27
Gruppenrichtlinie, Laufwerke sperren
Guten morgen.
Im Zuge des Dantenschutzes und der Sicherheit im Netzwerk habe ich folgende Frage: Wie kann ich über eine eine Gruppenrichtlinie den Zugriff auf das CD-ROM Laufwerk sperren? Am besten wäre das die USER aus der Gruppe das Laufwerk zwar sehen aber ihnen der Zugriff verweigert wird. Kann ich auch den Zugriff auf das Disketten Laufwerk sperren? Und jetzt die Preisfrage: Ist es mir auch möglich in einer Gruppenrichtlinie festzulegen, dass der User keinen Wechseldatenträger an seinem Computer anschließen kann?
Wenn mir jemand sagen könnte wie ich das am besten mache, wäre ich sehr dankebar!
MfG
Torben Dietrich
Im Zuge des Dantenschutzes und der Sicherheit im Netzwerk habe ich folgende Frage: Wie kann ich über eine eine Gruppenrichtlinie den Zugriff auf das CD-ROM Laufwerk sperren? Am besten wäre das die USER aus der Gruppe das Laufwerk zwar sehen aber ihnen der Zugriff verweigert wird. Kann ich auch den Zugriff auf das Disketten Laufwerk sperren? Und jetzt die Preisfrage: Ist es mir auch möglich in einer Gruppenrichtlinie festzulegen, dass der User keinen Wechseldatenträger an seinem Computer anschließen kann?
Wenn mir jemand sagen könnte wie ich das am besten mache, wäre ich sehr dankebar!
MfG
Torben Dietrich
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 42862
Url: https://administrator.de/contentid/42862
Ausgedruckt am: 15.11.2024 um 01:11 Uhr
27 Kommentare
Neuester Kommentar
Schau dir mal den link an http://www.winfaq.de/faq_html/tip1511.htm.
und das kannst du ja dann in ein script schreiben und dieses über die gruppenrichtlinie auf die rechner setzen.
hoffe es hilft dir?!
und das kannst du ja dann in ein script schreiben und dieses über die gruppenrichtlinie auf die rechner setzen.
hoffe es hilft dir?!
Hallo
unter Benutzerkonfiguration --> Administrative Vorlagen --> Windows Explorer -->
findest Du folgende Einstellungen
Zugriff auf Laufwerke Vom Arbeitsplatz nicht zulassen (kein zugriff) oder
Diese angegebenen Datenträger im Fenster Arbeitsplatz nicht anzeigen (unsichtbar)
SWenn Dein gewünschter Laufwerksbuchstabe nicht erscheint musst Du das Adm File ändern oder ein eigenes erstellen.
Mit den Massenspeichern ist es etwas anders hier würde entweder auf ein seperates Produkt zurückgreifen oder unter www.gruppenrichtlinien.de gibt es glaube ich auch einen adm dazu.
Gruß
Egbert
unter Benutzerkonfiguration --> Administrative Vorlagen --> Windows Explorer -->
findest Du folgende Einstellungen
Zugriff auf Laufwerke Vom Arbeitsplatz nicht zulassen (kein zugriff) oder
Diese angegebenen Datenträger im Fenster Arbeitsplatz nicht anzeigen (unsichtbar)
SWenn Dein gewünschter Laufwerksbuchstabe nicht erscheint musst Du das Adm File ändern oder ein eigenes erstellen.
Mit den Massenspeichern ist es etwas anders hier würde entweder auf ein seperates Produkt zurückgreifen oder unter www.gruppenrichtlinien.de gibt es glaube ich auch einen adm dazu.
Gruß
Egbert
Booten vom CD Rom kannst Du nur verhindern, wenn Dein BIOS so was bietet (beim Standard BIOS ist da meist nix zu verhindern).
Tipp aus der Praxis: CD-Laufwerk brauchst Du nur zur Installation des OS (und selbst das geht zu umgehen). Danach kann es physikalisch entfernt werden. Der Zugriff auf USB Devices kann über die Registry verhindert werden (leider weiss ich nicht mehr wie das ging, einfach mal googlen) alternativ und besser über spezielle Tools.
