9
USB Port Sperrung, GPO über Server-Manager
Servus zusammen!
Es gibt bei mir ein kleines Problem, das wahrscheinlich gleich gelöst ist - Suchfunktion habe ich leider dazu noch nichts gefunden.
Ich möchte bei bestimmten Rechnern und Mitarbeiter über die Domäne, USB-Ports sperren. Leider klappt das dann nur auf allen Geräten und bei allen Mitarbeitern und nicht nur für diese bestimmten.
Ich erkläre mal kurz, was ich gemacht habe...
- Server-Manager --> Tools --> Gruppenrichtlinienverwaltung ausgewählt.
- An der Domäne DNS01.*.loc, rechtsklick, "Gruppenrichtlinienobjekt hier erstellen und verknüpfen..." ausgewählt und Name "USB Sperrung" vergeben.
- Ich habe jetzt unter DNS01.*.loc, noch die Einträge "Default Domain Policy" und "USB Sperrung"
- Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Richtlinien --> Administrative Vorlagen --> System --> Wechselmedienzugriff.
- Bei den 3 Punkten mit Wechseldatenträger den Status auf "Aktiviert" gesetzt.
- Weiter in der Gruppenrichtlinienverwaltung... Beim Punkt "Sicherheitsfilterung" habe ich Rechner und User hinzugefügt, wo die USB-Ports gesperrt werden sollen.
Das war es was ich gemacht habe.
Danach die Gruppenrichtlinien aktualisiert und die Ports sind gesperrt - leider nicht nur bei den ausgewählten, sondern bei allen.
Muss ich noch etwas verknüpfen damit nur die User aus der Sicherheitsfilterung blockiert sind?
Es gibt bei mir ein kleines Problem, das wahrscheinlich gleich gelöst ist - Suchfunktion habe ich leider dazu noch nichts gefunden.
Ich möchte bei bestimmten Rechnern und Mitarbeiter über die Domäne, USB-Ports sperren. Leider klappt das dann nur auf allen Geräten und bei allen Mitarbeitern und nicht nur für diese bestimmten.
Ich erkläre mal kurz, was ich gemacht habe...
- Server-Manager --> Tools --> Gruppenrichtlinienverwaltung ausgewählt.
- An der Domäne DNS01.*.loc, rechtsklick, "Gruppenrichtlinienobjekt hier erstellen und verknüpfen..." ausgewählt und Name "USB Sperrung" vergeben.
- Ich habe jetzt unter DNS01.*.loc, noch die Einträge "Default Domain Policy" und "USB Sperrung"
- Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Richtlinien --> Administrative Vorlagen --> System --> Wechselmedienzugriff.
- Bei den 3 Punkten mit Wechseldatenträger den Status auf "Aktiviert" gesetzt.
- Weiter in der Gruppenrichtlinienverwaltung... Beim Punkt "Sicherheitsfilterung" habe ich Rechner und User hinzugefügt, wo die USB-Ports gesperrt werden sollen.
Das war es was ich gemacht habe.
Danach die Gruppenrichtlinien aktualisiert und die Ports sind gesperrt - leider nicht nur bei den ausgewählten, sondern bei allen.
Muss ich noch etwas verknüpfen damit nur die User aus der Sicherheitsfilterung blockiert sind?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3265183360
Url: https://administrator.de/contentid/3265183360
Printed on: April 18, 2024 at 07:04 o'clock
9 Comments
Latest comment
Hallo,
leg doch eine Richtlinie an, wo du das einmal für die Computer die nicht die USB-Ports nutzbar machen sollen an, dazu legst du eine Gruppe im AD an mit den Computer wo keine USB-Ports nutzbar sein sollen und die fügst du dann bei Sicherheitsfilterung hinzu und dann musst du nur bei "Authentifizierte Benutzer" den Haken entfernen bei Gruppenrichtlinien übernehmen.
Dann legst du noch eine zweite an, wo du das für die Benutzer steuerst. Da machst du wieder das gleiche mit dem AD und dann der Sicherheitsfilterung.
