torbendietrich
Goto Top

Gruppenrichtlinie, Laufwerke sperren

Guten morgen.

Im Zuge des Dantenschutzes und der Sicherheit im Netzwerk habe ich folgende Frage: Wie kann ich über eine eine Gruppenrichtlinie den Zugriff auf das CD-ROM Laufwerk sperren? Am besten wäre das die USER aus der Gruppe das Laufwerk zwar sehen aber ihnen der Zugriff verweigert wird. Kann ich auch den Zugriff auf das Disketten Laufwerk sperren? Und jetzt die Preisfrage: Ist es mir auch möglich in einer Gruppenrichtlinie festzulegen, dass der User keinen Wechseldatenträger an seinem Computer anschließen kann?
Wenn mir jemand sagen könnte wie ich das am besten mache, wäre ich sehr dankebar!

MfG

Torben Dietrich

Content-ID: 42862

Url: https://administrator.de/forum/gruppenrichtlinie-laufwerke-sperren-42862.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

Anschiss78
Anschiss78 24.10.2006 um 09:23:00 Uhr
Goto Top
Schau dir mal den link an http://www.winfaq.de/faq_html/tip1511.htm.

und das kannst du ja dann in ein script schreiben und dieses über die gruppenrichtlinie auf die rechner setzen.

hoffe es hilft dir?!
Egbert
Egbert 24.10.2006 um 09:32:35 Uhr
Goto Top
Hallo

unter Benutzerkonfiguration --> Administrative Vorlagen --> Windows Explorer -->

findest Du folgende Einstellungen

Zugriff auf Laufwerke Vom Arbeitsplatz nicht zulassen (kein zugriff) oder
Diese angegebenen Datenträger im Fenster Arbeitsplatz nicht anzeigen (unsichtbar)

SWenn Dein gewünschter Laufwerksbuchstabe nicht erscheint musst Du das Adm File ändern oder ein eigenes erstellen.


Mit den Massenspeichern ist es etwas anders hier würde entweder auf ein seperates Produkt zurückgreifen oder unter www.gruppenrichtlinien.de gibt es glaube ich auch einen adm dazu.

Gruß
Egbert
11078
11078 24.10.2006, aktualisiert am 18.10.2012 um 17:57:22 Uhr
Goto Top
Hallo,

lies Dir mal diesen Thread durch:

Festplatte verstecken???


Gruß,
Tim
ratzla
ratzla 24.10.2006 um 10:21:35 Uhr
Goto Top
Booten vom CD Rom kannst Du nur verhindern, wenn Dein BIOS so was bietet (beim Standard BIOS ist da meist nix zu verhindern).
Tipp aus der Praxis: CD-Laufwerk brauchst Du nur zur Installation des OS (und selbst das geht zu umgehen). Danach kann es physikalisch entfernt werden. Der Zugriff auf USB Devices kann über die Registry verhindert werden (leider weiss ich nicht mehr wie das ging, einfach mal googlen) alternativ und besser über spezielle Tools.
astronomy
astronomy 24.10.2006 um 11:32:21 Uhr
Goto Top
Hallo,

für diees Problem nutzen wir Device Watch.
Damit kann man alles sperren. USB-Ports, CD, DVD, Diskette!!

Vielleicht ist es eine Möglichkeit???
torbendietrich
torbendietrich 24.10.2006 um 14:32:33 Uhr
Goto Top
Also erstmal vielen Dank für die vielen Antworten!
ich werd das ein oder andere aus dem Thread hier einfach mal aus probieren und schreib euch dann sobld es geht und wie ich es gemacht habe.

MfG

Torben
torbendietrich
torbendietrich 27.10.2006 um 08:45:38 Uhr
Goto Top
Hallo noch mal.

Also ich hab jetzt versucht es über eine Gruppenrichtlinie zu lösen. Ich hab die Vorlage soweit verändert das ich alle Laufwerke sperre bis auf c und d. Das klappt auch sehr gut allerdings gibt es da noch ein kleines Problem, bei dem ihr mir vielleicht noch mal helfen könnt. Das Problem ist, dass in meinem Netzwerk manche PC´s zwei Festplatten Partitionen haben und manche nur c benutzen. wenn ich jetzt c und d erlaube, dann kann ja jemand der nur Partition c besitzt wieder einen Wechseldatenträger in den PC stecken, der sich dann den Laufwerksbuchstaben d nimmt und damit hat er wieder Zzugriff. Ich kann aber nicht nur den Zugriff auf c erlauben, da dann einige User nicht mehr an ihre Daten von der d Partition kommen.
Sehr verzwickt... Habt ihr ne Idee?

Vielen Dank schon mal

Torben
11078
11078 27.10.2006 um 09:00:42 Uhr
Goto Top
Hallo,

wenn Du nicht generel die Verwendung von USB-Sticks sperren willst, sehe ich keine Möglichkeit.