Tipp aus der Praxis: CD-Laufwerk brauchst Du nur zur Installation des OS (und selbst das geht zu umgehen). Danach kann es physikalisch entfernt werden. Der Zugriff auf USB Devices kann über die Registry verhindert werden (leider weiss ich nicht mehr wie das ging, einfach mal googlen) alternativ und besser über spezielle Tools.
Hallo,
für diees Problem nutzen wir Device Watch.
Damit kann man alles sperren. USB-Ports, CD, DVD, Diskette!!
Vielleicht ist es eine Möglichkeit???
für diees Problem nutzen wir Device Watch.
Damit kann man alles sperren. USB-Ports, CD, DVD, Diskette!!
Vielleicht ist es eine Möglichkeit???
Also erstmal vielen Dank für die vielen Antworten!
ich werd das ein oder andere aus dem Thread hier einfach mal aus probieren und schreib euch dann sobld es geht und wie ich es gemacht habe.
MfG
Torben
ich werd das ein oder andere aus dem Thread hier einfach mal aus probieren und schreib euch dann sobld es geht und wie ich es gemacht habe.
MfG
Torben
Hallo noch mal.
Also ich hab jetzt versucht es über eine Gruppenrichtlinie zu lösen. Ich hab die Vorlage soweit verändert das ich alle Laufwerke sperre bis auf c und d. Das klappt auch sehr gut allerdings gibt es da noch ein kleines Problem, bei dem ihr mir vielleicht noch mal helfen könnt. Das Problem ist, dass in meinem Netzwerk manche PC´s zwei Festplatten Partitionen haben und manche nur c benutzen. wenn ich jetzt c und d erlaube, dann kann ja jemand der nur Partition c besitzt wieder einen Wechseldatenträger in den PC stecken, der sich dann den Laufwerksbuchstaben d nimmt und damit hat er wieder Zzugriff. Ich kann aber nicht nur den Zugriff auf c erlauben, da dann einige User nicht mehr an ihre Daten von der d Partition kommen.
Sehr verzwickt... Habt ihr ne Idee?
Vielen Dank schon mal
Torben
Also ich hab jetzt versucht es über eine Gruppenrichtlinie zu lösen. Ich hab die Vorlage soweit verändert das ich alle Laufwerke sperre bis auf c und d. Das klappt auch sehr gut allerdings gibt es da noch ein kleines Problem, bei dem ihr mir vielleicht noch mal helfen könnt. Das Problem ist, dass in meinem Netzwerk manche PC´s zwei Festplatten Partitionen haben und manche nur c benutzen. wenn ich jetzt c und d erlaube, dann kann ja jemand der nur Partition c besitzt wieder einen Wechseldatenträger in den PC stecken, der sich dann den Laufwerksbuchstaben d nimmt und damit hat er wieder Zzugriff. Ich kann aber nicht nur den Zugriff auf c erlauben, da dann einige User nicht mehr an ihre Daten von der d Partition kommen.
Sehr verzwickt... Habt ihr ne Idee?
Vielen Dank schon mal
Torben
Hallo,
wenn Du nicht generel die Verwendung von USB-Sticks sperren willst, sehe ich keine Möglichkeit.
Natürlich besteht prinzipiell die Möglichkeit, einem USB-Stick manuell einen Laufwerksbuchstaben zuzuordnen: Am selben Rechner und - soweit mir bekannt ist - mit einem USB-Stick selben Typs wird dann der manuell vergebene Laufwerksbuchstabe bei jedem Anschließen des Sticks auch wieder vergeben.
Das ist natürlich erstens unpraktisch und zweitens funktioniert das nicht nach einmaliger Konfiguration mit jedem Stick jeden Herstellers automatisch.
Wenn Du Active Directory nutzt, kann Du eine angepasste Gruppenrichtlinie für diejenigen Rechner verteilen, die ein Laufwerk D haben (dann c und d nicht gesperrt) und eine andere an diejenigen, die nur c haben (nur Laufwerk c gesperrt).
Wenn es sich bei den Rechnern, die nur C nutzen, nicht um so viele handelt, kannst Du die angepasste ADM-Vorlage auch manuell an die Maschinen verteilen.
Weitere Lösungen fallen mir momentan nicht ein.
Gruß,
Tim
wenn Du nicht generel die Verwendung von USB-Sticks sperren willst, sehe ich keine Möglichkeit.
