11
USB-Datenträger via Gruppenrichtlinie blockieren?
Hallo,
ich habe schon einige Versuche hinter mir und habe auch schon im Netz recherchiert, bisher aber keine Lösung für mein Problem ohne Zuhilfenahme weiterer Tools gefunden:
Ich muss in der Firma, deren Rechner ich administriere, die Nutzung von USB-Datenträgern unterbinden.
Und zwar soll das Ganze Benutzer-spezifisch ablaufen, also dass ich nur bestimmte Nutzer für USB-Datenträger freischalten kann, dies bei allen anderen Nutzern aber blockiert wird.
Tools wie USB-Wächter sind mir bekannt, hier muss aber jeder Rechner einzeln konfiguriert werden und hier funktionieren USB-EIngeräte manchmal nicht.
Habe nun schon den passenden Registry-Eintrag für Wechselmedien gefunden (Wechselmedien können gern generell blockiert werden),
hier meine entsprechenden ADM-Inhalte:
Angezeigt wird's auch, jedoch wird die Einstellung auch nach "gpupdate /force" nicht übernommen.
Was mich auch wundert ist, dass die 3 oben genannten Einstellungen nur angezeigt werden, wenn ich unter Ansicht > Filterung das Häkchen bei "Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen" entferne, ansonsten ist die Kategorie leer.
Vielen Dank für eure Hilfe
Sebastian
ich habe schon einige Versuche hinter mir und habe auch schon im Netz recherchiert, bisher aber keine Lösung für mein Problem ohne Zuhilfenahme weiterer Tools gefunden:
Ich muss in der Firma, deren Rechner ich administriere, die Nutzung von USB-Datenträgern unterbinden.
Und zwar soll das Ganze Benutzer-spezifisch ablaufen, also dass ich nur bestimmte Nutzer für USB-Datenträger freischalten kann, dies bei allen anderen Nutzern aber blockiert wird.
Tools wie USB-Wächter sind mir bekannt, hier muss aber jeder Rechner einzeln konfiguriert werden und hier funktionieren USB-EIngeräte manchmal nicht.
Habe nun schon den passenden Registry-Eintrag für Wechselmedien gefunden (Wechselmedien können gern generell blockiert werden),
hier meine entsprechenden ADM-Inhalte:
CLASS USER
CATEGORY "Dienste und Gerätetreiber"
CATEGORY "USB"
POLICY "USB-Massenspeichertreiber"
KEYNAME "System\CurrentControlSet\Services\usbstor"
PART "Startzeitpunkt" DROPDOWNLIST
VALUENAME "Start"
ITEMLIST
NAME "Bootzeitpunkt" VALUE NUMERIC 0
NAME "Systemstart" VALUE NUMERIC 1
NAME "Automatisch" VALUE NUMERIC 2 DEFAULT
NAME "Manuell" VALUE NUMERIC 3
NAME "Deaktiviert" VALUE NUMERIC 4
END ITEMLIST
END PART
EXPLAIN "USB-Treiber aktivieren oder deaktivieren"
END POLICY
POLICY "USB schreibschützen"
KEYNAME System\CurrentControlSet\Control\StorageDevicePolicies
VALUENAME WriteProtect
VALUEON 1 VALUEOFF 0
EXPLAIN "USB-Schreibschutz an/ausschalten"
END POLICY
POLICY "Wechselmedien-Dienst"
KEYNAME "System\CurrentControlSet\Services\NtmsSvc"
PART "Startzeitpunkt" DROPDOWNLIST
VALUENAME "Start"
ITEMLIST
NAME "Bootzeitpunkt" VALUE NUMERIC 0
NAME "Systemstart" VALUE NUMERIC 1
NAME "Automatisch" VALUE NUMERIC 2 DEFAULT
NAME "Manuell" VALUE NUMERIC 3
NAME "Deaktiviert" VALUE NUMERIC 4
END ITEMLIST
END PART
EXPLAIN "Nutzung von Wechselmedien blockieren (Nötigen Dienst deaktivieren)"
END POLICY
END CATEGORY
END CATEGORY Angezeigt wird's auch, jedoch wird die Einstellung auch nach "gpupdate /force" nicht übernommen.
Was mich auch wundert ist, dass die 3 oben genannten Einstellungen nur angezeigt werden, wenn ich unter Ansicht > Filterung das Häkchen bei "Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen" entferne, ansonsten ist die Kategorie leer.
Vielen Dank für eure Hilfe
Sebastian
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 166227
Url: https://administrator.de/contentid/166227
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
von welchem BS reden wir hier 2003/2008 ? In den GPO Templates gibt es schon die Einstellungen für "Massenspeicher blockieren". Und dann könntest du eine Gruppe erstellen, bei welchen usern das alles blockiert wird. Und nur bei dieser Gruppe, soll die GPO angewendet werden.
