Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

USB-Datenträger via Gruppenrichtlinie blockieren?

Mitglied: -BassT-

-BassT- (Level 1) - Jetzt verbinden

13.05.2011 um 13:21 Uhr, 6903 Aufrufe, 11 Kommentare

Hallo,

ich habe schon einige Versuche hinter mir und habe auch schon im Netz recherchiert, bisher aber keine Lösung für mein Problem ohne Zuhilfenahme weiterer Tools gefunden:

Ich muss in der Firma, deren Rechner ich administriere, die Nutzung von USB-Datenträgern unterbinden.
Und zwar soll das Ganze Benutzer-spezifisch ablaufen, also dass ich nur bestimmte Nutzer für USB-Datenträger freischalten kann, dies bei allen anderen Nutzern aber blockiert wird.

Tools wie USB-Wächter sind mir bekannt, hier muss aber jeder Rechner einzeln konfiguriert werden und hier funktionieren USB-EIngeräte manchmal nicht.

Habe nun schon den passenden Registry-Eintrag für Wechselmedien gefunden (Wechselmedien können gern generell blockiert werden),
hier meine entsprechenden ADM-Inhalte:

01.
CLASS USER 
02.
 
03.
CATEGORY "Dienste und Gerätetreiber"  
04.
CATEGORY "USB"  
05.
    POLICY "USB-Massenspeichertreiber"  
06.
    KEYNAME "System\CurrentControlSet\Services\usbstor"  
07.
     PART "Startzeitpunkt" DROPDOWNLIST  
08.
       VALUENAME "Start"  
09.
           ITEMLIST  
10.
           NAME "Bootzeitpunkt" VALUE NUMERIC 0  
11.
           NAME "Systemstart"   VALUE NUMERIC 1  
12.
           NAME "Automatisch"   VALUE NUMERIC 2 DEFAULT  
13.
           NAME "Manuell"       VALUE NUMERIC 3  
14.
           NAME "Deaktiviert"   VALUE NUMERIC 4  
15.
           END ITEMLIST  
16.
     END PART 
17.
	EXPLAIN "USB-Treiber aktivieren oder deaktivieren" 
18.
    END POLICY  
19.
 
20.
    POLICY "USB schreibschützen"  
21.
    KEYNAME System\CurrentControlSet\Control\StorageDevicePolicies 
22.
        VALUENAME WriteProtect  
23.
        VALUEON 1 VALUEOFF 0  
24.
	EXPLAIN "USB-Schreibschutz an/ausschalten" 
25.
    END POLICY  
26.
 
27.
    POLICY "Wechselmedien-Dienst"  
28.
    KEYNAME "System\CurrentControlSet\Services\NtmsSvc"  
29.
     PART "Startzeitpunkt" DROPDOWNLIST  
30.
       VALUENAME "Start"  
31.
           ITEMLIST  
32.
           NAME "Bootzeitpunkt" VALUE NUMERIC 0  
33.
           NAME "Systemstart"   VALUE NUMERIC 1  
34.
           NAME "Automatisch"   VALUE NUMERIC 2 DEFAULT  
35.
           NAME "Manuell"       VALUE NUMERIC 3  
36.
           NAME "Deaktiviert"   VALUE NUMERIC 4  
37.
           END ITEMLIST  
38.
     END PART 
39.
	EXPLAIN "Nutzung von Wechselmedien blockieren (Nötigen Dienst deaktivieren)" 
40.
    END POLICY 
41.
END CATEGORY  
42.
END CATEGORY 
Angezeigt wird's auch, jedoch wird die Einstellung auch nach "gpupdate /force" nicht übernommen.

Was mich auch wundert ist, dass die 3 oben genannten Einstellungen nur angezeigt werden, wenn ich unter Ansicht > Filterung das Häkchen bei "Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen" entferne, ansonsten ist die Kategorie leer.