Natürlich besteht prinzipiell die Möglichkeit, einem USB-Stick manuell einen Laufwerksbuchstaben zuzuordnen: Am selben Rechner und - soweit mir bekannt ist - mit einem USB-Stick selben Typs wird dann der manuell vergebene Laufwerksbuchstabe bei jedem Anschließen des Sticks auch wieder vergeben.
Das ist natürlich erstens unpraktisch und zweitens funktioniert das nicht nach einmaliger Konfiguration mit jedem Stick jeden Herstellers automatisch.
Wenn Du Active Directory nutzt, kann Du eine angepasste Gruppenrichtlinie für diejenigen Rechner verteilen, die ein Laufwerk D haben (dann c und d nicht gesperrt) und eine andere an diejenigen, die nur c haben (nur Laufwerk c gesperrt).
Wenn es sich bei den Rechnern, die nur C nutzen, nicht um so viele handelt, kannst Du die angepasste ADM-Vorlage auch manuell an die Maschinen verteilen.
Weitere Lösungen fallen mir momentan nicht ein.
Gruß,
Tim
jo vom Prinzip her könnte ich das machen. Aber dafür muss ich erst mal ne anfrage machen wer alles festplatte d hat und wer nicht. Und bei ungefähr 200 PC´s find ich es ziemlich umständlich jeden einzelnen einmal anzufassen und den in ein gruppe zu ziehen.
Ich möchte übrgigends generell den Zugriff auf wechseldatenträger sperren. hast du da vielleicht noch ne idee?
Mfg
Torben
Ich möchte übrgigends generell den Zugriff auf wechseldatenträger sperren. hast du da vielleicht noch ne idee?
Mfg
Torben
Hallo,
Du könntest mal testen, ob es ausreicht, den Treiber "usbstor.sys" zu löschen (zweimal vorhanden: Systemverzeichnis und Systemverzeichnis\Driver Cache). Über diesen kommuniziert Windows mit USB-Massenspeichern, also: Sticks, externen USB-Platten, etc. pp.
Gruß,
Tim
Du könntest mal testen, ob es ausreicht, den Treiber "usbstor.sys" zu löschen (zweimal vorhanden: Systemverzeichnis und Systemverzeichnis\Driver Cache). Über diesen kommuniziert Windows mit USB-Massenspeichern, also: Sticks, externen USB-Platten, etc. pp.
Gruß,
Tim
Kann mann denn mit Device Watch denn schon in den Bootprozess bzw. das BIOS eingreifen ?
Ich dachte das ist ein Windows Lösung die erst zum Zuge kommt wenn der Windows Kernel geladen ist. Damit kann ich immer noch eine Fremd CD booten.
Ich dachte das ist ein Windows Lösung die erst zum Zuge kommt wenn der Windows Kernel geladen ist. Damit kann ich immer noch eine Fremd CD booten.
Hallo zusammen,
kann mir bitte mal jemand erklären, wie ich so eine ADM Datei erstelle bzw. eine Vorhandene Datei so bearbeite, das ich in den GPO's beim ausblenden der Laufwerke über die vorhandene Auswahl A,B,C,D hinaus Buchstaben einfügen kann.
Alle kann ich nicht benutzen, da auf E die Daten der Nutzer liegen.
Muss also A, C-System, D-Programme, F und G als Optische Laufwerke ausblenden.
Danke
ANW
Ich habe die Lösung gefunden Danke.
kann mir bitte mal jemand erklären, wie ich so eine ADM Datei erstelle bzw. eine Vorhandene Datei so bearbeite, das ich in den GPO's beim ausblenden der Laufwerke über die vorhandene Auswahl A,B,C,D hinaus Buchstaben einfügen kann.
Alle kann ich nicht benutzen, da auf E die Daten der Nutzer liegen.
Muss also A, C-System, D-Programme, F und G als Optische Laufwerke ausblenden.
Danke
ANW
Ich habe die Lösung gefunden Danke.
Hallo,
ich bin immer noch nicht sonderlich viel weiter gekommen, da sich immer wieder andere Probleme ergeben.
Meine Planung war nun um Diskettenlaufwerke, CD-ROM Laufwerke und Wechseldatenträger zu sperren, den Zugriff über eine Gruppenrichtlinie zu verweigern.
