Gruppenrichtlinie, Laufwerke sperren
Guten morgen.
Im Zuge des Dantenschutzes und der Sicherheit im Netzwerk habe ich folgende Frage: Wie kann ich über eine eine Gruppenrichtlinie den Zugriff auf das CD-ROM Laufwerk sperren? Am besten wäre das die USER aus der Gruppe das Laufwerk zwar sehen aber ihnen der Zugriff verweigert wird. Kann ich auch den Zugriff auf das Disketten Laufwerk sperren? Und jetzt die Preisfrage: Ist es mir auch möglich in einer Gruppenrichtlinie festzulegen, dass der User keinen Wechseldatenträger an seinem Computer anschließen kann?
Wenn mir jemand sagen könnte wie ich das am besten mache, wäre ich sehr dankebar!
MfG
Torben Dietrich
Im Zuge des Dantenschutzes und der Sicherheit im Netzwerk habe ich folgende Frage: Wie kann ich über eine eine Gruppenrichtlinie den Zugriff auf das CD-ROM Laufwerk sperren? Am besten wäre das die USER aus der Gruppe das Laufwerk zwar sehen aber ihnen der Zugriff verweigert wird. Kann ich auch den Zugriff auf das Disketten Laufwerk sperren? Und jetzt die Preisfrage: Ist es mir auch möglich in einer Gruppenrichtlinie festzulegen, dass der User keinen Wechseldatenträger an seinem Computer anschließen kann?
Wenn mir jemand sagen könnte wie ich das am besten mache, wäre ich sehr dankebar!
MfG
Torben Dietrich
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 42862
Url: https://administrator.de/forum/gruppenrichtlinie-laufwerke-sperren-42862.html
Ausgedruckt am: 23.12.2024 um 01:12 Uhr
27 Kommentare
Neuester Kommentar
Schau dir mal den link an http://www.winfaq.de/faq_html/tip1511.htm.
und das kannst du ja dann in ein script schreiben und dieses über die gruppenrichtlinie auf die rechner setzen.
hoffe es hilft dir?!
und das kannst du ja dann in ein script schreiben und dieses über die gruppenrichtlinie auf die rechner setzen.
hoffe es hilft dir?!
Hallo
unter Benutzerkonfiguration --> Administrative Vorlagen --> Windows Explorer -->
findest Du folgende Einstellungen
Zugriff auf Laufwerke Vom Arbeitsplatz nicht zulassen (kein zugriff) oder
Diese angegebenen Datenträger im Fenster Arbeitsplatz nicht anzeigen (unsichtbar)
SWenn Dein gewünschter Laufwerksbuchstabe nicht erscheint musst Du das Adm File ändern oder ein eigenes erstellen.
Mit den Massenspeichern ist es etwas anders hier würde entweder auf ein seperates Produkt zurückgreifen oder unter www.gruppenrichtlinien.de gibt es glaube ich auch einen adm dazu.
Gruß
Egbert
unter Benutzerkonfiguration --> Administrative Vorlagen --> Windows Explorer -->
findest Du folgende Einstellungen
Zugriff auf Laufwerke Vom Arbeitsplatz nicht zulassen (kein zugriff) oder
Diese angegebenen Datenträger im Fenster Arbeitsplatz nicht anzeigen (unsichtbar)
SWenn Dein gewünschter Laufwerksbuchstabe nicht erscheint musst Du das Adm File ändern oder ein eigenes erstellen.
Mit den Massenspeichern ist es etwas anders hier würde entweder auf ein seperates Produkt zurückgreifen oder unter www.gruppenrichtlinien.de gibt es glaube ich auch einen adm dazu.
Gruß
Egbert
Booten vom CD Rom kannst Du nur verhindern, wenn Dein BIOS so was bietet (beim Standard BIOS ist da meist nix zu verhindern).
