steffepro
Goto Top

USB Port Sperrung, GPO über Server-Manager

Servus zusammen!

Es gibt bei mir ein kleines Problem, das wahrscheinlich gleich gelöst ist - Suchfunktion habe ich leider dazu noch nichts gefunden.
Ich möchte bei bestimmten Rechnern und Mitarbeiter über die Domäne, USB-Ports sperren. Leider klappt das dann nur auf allen Geräten und bei allen Mitarbeitern und nicht nur für diese bestimmten.

Ich erkläre mal kurz, was ich gemacht habe...

- Server-Manager --> Tools --> Gruppenrichtlinienverwaltung ausgewählt.
- An der Domäne DNS01.*.loc, rechtsklick, "Gruppenrichtlinienobjekt hier erstellen und verknüpfen..." ausgewählt und Name "USB Sperrung" vergeben.
- Ich habe jetzt unter DNS01.
*.loc, noch die Einträge "Default Domain Policy" und "USB Sperrung"
- Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Richtlinien --> Administrative Vorlagen --> System --> Wechselmedienzugriff.
- Bei den 3 Punkten mit Wechseldatenträger den Status auf "Aktiviert" gesetzt.
- Weiter in der Gruppenrichtlinienverwaltung... Beim Punkt "Sicherheitsfilterung" habe ich Rechner und User hinzugefügt, wo die USB-Ports gesperrt werden sollen.

Das war es was ich gemacht habe.
Danach die Gruppenrichtlinien aktualisiert und die Ports sind gesperrt - leider nicht nur bei den ausgewählten, sondern bei allen.
Muss ich noch etwas verknüpfen damit nur die User aus der Sicherheitsfilterung blockiert sind?

Content-ID: 3265183360

Url: https://administrator.de/forum/usb-port-sperrung-gpo-ueber-server-manager-3265183360.html

Ausgedruckt am: 24.12.2024 um 17:12 Uhr

lukas0209
lukas0209 06.07.2022 aktualisiert um 08:58:27 Uhr
Goto Top
Hallo,

leg doch eine Richtlinie an, wo du das einmal für die Computer die nicht die USB-Ports nutzbar machen sollen an, dazu legst du eine Gruppe im AD an mit den Computer wo keine USB-Ports nutzbar sein sollen und die fügst du dann bei Sicherheitsfilterung hinzu und dann musst du nur bei "Authentifizierte Benutzer" den Haken entfernen bei Gruppenrichtlinien übernehmen.
Dann legst du noch eine zweite an, wo du das für die Benutzer steuerst. Da machst du wieder das gleiche mit dem AD und dann der Sicherheitsfilterung.

Es hört sich für mich so an, als hättest du nicht den Haken bei "Authentifizierte Benutzer" entfernt, damit werden nämlich die Richtlinien auf alle angewendet.

Gruß Lukas
ukulele-7
ukulele-7 06.07.2022 um 09:11:18 Uhr
Goto Top
Zitat von @steffepro:

- Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Richtlinien --> Administrative Vorlagen --> System --> Wechselmedienzugriff.
- Bei den 3 Punkten mit Wechseldatenträger den Status auf "Aktiviert" gesetzt.
- Weiter in der Gruppenrichtlinienverwaltung... Beim Punkt "Sicherheitsfilterung" habe ich Rechner und User hinzugefügt, wo die USB-Ports gesperrt werden sollen.
Das wichtigste hast du nicht genannt, es gibt die Richtlinie sowohl als Computer-GPO wie auch als User-GPO. Setzt du die Einstellung als Computer-GPO werden alle PCs die sie lesen können sie auch umsetzen, egal welcher User wo eingetragen ist oder auch nicht. Wenn also in der Delegierung "Authentifizierte Benutzer" steht trifft das auch auf jeden Computer zu, User unabhängig weil es eine Computer-GPO ist und die werden vor dem User-GPOs verarbeitet. Daher kann man die auch nicht User-abhängig setzen.

Du solltest dich unbedingt mehr in das Thema einarbeiten sonst wirst du damit nicht glücklich. Trenne sauber zwischen Computer-GPOs und User-GPOs sonst wirst du den Überblick verlieren.
3063370895
3063370895 06.07.2022 aktualisiert um 09:13:43 Uhr
Goto Top
Zitat von @lukas0209:

Hallo,

leg doch eine Richtlinie an, wo du das einmal für die Computer die nicht die USB-Ports nutzbar machen sollen an, dazu legst du eine Gruppe im AD an mit den Computer wo keine USB-Ports nutzbar sein sollen und die fügst du dann bei Sicherheitsfilterung hinzu und dann musst du nur bei "Authentifizierte Benutzer" den Haken entfernen bei Gruppenrichtlinien übernehmen.
Dann legst du noch eine zweite an, wo du das für die Benutzer steuerst. Da machst du wieder das gleiche mit dem AD und dann der Sicherheitsfilterung.

Es hört sich für mich so an, als hättest du nicht den Haken bei "Authentifizierte Benutzer" entfernt, damit werden nämlich die Richtlinien auf alle angewendet.

Gruß Lukas

Hierbei ist zu beachten, dass man nach dem Entfernen aus der Sicherheitsfilterung im Nachgang unter "Delegierung" die Gruppe "Domänencomputer" mit Leserechten (Nicht "Gruppenrichtlinie übernehmen"!) hinzufügt.

