May 13, 2011

9168

USB-Datenträger via Gruppenrichtlinie blockieren?

Hallo,

ich habe schon einige Versuche hinter mir und habe auch schon im Netz recherchiert, bisher aber keine Lösung für mein Problem ohne Zuhilfenahme weiterer Tools gefunden:

Ich muss in der Firma, deren Rechner ich administriere, die Nutzung von USB-Datenträgern unterbinden.
Und zwar soll das Ganze Benutzer-spezifisch ablaufen, also dass ich nur bestimmte Nutzer für USB-Datenträger freischalten kann, dies bei allen anderen Nutzern aber blockiert wird.

Tools wie USB-Wächter sind mir bekannt, hier muss aber jeder Rechner einzeln konfiguriert werden und hier funktionieren USB-EIngeräte manchmal nicht.

Habe nun schon den passenden Registry-Eintrag für Wechselmedien gefunden (Wechselmedien können gern generell blockiert werden),
hier meine entsprechenden ADM-Inhalte:

CLASS USER

CATEGORY "Dienste und Gerätetreiber"   
CATEGORY "USB"   
    POLICY "USB-Massenspeichertreiber"   
    KEYNAME "System\CurrentControlSet\Services\usbstor"   
     PART "Startzeitpunkt" DROPDOWNLIST   
       VALUENAME "Start"   
           ITEMLIST 
           NAME "Bootzeitpunkt" VALUE NUMERIC 0   
           NAME "Systemstart"   VALUE NUMERIC 1   
           NAME "Automatisch"   VALUE NUMERIC 2 DEFAULT   
           NAME "Manuell"       VALUE NUMERIC 3   
           NAME "Deaktiviert"   VALUE NUMERIC 4   
           END ITEMLIST 
     END PART
	EXPLAIN "USB-Treiber aktivieren oder deaktivieren"  
    END POLICY 

    POLICY "USB schreibschützen"   
    KEYNAME System\CurrentControlSet\Control\StorageDevicePolicies
        VALUENAME WriteProtect 
        VALUEON 1 VALUEOFF 0 
	EXPLAIN "USB-Schreibschutz an/ausschalten"  
    END POLICY 

    POLICY "Wechselmedien-Dienst"   
    KEYNAME "System\CurrentControlSet\Services\NtmsSvc"   
     PART "Startzeitpunkt" DROPDOWNLIST   
       VALUENAME "Start"   
           ITEMLIST 
           NAME "Bootzeitpunkt" VALUE NUMERIC 0   
           NAME "Systemstart"   VALUE NUMERIC 1   
           NAME "Automatisch"   VALUE NUMERIC 2 DEFAULT   
           NAME "Manuell"       VALUE NUMERIC 3   
           NAME "Deaktiviert"   VALUE NUMERIC 4   
           END ITEMLIST 
     END PART
	EXPLAIN "Nutzung von Wechselmedien blockieren (Nötigen Dienst deaktivieren)"  
    END POLICY
END CATEGORY 
END CATEGORY 

Angezeigt wird's auch, jedoch wird die Einstellung auch nach "gpupdate /force" nicht übernommen.

Was mich auch wundert ist, dass die 3 oben genannten Einstellungen nur angezeigt werden, wenn ich unter Ansicht > Filterung das Häkchen bei "Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen" entferne, ansonsten ist die Kategorie leer.

Vielen Dank für eure Hilfe

Sebastian

Please also mark the comments that contributed to the solution of the article

Content-Key: 166227

Url: https://administrator.de/contentid/166227

Printed on: April 16, 2024 at 06:04 o'clock

11 Comments

Latest comment

Hallo,

von welchem BS reden wir hier 2003/2008 ? In den GPO Templates gibt es schon die Einstellungen für "Massenspeicher blockieren". Und dann könntest du eine Gruppe erstellen, bei welchen usern das alles blockiert wird. Und nur bei dieser Gruppe, soll die GPO angewendet werden.

Mfg

Xearo

Clients sind Windows XP - Rechner,
Server ist Windows Server 2003.

Wo finde ich diese Einstellungen?
Habe noch nichts dergleichen gefunden

Viele Grüße und Danke schonmal

Sebastian

Hallo!

für XP gibt es die oben beschriebene Gruppenrichtlinie noch nicht...

aber:
es gäbe einen workaround, in dem Du
a) die Laufwerksbuchstaben (dh, alle ausser c: und dem für das DVD-LW) ausblendest und
b) die Verwendung der command-shell über den hash-wert verbietest.

siehe hier-> http://www.schulnetz.info/wie-gestalte-ich-eine-prufung-unter-verwendun ...

der Wert, der die entsprechenden Buchstaben ausblendet, lässt sich mit diesem Tool errechnen:
http://www.wisdombay.com/hidedrive/index.php

hier noch etwas:
http://www.winxperts4all.at/index.php?option=com_content&view=artic ...

lg
edi

Das Problem ist, dass wir unterschiedliche Rechner mit einer unterschiedlichen Laufwerksanzahl haben.
Manche haben c-e, manche nur c:\

Dazu werden noch Netzlaufwerke beim Start über Logonscript eingebunden...

