» Отключение USB через GPO (групповые политики)

Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=mpgholding,DC=local. Этот файл должен находиться в <\\fuckyouholding.local\sysvol\fuckyouholding.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа. ). Обработка групповой политики прекращена.

Вот такая штука вылезает при первом включении компутера... Сетевые диски неработают Communicator не коннектится.. не понимаю в чем проблема, один ребут решает эту проблему. Кажется что вход в систему осуществляется до инициализации сети, но почему же потом не подхватывается и приходитс перезагружатся?

Добавлено:
Честно говря достала уже эта проблема.

Стоит задача обратная:
Компьютер с Windows 7 ввели в домен, есть локальный администратор.
Ни под пользователем домена , ни под локальным администратором (и в безопасном режиме) нет доступа к USB-дискам.
В разделе USBSTOR в реестре все нормально:

"Лишних" служб вроде нет. В групповых политиках подозрительного ничего не заметил.
Как можно определить что использовали администраторы в домене для блокирования флэшок?

Kamsky
Блокировка антивирусом или сторонними программами.

В безопасном режиме запущен минимум служб , антивирус (Trend Micro Office Scan) не запущен. Следов сторонних программ в реестре/на диске не видно. USB-устройства все равно не доступны.

Если в диспетчере устройств не видно то значит в биосе отключено.
И что показывает usbdeview

В БИОСЕ - включено. В виртуальной машине Virtual PC USB накопители открываются (через заглушку виртуализации).
USBDev показывает, что все хорошо:

Более того, в Управлении дисками тоже все хорошо:

Но при попытке открытия диска получаю:

Kamsky
Как ведет себя например принтер на usb порту?

Цитата:

Как ведет себя например принтер на usb порту

Внешние устройства типа Web-камеры и принтера подключаются нормально, с правами локального администратора устанавливаются.

В операционной системе Windows 7 Pro в групповой политике среди административных шаблонов есть "установка устройств". Через неё можно по ID USB устройства точно указать системе, что можно устанавлвать, а что нет. Вопрос в следующем. Как этот административный шаблон перенести на машину с Windows XP Pro, т.к. в этой ОС он отсутствует?

Может стоит в шапку собрать наиболее полезные ссылки?
Управление внешними запоминающими устройствами в Windows 7
NetWrix USB Blocker
Использование групповых политик для запрета доступа к USB дискам в Windows XP
Пошаговое руководство по осуществлению контроля над установкой и использованием аппаратных устройств с помощью групповых политик

Парни, просьба помочь с этим вопросом.

ОС Windows XP SP3. Права администратора. Не могу снять ограничение записи на флешку. Выскакивает сообщение "Ошибка при копировании файла или папки. Не удается скопировать файл. Нет доступа. Диск может быть переполнен или защищен от записи, либо занят другим приложением." Запуск в безопасном режиме не приводит к результату. Unlocker не отслеживает причину. Компьютер рабочий. Стоит ограничение. В реестре изменений не заметил.

Swmihael
Смотрите права на чтение/запись у данной флешки.
Или отформатируйте в fat32...

IT_Rezor666
Нет. Тут в другом дело. Нет доступа к записи и других флешек. Дело в том, что на рабочие компьютеры было установлено ограничение или защита от записи информации. Чтобы нельзя было скопировать ее себе. Сейчас это ограничение снято, а сисадмин (который этим занимался) давно уволился. В итоге- у кого новые компьютеры нет ограничения на запись, а у кого они старые запись информации не возможна. Все возможные изменения в реестре я проверил. Есть предположение, что это связано с групповой политикой безопасности. Либо со сторонней программой (обнаружил у себя на компьютере программу Radmin)

Swmihael Видимо какая-то групповая политика.
Radmin такого не умеет.
Если есть доступ к контроллеру домена то посмотрите правила политик.

IT_Rezor666
В windows 7 есть, если ввести команду gpedit.msc (групповая политика). Далее административные шаблоны ->система. И там настройки связанные с разрешением или запрещением записи файлов на USB-накопители. Я ввожу команду в Windows XP SP3. : gpedit.msc (Групповая политика) или rsop.msc (результирующая политика) ничего подобного там нет.

Swmihael
Контроллер домена есть?
Вряд ли администратор станет бегать по всем ПК и прописывать политики.

IT_Rezor666
Есть общая рабочая группа, к которой подключены компьютеры. И есть сервер с общими папками. Мне бы понять с помощью какой программы это можно сделать.

Есть ли здесь специалист. Кто мне поможет убрать ограничение?

Цитата:

Мне бы понять с помощью какой программы это можно сделать.

Их целое множество.
И абсолютно не понятно как у Вас это реализовано, в чем проблемы узнать контакты админа у начальника и спросить его?