Es hört sich für mich so an, als hättest du nicht den Haken bei "Authentifizierte Benutzer" entfernt, damit werden nämlich die Richtlinien auf alle angewendet.
Gruß Lukas
leg doch eine Richtlinie an, wo du das einmal für die Computer die nicht die USB-Ports nutzbar machen sollen an, dazu legst du eine Gruppe im AD an mit den Computer wo keine USB-Ports nutzbar sein sollen und die fügst du dann bei Sicherheitsfilterung hinzu und dann musst du nur bei "Authentifizierte Benutzer" den Haken entfernen bei Gruppenrichtlinien übernehmen.
Dann legst du noch eine zweite an, wo du das für die Benutzer steuerst. Da machst du wieder das gleiche mit dem AD und dann der Sicherheitsfilterung.
Es hört sich für mich so an, als hättest du nicht den Haken bei "Authentifizierte Benutzer" entfernt, damit werden nämlich die Richtlinien auf alle angewendet.
Gruß Lukas
Zitat von @steffepro:
- Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Richtlinien --> Administrative Vorlagen --> System --> Wechselmedienzugriff.
- Bei den 3 Punkten mit Wechseldatenträger den Status auf "Aktiviert" gesetzt.
- Weiter in der Gruppenrichtlinienverwaltung... Beim Punkt "Sicherheitsfilterung" habe ich Rechner und User hinzugefügt, wo die USB-Ports gesperrt werden sollen.
Das wichtigste hast du nicht genannt, es gibt die Richtlinie sowohl als Computer-GPO wie auch als User-GPO. Setzt du die Einstellung als Computer-GPO werden alle PCs die sie lesen können sie auch umsetzen, egal welcher User wo eingetragen ist oder auch nicht. Wenn also in der Delegierung "Authentifizierte Benutzer" steht trifft das auch auf jeden Computer zu, User unabhängig weil es eine Computer-GPO ist und die werden vor dem User-GPOs verarbeitet. Daher kann man die auch nicht User-abhängig setzen.- Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Richtlinien --> Administrative Vorlagen --> System --> Wechselmedienzugriff.
- Bei den 3 Punkten mit Wechseldatenträger den Status auf "Aktiviert" gesetzt.
- Weiter in der Gruppenrichtlinienverwaltung... Beim Punkt "Sicherheitsfilterung" habe ich Rechner und User hinzugefügt, wo die USB-Ports gesperrt werden sollen.
Du solltest dich unbedingt mehr in das Thema einarbeiten sonst wirst du damit nicht glücklich. Trenne sauber zwischen Computer-GPOs und User-GPOs sonst wirst du den Überblick verlieren.
1
Zitat von @lukas0209:
Hallo,
leg doch eine Richtlinie an, wo du das einmal für die Computer die nicht die USB-Ports nutzbar machen sollen an, dazu legst du eine Gruppe im AD an mit den Computer wo keine USB-Ports nutzbar sein sollen und die fügst du dann bei Sicherheitsfilterung hinzu und dann musst du nur bei "Authentifizierte Benutzer" den Haken entfernen bei Gruppenrichtlinien übernehmen.
Dann legst du noch eine zweite an, wo du das für die Benutzer steuerst. Da machst du wieder das gleiche mit dem AD und dann der Sicherheitsfilterung.
Es hört sich für mich so an, als hättest du nicht den Haken bei "Authentifizierte Benutzer" entfernt, damit werden nämlich die Richtlinien auf alle angewendet.
Gruß Lukas
Hallo,
leg doch eine Richtlinie an, wo du das einmal für die Computer die nicht die USB-Ports nutzbar machen sollen an, dazu legst du eine Gruppe im AD an mit den Computer wo keine USB-Ports nutzbar sein sollen und die fügst du dann bei Sicherheitsfilterung hinzu und dann musst du nur bei "Authentifizierte Benutzer" den Haken entfernen bei Gruppenrichtlinien übernehmen.
Dann legst du noch eine zweite an, wo du das für die Benutzer steuerst. Da machst du wieder das gleiche mit dem AD und dann der Sicherheitsfilterung.
Es hört sich für mich so an, als hättest du nicht den Haken bei "Authentifizierte Benutzer" entfernt, damit werden nämlich die Richtlinien auf alle angewendet.
