4
2000 Server und USB-Sicherheitsrichtlinien
Hallo,
ich habe zurzeit in unserem Netzwerk ein ziemlich großes Problem.
Ich musste neue IT-Sicherheitsrichtlinien Umsetzung, wozu auch das deaktivieren von USB-Sticks gehört. Obwohl ich es nicht einfach so umsetzten wollte wurde ich dazu gezwungen es direkt im laufenden betrieb umzusetzen und auf die gesamte Domäne anzuwenden.
Nun sollten aber vereinzelte Benutzer USB-Sticks benutzen können also habe ich für jede abteile eine OU mit und ohne USB rechten angelegt (in den Abteilungen ohne habe ich eine neue Sicherheitsrichtlinie angelegt die nur das benutzen von usb-sticks verbietet)
Danach habe ich die USB-Richtlinie in der domäne deaktiviert.
Jetzt habe ich das Problem das USB-Sticks willkürlich funktionieren, es ist egal in welcher OU sich die PCs und Benutzer befinden, in manchen geht es in anderen nicht.
Da ich die Vermutung habe das die Richtlinie der Domäne weiterhin umgesetzt wird hatte ich auch Testweise die gesamten Richtlinien deaktiviert, aber selbst dies blieb ohne nennenswerten erfolg.
Hat evtl. jemand eine idee wie ich das Problehm lösen kann.
Zum Netzwerk:
Der Server ist ein Windows 2000 Server
Die Clients laufen unter Windows 2000
ich habe zurzeit in unserem Netzwerk ein ziemlich großes Problem.
Ich musste neue IT-Sicherheitsrichtlinien Umsetzung, wozu auch das deaktivieren von USB-Sticks gehört. Obwohl ich es nicht einfach so umsetzten wollte wurde ich dazu gezwungen es direkt im laufenden betrieb umzusetzen und auf die gesamte Domäne anzuwenden.
Nun sollten aber vereinzelte Benutzer USB-Sticks benutzen können also habe ich für jede abteile eine OU mit und ohne USB rechten angelegt (in den Abteilungen ohne habe ich eine neue Sicherheitsrichtlinie angelegt die nur das benutzen von usb-sticks verbietet)
Danach habe ich die USB-Richtlinie in der domäne deaktiviert.
Jetzt habe ich das Problem das USB-Sticks willkürlich funktionieren, es ist egal in welcher OU sich die PCs und Benutzer befinden, in manchen geht es in anderen nicht.
Da ich die Vermutung habe das die Richtlinie der Domäne weiterhin umgesetzt wird hatte ich auch Testweise die gesamten Richtlinien deaktiviert, aber selbst dies blieb ohne nennenswerten erfolg.
Hat evtl. jemand eine idee wie ich das Problehm lösen kann.
Zum Netzwerk:
Der Server ist ein Windows 2000 Server
Die Clients laufen unter Windows 2000
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 100892
Url: https://administrator.de/contentid/100892
Printed on: April 18, 2024 at 14:04 o'clock
4 Comments
Latest comment
Moin Moin
Wie hast Du die USB Sticks gesperrt?
Was sagt gpresult über die Anwendung der Richtlinie?
Gruß L.
Wie hast Du die USB Sticks gesperrt?
Da ich die Vermutung habe das die Richtlinie der Domäne weiterhin umgesetzt wird hatte ich auch Testweise die gesamten Richtlinien deaktiviert, aber selbst dies blieb ohne nennenswerten erfolg.
Was sagt gpresult über die Anwendung der Richtlinie?
Gruß L.
ich habe sie mit diesem skpript gesperrt:
schnipp usb.adm -----------
CLASS MACHINE
CATEGORY "Dienste und Gerätetreiber"
POLICY "USB-Massenspeichertreiber"
KEYNAME "System\CurrentControlSet\Services\usbstor"
PART "Startzeitpnkt" DROPDOWNLIST
VALUENAME "Start"
ITEMLIST
NAME "Bootzeitpunkt" VALUE NUMERIC 0
NAME "Systemstart" VALUE NUMERIC 1
NAME "Automatisch" VALUE NUMERIC 2 DEFAULT
NAME "Manuell" VALUE NUMERIC 3
NAME "Deaktiviert" VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
schnapp usb.adm -----------
gpresult habe ich nicht getestet, war mir eigentlich sicher das es nur mit xp und 2003 geht.