IT_Rezor666
Ну все равно спасибо. Буду думать. Возможно так и придется сделать. 2 недели потратил на поиски. Я бы справился сам если бы кто-нибудь наводящими вопросами и проверками помог мне.

Swmihael
Цитата:

Возможно так и придется сделать.

рано пока идти сдаваться "старому" админу, побарахтаемся ышшо.. :)
проверь/сбрось права доступа на usbstor.*, нужные лежат в папке inf (2 шт.) и system32\drivers (1 шт.)..
если ставил сервис-паки/апдейты - проверяй дополнительно всю корневую папку венды..
надо сбросить права доступа до наследуемых и удалить все явно заданные запреты..
особо смотри на запреты для system, возможно, стоит явный запрет для локал-систем на usbstor.sys..

зы.
ну, ессно, подразумевается, шо это (или это) уже было проверено до того как..
сопссно, все нужные ссылы были чуть выше твоего первого поста.. ;)

ззы.
по поводу - в ГП на ХР ключа запрета записи нету, но руками-то его накатить никто не запрещает.. ;)

TheBarmaley
Сдаваться?
Вы просто узнаете у него информацию, которую начальство должно было обязать документировать.
А так какой то дурдом.

IT_Rezor666
"старый" админ ни разу не обязан был документировать каждую правку реестра на клюэнтских тачках.. ;)
во всяком случае, в его должностной инструкции именно такого на 99,999% нету.. Х)

если же фразу
Цитата:

узнаете у него информацию, которую начальство должно было обязать документировать

надо понимать как - "начальство должно было обязать документировать правки реестра и выставление прав на файлы", так?
о цэ точно - дурдом.. Ж%=)

зы.
ну и к тому же - чел уже ушёл и никому "тут" ничем уже не обязан..
сталыть, к нему надо именно "на поклон идти".. ну, или "сдаваться", то бишь.. ;))

TheBarmaley
Попробую но уже завтра.

Swmihael
отпишись потом, чо/каг..
шоб занести используемый способ обрезания в "копилку коллективного разума".. :)

TheBarmaley
Попытка записи на флешку:
http://i047.radikal.ru/1311/c4/30a2685ddad9.jpg
Разрешения для USBSTOR:
http://s017.radikal.ru/i402/1311/30/464e17a4a80e.jpg
Распознается флешка:
http://s52.radikal.ru/i136/1311/f0/708d18f102a5.jpg
Созданный ключ реестра StorageDevicePolicies с параметром WriteProtect:
http://s018.radikal.ru/i522/1311/ab/bd6b1f135ba8.jpg
При попытке записи на внешний жесткий диск появляются пустые папки с именами:MSIcafb0.tmp, MSId4337.tmp, MSIe127.tmp
и т. д. (каждый раз когда пытаешься скопировать)
При попытке их удалить тоже появляется сообщение, что невозможно удалить (смотри скриншот попытки записи), а с помощью Unlocker появляется сообщение, что корзина на диске повреждена.

TheBarmaley
В любой нормальной организации это документируется и создаются таски.
Вот как раз именно для таких вот случаев и для ускорения решения проблем в будущем.
То что работодатель об этом не подумал это уже его трудности.


Цитата:

к нему надо именно "на поклон идти".. ну, или "сдаваться", то бишь.. )

Меняйте отношения к людям.
У нормальных людей это называется "попросить совета" и в этом нету ничего унизительного.

Swmihael
Цитата:

Разрешения для USBSTOR

ваще-то я имел в виду разрешения на сами файлы, а не на ветку реестра.. ;)
в частности, если на system32\drivers\usbstor.sys руками выставлены запреты для system.. то, соответссно, и ку..

---

IT_Rezor666, не по теме, но исключительно в порядке [more=офтопа]скажу сразу - нащёт "любой" и "нормальной" спорить не буду..
но не потому что разделяю.. а потому как пофиг абсолютно.. :)

не буду также отрицать, шо мнение об обязательном документировании каждого пука вполне имеет право на жизнь..
особенно если одмину на службе нечем заняться и край как надо имитировать кипучую деятельность..
тады да, чем больше бессмысленной возни с бумажками - тем значимей и важней эту возню совершающий..

а вот нащёт "смены отношения к людям" отвечу совсем просто - не учите меня жить, я вас умоляю..
надеюсь, шо я уж как-нить сам, без столь многозначительных советов, разберусь чо/каг..

на закуску дам маленький дружеский совет - не нужно напрягаццо по пустякам..
лучше научиться отличать шутку по завершающему смайлику.. например, по вот такому - :)

вопчем, лучей любви и удачи на поприще всего подряд.. =)[/more]..

TheBarmaley

В Windows 7 я знаю как проверить разрешения, а вот в XP не знаю