Gruß Lukas
Hierbei ist zu beachten, dass man nach dem Entfernen aus der Sicherheitsfilterung im Nachgang unter "Delegierung" die Gruppe "Domänencomputer" mit Leserechten (Nicht "Gruppenrichtlinie übernehmen"!) hinzufügt.
Eine entsprechende Warnmeldung wird auch angezeigt, sobald man die Authentifizierten Benutzer aus der Sicherheitsfilterung löscht:
Zitat von @chaot1coz:
Hierbei ist zu beachten, dass man nach dem Entfernen aus der Sicherheitsfilterung im Nachgang unter "Delegierung" die Gruppe "Domänencomputer" mit Leserechten (Nicht "Gruppenrichtlinie übernehmen"!) hinzufügt.
Das ist mir bewusst, ich habe auch zu keinem Zeitpunkt über das entfernen bei der Gruppe "Domänencomputer" geschrieben. Zitat von @lukas0209:
Hallo,
leg doch eine Richtlinie an, wo du das einmal für die Computer die nicht die USB-Ports nutzbar machen sollen an, dazu legst du eine Gruppe im AD an mit den Computer wo keine USB-Ports nutzbar sein sollen und die fügst du dann bei Sicherheitsfilterung hinzu und dann musst du nur bei "Authentifizierte Benutzer" den Haken entfernen bei Gruppenrichtlinien übernehmen.
Dann legst du noch eine zweite an, wo du das für die Benutzer steuerst. Da machst du wieder das gleiche mit dem AD und dann der Sicherheitsfilterung.
Es hört sich für mich so an, als hättest du nicht den Haken bei "Authentifizierte Benutzer" entfernt, damit werden nämlich die Richtlinien auf alle angewendet.
Gruß Lukas
Hallo,
leg doch eine Richtlinie an, wo du das einmal für die Computer die nicht die USB-Ports nutzbar machen sollen an, dazu legst du eine Gruppe im AD an mit den Computer wo keine USB-Ports nutzbar sein sollen und die fügst du dann bei Sicherheitsfilterung hinzu und dann musst du nur bei "Authentifizierte Benutzer" den Haken entfernen bei Gruppenrichtlinien übernehmen.
Dann legst du noch eine zweite an, wo du das für die Benutzer steuerst. Da machst du wieder das gleiche mit dem AD und dann der Sicherheitsfilterung.
Es hört sich für mich so an, als hättest du nicht den Haken bei "Authentifizierte Benutzer" entfernt, damit werden nämlich die Richtlinien auf alle angewendet.
Gruß Lukas
Hierbei ist zu beachten, dass man nach dem Entfernen aus der Sicherheitsfilterung im Nachgang unter "Delegierung" die Gruppe "Domänencomputer" mit Leserechten (Nicht "Gruppenrichtlinie übernehmen"!) hinzufügt.
Ich habe nur davon geschrieben, dass bei der Sicherheitsfilterung die Haken bei den jeweiligen Gruppen entfernt werden müssen und das sind die Haken bei "Gruppenrichtlinie übernehmen" und nicht die kompletten Leserechte wegzunehmen.
Eine entsprechende Warnmeldung wird auch angezeigt, sobald man die Authentifizierten Benutzer aus der Sicherheitsfilterung löscht:
Danke für den Hinweis mit den verschiedenen GPO´s.
Ich bin da mehr oder weniger reingewachsen... Ich habe mit einem Freund eine Firma (nicht IT) und dort sind mittlerweile etliche Computerarbeitsplätze entstanden. Ich muss mich da, wie Du gesagt hast, mehr einlesen!
Ich hänge hier mal ein Bild mit dran wie es gerade aussieht.
Kann/darf ich jetzt die "Authentifizierte Benutzer" einfach entfernen? Sind die dann nur in der Gruppenrichtlinienverwaltung "USB Sperrung" gelöscht? Nicht dass dann alle Profile weg sind...