Tipp aus der Praxis: CD-Laufwerk brauchst Du nur zur Installation des OS (und selbst das geht zu umgehen). Danach kann es physikalisch entfernt werden. Der Zugriff auf USB Devices kann über die Registry verhindert werden (leider weiss ich nicht mehr wie das ging, einfach mal googlen) alternativ und besser über spezielle Tools.
Tipp aus der Praxis: CD-Laufwerk brauchst Du nur zur Installation des OS (und selbst das geht zu umgehen). Danach kann es physikalisch entfernt werden. Der Zugriff auf USB Devices kann über die Registry verhindert werden (leider weiss ich nicht mehr wie das ging, einfach mal googlen) alternativ und besser über spezielle Tools.
Hallo,
wenn Du nicht generel die Verwendung von USB-Sticks sperren willst, sehe ich keine Möglichkeit.
Natürlich besteht prinzipiell die Möglichkeit, einem USB-Stick manuell einen Laufwerksbuchstaben zuzuordnen: Am selben Rechner und - soweit mir bekannt ist - mit einem USB-Stick selben Typs wird dann der manuell vergebene Laufwerksbuchstabe bei jedem Anschließen des Sticks auch wieder vergeben.
Das ist natürlich erstens unpraktisch und zweitens funktioniert das nicht nach einmaliger Konfiguration mit jedem Stick jeden Herstellers automatisch.
Wenn Du Active Directory nutzt, kann Du eine angepasste Gruppenrichtlinie für diejenigen Rechner verteilen, die ein Laufwerk D haben (dann c und d nicht gesperrt) und eine andere an diejenigen, die nur c haben (nur Laufwerk c gesperrt).
Wenn es sich bei den Rechnern, die nur C nutzen, nicht um so viele handelt, kannst Du die angepasste ADM-Vorlage auch manuell an die Maschinen verteilen.
Weitere Lösungen fallen mir momentan nicht ein.
Gruß,
Tim
wenn Du nicht generel die Verwendung von USB-Sticks sperren willst, sehe ich keine Möglichkeit.
Natürlich besteht prinzipiell die Möglichkeit, einem USB-Stick manuell einen Laufwerksbuchstaben zuzuordnen: Am selben Rechner und - soweit mir bekannt ist - mit einem USB-Stick selben Typs wird dann der manuell vergebene Laufwerksbuchstabe bei jedem Anschließen des Sticks auch wieder vergeben.
Das ist natürlich erstens unpraktisch und zweitens funktioniert das nicht nach einmaliger Konfiguration mit jedem Stick jeden Herstellers automatisch.
Wenn Du Active Directory nutzt, kann Du eine angepasste Gruppenrichtlinie für diejenigen Rechner verteilen, die ein Laufwerk D haben (dann c und d nicht gesperrt) und eine andere an diejenigen, die nur c haben (nur Laufwerk c gesperrt).
Wenn es sich bei den Rechnern, die nur C nutzen, nicht um so viele handelt, kannst Du die angepasste ADM-Vorlage auch manuell an die Maschinen verteilen.
Weitere Lösungen fallen mir momentan nicht ein.
Gruß,
Tim
Hallo,
Du könntest mal testen, ob es ausreicht, den Treiber "usbstor.sys" zu löschen (zweimal vorhanden: Systemverzeichnis und Systemverzeichnis\Driver Cache). Über diesen kommuniziert Windows mit USB-Massenspeichern, also: Sticks, externen USB-Platten, etc. pp.
Gruß,
Tim
Du könntest mal testen, ob es ausreicht, den Treiber "usbstor.sys" zu löschen (zweimal vorhanden: Systemverzeichnis und Systemverzeichnis\Driver Cache). Über diesen kommuniziert Windows mit USB-Massenspeichern, also: Sticks, externen USB-Platten, etc. pp.