1. Problem man muss alle Laufwerksbuchstaben sperren damit sich der USB - Stick nicht einfach einen holen kann und aktiv ist. Allerdings arbeiten sehr viele User mit Netzlaufwerken. Deswegen ist es nicht so einfach, dass ich alles sperre, weil die User dann nicht mehr arbeiten können.
2. Problem ist das viele nur Festplatte C und andere wieder C&D Partitionen haben.
Muss ich jetzt für jedes Programm das nen Netzlaufwerk benutzt ne eigene Gruppenrichtlinie festlegen und das ganze dann mal 2 nehmen wegen den Partitionen.
Gibt es eventuell die Möglichkeit das ich sage falls nen wechseldatenträger angeschlossen wird darf er sich nur den Laufwerksbuchstaben h nehmen, damit ich nur den sperren muss.
Oder besteht die Möglichkeit das ich allen Domänen usern verbiete Wechseldatenträger anzuschließen? Ich glaube das wäre die einfachste Möglichkeit.
Ich hoffe das ich mir helfen könnt.
MfG
Torben Dietrich
ich bin immer noch nicht sonderlich viel weiter gekommen, da sich immer wieder andere Probleme ergeben.
Meine Planung war nun um Diskettenlaufwerke, CD-ROM Laufwerke und Wechseldatenträger zu sperren, den Zugriff über eine Gruppenrichtlinie zu verweigern.
1. Problem man muss alle Laufwerksbuchstaben sperren damit sich der USB - Stick nicht einfach einen holen kann und aktiv ist. Allerdings arbeiten sehr viele User mit Netzlaufwerken. Deswegen ist es nicht so einfach, dass ich alles sperre, weil die User dann nicht mehr arbeiten können.
2. Problem ist das viele nur Festplatte C und andere wieder C&D Partitionen haben.
Muss ich jetzt für jedes Programm das nen Netzlaufwerk benutzt ne eigene Gruppenrichtlinie festlegen und das ganze dann mal 2 nehmen wegen den Partitionen.
Gibt es eventuell die Möglichkeit das ich sage falls nen wechseldatenträger angeschlossen wird darf er sich nur den Laufwerksbuchstaben h nehmen, damit ich nur den sperren muss.
Oder besteht die Möglichkeit das ich allen Domänen usern verbiete Wechseldatenträger anzuschließen? Ich glaube das wäre die einfachste Möglichkeit.
Ich hoffe das ich mir helfen könnt.
MfG
Torben Dietrich
Hallo,
als erstes kann ich Dir nur empfehlen, alle Clients gleich zu konfigurieren, z.B.: C:\System D:AnwenderProgramme E:Daten.
Absolutes muss wenn Du Ordnung rein bringen willst. Und wenn Du bei den Clients die jetzt nur ein C: Lw haben noch zwei vorerst ungenutzte Partitionen ran hängst.
Das stellt sicher, das wenn Du das Lw F: sperrst, es bei allen das Optische Lw ist.
Bezüglich des USB Port kannst Du über eine GPR den Dienst Wechselmedien deaktivieren und in den Sicherheitseinstellungen für den Dienst nur den Admin eintragen.
Somit sollte das Problem USB gelöst sein.
Für all die Nutzer die ein Netzlaufwerk benötigen, würde ich das Zentral über GPR einsteuern, und den Nutzern das Recht Laufwerke zu verbinden nehmen,
sonst blickst Du nie mehr durch, wenn jeder sein Lw mappt wie er gerade lustig ist. Dazu auch über GPR das Menü Verwalten am Arbeitsplatz ausblenden, damit niemand an den Lw Buchstaben Zuordnung rumspielen kann.
Wenn Du dann die zu verbindenden Lw ziemlich weit nach hinten, U: V:, legst kannst Du den USB auch über die Lw Sperre verhindern, Du musst aber beachten, die Systempartition (meistens C
darfst Du nur ausblenden, nicht verweigern. Das gilt auch für Lw auf denen noch weitere Anwendungssoftware installiert ist, in dessen Verzeichnisse der Nutzer schreiben muss.
Alle anderen Lw ausblenden und sperren. Die letzten Lw würde Y: Z: würde ich für Administrative dinge reservieren.
