3
Gruppe Benutzer erlauben USB Port zu nutzen
Hallo,
ich möchte an einem Win2000 Rechner der Gruppe "Benutzer" den Zugriff auf USB-Ports erlauben.
Habe ein Beitrag gefunden, wo der Gruppe "Benutzer" erlaubt wird USB Datenträger zu formatieren. Schau hier:
Hkey_Local_Machine\Software\Microsoft\Windows NT\Current-Version\Winlogon“. Legen Sie hier, falls noch nicht vorhanden, eine neue Zeichenfolge mit dem Namen „allocatedasd“ an (Allocate Direct Access Storage Device). Wenn Sie ihr den Wert „2“ geben, dann dürfen Administratoren, Hauptbenutzer und eingeschränkte Benutzer formatieren.
Das ist aber ja schon ein Schritt zuviel. Zunächst müsste ich ja den Zugriff erlauben.
Wo gibt es denn diese Einstellung?
Gruß
Martin
ich möchte an einem Win2000 Rechner der Gruppe "Benutzer" den Zugriff auf USB-Ports erlauben.
Habe ein Beitrag gefunden, wo der Gruppe "Benutzer" erlaubt wird USB Datenträger zu formatieren. Schau hier:
Hkey_Local_Machine\Software\Microsoft\Windows NT\Current-Version\Winlogon“. Legen Sie hier, falls noch nicht vorhanden, eine neue Zeichenfolge mit dem Namen „allocatedasd“ an (Allocate Direct Access Storage Device). Wenn Sie ihr den Wert „2“ geben, dann dürfen Administratoren, Hauptbenutzer und eingeschränkte Benutzer formatieren.
Das ist aber ja schon ein Schritt zuviel. Zunächst müsste ich ja den Zugriff erlauben.
Wo gibt es denn diese Einstellung?
Gruß
Martin
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 100590
Url: https://administrator.de/contentid/100590
Ausgedruckt am: 26.11.2024 um 01:11 Uhr
3 Kommentare
Neuester Kommentar
Hallo Marcys,
hmmm... vielleicht hilft dir das weiter:
Also wir haben das Sicherheitsproblem in unserem Netz gelöst.
Man braucht KEINE teuren Programme und kann andere USB Geräte
weiterhin benutzen.
Leider muss man die Registry verändern, was zur Folge hat, das man
lokale Adminrechte braucht.
Entweder macht man das über ein Verteilungstool(haben wir gemacht), oder gibt den Nutzern für kurze Zeit lokale Adminrechte(Einbindung übers Loginscript) oder man zieht die Turnschuhe an.
Die Veränderungen:
- zwei lokale Dateien löschen
- Registryeinträge verändern
BITTE VORHER DIE REGISTRY UND DIE DATEIEN EINMAL SICHERN.
Auszug der Batch:
usb_usb_un_lock.bat
del %systemroot%\inf\usbstor.inf
del %systemroot%\inf\usbstor.pnf
%systemroot%\regedit /s usb_un_lock.reg
Auszug aus der usb_un_lock.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44 ,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f, \
00,52,00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB-Massenspeichertreiber"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00, 02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00, \
00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00, \
05,12,00,00,00,74,00,6c,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05, \
20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00, \
00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00, \
00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00, \
00,01,01,00,00,00,00,00,05,12,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum]
"Count"=dword:00000000
"NextInstance"=dword:00000000
Danach kann der "normale" Nutzer keinen Memorystick mehr nutzen bzw.
aktivieren.
Um die Registryveränderungen wieder rückgängig zu machen:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44 ,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f, \
00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB-Massenspeichertreiber"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00, 02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00, \
00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00, \
05,12,00,00,00,74,00,6c,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05, \
20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00, \
00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00, \
00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00, \
00,01,01,00,00,00,00,00,05,12,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum]
"0"="USB\\Vid_0ea0&Pid_6803\\3D2D08DD3E90E791"
"Count"=dword:00000001
"NextInstance"=dword:00000001
Quelle: http://board.gulli.com
Ich hoffe damit kannst du etwas anfangen.
Eine andere Moeglichkeit (ich weiß nicht ob dies in Win2000 funktioniert):
http://www.raymond.cc/blog/archives/2006/05/07/disable-write-access-to- ...
hmmm... vielleicht hilft dir das weiter:
Also wir haben das Sicherheitsproblem in unserem Netz gelöst.
Man braucht KEINE teuren Programme und kann andere USB Geräte
weiterhin benutzen.
Leider muss man die Registry verändern, was zur Folge hat, das man
lokale Adminrechte braucht.
Entweder macht man das über ein Verteilungstool(haben wir gemacht), oder gibt den Nutzern für kurze Zeit lokale Adminrechte(Einbindung übers Loginscript) oder man zieht die Turnschuhe an.
Die Veränderungen:
- zwei lokale Dateien löschen
- Registryeinträge verändern
BITTE VORHER DIE REGISTRY UND DIE DATEIEN EINMAL SICHERN.
Auszug der Batch:
usb_usb_un_lock.bat
del %systemroot%\inf\usbstor.inf
del %systemroot%\inf\usbstor.pnf
%systemroot%\regedit /s usb_un_lock.reg
Auszug aus der usb_un_lock.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44 ,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f, \
00,52,00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB-Massenspeichertreiber"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00, 02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00, \
00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00, \
05,12,00,00,00,74,00,6c,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05, \
20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00, \
00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00, \
00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00, \
00,01,01,00,00,00,00,00,05,12,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum]
"Count"=dword:00000000
"NextInstance"=dword:00000000
Danach kann der "normale" Nutzer keinen Memorystick mehr nutzen bzw.
aktivieren.
Um die Registryveränderungen wieder rückgängig zu machen:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44 ,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f, \
00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB-Massenspeichertreiber"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00, 02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00, \
00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00, \
05,12,00,00,00,74,00,6c,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05, \
20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00, \
00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00, \
00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00, \
00,01,01,00,00,00,00,00,05,12,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum]
"0"="USB\\Vid_0ea0&Pid_6803\\3D2D08DD3E90E791"
"Count"=dword:00000001
"NextInstance"=dword:00000001
Quelle: http://board.gulli.com
Ich hoffe damit kannst du etwas anfangen.
Eine andere Moeglichkeit (ich weiß nicht ob dies in Win2000 funktioniert):
http://www.raymond.cc/blog/archives/2006/05/07/disable-write-access-to- ...
Hallo,
danke für die Antwort.
Da ich selber Admin bin. Möchte ich an dem PC der Gruppe "Benutzer" für immer Rechte geben auf USBPorts zu zugreiffen. Es geht mir nicht darum, dass die Gruppe SBenutzer" selber irgendwie in der REG was ändert.
Du hast es beschrieben, wie man der Gruppe "Benutzer" erlaubt in der REG was zu ändern, oder habe ich was falsch verstanden?
Gruß
Martin
danke für die Antwort.
Da ich selber Admin bin. Möchte ich an dem PC der Gruppe "Benutzer" für immer Rechte geben auf USBPorts zu zugreiffen. Es geht mir nicht darum, dass die Gruppe SBenutzer" selber irgendwie in der REG was ändert.
Du hast es beschrieben, wie man der Gruppe "Benutzer" erlaubt in der REG was zu ändern, oder habe ich was falsch verstanden?
Gruß
Martin
Mit dem Reg-Eintrag wird jedem bis auf dem Administrator das Recht des USB-Mounts genommen.