Vielen Dank für eure Hilfe

Sebastian
Mitglied: LordXearo
13.05.2011 um 13:30 Uhr
Hallo,

von welchem BS reden wir hier 2003/2008 ? In den GPO Templates gibt es schon die Einstellungen für "Massenspeicher blockieren". Und dann könntest du eine Gruppe erstellen, bei welchen usern das alles blockiert wird. Und nur bei dieser Gruppe, soll die GPO angewendet werden.


Mfg

Xearo
Bitte warten ..
Mitglied: -BassT-
13.05.2011 um 13:36 Uhr
Clients sind Windows XP - Rechner,
Server ist Windows Server 2003.

Wo finde ich diese Einstellungen?
Habe noch nichts dergleichen gefunden

Viele Grüße und Danke schonmal

Sebastian
Bitte warten ..
Mitglied: Edi.Pfisterer
13.05.2011 um 15:38 Uhr
Hallo!

für XP gibt es die oben beschriebene Gruppenrichtlinie noch nicht...

aber:
es gäbe einen workaround, in dem Du
a) die Laufwerksbuchstaben (dh, alle ausser c: und dem für das DVD-LW) ausblendest und
b) die Verwendung der command-shell über den hash-wert verbietest.

siehe hier-> http://www.schulnetz.info/wie-gestalte-ich-eine-prufung-unter-verwendun ...

der Wert, der die entsprechenden Buchstaben ausblendet, lässt sich mit diesem Tool errechnen:
http://www.wisdombay.com/hidedrive/index.php

hier noch etwas:
http://www.winxperts4all.at/index.php?option=com_content&view=artic ...

lg
edi
Bitte warten ..
Mitglied: -BassT-
13.05.2011 um 16:16 Uhr
Das Problem ist, dass wir unterschiedliche Rechner mit einer unterschiedlichen Laufwerksanzahl haben.
Manche haben c-e, manche nur c:\

Dazu werden noch Netzlaufwerke beim Start über Logonscript eingebunden...

Gehts denn über "meine" Variante nicht?
Hab da wohl irgendwo einen Fehler drin...oder geht das generell nicht?
Bitte warten ..
Mitglied: Edi.Pfisterer
13.05.2011 um 16:20 Uhr
noch eine Anmerkung für Nachkommende:

Und zwar soll das Ganze Benutzer-spezifisch ablaufen...
und
01.
    PART "Startzeitpunkt" DROPDOWNLIST   
02.
08. 
03.
       VALUENAME "Start"   
04.
09. 
05.
           ITEMLIST   
06.
10. 
07.
           NAME "Bootzeitpunkt" VALUE NUMERIC 0   
08.
11. 
09.
           NAME "Systemstart"   VALUE NUMERIC 1   
10.
12. 
11.
           NAME "Automatisch"   VALUE NUMERIC 2 DEFAULT   
12.
13. 
13.
           NAME "Manuell"       VALUE NUMERIC 3   
14.
14. 
15.
           NAME "Deaktiviert"   VALUE NUMERIC 4
sind 2 Dinge, die nicht zusammenpassen...
wenn der Startzeitpunkt zb auf "systemstart" stehen soll, dann muss dieser LAAANGE vor der Anmeldung des jeweiligen Benutzers gelegen haben

dh, dieses ADM - so es funktioniert - kannst du bestenfalls als ADM bei der Computerkonfiguration zum Einsatz bringen...
(so nebenbei...)
Bitte warten ..
Mitglied: -BassT-
13.05.2011 um 16:32 Uhr
Das heißt, die Dienste laufen quasi immer unabhängig wer angemeldet ist?
Dachte, das könnte man dadurch beeinflussen...
Bitte warten ..
Mitglied: Edi.Pfisterer
13.05.2011 um 22:45 Uhr
hallo!
du kannst per Logonscript natürlich einzelne Dienste Starten bzw. Stoppen...
aber: das Problem dabei ist, dass der jeweilige User, der sich anmeldet, dafür über Administratorenrechte verfügen muss...
und wenn er die hat (weil Du ihn in die Gruppe der lokalen Admins steckst), dann kann er sich natürlich danach den Dienst wieder aktivieren...