Gruß
ANW
als erstes kann ich Dir nur empfehlen, alle Clients gleich zu konfigurieren, z.B.: C:\System D:AnwenderProgramme E:Daten.
Absolutes muss wenn Du Ordnung rein bringen willst. Und wenn Du bei den Clients die jetzt nur ein C: Lw haben noch zwei vorerst ungenutzte Partitionen ran hängst.
Das stellt sicher, das wenn Du das Lw F: sperrst, es bei allen das Optische Lw ist.
Bezüglich des USB Port kannst Du über eine GPR den Dienst Wechselmedien deaktivieren und in den Sicherheitseinstellungen für den Dienst nur den Admin eintragen.
Somit sollte das Problem USB gelöst sein.
Für all die Nutzer die ein Netzlaufwerk benötigen, würde ich das Zentral über GPR einsteuern, und den Nutzern das Recht Laufwerke zu verbinden nehmen,
sonst blickst Du nie mehr durch, wenn jeder sein Lw mappt wie er gerade lustig ist. Dazu auch über GPR das Menü Verwalten am Arbeitsplatz ausblenden, damit niemand an den Lw Buchstaben Zuordnung rumspielen kann.
Wenn Du dann die zu verbindenden Lw ziemlich weit nach hinten, U: V:, legst kannst Du den USB auch über die Lw Sperre verhindern, Du musst aber beachten, die Systempartition (meistens C
darfst Du nur ausblenden, nicht verweigern. Das gilt auch für Lw auf denen noch weitere Anwendungssoftware installiert ist, in dessen Verzeichnisse der Nutzer schreiben muss.Alle anderen Lw ausblenden und sperren. Die letzten Lw würde Y: Z: würde ich für Administrative dinge reservieren.
Gruß
ANW
Hallo,
bin dem Link gefolgt, das war die Lösung.
Danke
ANW
das hört sich schon mal sehr gut an. Kannst du mir eventuell sagen wo ich die GPR Wechselmedien sperren finde? Ist die in den administrativen Vorlagen oder muss ich da selber ne ADM erstellen? Wenn ja kannst mir sagen wie die auszusehen hat?
Danke schon mal
Mfg
Torben
Danke schon mal
Mfg
Torben
Hallo,
die Richtlinie findest Du unter >Computerkofiguration >Windows-Einstellungen >Sicherheitseinstellungen >Systemdienste >>Wechselmedien
Startmodus des Dienstes, auf Manuell und die Sicherheit bearbeiten.
MfG
ANW
die Richtlinie findest Du unter >Computerkofiguration >Windows-Einstellungen >Sicherheitseinstellungen >Systemdienste >>Wechselmedien
Startmodus des Dienstes, auf Manuell und die Sicherheit bearbeiten.
MfG
ANW
Jo! Vielen Dank! das erspart mir ne Menge arbeit... ich wollte das erst über nen registry schlüssel lösen aber so ist es viel einfacher! Du scheinst ja ziemlich viel Ahnung über GPO´s zu haben, vielleicht kannst du mir noch bei ner anderen Sache weiter helfen. Ich hab die system.adm soweit erweitert das es die Option x,y,z gesperrt gibt. Das habe ich auf unserem PDC gemacht. wenn ich den gruppenrichtlinien editor lokal öffne ist es auch da aber wenn ich ihn domänen bezogen öffne, gibt es die option noch nicht. Ich dachte das sich der Domänenbezogene Gruppenrichtlinieneditor auf die system.adm des PDC bezieht, tut er aber anscheinend nicht. Kannst du mir sagen wie ich ihm sagen kann das er sich die vorlagen aus der system.adm vom PDC holen soll? Wär sehr nett
Mfg Torben
Mfg Torben
Hallo,
das gleiche Problem hatte ich auch, ich habe zwei System ADM auf meinem DC gefunden, eine in %SystemRoot%\inf und eine im %SystemRoot%\system32\GroupPolicy.
Ich hatte die in dem inf Verzeichnis bearbeitet, damit konnte ich mit dem GPR Tool lokal am DC arbeiten aber nicht in der Domäne.
Ich habe dann einfach eine neue GPR ertellt, damit wird im SysVoL deiner Domäne unter Policies ein neues Verzeichnis mit einer ID erstellt, diese ID findest Du auch unter Details deiner neu erstellten GPR, etwas so {513CCCBD-36B4-4AA7-B148-90E7F8531300}.
