USB Port Sperrung, GPO über Server-Manager
Servus zusammen!
Es gibt bei mir ein kleines Problem, das wahrscheinlich gleich gelöst ist - Suchfunktion habe ich leider dazu noch nichts gefunden.
Ich möchte bei bestimmten Rechnern und Mitarbeiter über die Domäne, USB-Ports sperren. Leider klappt das dann nur auf allen Geräten und bei allen Mitarbeitern und nicht nur für diese bestimmten.
Ich erkläre mal kurz, was ich gemacht habe...
- Server-Manager --> Tools --> Gruppenrichtlinienverwaltung ausgewählt.
- An der Domäne DNS01.*.loc, rechtsklick, "Gruppenrichtlinienobjekt hier erstellen und verknüpfen..." ausgewählt und Name "USB Sperrung" vergeben.
- Ich habe jetzt unter DNS01.*.loc, noch die Einträge "Default Domain Policy" und "USB Sperrung"
- Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Richtlinien --> Administrative Vorlagen --> System --> Wechselmedienzugriff.
- Bei den 3 Punkten mit Wechseldatenträger den Status auf "Aktiviert" gesetzt.
- Weiter in der Gruppenrichtlinienverwaltung... Beim Punkt "Sicherheitsfilterung" habe ich Rechner und User hinzugefügt, wo die USB-Ports gesperrt werden sollen.
Das war es was ich gemacht habe.
Danach die Gruppenrichtlinien aktualisiert und die Ports sind gesperrt - leider nicht nur bei den ausgewählten, sondern bei allen.
Muss ich noch etwas verknüpfen damit nur die User aus der Sicherheitsfilterung blockiert sind?
Es gibt bei mir ein kleines Problem, das wahrscheinlich gleich gelöst ist - Suchfunktion habe ich leider dazu noch nichts gefunden.
Ich möchte bei bestimmten Rechnern und Mitarbeiter über die Domäne, USB-Ports sperren. Leider klappt das dann nur auf allen Geräten und bei allen Mitarbeitern und nicht nur für diese bestimmten.
Ich erkläre mal kurz, was ich gemacht habe...
- Server-Manager --> Tools --> Gruppenrichtlinienverwaltung ausgewählt.
- An der Domäne DNS01.*.loc, rechtsklick, "Gruppenrichtlinienobjekt hier erstellen und verknüpfen..." ausgewählt und Name "USB Sperrung" vergeben.
- Ich habe jetzt unter DNS01.*.loc, noch die Einträge "Default Domain Policy" und "USB Sperrung"
- Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Richtlinien --> Administrative Vorlagen --> System --> Wechselmedienzugriff.
- Bei den 3 Punkten mit Wechseldatenträger den Status auf "Aktiviert" gesetzt.
- Weiter in der Gruppenrichtlinienverwaltung... Beim Punkt "Sicherheitsfilterung" habe ich Rechner und User hinzugefügt, wo die USB-Ports gesperrt werden sollen.
Das war es was ich gemacht habe.
Danach die Gruppenrichtlinien aktualisiert und die Ports sind gesperrt - leider nicht nur bei den ausgewählten, sondern bei allen.
Muss ich noch etwas verknüpfen damit nur die User aus der Sicherheitsfilterung blockiert sind?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3265183360
Url: https://administrator.de/forum/usb-port-sperrung-gpo-ueber-server-manager-3265183360.html
Ausgedruckt am: 24.12.2024 um 17:12 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
leg doch eine Richtlinie an, wo du das einmal für die Computer die nicht die USB-Ports nutzbar machen sollen an, dazu legst du eine Gruppe im AD an mit den Computer wo keine USB-Ports nutzbar sein sollen und die fügst du dann bei Sicherheitsfilterung hinzu und dann musst du nur bei "Authentifizierte Benutzer" den Haken entfernen bei Gruppenrichtlinien übernehmen.
Dann legst du noch eine zweite an, wo du das für die Benutzer steuerst. Da machst du wieder das gleiche mit dem AD und dann der Sicherheitsfilterung.
Es hört sich für mich so an, als hättest du nicht den Haken bei "Authentifizierte Benutzer" entfernt, damit werden nämlich die Richtlinien auf alle angewendet.
Gruß Lukas
leg doch eine Richtlinie an, wo du das einmal für die Computer die nicht die USB-Ports nutzbar machen sollen an, dazu legst du eine Gruppe im AD an mit den Computer wo keine USB-Ports nutzbar sein sollen und die fügst du dann bei Sicherheitsfilterung hinzu und dann musst du nur bei "Authentifizierte Benutzer" den Haken entfernen bei Gruppenrichtlinien übernehmen.
