить пользователям работать с флеш. Но, это запрещение распространяется на всех пользователей данного компьютера, включая администратора. Я правильно понимаю, что с помощью групповых политик windows можно либо всем разрешить использовать флеш либо никому?

Подскажите плиз чё делать? Вынь2к3 сп2 рус

Обнаружена следующая ошибка в \\domainname\sysvol\...\usb.adm строка 2.
Ошибка 62 Соответсвующая строка не найдена в секции [string].
Найдено: !!category

Загрузка этого файла не возможна.

Файлег грузил как рус так и енг, взял в этой ветке.

DennisKo
Вы вместо !!category забейте название категории с кавычками!

я использую следующий батник

del "%systemroot%\system32\drivers\usbstor*.*"
del "%systemroot%\system32\dllcache\usbstor*.*"
del "%systemroot%\servicepackfiles\i386\usbstor*.*"
del "%systemroot%\inf\usbstor*.*"
ren "%systemroot%\Driver Cache\i386\driver.cab" driver.ca~
ren "%systemroot%\Driver Cache\i386\sp*.cab" sp*.ca~

подходит в Вин2000 и ХР

Rossiyanka Спасибо и правда помогло. Нус бум эксперемнты ставить.

lixi А при использовании этого батничка юсб клавы-мыши не отваливаются?

А в 2003й нету параметров реестра в групповой политике? в 2008й я там вбил изменение нужного ключа реестра - для usbstor тип запуска 4, и работает.

Цитата:

я использую следующий батник

del "%systemroot%\system32\drivers\usbstor*.*"
del "%systemroot%\system32\dllcache\usbstor*.*"
del "%systemroot%\servicepackfiles\i386\usbstor*.*"
del "%systemroot%\inf\usbstor*.*"
ren "%systemroot%\Driver Cache\i386\driver.cab" driver.ca~
ren "%systemroot%\Driver Cache\i386\sp*.cab" sp*.ca~

А если Админу понадобится флешку воткнуть, копировать файлики будит ??

urnadmin
Жаль, но в 2003 нет много всякой вкуснятины, в том числе и этого варианта. Но есть возможность сделать ручками - читай дальше.

emptyteam
Нет. Он накрыл медным тазом файлы драйвера.
Если у тебя Active Directory, то советую не мучать себя и гугл, а обратить внимание на пост AlexHartBal'а.
У себя использовал именно этот вариант.

Цитата:

AXVill

Цитата:

Обратить внимание на пост AlexHartBal'а. У себя использовал именно этот вариант.

У меня так же, но хотелось бы сделать распространение политики на пользователей, а не на компьютеры. Причем пользователи не имеют админских прав и скрип vbs следовательно не работает. К сторонним программам прибегать неохота. Думаю как запустить скрипт на клиентской машине от имени Администратора не прибегая к программам типа psexec

передумал

emptyteam
Чистая теория - сейчас нет возможности проверить, но попробуй заменить в первой строке CLASS MACHINE на CLASS USER и подключить как административный шаблон конфигурации пользователей. Должно получиться

AXVill
На локальной машине проверил, не работает
Проверял ессно под админом

Всем доброго времени суток. Сеть - Рабочая Группа. Нужно отключить возможность пользователям подключать всякого рода USB носители. Ситуация такая что ни к одной машине принтер не подключен и подключаться не будет, что наполовину сокращает работу т.к. можно тупо вырубить все USB корни в Диспетчере Задач. НО среди машин есть и такие у которых нет порта PS/2 т.е. мышка в такие машины втыкается USB-шная. Вопрос: можно ли на атких машинах отрубить возможность подключения флешек и им подобных носителей, но при этом оставить рабочей USB мышь c возможностью ее замены.

4kusnik
Думаю - Есть ли рабочая группа, то централизованно через GPO невозможно! ИМХО.
Попробуйте Smart Device Lock

Цитата:

Попробуйте Smart Device Lock

или бесплатный аналог SysUtils Device Manager 1.2

Здравствуйте, помогите мне разобраться. У меня противоположная задача: разрешить всем пользователям использовать флешки. Создан домен, пользователи подключаюсся с тонких клиентов на терминальные сервера, АД стоит на контролере домена.

Была схожая проблема.
Если мы говорим о 2003 и XP находил 2 варианта решения:
1. Через скрипт GPO (здесь поищи - уже описано и решено)
2. С помощью стороннего ПО.

С 1 у меня не вышло. Второй вариант реализован через Symantec End Point Protection.

Цитата:

Создан домен, пользователи подключаюсся с тонких клиентов на терминальные сервера, АД стоит на контролере домена.

В чем конкретно Ваша проблемка то ? На тонких клиентах не работает ?

Цитата:

В чем конкретно Ваша проблемка то ? На тонких клиентах не работает ?

Да, на тонких клиентах не работает. Сказали преведущий админ как то запретил их работу под виндой политиками.

Подскажите пожалуйста.
В доменной структуре, нужно определённым (да скорее всего всем) пользователям запретить доступ к USB носителям, таким как (мобильники, фотики, флэшки, кардридеры). А вот доступ к USB сканерам и принтерам, мышкам клавиатурам оставить открытым.
Некоторые флэшки, мобильники и фотики уже использовались на рабочих станциях. А это значит дрова установлены. Надо и к этим устройствам запретить доступ.
Я так предполагаю нужен скрипт в групповую политику, существует ли такой ???



Нашёл следующее:
1. Отключить USB-диски:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
"Start"=dword:00000004

2. 3. Нашёл ещё вот это (различаются параметрами ветки от первого варианта):
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="Драйвер запоминающих устройств для USB"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum]
"Count"=dword:00000000
"NextInstance"=dword:00000000


3. Ещё нашёл какой-то adm шаблон (Будет ли он работать) ???
Код
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"


4. ещё нашёл вот такой vbs скрипт:

Code Snippet

SET WSHShell = CreateObject("WScript.Shell")
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Start", "00000004", "REG_DWORD"
Похошь на параметр из реестра который в пункте 1.


Какие варианты правельные ???

user5nov
Все варианты правильные.
1,2,4 - по сути одно и то же.
3 - это шаблон для GPO uде кроме USB можно отключить: CD-ROM Drive, Floppy

вроде разобрался, буду тестить.

Тест привел к плачевным результатам, на обычных пользователях в домене параметр непашет: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
"Start"=dword:00000004

Как был дворд 3, так и остался.
При применении логона, ошибок не появляется.
Скрипт выглядит так:
@regedit /s %logonserver%\netlogon\USB-Off.reg

Соответственно: USB-Off.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000004

На пользователях админы домена, пашет, т.к. есть права. Даже перезагрузки ненадо.

ЗЗЫ: срипт применяется от пользователя.

С помощью AD нельзя ограничить доступ по пользователям, только по компьютерам.
Делай через конфигурацию компьютера GPO.

PhoenixUA
Т.к. я в этом чайник, для теста было сделано и на пользователя и на компьютер.
Результат такой же.