Natürlich besteht prinzipiell die Möglichkeit, einem USB-Stick manuell einen Laufwerksbuchstaben zuzuordnen: Am selben Rechner und - soweit mir bekannt ist - mit einem USB-Stick selben Typs wird dann der manuell vergebene Laufwerksbuchstabe bei jedem Anschließen des Sticks auch wieder vergeben.

Das ist natürlich erstens unpraktisch und zweitens funktioniert das nicht nach einmaliger Konfiguration mit jedem Stick jeden Herstellers automatisch.

Wenn Du Active Directory nutzt, kann Du eine angepasste Gruppenrichtlinie für diejenigen Rechner verteilen, die ein Laufwerk D haben (dann c und d nicht gesperrt) und eine andere an diejenigen, die nur c haben (nur Laufwerk c gesperrt).

Wenn es sich bei den Rechnern, die nur C nutzen, nicht um so viele handelt, kannst Du die angepasste ADM-Vorlage auch manuell an die Maschinen verteilen.


Weitere Lösungen fallen mir momentan nicht ein.


Gruß,
Tim
torbendietrich
torbendietrich 27.10.2006 um 12:25:11 Uhr
Goto Top
jo vom Prinzip her könnte ich das machen. Aber dafür muss ich erst mal ne anfrage machen wer alles festplatte d hat und wer nicht. Und bei ungefähr 200 PC´s find ich es ziemlich umständlich jeden einzelnen einmal anzufassen und den in ein gruppe zu ziehen.

Ich möchte übrgigends generell den Zugriff auf wechseldatenträger sperren. hast du da vielleicht noch ne idee?

Mfg

Torben
11078
11078 27.10.2006 um 12:47:21 Uhr
Goto Top
Hallo,

Du könntest mal testen, ob es ausreicht, den Treiber "usbstor.sys" zu löschen (zweimal vorhanden: Systemverzeichnis und Systemverzeichnis\Driver Cache). Über diesen kommuniziert Windows mit USB-Massenspeichern, also: Sticks, externen USB-Platten, etc. pp.


Gruß,
Tim
ratzla
ratzla 28.10.2006 um 13:33:36 Uhr
Goto Top
Kann mann denn mit Device Watch denn schon in den Bootprozess bzw. das BIOS eingreifen ?

Ich dachte das ist ein Windows Lösung die erst zum Zuge kommt wenn der Windows Kernel geladen ist. Damit kann ich immer noch eine Fremd CD booten.
ANW
ANW 08.11.2006 um 08:38:14 Uhr
Goto Top
Hallo zusammen,

kann mir bitte mal jemand erklären, wie ich so eine ADM Datei erstelle bzw. eine Vorhandene Datei so bearbeite, das ich in den GPO's beim ausblenden der Laufwerke über die vorhandene Auswahl A,B,C,D hinaus Buchstaben einfügen kann.
Alle kann ich nicht benutzen, da auf E die Daten der Nutzer liegen.
Muss also A, C-System, D-Programme, F und G als Optische Laufwerke ausblenden.

Danke
ANW


Ich habe die Lösung gefunden Danke.
11078
11078 08.11.2006 um 08:56:16 Uhr
Goto Top
Hallo,

lies mal hier nach:

Festplatte verstecken???


Tim
torbendietrich
torbendietrich 22.11.2006 um 09:27:41 Uhr
Goto Top
Hallo,

ich bin immer noch nicht sonderlich viel weiter gekommen, da sich immer wieder andere Probleme ergeben.
Meine Planung war nun um Diskettenlaufwerke, CD-ROM Laufwerke und Wechseldatenträger zu sperren, den Zugriff über eine Gruppenrichtlinie zu verweigern.
1. Problem man muss alle Laufwerksbuchstaben sperren damit sich der USB - Stick nicht einfach einen holen kann und aktiv ist. Allerdings arbeiten sehr viele User mit Netzlaufwerken. Deswegen ist es nicht so einfach, dass ich alles sperre, weil die User dann nicht mehr arbeiten können.
2. Problem ist das viele nur Festplatte C und andere wieder C&D Partitionen haben.

Muss ich jetzt für jedes Programm das nen Netzlaufwerk benutzt ne eigene Gruppenrichtlinie festlegen und das ganze dann mal 2 nehmen wegen den Partitionen.

Gibt es eventuell die Möglichkeit das ich sage falls nen wechseldatenträger angeschlossen wird darf er sich nur den Laufwerksbuchstaben h nehmen, damit ich nur den sperren muss.
Oder besteht die Möglichkeit das ich allen Domänen usern verbiete Wechseldatenträger anzuschließen? Ich glaube das wäre die einfachste Möglichkeit.

Ich hoffe das ich mir helfen könnt.