Gruß,
Tim
Hallo zusammen,
kann mir bitte mal jemand erklären, wie ich so eine ADM Datei erstelle bzw. eine Vorhandene Datei so bearbeite, das ich in den GPO's beim ausblenden der Laufwerke über die vorhandene Auswahl A,B,C,D hinaus Buchstaben einfügen kann.
Alle kann ich nicht benutzen, da auf E die Daten der Nutzer liegen.
Muss also A, C-System, D-Programme, F und G als Optische Laufwerke ausblenden.
Danke
ANW
Ich habe die Lösung gefunden Danke.
kann mir bitte mal jemand erklären, wie ich so eine ADM Datei erstelle bzw. eine Vorhandene Datei so bearbeite, das ich in den GPO's beim ausblenden der Laufwerke über die vorhandene Auswahl A,B,C,D hinaus Buchstaben einfügen kann.
Alle kann ich nicht benutzen, da auf E die Daten der Nutzer liegen.
Muss also A, C-System, D-Programme, F und G als Optische Laufwerke ausblenden.
Danke
ANW
Ich habe die Lösung gefunden Danke.
Hallo,
als erstes kann ich Dir nur empfehlen, alle Clients gleich zu konfigurieren, z.B.: C:\System D:AnwenderProgramme E:Daten.
Absolutes muss wenn Du Ordnung rein bringen willst. Und wenn Du bei den Clients die jetzt nur ein C: Lw haben noch zwei vorerst ungenutzte Partitionen ran hängst.
Das stellt sicher, das wenn Du das Lw F: sperrst, es bei allen das Optische Lw ist.
Bezüglich des USB Port kannst Du über eine GPR den Dienst Wechselmedien deaktivieren und in den Sicherheitseinstellungen für den Dienst nur den Admin eintragen.
Somit sollte das Problem USB gelöst sein.
Für all die Nutzer die ein Netzlaufwerk benötigen, würde ich das Zentral über GPR einsteuern, und den Nutzern das Recht Laufwerke zu verbinden nehmen,
sonst blickst Du nie mehr durch, wenn jeder sein Lw mappt wie er gerade lustig ist. Dazu auch über GPR das Menü Verwalten am Arbeitsplatz ausblenden, damit niemand an den Lw Buchstaben Zuordnung rumspielen kann.
Wenn Du dann die zu verbindenden Lw ziemlich weit nach hinten, U: V:, legst kannst Du den USB auch über die Lw Sperre verhindern, Du musst aber beachten, die Systempartition (meistens C darfst Du nur ausblenden, nicht verweigern. Das gilt auch für Lw auf denen noch weitere Anwendungssoftware installiert ist, in dessen Verzeichnisse der Nutzer schreiben muss.
Alle anderen Lw ausblenden und sperren. Die letzten Lw würde Y: Z: würde ich für Administrative dinge reservieren.
Gruß
ANW
als erstes kann ich Dir nur empfehlen, alle Clients gleich zu konfigurieren, z.B.: C:\System D:AnwenderProgramme E:Daten.
Absolutes muss wenn Du Ordnung rein bringen willst. Und wenn Du bei den Clients die jetzt nur ein C: Lw haben noch zwei vorerst ungenutzte Partitionen ran hängst.
Das stellt sicher, das wenn Du das Lw F: sperrst, es bei allen das Optische Lw ist.
Bezüglich des USB Port kannst Du über eine GPR den Dienst Wechselmedien deaktivieren und in den Sicherheitseinstellungen für den Dienst nur den Admin eintragen.
Somit sollte das Problem USB gelöst sein.
Für all die Nutzer die ein Netzlaufwerk benötigen, würde ich das Zentral über GPR einsteuern, und den Nutzern das Recht Laufwerke zu verbinden nehmen,
sonst blickst Du nie mehr durch, wenn jeder sein Lw mappt wie er gerade lustig ist. Dazu auch über GPR das Menü Verwalten am Arbeitsplatz ausblenden, damit niemand an den Lw Buchstaben Zuordnung rumspielen kann.
