3
Formatierung von USB-Geräten über GPO verbieten
Hallo,
ich möchte gerne das Formatieren von USB-Geräten über eine Gruppenrichtlinie für alle Domänenbenutzer verbieten.
Ich habe dazu auch schon folgende Richtlinie gefunden und angepasst:
Computerkonfiguration -> Windows-Einstellugen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen -> "Geräte: Formatieren und Auswerfen von Wechselmedien zulassen"
Die Richtlinie ist nur für Administratoren zulässig.
Es können nach der Änderung jedoch weiterhin alle Domänenbenutzer USB-Geräte formatieren.
Liegt es eventuell daran, dass diese Gruppenrichtlinie nicht die richtige ist?
Gruß,
unkwownuser
ich möchte gerne das Formatieren von USB-Geräten über eine Gruppenrichtlinie für alle Domänenbenutzer verbieten.
Ich habe dazu auch schon folgende Richtlinie gefunden und angepasst:
Computerkonfiguration -> Windows-Einstellugen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen -> "Geräte: Formatieren und Auswerfen von Wechselmedien zulassen"
Die Richtlinie ist nur für Administratoren zulässig.
Es können nach der Änderung jedoch weiterhin alle Domänenbenutzer USB-Geräte formatieren.
Liegt es eventuell daran, dass diese Gruppenrichtlinie nicht die richtige ist?
Gruß,
unkwownuser
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 195188
Url: https://administrator.de/contentid/195188
Printed on: April 25, 2024 at 20:04 o'clock
3 Comments
Latest comment
Die Richtlinie gilt nur für NTFS Datenträger wahrscheinlich hast du es mit FAT formatierten versucht.
Sobald der jeweilige Domänennutzer auf einer Maschine aber lokale Adminrechte hat kann er trotzdem wieder formatieren...
Hier ein Auszug der Beschreibung der Richtlinie:
Es gibt noch weitere Richtlinen im Zusammenhang mit Wechseldatenträgern unter Administrative Vorlagen -> System -> Wechselmedienzugriff (ben. wird mindestens Windows Vista)
Ein Radikale Einschränkung wäre hier Wechseldatenträger - Schreibzugriff verweigern. Dann können die Benutzer jedoch keinerlei USB-Sticks mehr beschreiben...
Sobald der jeweilige Domänennutzer auf einer Maschine aber lokale Adminrechte hat kann er trotzdem wieder formatieren...
Hier ein Auszug der Beschreibung der Richtlinie:
Geräte: Formatieren und Auswerfen von Wechselmedien zulassen
Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer NTFS-Wechselmedien formatieren und auswerfen > können. Diese Berechtigung kann für folgende Benutzergruppen festgelegt werden:
- Administratoren
- Administratoren und Hauptbenutzer
- Administratoren und interaktive Benutzer
Standardwert: Diese Richtlinie ist nicht definiert, und nur Administratoren ist diese Berechtigung zugewiesen.
Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer NTFS-Wechselmedien formatieren und auswerfen > können. Diese Berechtigung kann für folgende Benutzergruppen festgelegt werden:
- Administratoren
- Administratoren und Hauptbenutzer
- Administratoren und interaktive Benutzer
Standardwert: Diese Richtlinie ist nicht definiert, und nur Administratoren ist diese Berechtigung zugewiesen.
Es gibt noch weitere Richtlinen im Zusammenhang mit Wechseldatenträgern unter Administrative Vorlagen -> System -> Wechselmedienzugriff (ben. wird mindestens Windows Vista)
Ein Radikale Einschränkung wäre hier Wechseldatenträger - Schreibzugriff verweigern. Dann können die Benutzer jedoch keinerlei USB-Sticks mehr beschreiben...
Den Schreibzugriff kannst du Testweise auch via registry sperren.
(HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies\) => WriteProtect (DWORD) = 1;
Aber wie Softmeister schon schreibt, dies wäre eine sehr radikale Lösung.
(HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies\) => WriteProtect (DWORD) = 1;
Aber wie Softmeister schon schreibt, dies wäre eine sehr radikale Lösung.
Hallo,
ich habe jetzt nochmal nachgesehen, der USB-Stick ist im NTFS-Dateisystem formatiert. Der Domänenbenutzer ist auch kein lokaler Administrator. Verstehe also nicht, warum die Gruppenrichtlinie nicht angewendet wird.
Die andere Möglichkeit, den kompletten Schreibzugriff auf den USB-Stick zu verbieten, ist leider keine akzeptable Lösung. Schreibzugriff muss den Domänenbenutzern gewährt sein.
Hintergrund der Aktion ist folgender, die Domänenbenutzer erhalten einen mit TrueCrypt verschlüsselten USB-Stick. Wenn man den verschlüsselten USB-Stick im Windows-Explorer anklickt, kommt die Abfrage zur Formatierung. Dieses Szenario möchte ich so gut wie möglich vermeiden.
Wird jetzt allerdings ein anderer USB-Stick verwendet, brauchen die Domänenbenutzer Schreibrechte.
Gruß,
unkwownuser
ich habe jetzt nochmal nachgesehen, der USB-Stick ist im NTFS-Dateisystem formatiert. Der Domänenbenutzer ist auch kein lokaler Administrator. Verstehe also nicht, warum die Gruppenrichtlinie nicht angewendet wird.
Die andere Möglichkeit, den kompletten Schreibzugriff auf den USB-Stick zu verbieten, ist leider keine akzeptable Lösung. Schreibzugriff muss den Domänenbenutzern gewährt sein.
Hintergrund der Aktion ist folgender, die Domänenbenutzer erhalten einen mit TrueCrypt verschlüsselten USB-Stick. Wenn man den verschlüsselten USB-Stick im Windows-Explorer anklickt, kommt die Abfrage zur Formatierung. Dieses Szenario möchte ich so gut wie möglich vermeiden.
Wird jetzt allerdings ein anderer USB-Stick verwendet, brauchen die Domänenbenutzer Schreibrechte.
Gruß,
unkwownuser
