Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mit AD einer Benutzergruppe zugriff auf USB und Internet sperren ?

Frage Microsoft Windows Server

Mitglied: Rbn111

Rbn111 (Level 1) - Jetzt verbinden

16.03.2010 um 20:06 Uhr, 5649 Aufrufe, 5 Kommentare

Hallo,

ich habe ein kleines Problem, ich will einer relativ kleinen Gruppe von Benutzern den Zugriff ins Internet sperren, sowie den Zugriff auf Usb.

Meine Idee war jetzt eine neue Benutzergruppe anzulegen, der die Gruppenrichtlinie hinzuzufügen um einen falschen Proxy beim IE einzustellen, damit müsste das Internet gesperrt sein.
Allerdings finde ich keine Lösung um die USB Ports zu sperren ohne allen Benutzer die über den DC anmelden die Rechte dazu zu nehmen.

Gibts da eine Lösung ohne 3. Party Programme ?

Die Profile sind Servergespeichert und die Benutzer haben keine Adminrechte auf den Lokalen Rechnern.

Beste Grüße
Mitglied: Dani
16.03.2010 um 20:31 Uhr
Moin Moin,
wer sucht der findet: http://www.gruppenrichtlinien.de/index.html?/HowTo/usb_sticks_deaktivie ...

Versucht haben wir es noch nie, denn woran erkennt das ADM-Template ob es sich um einen Stick handelt oder doch "nur" die Maus & Tastatur ist?!
Wir haben DriveLock im Einsatz...das kostet zwar ein bisschen Geld aber damit hast du alles im Griff.


Grüße,
Dani
Bitte warten ..
Mitglied: 60730
16.03.2010 um 21:15 Uhr
Moin,

wegen USB - nein per GPO geht das nicht - ist "zu" einfach, bzw. zu kompliziert für die redmonder - das müssen die erst noch fremdeinkaufen oder inopensourcen

Und wegen "fake Proxy" die Lösung ist wiederum so einfach, dass da jeder Poweruser von alleine drauf kommt - besser ist es einen "echten" Proxy wie z.B Squid einzurichten und dort zu reglementieren.

Gruß
Bitte warten ..
Mitglied: dog
16.03.2010 um 21:19 Uhr
Alles was mit USB-Speichermedien zu tun hat wird bei Windows über usbstor.inf/sys abgehandelt.
Wenn du dir den Tipp auf gruppenrichtlinien.de anschaust siehst du, dass dort einfach nur der entsprechende Dienst deaktiviert wird.

Ins selbe Horn stößt auch dieser Tip: http://www.petri.co.il/disable_usb_disks_with_gpo.htm
Bitte warten ..
Mitglied: absolut2cool4u
17.03.2010 um 12:12 Uhr
Die USB-Stick-Problematik hatten wir bei uns im Unternehmen auch, aber wir haben das per Registryeintrag verboten. Wir haben zwei .reg-Dateien erstellt (USB-an; USB-aus). Normale User können per Default eh keine Änderungen an der Registry vornehmen, von daher kann man zumindest dies schon mal über Gruppenzugehörigkeit steuern.

Zum Inhalt der .reg-Dateien:

USB-aus:
*

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB-Massenspeichertreiber"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

USB-an:
***

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,55,00,53,00,42,00,53,00,54,00,4f,\
00,52,00,2e,00,53,00,59,00,53,00,00,00
"DisplayName"="USB-Massenspeichertreiber"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

Die 'USB-an.reg' würde ich natürlich nur den Leuten zur Verfügung stellen die USB-Sticks weiterhin nutzen sollen!
Bitte warten ..
Mitglied: 60730
17.03.2010 um 12:25 Uhr
@dog:

Im Prinzip hast du ja recht, aber - Smartphones, Ebook Reader in Kombination mit wechselnden Usern/Arbeitsplätzen machen die Sache dann kompliziert.

Von daher funktioniert auch der Trick von absolut2cool4u nur ganz begrenzt in speziellen (mir in der freien Wildbahn noch nie angetroffenen) Umgebungen

Vor allem ist der Regkey unnötig lang - es geht ja nur um den Startyp

Gruß
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...