MfG

Torben Dietrich
ANW
ANW 22.11.2006 um 15:08:50 Uhr
Goto Top
Hallo,

als erstes kann ich Dir nur empfehlen, alle Clients gleich zu konfigurieren, z.B.: C:\System D:AnwenderProgramme E:Daten.
Absolutes muss wenn Du Ordnung rein bringen willst. Und wenn Du bei den Clients die jetzt nur ein C: Lw haben noch zwei vorerst ungenutzte Partitionen ran hängst.
Das stellt sicher, das wenn Du das Lw F: sperrst, es bei allen das Optische Lw ist.
Bezüglich des USB Port kannst Du über eine GPR den Dienst Wechselmedien deaktivieren und in den Sicherheitseinstellungen für den Dienst nur den Admin eintragen.
Somit sollte das Problem USB gelöst sein.
Für all die Nutzer die ein Netzlaufwerk benötigen, würde ich das Zentral über GPR einsteuern, und den Nutzern das Recht Laufwerke zu verbinden nehmen,
sonst blickst Du nie mehr durch, wenn jeder sein Lw mappt wie er gerade lustig ist. Dazu auch über GPR das Menü Verwalten am Arbeitsplatz ausblenden, damit niemand an den Lw Buchstaben Zuordnung rumspielen kann.
Wenn Du dann die zu verbindenden Lw ziemlich weit nach hinten, U: V:, legst kannst Du den USB auch über die Lw Sperre verhindern, Du musst aber beachten, die Systempartition (meistens Cface-smile darfst Du nur ausblenden, nicht verweigern. Das gilt auch für Lw auf denen noch weitere Anwendungssoftware installiert ist, in dessen Verzeichnisse der Nutzer schreiben muss.
Alle anderen Lw ausblenden und sperren. Die letzten Lw würde Y: Z: würde ich für Administrative dinge reservieren.

Gruß
ANW
ANW
ANW 22.11.2006 um 15:22:00 Uhr
Goto Top
Hallo,

lies mal hier nach:

Festplatte verstecken???


Tim

Hallo,

bin dem Link gefolgt, das war die Lösung.

Danke
ANW
torbendietrich
torbendietrich 23.11.2006 um 08:16:10 Uhr
Goto Top
das hört sich schon mal sehr gut an. Kannst du mir eventuell sagen wo ich die GPR Wechselmedien sperren finde? Ist die in den administrativen Vorlagen oder muss ich da selber ne ADM erstellen? Wenn ja kannst mir sagen wie die auszusehen hat?
Danke schon mal

Mfg

Torben
ANW
ANW 23.11.2006 um 09:57:42 Uhr
Goto Top
Hallo,

die Richtlinie findest Du unter >Computerkofiguration >Windows-Einstellungen >Sicherheitseinstellungen >Systemdienste >>Wechselmedien

Startmodus des Dienstes, auf Manuell und die Sicherheit bearbeiten.

MfG
ANW
torbendietrich
torbendietrich 23.11.2006 um 10:13:40 Uhr
Goto Top
Jo! Vielen Dank! das erspart mir ne Menge arbeit... ich wollte das erst über nen registry schlüssel lösen aber so ist es viel einfacher! Du scheinst ja ziemlich viel Ahnung über GPO´s zu haben, vielleicht kannst du mir noch bei ner anderen Sache weiter helfen. Ich hab die system.adm soweit erweitert das es die Option x,y,z gesperrt gibt. Das habe ich auf unserem PDC gemacht. wenn ich den gruppenrichtlinien editor lokal öffne ist es auch da aber wenn ich ihn domänen bezogen öffne, gibt es die option noch nicht. Ich dachte das sich der Domänenbezogene Gruppenrichtlinieneditor auf die system.adm des PDC bezieht, tut er aber anscheinend nicht. Kannst du mir sagen wie ich ihm sagen kann das er sich die vorlagen aus der system.adm vom PDC holen soll? Wär sehr nett

Mfg Torben
ANW
ANW 23.11.2006 um 11:41:40 Uhr
Goto Top
Hallo,

das gleiche Problem hatte ich auch, ich habe zwei System ADM auf meinem DC gefunden, eine in %SystemRoot%\inf und eine im %SystemRoot%\system32\GroupPolicy.
Ich hatte die in dem inf Verzeichnis bearbeitet, damit konnte ich mit dem GPR Tool lokal am DC arbeiten aber nicht in der Domäne.

Ich habe dann einfach eine neue GPR ertellt, damit wird im SysVoL deiner Domäne unter Policies ein neues Verzeichnis mit einer ID erstellt, diese ID findest Du auch unter Details deiner neu erstellten GPR, etwas so {513CCCBD-36B4-4AA7-B148-90E7F8531300}.
In dem Verzeichnis im SysVoL unter der ID deiner gerade erst erstellten GPR findest Du ein Verzeichnis ADM, dort ist auch eine System ADM, wenn Du diese bearbeitest, kannst Du anschließend in dem GPR Tool die Auswahl für deine x,y,z Lw finden und für die Domäne auswählen.