Mfg
Xearo
von welchem BS reden wir hier 2003/2008 ? In den GPO Templates gibt es schon die Einstellungen für "Massenspeicher blockieren". Und dann könntest du eine Gruppe erstellen, bei welchen usern das alles blockiert wird. Und nur bei dieser Gruppe, soll die GPO angewendet werden.
Mfg
Xearo
Clients sind Windows XP - Rechner,
Server ist Windows Server 2003.
Wo finde ich diese Einstellungen?
Habe noch nichts dergleichen gefunden
Viele Grüße und Danke schonmal
Sebastian
Server ist Windows Server 2003.
Wo finde ich diese Einstellungen?
Habe noch nichts dergleichen gefunden
Viele Grüße und Danke schonmal
Sebastian
Hallo!
für XP gibt es die oben beschriebene Gruppenrichtlinie noch nicht...
aber:
es gäbe einen workaround, in dem Du
a) die Laufwerksbuchstaben (dh, alle ausser c: und dem für das DVD-LW) ausblendest und
b) die Verwendung der command-shell über den hash-wert verbietest.
siehe hier-> http://www.schulnetz.info/wie-gestalte-ich-eine-prufung-unter-verwendun ...
der Wert, der die entsprechenden Buchstaben ausblendet, lässt sich mit diesem Tool errechnen:
http://www.wisdombay.com/hidedrive/index.php
hier noch etwas:
http://www.winxperts4all.at/index.php?option=com_content&view=artic ...
lg
edi
für XP gibt es die oben beschriebene Gruppenrichtlinie noch nicht...
aber:
es gäbe einen workaround, in dem Du
a) die Laufwerksbuchstaben (dh, alle ausser c: und dem für das DVD-LW) ausblendest und
b) die Verwendung der command-shell über den hash-wert verbietest.
siehe hier-> http://www.schulnetz.info/wie-gestalte-ich-eine-prufung-unter-verwendun ...
der Wert, der die entsprechenden Buchstaben ausblendet, lässt sich mit diesem Tool errechnen:
http://www.wisdombay.com/hidedrive/index.php
hier noch etwas:
http://www.winxperts4all.at/index.php?option=com_content&view=artic ...
lg
edi
Das Problem ist, dass wir unterschiedliche Rechner mit einer unterschiedlichen Laufwerksanzahl haben.
Manche haben c-e, manche nur c:\
Dazu werden noch Netzlaufwerke beim Start über Logonscript eingebunden...
Gehts denn über "meine" Variante nicht?
Hab da wohl irgendwo einen Fehler drin...oder geht das generell nicht?
Manche haben c-e, manche nur c:\
Dazu werden noch Netzlaufwerke beim Start über Logonscript eingebunden...
Gehts denn über "meine" Variante nicht?
Hab da wohl irgendwo einen Fehler drin...oder geht das generell nicht?
noch eine Anmerkung für Nachkommende:
sind 2 Dinge, die nicht zusammenpassen...
wenn der Startzeitpunkt zb auf "systemstart" stehen soll, dann muss dieser LAAANGE vor der Anmeldung des jeweiligen Benutzers gelegen haben
dh, dieses ADM - so es funktioniert - kannst du bestenfalls als ADM bei der Computerkonfiguration zum Einsatz bringen...
(so nebenbei...)
Und zwar soll das Ganze Benutzer-spezifisch ablaufen...
und PART "Startzeitpunkt" DROPDOWNLIST
08.
VALUENAME "Start"
09.
ITEMLIST
10.
NAME "Bootzeitpunkt" VALUE NUMERIC 0
11.
NAME "Systemstart" VALUE NUMERIC 1
12.
NAME "Automatisch" VALUE NUMERIC 2 DEFAULT
13.
NAME "Manuell" VALUE NUMERIC 3
14.
NAME "Deaktiviert" VALUE NUMERIC 4 wenn der Startzeitpunkt zb auf "systemstart" stehen soll, dann muss dieser LAAANGE vor der Anmeldung des jeweiligen Benutzers gelegen haben
dh, dieses ADM - so es funktioniert - kannst du bestenfalls als ADM bei der Computerkonfiguration zum Einsatz bringen...
(so nebenbei...)
Das heißt, die Dienste laufen quasi immer unabhängig wer angemeldet ist?
Dachte, das könnte man dadurch beeinflussen...