Ich bin da mehr oder weniger reingewachsen... Ich habe mit einem Freund eine Firma (nicht IT) und dort sind mittlerweile etliche Computerarbeitsplätze entstanden. Ich muss mich da, wie Du gesagt hast, mehr einlesen!
Ich hänge hier mal ein Bild mit dran wie es gerade aussieht.
Kann/darf ich jetzt die "Authentifizierte Benutzer" einfach entfernen? Sind die dann nur in der Gruppenrichtlinienverwaltung "USB Sperrung" gelöscht? Nicht dass dann alle Profile weg sind...
Leider sagt das Bild nichts darüber aus wo du die Einstellung nun gesetzt hast, unter
Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Computerkonfiguration --> Administrative Vorlagen --> System --> Wechselmedienzugriff
oder
Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Benutzerkonfiguration --> Administrative Vorlagen --> System --> Wechselmedienzugriff
Einzelne PCs und Authentifizierte Benutzer in der Sicherheitsfilterung zu haben macht auch keinen wirklichen Sinn weil durch Authentifizierte Benutzer ALLE PCs die GPO lesen können, somit auch die die du einzeln hinzugefügt hast. Aber am Anfang steht immer die Frage werden Computer- oder Benutzereinstellungen durch die GPO gesetzt.
Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Computerkonfiguration --> Administrative Vorlagen --> System --> Wechselmedienzugriff
oder
Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Benutzerkonfiguration --> Administrative Vorlagen --> System --> Wechselmedienzugriff
Einzelne PCs und Authentifizierte Benutzer in der Sicherheitsfilterung zu haben macht auch keinen wirklichen Sinn weil durch Authentifizierte Benutzer ALLE PCs die GPO lesen können, somit auch die die du einzeln hinzugefügt hast. Aber am Anfang steht immer die Frage werden Computer- oder Benutzereinstellungen durch die GPO gesetzt.
Zitat von @ukulele-7:
Leider sagt das Bild nichts darüber aus wo du die Einstellung nun gesetzt hast, unter
Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Computerkonfiguration --> Administrative Vorlagen --> System --> Wechselmedienzugriff
oder
Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Benutzerkonfiguration --> Administrative Vorlagen --> System --> Wechselmedienzugriff
Leider sagt das Bild nichts darüber aus wo du die Einstellung nun gesetzt hast, unter
Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Computerkonfiguration --> Administrative Vorlagen --> System --> Wechselmedienzugriff
oder
Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Benutzerkonfiguration --> Administrative Vorlagen --> System --> Wechselmedienzugriff
Habe ich unter "Benutzerkontenkonfiguration" so gesetzt.
Der Server wurde von extern eingerichtet - ich glaube, dass da noch mehr nicht so Rund läuft. Die Firma gibt es aber schon zwei Jahre nicht mehr.
Okay wenn du eine Benutzerbezogene Einstellung per GPO verteilst und jeder Rechner sie lesen darf (über Authentifizierte Benutzer), dann setzt du keine Einschränkung.
Möglichkeit 1 (bevorzugt): Hänge die GPO an die OU mit den Benutzerkonten (ohne Computer), nicht an die Gesamtstruktur der Domain. Dann wird sie auch nur von Benutzern gelesen.
Möglichkeit 2: Nimm Authentifizierte Benutzer aus der Sicherheitsfilterung raus. Setze bei Delegierung Domänencomputer rein (siehe @chaot1coz ) und nimm die Benutzer in den Sicherheitsfilter auf die die GPO anwenden sollen.
Möglichkeit 1 (bevorzugt): Hänge die GPO an die OU mit den Benutzerkonten (ohne Computer), nicht an die Gesamtstruktur der Domain. Dann wird sie auch nur von Benutzern gelesen.
Möglichkeit 2: Nimm Authentifizierte Benutzer aus der Sicherheitsfilterung raus. Setze bei Delegierung Domänencomputer rein (siehe @chaot1coz ) und nimm die Benutzer in den Sicherheitsfilter auf die die GPO anwenden sollen.
Ok, ich werde mich an der Möglichkeit 1 orientieren.
Ich danke euch schon einmal für eure Tipps und Ratschläge!
Ich danke euch schon einmal für eure Tipps und Ratschläge!