Wo beim erstellen der GPR die System ADM als Vorlage her kommt weiß ich auch nicht ,vermutlich aus der zweiten Quelle, habe ich aber noch nicht ausprobiert, ob wenn ich die System ADM aus dem GroupPolicy Verzeichnis bearbeite, diese dann als Vorlage für die Domäne hergenommen wird.

Wenn Du dann weitere GPR zum Lw sperren brauchst, kannst Du die erste kopieren, und hast die bearbeitete Sys ADM gleich in deiner neuen GPR ID.
Du musst aufpassen keine zwei GPRs mit Lw Sperren auf den gleichen Nutzer loszulassen, dann geht keine, Du musst alles was Du für einen Nutzer brauchst in einer ADM Programmieren.
Ich würde Dir auch noch empfehlen, das Gruppenrichtlinienverwaltungs- Tool gpmc.msc, gibts irgendwo bei MS in einem KIT such mal nach gpmc.msi ca. 4,9 MB, ist echt die Arbeit wert.
Gruß
ANW
torbendietrich
torbendietrich 23.11.2006 um 11:53:47 Uhr
Goto Top
jo das tool hab ich! Ist echt so gut zu gebrauchen... Vielen Dank für die Hilfe ich werd´s nachher gleich mal ausprobieren face-smile
torbendietrich
torbendietrich 29.11.2006 um 16:54:02 Uhr
Goto Top
Hi!

Das mit dem registry eintrag zum sperren von usbstorage klappt gut! Jetzt hab ich allerdings noch mal eine Frage.
Also ich habe den Schlüssel soweit verändert und exportiert.
Jetzt will ich den aber in der ganzen domäne verteilen und man kann ihn nur ausführen wenn man adminrechte hat.
Gibts irgend eine Möglichkeit den über eine Gruppenrichtlinie zu verteilen, sodass jeder den ausführen kann?
Danke schon mal

Mfg Torben
ANW
ANW 30.11.2006 um 14:48:10 Uhr
Goto Top
Hi!

Das mit dem registry eintrag zum sperren von
usbstorage klappt gut! Jetzt hab ich
allerdings noch mal eine Frage.
Also ich habe den Schlüssel soweit
verändert und exportiert.
Jetzt will ich den aber in der ganzen
domäne verteilen und man kann ihn nur
ausführen wenn man adminrechte hat.
Gibts irgend eine Möglichkeit den
über eine Gruppenrichtlinie zu
verteilen, sodass jeder den ausführen
kann?

Hallo,
das mit dem Registry Eintrag hast Du nicht von mir, da kann ich dir nicht weiterhelfen.
Ich hatte Dir empfohlen, die Sperrung via abschalten des Wechselmediendienst durch GPO zu versuchen.

Gruß
ANW
torbendietrich
torbendietrich 30.11.2006 um 14:56:35 Uhr
Goto Top
jo! das wär die einfachste Möglichkeit gewesen aber das hat leider nicht funktioniert. selbst wenn ich den dienst manuell deaktiviert habe, haben die sticks noch funktioniert.
Egbert
Egbert 30.11.2006 um 15:22:38 Uhr
Goto Top
Hallo Torben,

unter www.simplescripts.de findest Du ein sehr interessantes werkzeug um bestimmte Sachen dediziert zu sperren und freizugeben.

Is Freeware und nicht schlecht, funktioniert sehr gut.

Kommerziell würde ich zum Beispiel auf Drivelock zugreifen, astreine GPO Integration inclusive Reporting und Verschlüsselung.

Gruß
Egbert
ANW
ANW 30.11.2006 um 15:50:02 Uhr
Goto Top
Hallo,
dann kann ich dir auf die schnelle nur empfehlen, so viel Lw nach deinem C: bzw. D: auszublenden und zu verweigern, wie die meisten rechner USB anschlüsse haben, wenn sich das nicht mit deinen netz Lw beist. die ich auf jeden fall vereinheitlichen würde, sonst kommst du nie auf einen grünen zweig. ich betreue ca. 500 rechner und 20 server im netzwerk, da kannst du nur noch mit standards arbeiten.
Gruß
ANW
torbendietrich
torbendietrich 30.11.2006 um 15:54:24 Uhr
Goto Top
das wird sich beißen face-sad
naja dann werd ich mal das tool von dem poster unter mir probieren, wenn das nicht klappt verteil ich mein registry Paket wohl mit dem SMS von microsoft. das is aber nur zweite wahl weil der irgentwie nicht alle erkennt und den rest dann maunell machen muss... aber trotzdem danke für die hilfe