also, für meine bescheidenen Kenntnisse würde ich meinen:
nein, Dein Lösungsweg funktioniert so leider nicht....

was die unterschiedlichen Rechner angeht:

mach einfach für jedes Modell eine eigene Gruppenrichtlinie...

damit du die verschiedenen Gruppenrichtlinien zuweisen kannst, musst Du
a) die jeweiligen Modelle in eine eigene Unter-OU schieben
b) über einen WMI-Filter die Gruppenrichtlinie aufrufen...
(zu b) hab ich heute vormittag zufällig einen Artikel auf meinem Blog geschrieben...
das Script wmi_computerinfos_in_txt.vbs sollte Dir die Infos über die unterschiedlichen Clients liefern...
danach filterst Du und gut ists...)

würde mich freuen, wenn Du uns wissen lassen würdest, ob dieser Ansatz Dein Problem beseitigen konnte (damit Nachfolgende sich leichter tun...

gutes Gelingen
lg
Bitte warten ..
Mitglied: -BassT-
16.05.2011 um 08:38 Uhr
Hallo!

Die Nutzer haben natürlich keine Admin-Rechte, daher fällt der Weg via Logonscript sowieso weg.
Wir haben > 30 Rechner und noch mehr Konfigurationen, da wird das mit den unterschiedlichen Gruppen doch sehr schwierig...

Schade, dachte ich könnte es einfach über die oben beschriebene Gruppenrichtlinie lösen, wäre natürlich der einfachste Weg...

Naja, muss schauen und werd dann Rückmeldung geben.

Gruß

Sebastian
Bitte warten ..
Mitglied: -BassT-
31.05.2012 um 11:51 Uhr
Möchte nach über einem Jahr doch mal Rückmeldung geben:

Am Ende hat das Rumspielen mit Gruppenrichtlinien oder so nichts gebracht,
ich habe an jedem Rechner das Tool "USB Wächter" (http://www.trinit-soft.de/usb-waechter/) installiert,
damit gings dann...

Viele Grüße

Sebastian
Bitte warten ..
Mitglied: Edi.Pfisterer
31.05.2012 um 11:55 Uhr
Hallo!
eine kleine Erweiterung hätte ich auch noch:

Ab Windows Vista gäbe es auch
• Computerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff
• Benutzerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff

lg
Bitte warten ..
Mitglied: -BassT-
31.05.2012 um 12:00 Uhr
Danke, da nun die ersten Windows 7 - Rechner eintrudeln, könnte man dort ja hoffentlich auf das Tool verzichten
Bitte warten ..
Ähnliche Inhalte
Windows 10

Microsoft Konten blockieren Gruppenrichtlinien

gelöst Frage von markaurelWindows 107 Kommentare

Hallo zusammen! und bitte um euer Know-How. Ich bin gerate dabei Win10 (1607/Edu) für den Domaineneinsatz zu testen. (DC ...

Windows Server

Gruppenrichtlinie Terminalserver Zugriff auf Server Manager blockieren

gelöst Frage von DKowalkeWindows Server3 Kommentare

Hallo liebes Forum, gibt es eine Gruppenrichtlinie, die ich in die OU meines Terminalservers machen kann, welche den Benutzern ...

Windows Server

In der Domain vorhandene USB Ports an PCs blockieren (mit Ausnahmen)

gelöst Frage von Hendrik2586Windows Server9 Kommentare

Guten Morgen liebe Kollegen und Kolleginnen, ich habe ein Kurze Frage. ich möchte gerne die USB Ports an den ...

Hyper-V

Benutzerprofil-Datenträger

gelöst Frage von fiffi1Hyper-V3 Kommentare

Guten tag Ich habe einen virtuellen (Hyper-V) Windows Server 2012 R2. Auf dem habe ich die Remotedesktop Dienste installiert. ...

Neue Wissensbeiträge
Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 6 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 18 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 20 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 21 StundenMicrosoft12 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server34 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...