In dem Verzeichnis im SysVoL unter der ID deiner gerade erst erstellten GPR findest Du ein Verzeichnis ADM, dort ist auch eine System ADM, wenn Du diese bearbeitest, kannst Du anschließend in dem GPR Tool die Auswahl für deine x,y,z Lw finden und für die Domäne auswählen.
Wo beim erstellen der GPR die System ADM als Vorlage her kommt weiß ich auch nicht ,vermutlich aus der zweiten Quelle, habe ich aber noch nicht ausprobiert, ob wenn ich die System ADM aus dem GroupPolicy Verzeichnis bearbeite, diese dann als Vorlage für die Domäne hergenommen wird.
Wenn Du dann weitere GPR zum Lw sperren brauchst, kannst Du die erste kopieren, und hast die bearbeitete Sys ADM gleich in deiner neuen GPR ID.
Du musst aufpassen keine zwei GPRs mit Lw Sperren auf den gleichen Nutzer loszulassen, dann geht keine, Du musst alles was Du für einen Nutzer brauchst in einer ADM Programmieren.
Ich würde Dir auch noch empfehlen, das Gruppenrichtlinienverwaltungs- Tool gpmc.msc, gibts irgendwo bei MS in einem KIT such mal nach gpmc.msi ca. 4,9 MB, ist echt die Arbeit wert.
Gruß
ANW
das gleiche Problem hatte ich auch, ich habe zwei System ADM auf meinem DC gefunden, eine in %SystemRoot%\inf und eine im %SystemRoot%\system32\GroupPolicy.
Ich hatte die in dem inf Verzeichnis bearbeitet, damit konnte ich mit dem GPR Tool lokal am DC arbeiten aber nicht in der Domäne.
Ich habe dann einfach eine neue GPR ertellt, damit wird im SysVoL deiner Domäne unter Policies ein neues Verzeichnis mit einer ID erstellt, diese ID findest Du auch unter Details deiner neu erstellten GPR, etwas so {513CCCBD-36B4-4AA7-B148-90E7F8531300}.
In dem Verzeichnis im SysVoL unter der ID deiner gerade erst erstellten GPR findest Du ein Verzeichnis ADM, dort ist auch eine System ADM, wenn Du diese bearbeitest, kannst Du anschließend in dem GPR Tool die Auswahl für deine x,y,z Lw finden und für die Domäne auswählen.
Wo beim erstellen der GPR die System ADM als Vorlage her kommt weiß ich auch nicht ,vermutlich aus der zweiten Quelle, habe ich aber noch nicht ausprobiert, ob wenn ich die System ADM aus dem GroupPolicy Verzeichnis bearbeite, diese dann als Vorlage für die Domäne hergenommen wird.
Wenn Du dann weitere GPR zum Lw sperren brauchst, kannst Du die erste kopieren, und hast die bearbeitete Sys ADM gleich in deiner neuen GPR ID.
Du musst aufpassen keine zwei GPRs mit Lw Sperren auf den gleichen Nutzer loszulassen, dann geht keine, Du musst alles was Du für einen Nutzer brauchst in einer ADM Programmieren.
Ich würde Dir auch noch empfehlen, das Gruppenrichtlinienverwaltungs- Tool gpmc.msc, gibts irgendwo bei MS in einem KIT such mal nach gpmc.msi ca. 4,9 MB, ist echt die Arbeit wert.
Gruß
ANW
jo das tool hab ich! Ist echt so gut zu gebrauchen... Vielen Dank für die Hilfe ich werd´s nachher gleich mal ausprobieren
Hi!
Das mit dem registry eintrag zum sperren von usbstorage klappt gut! Jetzt hab ich allerdings noch mal eine Frage.
Also ich habe den Schlüssel soweit verändert und exportiert.
Jetzt will ich den aber in der ganzen domäne verteilen und man kann ihn nur ausführen wenn man adminrechte hat.
Gibts irgend eine Möglichkeit den über eine Gruppenrichtlinie zu verteilen, sodass jeder den ausführen kann?
Danke schon mal
Mfg Torben
Das mit dem registry eintrag zum sperren von usbstorage klappt gut! Jetzt hab ich allerdings noch mal eine Frage.
