Mit AD einer Benutzergruppe zugriff auf USB und Internet sperren ?

Moin Moin,
wer sucht der findet: http://www.gruppenrichtlinien.de/index.ht ...

Versucht haben wir es noch nie, denn woran erkennt das ADM-Template ob es sich um einen Stick handelt oder doch "nur" die Maus & Tastatur ist?!
Wir haben DriveLock im Einsatz...das kostet zwar ein bisschen Geld aber damit hast du alles im Griff.


Grüße,
Dani

Moin,

wegen USB - nein per GPO geht das nicht - ist "zu" einfach, bzw. zu kompliziert für die redmonder - das müssen die erst noch fremdeinkaufen oder inopensourcen

Und wegen "fake Proxy" die Lösung ist wiederum so einfach, dass da jeder Poweruser von alleine drauf kommt - besser ist es einen "echten" Proxy wie z.B Squid einzurichten und dort zu reglementieren.

Gruß

Alles was mit USB-Speichermedien zu tun hat wird bei Windows über usbstor.inf/sys abgehandelt.
Wenn du dir den Tipp auf gruppenrichtlinien.de anschaust siehst du, dass dort einfach nur der entsprechende Dienst deaktiviert wird.

Ins selbe Horn stößt auch dieser Tip: http://www.petri.co.il/disable_usb_disks_ ...

Die USB-Stick-Problematik hatten wir bei uns im Unternehmen auch, aber wir haben das per Registryeintrag verboten. Wir haben zwei .reg-Dateien erstellt (USB-an; USB-aus). Normale User können per Default eh keine Änderungen an der Registry vornehmen, von daher kann man zumindest dies schon mal über Gruppenzugehörigkeit steuern.

Zum Inhalt der .reg-Dateien:

USB-aus:
*

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB-Massenspeichertreiber"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

-----------

USB-an:
***

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB-Massenspeichertreiber"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

-----------

Die 'USB-an.reg' würde ich natürlich nur den Leuten zur Verfügung stellen die USB-Sticks weiterhin nutzen sollen!

@Dog:

Im Prinzip hast du ja recht, aber - Smartphones, Ebook Reader in Kombination mit wechselnden Usern/Arbeitsplätzen machen die Sache dann kompliziert.

Von daher funktioniert auch der Trick von absolut2cool4u nur ganz begrenzt in speziellen (mir in der freien Wildbahn noch nie angetroffenen) Umgebungen

Vor allem ist der Regkey unnötig lang - es geht ja nur um den Startyp

Gruß