Dann legst du noch eine zweite an, wo du das für die Benutzer steuerst. Da machst du wieder das gleiche mit dem AD und dann der Sicherheitsfilterung.
Es hört sich für mich so an, als hättest du nicht den Haken bei "Authentifizierte Benutzer" entfernt, damit werden nämlich die Richtlinien auf alle angewendet.
Gruß Lukas
Zitat von @steffepro:
- Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Richtlinien --> Administrative Vorlagen --> System --> Wechselmedienzugriff.
- Bei den 3 Punkten mit Wechseldatenträger den Status auf "Aktiviert" gesetzt.
- Weiter in der Gruppenrichtlinienverwaltung... Beim Punkt "Sicherheitsfilterung" habe ich Rechner und User hinzugefügt, wo die USB-Ports gesperrt werden sollen.
Das wichtigste hast du nicht genannt, es gibt die Richtlinie sowohl als Computer-GPO wie auch als User-GPO. Setzt du die Einstellung als Computer-GPO werden alle PCs die sie lesen können sie auch umsetzen, egal welcher User wo eingetragen ist oder auch nicht. Wenn also in der Delegierung "Authentifizierte Benutzer" steht trifft das auch auf jeden Computer zu, User unabhängig weil es eine Computer-GPO ist und die werden vor dem User-GPOs verarbeitet. Daher kann man die auch nicht User-abhängig setzen.- Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Richtlinien --> Administrative Vorlagen --> System --> Wechselmedienzugriff.
- Bei den 3 Punkten mit Wechseldatenträger den Status auf "Aktiviert" gesetzt.
- Weiter in der Gruppenrichtlinienverwaltung... Beim Punkt "Sicherheitsfilterung" habe ich Rechner und User hinzugefügt, wo die USB-Ports gesperrt werden sollen.
Du solltest dich unbedingt mehr in das Thema einarbeiten sonst wirst du damit nicht glücklich. Trenne sauber zwischen Computer-GPOs und User-GPOs sonst wirst du den Überblick verlieren.
Zitat von @lukas0209:
Hallo,
leg doch eine Richtlinie an, wo du das einmal für die Computer die nicht die USB-Ports nutzbar machen sollen an, dazu legst du eine Gruppe im AD an mit den Computer wo keine USB-Ports nutzbar sein sollen und die fügst du dann bei Sicherheitsfilterung hinzu und dann musst du nur bei "Authentifizierte Benutzer" den Haken entfernen bei Gruppenrichtlinien übernehmen.
Dann legst du noch eine zweite an, wo du das für die Benutzer steuerst. Da machst du wieder das gleiche mit dem AD und dann der Sicherheitsfilterung.
Es hört sich für mich so an, als hättest du nicht den Haken bei "Authentifizierte Benutzer" entfernt, damit werden nämlich die Richtlinien auf alle angewendet.
Gruß Lukas
Hallo,
leg doch eine Richtlinie an, wo du das einmal für die Computer die nicht die USB-Ports nutzbar machen sollen an, dazu legst du eine Gruppe im AD an mit den Computer wo keine USB-Ports nutzbar sein sollen und die fügst du dann bei Sicherheitsfilterung hinzu und dann musst du nur bei "Authentifizierte Benutzer" den Haken entfernen bei Gruppenrichtlinien übernehmen.
Dann legst du noch eine zweite an, wo du das für die Benutzer steuerst. Da machst du wieder das gleiche mit dem AD und dann der Sicherheitsfilterung.
Es hört sich für mich so an, als hättest du nicht den Haken bei "Authentifizierte Benutzer" entfernt, damit werden nämlich die Richtlinien auf alle angewendet.
Gruß Lukas
Hierbei ist zu beachten, dass man nach dem Entfernen aus der Sicherheitsfilterung im Nachgang unter "Delegierung" die Gruppe "Domänencomputer" mit Leserechten (Nicht "Gruppenrichtlinie übernehmen"!) hinzufügt.
Eine entsprechende Warnmeldung wird auch angezeigt, sobald man die Authentifizierten Benutzer aus der Sicherheitsfilterung löscht:
Zitat von @chaot1coz:
Hierbei ist zu beachten, dass man nach dem Entfernen aus der Sicherheitsfilterung im Nachgang unter "Delegierung" die Gruppe "Domänencomputer" mit Leserechten (Nicht "Gruppenrichtlinie übernehmen"!) hinzufügt.