Wenn Du dann die zu verbindenden Lw ziemlich weit nach hinten, U: V:, legst kannst Du den USB auch über die Lw Sperre verhindern, Du musst aber beachten, die Systempartition (meistens C darfst Du nur ausblenden, nicht verweigern. Das gilt auch für Lw auf denen noch weitere Anwendungssoftware installiert ist, in dessen Verzeichnisse der Nutzer schreiben muss.
Alle anderen Lw ausblenden und sperren. Die letzten Lw würde Y: Z: würde ich für Administrative dinge reservieren.
Gruß
ANW
Hallo,
bin dem Link gefolgt, das war die Lösung.
Danke
ANW
Hallo,
das gleiche Problem hatte ich auch, ich habe zwei System ADM auf meinem DC gefunden, eine in %SystemRoot%\inf und eine im %SystemRoot%\system32\GroupPolicy.
Ich hatte die in dem inf Verzeichnis bearbeitet, damit konnte ich mit dem GPR Tool lokal am DC arbeiten aber nicht in der Domäne.
Ich habe dann einfach eine neue GPR ertellt, damit wird im SysVoL deiner Domäne unter Policies ein neues Verzeichnis mit einer ID erstellt, diese ID findest Du auch unter Details deiner neu erstellten GPR, etwas so {513CCCBD-36B4-4AA7-B148-90E7F8531300}.
In dem Verzeichnis im SysVoL unter der ID deiner gerade erst erstellten GPR findest Du ein Verzeichnis ADM, dort ist auch eine System ADM, wenn Du diese bearbeitest, kannst Du anschließend in dem GPR Tool die Auswahl für deine x,y,z Lw finden und für die Domäne auswählen.
Wo beim erstellen der GPR die System ADM als Vorlage her kommt weiß ich auch nicht ,vermutlich aus der zweiten Quelle, habe ich aber noch nicht ausprobiert, ob wenn ich die System ADM aus dem GroupPolicy Verzeichnis bearbeite, diese dann als Vorlage für die Domäne hergenommen wird.
Wenn Du dann weitere GPR zum Lw sperren brauchst, kannst Du die erste kopieren, und hast die bearbeitete Sys ADM gleich in deiner neuen GPR ID.
Du musst aufpassen keine zwei GPRs mit Lw Sperren auf den gleichen Nutzer loszulassen, dann geht keine, Du musst alles was Du für einen Nutzer brauchst in einer ADM Programmieren.
Ich würde Dir auch noch empfehlen, das Gruppenrichtlinienverwaltungs- Tool gpmc.msc, gibts irgendwo bei MS in einem KIT such mal nach gpmc.msi ca. 4,9 MB, ist echt die Arbeit wert.
Gruß
ANW
das gleiche Problem hatte ich auch, ich habe zwei System ADM auf meinem DC gefunden, eine in %SystemRoot%\inf und eine im %SystemRoot%\system32\GroupPolicy.
Ich hatte die in dem inf Verzeichnis bearbeitet, damit konnte ich mit dem GPR Tool lokal am DC arbeiten aber nicht in der Domäne.
Ich habe dann einfach eine neue GPR ertellt, damit wird im SysVoL deiner Domäne unter Policies ein neues Verzeichnis mit einer ID erstellt, diese ID findest Du auch unter Details deiner neu erstellten GPR, etwas so {513CCCBD-36B4-4AA7-B148-90E7F8531300}.
In dem Verzeichnis im SysVoL unter der ID deiner gerade erst erstellten GPR findest Du ein Verzeichnis ADM, dort ist auch eine System ADM, wenn Du diese bearbeitest, kannst Du anschließend in dem GPR Tool die Auswahl für deine x,y,z Lw finden und für die Domäne auswählen.