Gehts denn über "meine" Variante nicht?
Hab da wohl irgendwo einen Fehler drin...oder geht das generell nicht?

noch eine Anmerkung für Nachkommende:

Und zwar soll das Ganze Benutzer-spezifisch ablaufen...

und

    PART "Startzeitpunkt" DROPDOWNLIST    
08.
       VALUENAME "Start"    
09.
           ITEMLIST  
10.
           NAME "Bootzeitpunkt" VALUE NUMERIC 0    
11.
           NAME "Systemstart"   VALUE NUMERIC 1    
12.
           NAME "Automatisch"   VALUE NUMERIC 2 DEFAULT    
13.
           NAME "Manuell"       VALUE NUMERIC 3    
14.
           NAME "Deaktiviert"   VALUE NUMERIC 4  

sind 2 Dinge, die nicht zusammenpassen...
wenn der Startzeitpunkt zb auf "systemstart" stehen soll, dann muss dieser LAAANGE vor der Anmeldung des jeweiligen Benutzers gelegen haben

dh, dieses ADM - so es funktioniert - kannst du bestenfalls als ADM bei der Computerkonfiguration zum Einsatz bringen...
(so nebenbei...)

Das heißt, die Dienste laufen quasi immer unabhängig wer angemeldet ist?
Dachte, das könnte man dadurch beeinflussen...

hallo!
du kannst per Logonscript natürlich einzelne Dienste Starten bzw. Stoppen...
aber: das Problem dabei ist, dass der jeweilige User, der sich anmeldet, dafür über Administratorenrechte verfügen muss...
und wenn er die hat (weil Du ihn in die Gruppe der lokalen Admins steckst), dann kann er sich natürlich danach den Dienst wieder aktivieren...

also, für meine bescheidenen Kenntnisse würde ich meinen:
nein, Dein Lösungsweg funktioniert so leider nicht....

was die unterschiedlichen Rechner angeht:

mach einfach für jedes Modell eine eigene Gruppenrichtlinie...

damit du die verschiedenen Gruppenrichtlinien zuweisen kannst, musst Du
a) die jeweiligen Modelle in eine eigene Unter-OU schieben
b) über einen WMI-Filter die Gruppenrichtlinie aufrufen...
(zu b) hab ich heute vormittag zufällig einen Artikel auf meinem Blog geschrieben...
das Script wmi_computerinfos_in_txt.vbs sollte Dir die Infos über die unterschiedlichen Clients liefern...
danach filterst Du und gut ists...)

würde mich freuen, wenn Du uns wissen lassen würdest, ob dieser Ansatz Dein Problem beseitigen konnte (damit Nachfolgende sich leichter tun...

gutes Gelingen
lg

Hallo!

Die Nutzer haben natürlich keine Admin-Rechte, daher fällt der Weg via Logonscript sowieso weg.
Wir haben > 30 Rechner und noch mehr Konfigurationen, da wird das mit den unterschiedlichen Gruppen doch sehr schwierig...

Schade, dachte ich könnte es einfach über die oben beschriebene Gruppenrichtlinie lösen, wäre natürlich der einfachste Weg...

Naja, muss schauen und werd dann Rückmeldung geben.

Gruß

Sebastian

Möchte nach über einem Jahr doch mal Rückmeldung geben:

Am Ende hat das Rumspielen mit Gruppenrichtlinien oder so nichts gebracht,
ich habe an jedem Rechner das Tool "USB Wächter" (http://www.trinit-soft.de/usb-waechter/) installiert,
damit gings dann...

Viele Grüße

Sebastian

Hallo!
eine kleine Erweiterung hätte ich auch noch:

Ab Windows Vista gäbe es auch
• Computerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff
• Benutzerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff

lg

Danke, da nun die ersten Windows 7 - Rechner eintrudeln, könnte man dort ja hoffentlich auf das Tool verzichten

German Question Windows User Management Microsoft

USB-Datenträger via Gruppenrichtlinie blockieren?

Hallo,ich habe schon einige Versuche hinter mir und habe auch schon im Netz recherchiert, bisher aber keine Lösung für mein Problem ohne Zuhilfenahme weiterer Tools gefunden:

Hallo,

ich habe schon einige Versuche hinter mir und habe auch schon im Netz recherchiert, bisher aber keine Lösung für mein Problem ohne Zuhilfenahme weiterer Tools gefunden: