Windows 2003 R2 проблема с ограничением USB, дисководов

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти
 
Страницы: 1
Ответить
Windows 2003 R2 проблема с ограничением USB, дисководов
Здрасти, вообще я собирался ограничить доступ к дисководам, флопикам и USB некоторым пользователям. Нашел способ, применение одминистративного шаблона, вот он:

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
 POLICY !!policynameusb
  KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
  EXPLAIN !!explaintextusb
    PART !!labeltextusb DROPDOWNLIST REQUIRED

      VALUENAME "Start"
      ITEMLIST
       NAME !!Disabled VALUE NUMERIC 3 DEFAULT
       NAME !!Enabled VALUE NUMERIC 4
      END ITEMLIST
    END PART
  END POLICY
 POLICY !!policynamecd
  KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
  EXPLAIN !!explaintextcd
    PART !!labeltextcd DROPDOWNLIST REQUIRED

      VALUENAME "Start"
      ITEMLIST
       NAME !!Disabled VALUE NUMERIC 1 DEFAULT
       NAME !!Enabled VALUE NUMERIC 4
      END ITEMLIST
    END PART
  END POLICY
 POLICY !!policynameflpy
  KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
  EXPLAIN !!explaintextflpy
    PART !!labeltextflpy DROPDOWNLIST REQUIRED

      VALUENAME "Start"
      ITEMLIST
       NAME !!Disabled VALUE NUMERIC 3 DEFAULT
       NAME !!Enabled VALUE NUMERIC 4
      END ITEMLIST
    END PART
  END POLICY
 POLICY !!policynamels120
  KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
  EXPLAIN !!explaintextls120
    PART !!labeltextls120 DROPDOWNLIST REQUIRED

      VALUENAME "Start"
      ITEMLIST
       NAME !!Disabled VALUE NUMERIC 3 DEFAULT
       NAME !!Enabled VALUE NUMERIC 4
      END ITEMLIST
    END PART
  END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"

Я его применил в Организацинном подразделении нужных пользователей, которых нужно органичить, в нем были и все компьютеры, проблема в том что он ограничивает доступ к флешкам и дисководам всем пользователям, даже тем которым не нужно. Хотя доверенные пользователи находятся в другом Организационном подразделении. Этот параметр применяется ток к компьютерам и нельзя его почему применить к опред пользователям. Заранее спасибо.
Изменено: dev - 07.08.2009 23:58:06
Ты изменил шаблон всех политик.
Посмотри какие политики применяются у пользователей которым ты не отключал USB и смотри что в этих политиках.
Изменено: dev - 08.08.2009 19:12:43
Ещё можно неугодным пользователя при логине выполнять скрипт который будет менять значение реестра на:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]

"Start"=dword:00000004

Для остальных:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]

"Start"=dword:00000003

Не обязательно разносить пользователей по разным OU, проще в разрешить(запретить) выполнение политики используя закладку безопасность в политике.
Изменено: dev - 08.08.2009 19:21:09
Цитата
ssa пишет:
<div class='quotetop'>Цитата(ssa @ 8.8.2009, 19:08) <{POST_SNAPBACK}></div><div class='quotemain'>Ты изменил шаблон всех политик.
Посмотри какие политики применяются у пользователей которым ты не отключал USB и смотри что в этих политиках.

Я применил политику только одной Орг Подраздел где неугодные пользователи. Но вот этот шаболон приняется ко всем компьютерам, вот как бы мне его сделать к пользователям определенным применяться. Т.е. применяется к компьютерам независимо от заходящих пользователей.
Цитата
ssa пишет:
<div class='quotetop'>Цитата(ssa @ 8.8.2009, 19:18) <{POST_SNAPBACK}></div><div class='quotemain'>Ещё можно неугодным пользователя при логине выполнять скрипт который будет менять значение реестра на:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]

"Start"=dword:00000004

Для остальных:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]

"Start"=dword:00000003

Не обязательно разносить пользователей по разным OU, проще в разрешить(запретить) выполнение политики используя закладку безопасность в политике.

А можно по подробней как этот скриптик запихнуть в Политику и для дисководов и фолпиков, спасибо.
Тему можно закрывать, нашел способ ограничить доступ наиболее удобный программой GFI EndPointSecurity v4.0
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
:) ;) :D 8-) :( :| :cry: :evil: :o :oops: :{} :?: :!: :idea:
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.