Wo beim erstellen der GPR die System ADM als Vorlage her kommt weiß ich auch nicht ,vermutlich aus der zweiten Quelle, habe ich aber noch nicht ausprobiert, ob wenn ich die System ADM aus dem GroupPolicy Verzeichnis bearbeite, diese dann als Vorlage für die Domäne hergenommen wird.
Wenn Du dann weitere GPR zum Lw sperren brauchst, kannst Du die erste kopieren, und hast die bearbeitete Sys ADM gleich in deiner neuen GPR ID.
Du musst aufpassen keine zwei GPRs mit Lw Sperren auf den gleichen Nutzer loszulassen, dann geht keine, Du musst alles was Du für einen Nutzer brauchst in einer ADM Programmieren.
Ich würde Dir auch noch empfehlen, das Gruppenrichtlinienverwaltungs- Tool gpmc.msc, gibts irgendwo bei MS in einem KIT such mal nach gpmc.msi ca. 4,9 MB, ist echt die Arbeit wert.
Gruß
ANW
Hi!
Das mit dem registry eintrag zum sperren von
usbstorage klappt gut! Jetzt hab ich
allerdings noch mal eine Frage.
Also ich habe den Schlüssel soweit
verändert und exportiert.
Jetzt will ich den aber in der ganzen
domäne verteilen und man kann ihn nur
ausführen wenn man adminrechte hat.
Gibts irgend eine Möglichkeit den
über eine Gruppenrichtlinie zu
verteilen, sodass jeder den ausführen
kann?
Das mit dem registry eintrag zum sperren von
usbstorage klappt gut! Jetzt hab ich
allerdings noch mal eine Frage.
Also ich habe den Schlüssel soweit
verändert und exportiert.
Jetzt will ich den aber in der ganzen
domäne verteilen und man kann ihn nur
ausführen wenn man adminrechte hat.
Gibts irgend eine Möglichkeit den
über eine Gruppenrichtlinie zu
verteilen, sodass jeder den ausführen
kann?
Hallo,
das mit dem Registry Eintrag hast Du nicht von mir, da kann ich dir nicht weiterhelfen.
Ich hatte Dir empfohlen, die Sperrung via abschalten des Wechselmediendienst durch GPO zu versuchen.
Gruß
ANW
Hallo Torben,
unter www.simplescripts.de findest Du ein sehr interessantes werkzeug um bestimmte Sachen dediziert zu sperren und freizugeben.
Is Freeware und nicht schlecht, funktioniert sehr gut.
Kommerziell würde ich zum Beispiel auf Drivelock zugreifen, astreine GPO Integration inclusive Reporting und Verschlüsselung.
Gruß
Egbert
unter www.simplescripts.de findest Du ein sehr interessantes werkzeug um bestimmte Sachen dediziert zu sperren und freizugeben.
Is Freeware und nicht schlecht, funktioniert sehr gut.
Kommerziell würde ich zum Beispiel auf Drivelock zugreifen, astreine GPO Integration inclusive Reporting und Verschlüsselung.
Gruß
Egbert
Hallo,
dann kann ich dir auf die schnelle nur empfehlen, so viel Lw nach deinem C: bzw. D: auszublenden und zu verweigern, wie die meisten rechner USB anschlüsse haben, wenn sich das nicht mit deinen netz Lw beist. die ich auf jeden fall vereinheitlichen würde, sonst kommst du nie auf einen grünen zweig. ich betreue ca. 500 rechner und 20 server im netzwerk, da kannst du nur noch mit standards arbeiten.
Gruß
ANW
dann kann ich dir auf die schnelle nur empfehlen, so viel Lw nach deinem C: bzw. D: auszublenden und zu verweigern, wie die meisten rechner USB anschlüsse haben, wenn sich das nicht mit deinen netz Lw beist. die ich auf jeden fall vereinheitlichen würde, sonst kommst du nie auf einen grünen zweig. ich betreue ca. 500 rechner und 20 server im netzwerk, da kannst du nur noch mit standards arbeiten.
Gruß
ANW