Also ich habe den Schlüssel soweit verändert und exportiert.
Jetzt will ich den aber in der ganzen domäne verteilen und man kann ihn nur ausführen wenn man adminrechte hat.
Gibts irgend eine Möglichkeit den über eine Gruppenrichtlinie zu verteilen, sodass jeder den ausführen kann?
Danke schon mal
Mfg Torben
Hi!
Das mit dem registry eintrag zum sperren von
usbstorage klappt gut! Jetzt hab ich
allerdings noch mal eine Frage.
Also ich habe den Schlüssel soweit
verändert und exportiert.
Jetzt will ich den aber in der ganzen
domäne verteilen und man kann ihn nur
ausführen wenn man adminrechte hat.
Gibts irgend eine Möglichkeit den
über eine Gruppenrichtlinie zu
verteilen, sodass jeder den ausführen
kann?
Das mit dem registry eintrag zum sperren von
usbstorage klappt gut! Jetzt hab ich
allerdings noch mal eine Frage.
Also ich habe den Schlüssel soweit
verändert und exportiert.
Jetzt will ich den aber in der ganzen
domäne verteilen und man kann ihn nur
ausführen wenn man adminrechte hat.
Gibts irgend eine Möglichkeit den
über eine Gruppenrichtlinie zu
verteilen, sodass jeder den ausführen
kann?
Hallo,
das mit dem Registry Eintrag hast Du nicht von mir, da kann ich dir nicht weiterhelfen.
Ich hatte Dir empfohlen, die Sperrung via abschalten des Wechselmediendienst durch GPO zu versuchen.
Gruß
ANW
jo! das wär die einfachste Möglichkeit gewesen aber das hat leider nicht funktioniert. selbst wenn ich den dienst manuell deaktiviert habe, haben die sticks noch funktioniert.
Hallo Torben,
unter www.simplescripts.de findest Du ein sehr interessantes werkzeug um bestimmte Sachen dediziert zu sperren und freizugeben.
Is Freeware und nicht schlecht, funktioniert sehr gut.
Kommerziell würde ich zum Beispiel auf Drivelock zugreifen, astreine GPO Integration inclusive Reporting und Verschlüsselung.
Gruß
Egbert
unter www.simplescripts.de findest Du ein sehr interessantes werkzeug um bestimmte Sachen dediziert zu sperren und freizugeben.
Is Freeware und nicht schlecht, funktioniert sehr gut.
Kommerziell würde ich zum Beispiel auf Drivelock zugreifen, astreine GPO Integration inclusive Reporting und Verschlüsselung.
Gruß
Egbert
Hallo,
dann kann ich dir auf die schnelle nur empfehlen, so viel Lw nach deinem C: bzw. D: auszublenden und zu verweigern, wie die meisten rechner USB anschlüsse haben, wenn sich das nicht mit deinen netz Lw beist. die ich auf jeden fall vereinheitlichen würde, sonst kommst du nie auf einen grünen zweig. ich betreue ca. 500 rechner und 20 server im netzwerk, da kannst du nur noch mit standards arbeiten.
Gruß
ANW
dann kann ich dir auf die schnelle nur empfehlen, so viel Lw nach deinem C: bzw. D: auszublenden und zu verweigern, wie die meisten rechner USB anschlüsse haben, wenn sich das nicht mit deinen netz Lw beist. die ich auf jeden fall vereinheitlichen würde, sonst kommst du nie auf einen grünen zweig. ich betreue ca. 500 rechner und 20 server im netzwerk, da kannst du nur noch mit standards arbeiten.
Gruß
ANW
das wird sich beißen 
naja dann werd ich mal das tool von dem poster unter mir probieren, wenn das nicht klappt verteil ich mein registry Paket wohl mit dem SMS von microsoft. das is aber nur zweite wahl weil der irgentwie nicht alle erkennt und den rest dann maunell machen muss... aber trotzdem danke für die hilfe
naja dann werd ich mal das tool von dem poster unter mir probieren, wenn das nicht klappt verteil ich mein registry Paket wohl mit dem SMS von microsoft. das is aber nur zweite wahl weil der irgentwie nicht alle erkennt und den rest dann maunell machen muss... aber trotzdem danke für die hilfe