ich habe jetzt ganz neue richtlinien angelgt um alles rückgängig zu machen und nocheinmal von vorne anfangen zu können. aber die sticks sind immernoch deaktiert.
und was evtl noch wichtig ist. die usb-sticks waren erst 2 tage nachdem ich die richtlinie umgestzt habe deaktiviert.
schnipp usb.adm -----------
CLASS MACHINE
CATEGORY "Dienste und Gerätetreiber"
POLICY "USB-Massenspeichertreiber"
KEYNAME "System\CurrentControlSet\Services\usbstor"
PART "Startzeitpnkt" DROPDOWNLIST
VALUENAME "Start"
ITEMLIST
NAME "Bootzeitpunkt" VALUE NUMERIC 0
NAME "Systemstart" VALUE NUMERIC 1
NAME "Automatisch" VALUE NUMERIC 2 DEFAULT
NAME "Manuell" VALUE NUMERIC 3
NAME "Deaktiviert" VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
schnapp usb.adm -----------
gpresult habe ich nicht getestet, war mir eigentlich sicher das es nur mit xp und 2003 geht.
ich habe jetzt ganz neue richtlinien angelgt um alles rückgängig zu machen und nocheinmal von vorne anfangen zu können. aber die sticks sind immernoch deaktiert.
und was evtl noch wichtig ist. die usb-sticks waren erst 2 tage nachdem ich die richtlinie umgestzt habe deaktiviert.
Moin Moin
Hast Du die alte GPO deaktiviert?
Hast Du die GPO evtl. auf Gruppen eingeschränkt?
Befinden sich alle Computer konten unterhalb der OU mit der die GPO verknüpft ist?
Ist evtl. irgendwo die Richtlinienvererbung deaktiviert?
Gruß L.
gpresult habe ich nicht getestet, war mir eigentlich sicher das es nur mit xp und 2003 ###.
Fast. Unter 2K steckt das Ding im ResKit. Siehe hier.und was evtl noch wichtig ist. die usb-sticks waren erst 2 tage nachdem ich die richtlinie umgestzt habe deaktiviert.
Das ist in der tat seltsam da Maschinen Richtlinien ab Neustart greifen solten.ich habe jetzt ganz neue richtlinien angelgt um alles rückgängig zu machen
Hättest Du nicht einfach die Einstellung in deiner vorhandenen GPO ändern können?Hast Du die alte GPO deaktiviert?
Hast Du die GPO evtl. auf Gruppen eingeschränkt?
Befinden sich alle Computer konten unterhalb der OU mit der die GPO verknüpft ist?
Ist evtl. irgendwo die Richtlinienvererbung deaktiviert?
Gruß L.
danke, werde das mit den reskit morgen mal testen.
die einstellung konnte ich schon ändern ist hatte aber keine wirkung ich möchte auf nummer sicher gehen da windows 2000 diese richtlinie von haus aus nicht mitliefert.
die einstellungen an den gpo sind alle richtig.
ich habe aber jetzt selber eine idee woran es liegen könnte, es sind eigentlich 2 windows 2000 server prim. u sek. und evtl leigt es daran das diese "etwas" länger benötigen um sich zu synchronisieren und das die clients unterschiedliche berechtigungen zugewiesen bekommen. (ich muss dazu sagen das ich die sever nicht konfiguriert habe und sie ziemlich vermurkst wurden von meinen vorgängern)
die einstellung konnte ich schon ändern ist hatte aber keine wirkung ich möchte auf nummer sicher gehen da windows 2000 diese richtlinie von haus aus nicht mitliefert.
die einstellungen an den gpo sind alle richtig.
ich habe aber jetzt selber eine idee woran es liegen könnte, es sind eigentlich 2 windows 2000 server prim. u sek. und evtl leigt es daran das diese "etwas" länger benötigen um sich zu synchronisieren und das die clients unterschiedliche berechtigungen zugewiesen bekommen. (ich muss dazu sagen das ich die sever nicht konfiguriert habe und sie ziemlich vermurkst wurden von meinen vorgängern)