Dachte, das könnte man dadurch beeinflussen...
hallo!
du kannst per Logonscript natürlich einzelne Dienste Starten bzw. Stoppen...
aber: das Problem dabei ist, dass der jeweilige User, der sich anmeldet, dafür über Administratorenrechte verfügen muss...
und wenn er die hat (weil Du ihn in die Gruppe der lokalen Admins steckst), dann kann er sich natürlich danach den Dienst wieder aktivieren...
also, für meine bescheidenen Kenntnisse würde ich meinen:
nein, Dein Lösungsweg funktioniert so leider nicht....
was die unterschiedlichen Rechner angeht:
mach einfach für jedes Modell eine eigene Gruppenrichtlinie...
damit du die verschiedenen Gruppenrichtlinien zuweisen kannst, musst Du
a) die jeweiligen Modelle in eine eigene Unter-OU schieben
b) über einen WMI-Filter die Gruppenrichtlinie aufrufen...
(zu b) hab ich heute vormittag zufällig einen Artikel auf meinem Blog geschrieben...
das Script wmi_computerinfos_in_txt.vbs sollte Dir die Infos über die unterschiedlichen Clients liefern...
danach filterst Du und gut ists...)
würde mich freuen, wenn Du uns wissen lassen würdest, ob dieser Ansatz Dein Problem beseitigen konnte (damit Nachfolgende sich leichter tun...
gutes Gelingen
lg
du kannst per Logonscript natürlich einzelne Dienste Starten bzw. Stoppen...
aber: das Problem dabei ist, dass der jeweilige User, der sich anmeldet, dafür über Administratorenrechte verfügen muss...
und wenn er die hat (weil Du ihn in die Gruppe der lokalen Admins steckst), dann kann er sich natürlich danach den Dienst wieder aktivieren...
also, für meine bescheidenen Kenntnisse würde ich meinen:
nein, Dein Lösungsweg funktioniert so leider nicht....
was die unterschiedlichen Rechner angeht:
mach einfach für jedes Modell eine eigene Gruppenrichtlinie...
damit du die verschiedenen Gruppenrichtlinien zuweisen kannst, musst Du
a) die jeweiligen Modelle in eine eigene Unter-OU schieben
b) über einen WMI-Filter die Gruppenrichtlinie aufrufen...
(zu b) hab ich heute vormittag zufällig einen Artikel auf meinem Blog geschrieben...
das Script wmi_computerinfos_in_txt.vbs sollte Dir die Infos über die unterschiedlichen Clients liefern...
danach filterst Du und gut ists...)
würde mich freuen, wenn Du uns wissen lassen würdest, ob dieser Ansatz Dein Problem beseitigen konnte (damit Nachfolgende sich leichter tun...
gutes Gelingen
lg
Hallo!
Die Nutzer haben natürlich keine Admin-Rechte, daher fällt der Weg via Logonscript sowieso weg.
Wir haben > 30 Rechner und noch mehr Konfigurationen, da wird das mit den unterschiedlichen Gruppen doch sehr schwierig...
Schade, dachte ich könnte es einfach über die oben beschriebene Gruppenrichtlinie lösen, wäre natürlich der einfachste Weg...
Naja, muss schauen und werd dann Rückmeldung geben.
Gruß
Sebastian
Die Nutzer haben natürlich keine Admin-Rechte, daher fällt der Weg via Logonscript sowieso weg.
Wir haben > 30 Rechner und noch mehr Konfigurationen, da wird das mit den unterschiedlichen Gruppen doch sehr schwierig...
Schade, dachte ich könnte es einfach über die oben beschriebene Gruppenrichtlinie lösen, wäre natürlich der einfachste Weg...
Naja, muss schauen und werd dann Rückmeldung geben.
Gruß
Sebastian
Möchte nach über einem Jahr doch mal Rückmeldung geben:
Am Ende hat das Rumspielen mit Gruppenrichtlinien oder so nichts gebracht,
ich habe an jedem Rechner das Tool "USB Wächter" (http://www.trinit-soft.de/usb-waechter/) installiert,
damit gings dann...
Viele Grüße
Sebastian
Am Ende hat das Rumspielen mit Gruppenrichtlinien oder so nichts gebracht,
ich habe an jedem Rechner das Tool "USB Wächter" (http://www.trinit-soft.de/usb-waechter/) installiert,
damit gings dann...
Viele Grüße
Sebastian
Hallo!
eine kleine Erweiterung hätte ich auch noch:
Ab Windows Vista gäbe es auch
• Computerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff
• Benutzerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff
lg
eine kleine Erweiterung hätte ich auch noch:
Ab Windows Vista gäbe es auch
• Computerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff
• Benutzerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff
lg
Danke, da nun die ersten Windows 7 - Rechner eintrudeln, könnte man dort ja hoffentlich auf das Tool verzichten 