Das ist mir bewusst, ich habe auch zu keinem Zeitpunkt über das entfernen bei der Gruppe "Domänencomputer" geschrieben. Zitat von @lukas0209:
Hallo,
leg doch eine Richtlinie an, wo du das einmal für die Computer die nicht die USB-Ports nutzbar machen sollen an, dazu legst du eine Gruppe im AD an mit den Computer wo keine USB-Ports nutzbar sein sollen und die fügst du dann bei Sicherheitsfilterung hinzu und dann musst du nur bei "Authentifizierte Benutzer" den Haken entfernen bei Gruppenrichtlinien übernehmen.
Dann legst du noch eine zweite an, wo du das für die Benutzer steuerst. Da machst du wieder das gleiche mit dem AD und dann der Sicherheitsfilterung.
Es hört sich für mich so an, als hättest du nicht den Haken bei "Authentifizierte Benutzer" entfernt, damit werden nämlich die Richtlinien auf alle angewendet.
Gruß Lukas
Hallo,
leg doch eine Richtlinie an, wo du das einmal für die Computer die nicht die USB-Ports nutzbar machen sollen an, dazu legst du eine Gruppe im AD an mit den Computer wo keine USB-Ports nutzbar sein sollen und die fügst du dann bei Sicherheitsfilterung hinzu und dann musst du nur bei "Authentifizierte Benutzer" den Haken entfernen bei Gruppenrichtlinien übernehmen.
Dann legst du noch eine zweite an, wo du das für die Benutzer steuerst. Da machst du wieder das gleiche mit dem AD und dann der Sicherheitsfilterung.
Es hört sich für mich so an, als hättest du nicht den Haken bei "Authentifizierte Benutzer" entfernt, damit werden nämlich die Richtlinien auf alle angewendet.
Gruß Lukas
Hierbei ist zu beachten, dass man nach dem Entfernen aus der Sicherheitsfilterung im Nachgang unter "Delegierung" die Gruppe "Domänencomputer" mit Leserechten (Nicht "Gruppenrichtlinie übernehmen"!) hinzufügt.
Ich habe nur davon geschrieben, dass bei der Sicherheitsfilterung die Haken bei den jeweiligen Gruppen entfernt werden müssen und das sind die Haken bei "Gruppenrichtlinie übernehmen" und nicht die kompletten Leserechte wegzunehmen.
Leider sagt das Bild nichts darüber aus wo du die Einstellung nun gesetzt hast, unter
Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Computerkonfiguration --> Administrative Vorlagen --> System --> Wechselmedienzugriff
oder
Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Benutzerkonfiguration --> Administrative Vorlagen --> System --> Wechselmedienzugriff
Einzelne PCs und Authentifizierte Benutzer in der Sicherheitsfilterung zu haben macht auch keinen wirklichen Sinn weil durch Authentifizierte Benutzer ALLE PCs die GPO lesen können, somit auch die die du einzeln hinzugefügt hast. Aber am Anfang steht immer die Frage werden Computer- oder Benutzereinstellungen durch die GPO gesetzt.
Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Computerkonfiguration --> Administrative Vorlagen --> System --> Wechselmedienzugriff
oder
Rechtsklick auf "USB Sperrung" --> Bearbeiten --> Benutzerkonfiguration --> Administrative Vorlagen --> System --> Wechselmedienzugriff
Einzelne PCs und Authentifizierte Benutzer in der Sicherheitsfilterung zu haben macht auch keinen wirklichen Sinn weil durch Authentifizierte Benutzer ALLE PCs die GPO lesen können, somit auch die die du einzeln hinzugefügt hast. Aber am Anfang steht immer die Frage werden Computer- oder Benutzereinstellungen durch die GPO gesetzt.
Okay wenn du eine Benutzerbezogene Einstellung per GPO verteilst und jeder Rechner sie lesen darf (über Authentifizierte Benutzer), dann setzt du keine Einschränkung.
Möglichkeit 1 (bevorzugt): Hänge die GPO an die OU mit den Benutzerkonten (ohne Computer), nicht an die Gesamtstruktur der Domain. Dann wird sie auch nur von Benutzern gelesen.
Möglichkeit 2: Nimm Authentifizierte Benutzer aus der Sicherheitsfilterung raus. Setze bei Delegierung Domänencomputer rein (siehe @chaot1coz ) und nimm die Benutzer in den Sicherheitsfilter auf die die GPO anwenden sollen.
Möglichkeit 1 (bevorzugt): Hänge die GPO an die OU mit den Benutzerkonten (ohne Computer), nicht an die Gesamtstruktur der Domain. Dann wird sie auch nur von Benutzern gelesen.
Möglichkeit 2: Nimm Authentifizierte Benutzer aus der Sicherheitsfilterung raus. Setze bei Delegierung Domänencomputer rein (siehe @chaot1coz ) und nimm die Benutzer in den Sicherheitsfilter auf die die GPO anwenden sollen.