Eine entsprechende Warnmeldung wird auch angezeigt, sobald man die Authentifizierten Benutzer aus der Sicherheitsfilterung löscht:
2022-07-06 09_12_59-window
lukas0209
lukas0209 06.07.2022 aktualisiert um 09:53:28 Uhr
Goto Top
Zitat von @chaot1coz:

Zitat von @lukas0209:

Hallo,

leg doch eine Richtlinie an, wo du das einmal für die Computer die nicht die USB-Ports nutzbar machen sollen an, dazu legst du eine Gruppe im AD an mit den Computer wo keine USB-Ports nutzbar sein sollen und die fügst du dann bei Sicherheitsfilterung hinzu und dann musst du nur bei "Authentifizierte Benutzer" den Haken entfernen bei Gruppenrichtlinien übernehmen.
Dann legst du noch eine zweite an, wo du das für die Benutzer steuerst. Da machst du wieder das gleiche mit dem AD und dann der Sicherheitsfilterung.

Es hört sich für mich so an, als hättest du nicht den Haken bei "Authentifizierte Benutzer" entfernt, damit werden nämlich die Richtlinien auf alle angewendet.

Gruß Lukas

Hierbei ist zu beachten, dass man nach dem Entfernen aus der Sicherheitsfilterung im Nachgang unter "Delegierung" die Gruppe "Domänencomputer" mit Leserechten (Nicht "Gruppenrichtlinie übernehmen"!) hinzufügt.
Das ist mir bewusst, ich habe auch zu keinem Zeitpunkt über das entfernen bei der Gruppe "Domänencomputer" geschrieben. face-smile
Ich habe nur davon geschrieben, dass bei der Sicherheitsfilterung die Haken bei den jeweiligen Gruppen entfernt werden müssen und das sind die Haken bei "Gruppenrichtlinie übernehmen" und nicht die kompletten Leserechte wegzunehmen.

Eine entsprechende Warnmeldung wird auch angezeigt, sobald man die Authentifizierten Benutzer aus der Sicherheitsfilterung löscht:
2022-07-06 09_12_59-window
steffepro
steffepro 06.07.2022 um 09:36:40 Uhr
Goto Top
Danke für den Hinweis mit den verschiedenen GPO´s.
Ich bin da mehr oder weniger reingewachsen... Ich habe mit einem Freund eine Firma (nicht IT) und dort sind mittlerweile etliche Computerarbeitsplätze entstanden. Ich muss mich da, wie Du gesagt hast, mehr einlesen!
Ich hänge hier mal ein Bild mit dran wie es gerade aussieht.
Kann/darf ich jetzt die "Authentifizierte Benutzer" einfach entfernen? Sind die dann nur in der Gruppenrichtlinienverwaltung "USB Sperrung" gelöscht? Nicht dass dann alle Profile weg sind...
002
ukulele-7
ukulele-7 06.07.2022 um 09:55:23 Uhr
Goto Top
Leider sagt das Bild nichts darüber aus wo du die Einstellung nun gesetzt hast, unter
Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Computerkonfiguration --> Administrative Vorlagen --> System --> Wechselmedienzugriff
oder
Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Benutzerkonfiguration --> Administrative Vorlagen --> System --> Wechselmedienzugriff

Einzelne PCs und Authentifizierte Benutzer in der Sicherheitsfilterung zu haben macht auch keinen wirklichen Sinn weil durch Authentifizierte Benutzer ALLE PCs die GPO lesen können, somit auch die die du einzeln hinzugefügt hast. Aber am Anfang steht immer die Frage werden Computer- oder Benutzereinstellungen durch die GPO gesetzt.
steffepro
steffepro 06.07.2022 um 10:02:43 Uhr
Goto Top
Zitat von @ukulele-7:

Leider sagt das Bild nichts darüber aus wo du die Einstellung nun gesetzt hast, unter
Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Computerkonfiguration --> Administrative Vorlagen --> System --> Wechselmedienzugriff
oder
Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Benutzerkonfiguration --> Administrative Vorlagen --> System --> Wechselmedienzugriff


Habe ich unter "Benutzerkontenkonfiguration" so gesetzt.
Der Server wurde von extern eingerichtet - ich glaube, dass da noch mehr nicht so Rund läuft. Die Firma gibt es aber schon zwei Jahre nicht mehr.
ukulele-7
Lösung ukulele-7 06.07.2022 um 10:24:05 Uhr
Goto Top
Okay wenn du eine Benutzerbezogene Einstellung per GPO verteilst und jeder Rechner sie lesen darf (über Authentifizierte Benutzer), dann setzt du keine Einschränkung.

Möglichkeit 1 (bevorzugt): Hänge die GPO an die OU mit den Benutzerkonten (ohne Computer), nicht an die Gesamtstruktur der Domain. Dann wird sie auch nur von Benutzern gelesen.

Möglichkeit 2: Nimm Authentifizierte Benutzer aus der Sicherheitsfilterung raus. Setze bei Delegierung Domänencomputer rein (siehe @chaot1coz ) und nimm die Benutzer in den Sicherheitsfilter auf die die GPO anwenden sollen.
steffepro
steffepro 06.07.2022 um 10:44:01 Uhr
Goto Top
Ok, ich werde mich an der Möglichkeit 1 orientieren.
Ich danke euch schon einmal für eure Tipps und Ratschläge!