Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Formatierung von USB-Geräten über GPO verbieten

Mitglied: unkwownuser

unkwownuser (Level 1) - Jetzt verbinden

30.11.2012 um 16:45 Uhr, 4758 Aufrufe, 3 Kommentare

Hallo,

ich möchte gerne das Formatieren von USB-Geräten über eine Gruppenrichtlinie für alle Domänenbenutzer verbieten.

Ich habe dazu auch schon folgende Richtlinie gefunden und angepasst:
Computerkonfiguration -> Windows-Einstellugen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen -> "Geräte: Formatieren und Auswerfen von Wechselmedien zulassen"

Die Richtlinie ist nur für Administratoren zulässig.


Es können nach der Änderung jedoch weiterhin alle Domänenbenutzer USB-Geräte formatieren.

Liegt es eventuell daran, dass diese Gruppenrichtlinie nicht die richtige ist?



Gruß,
unkwownuser
Mitglied: colinardo
30.11.2012, aktualisiert um 19:16 Uhr
Die Richtlinie gilt nur für NTFS Datenträger wahrscheinlich hast du es mit FAT formatierten versucht.
Sobald der jeweilige Domänennutzer auf einer Maschine aber lokale Adminrechte hat kann er trotzdem wieder formatieren...

Hier ein Auszug der Beschreibung der Richtlinie:
Geräte: Formatieren und Auswerfen von Wechselmedien zulassen

Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer NTFS-Wechselmedien formatieren und auswerfen > können. Diese Berechtigung kann für folgende Benutzergruppen festgelegt werden:

- Administratoren
- Administratoren und Hauptbenutzer
- Administratoren und interaktive Benutzer

Standardwert: Diese Richtlinie ist nicht definiert, und nur Administratoren ist diese Berechtigung zugewiesen.

Es gibt noch weitere Richtlinen im Zusammenhang mit Wechseldatenträgern unter Administrative Vorlagen -> System -> Wechselmedienzugriff (ben. wird mindestens Windows Vista)
Ein Radikale Einschränkung wäre hier Wechseldatenträger - Schreibzugriff verweigern. Dann können die Benutzer jedoch keinerlei USB-Sticks mehr beschreiben...
Bitte warten ..
Mitglied: Almighty
30.11.2012 um 22:43 Uhr
Den Schreibzugriff kannst du Testweise auch via registry sperren.
(HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies\) => WriteProtect (DWORD) = 1;
Aber wie Softmeister schon schreibt, dies wäre eine sehr radikale Lösung.
Bitte warten ..
Mitglied: unkwownuser
03.12.2012 um 16:52 Uhr
Hallo,

ich habe jetzt nochmal nachgesehen, der USB-Stick ist im NTFS-Dateisystem formatiert. Der Domänenbenutzer ist auch kein lokaler Administrator. Verstehe also nicht, warum die Gruppenrichtlinie nicht angewendet wird.

Die andere Möglichkeit, den kompletten Schreibzugriff auf den USB-Stick zu verbieten, ist leider keine akzeptable Lösung. Schreibzugriff muss den Domänenbenutzern gewährt sein.

Hintergrund der Aktion ist folgender, die Domänenbenutzer erhalten einen mit TrueCrypt verschlüsselten USB-Stick. Wenn man den verschlüsselten USB-Stick im Windows-Explorer anklickt, kommt die Abfrage zur Formatierung. Dieses Szenario möchte ich so gut wie möglich vermeiden.
Wird jetzt allerdings ein anderer USB-Stick verwendet, brauchen die Domänenbenutzer Schreibrechte.


Gruß,
unkwownuser
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
USB über GPO verbieten
gelöst Frage von SpeakerSTWindows Netzwerk15 Kommentare

Hallo, ich denke das dieses Thema schon oft durchgekaut wurde, leider nicht so wie ich es brauche. Wir haben ...

Windows Server
Gpo Software installation verbieten
gelöst Frage von nullpeilerWindows Server11 Kommentare

Hallo Admins, ich test gerade GPOs und ihre Auswirkungen. Gesetz des falles alle User haben an einem Client lokale ...

Multimedia & Zubehör

Mitnahme USB Gerät auf Terminalserver

Frage von PronMasterMultimedia & Zubehör8 Kommentare

Hallo Zusammen, ich hab ein kleines Problem und hoffe mit kann jmd helfen. Ich komme leider nicht mehr weiter. ...

Peripheriegeräte

USB Gerät wurde nicht erkannt

Frage von w.doplerPeripheriegeräte1 Kommentar

Hallo Gemeinde, bei meinem Vista Business Notebook bekomme ich die Meldung "USB-Gerät wurde nicht erkannt" weg. Hatte mal ein ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 10 StundenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 10 StundenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 1 TagDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 1 TagSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
Exchange Server
Exchange Postfach Einbindung Betriebs-rat -Arzt, Bewerbung .
gelöst Frage von YellowcakeExchange Server22 Kommentare

Hey ich habe da mal eine Denksport Aufgabe bekommen Genutzt wird ein Exchange Server 2010. hier gibt es den ...

Datenschutz
Telematikinfrastruktur Erfahrungsaustausch
Frage von MOS6581Datenschutz12 Kommentare

Moin, unter meinen Kunden befinden sich auch einige Ärzte, welche sich künftig mit der Telematikinfrastruktur-Geschichte der Gematik herumärgern dürfen. ...

Windows Server
Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen
gelöst Frage von TOAOICEWindows Server12 Kommentare

Hallo, ich habe folgendes Problem. Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test ...

Windows Server
Downgrade von Windows Server 2016 auf 2012 - Wie vorgehen?
Frage von EstefaniaWindows Server12 Kommentare

Guten Ich habe eine Frage an Erfahrene unter euch. Durch einen InPlace Upgrade wurde Windows Server 2012 auf die ...