Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Formatierung von USB-Geräten über GPO verbieten

Frage Microsoft Windows Server

Mitglied: unkwownuser

unkwownuser (Level 1) - Jetzt verbinden

30.11.2012 um 16:45 Uhr, 4694 Aufrufe, 3 Kommentare

Hallo,

ich möchte gerne das Formatieren von USB-Geräten über eine Gruppenrichtlinie für alle Domänenbenutzer verbieten.

Ich habe dazu auch schon folgende Richtlinie gefunden und angepasst:
Computerkonfiguration -> Windows-Einstellugen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen -> "Geräte: Formatieren und Auswerfen von Wechselmedien zulassen"

Die Richtlinie ist nur für Administratoren zulässig.


Es können nach der Änderung jedoch weiterhin alle Domänenbenutzer USB-Geräte formatieren.

Liegt es eventuell daran, dass diese Gruppenrichtlinie nicht die richtige ist?



Gruß,
unkwownuser
Mitglied: colinardo
30.11.2012, aktualisiert um 19:16 Uhr
Die Richtlinie gilt nur für NTFS Datenträger wahrscheinlich hast du es mit FAT formatierten versucht.
Sobald der jeweilige Domänennutzer auf einer Maschine aber lokale Adminrechte hat kann er trotzdem wieder formatieren...

Hier ein Auszug der Beschreibung der Richtlinie:
Geräte: Formatieren und Auswerfen von Wechselmedien zulassen

Mit dieser Sicherheitseinstellung wird festgelegt, welche Benutzer NTFS-Wechselmedien formatieren und auswerfen > können. Diese Berechtigung kann für folgende Benutzergruppen festgelegt werden:

- Administratoren
- Administratoren und Hauptbenutzer
- Administratoren und interaktive Benutzer

Standardwert: Diese Richtlinie ist nicht definiert, und nur Administratoren ist diese Berechtigung zugewiesen.

Es gibt noch weitere Richtlinen im Zusammenhang mit Wechseldatenträgern unter Administrative Vorlagen -> System -> Wechselmedienzugriff (ben. wird mindestens Windows Vista)
Ein Radikale Einschränkung wäre hier Wechseldatenträger - Schreibzugriff verweigern. Dann können die Benutzer jedoch keinerlei USB-Sticks mehr beschreiben...
Bitte warten ..
Mitglied: Almighty
30.11.2012 um 22:43 Uhr
Den Schreibzugriff kannst du Testweise auch via registry sperren.
(HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies\) => WriteProtect (DWORD) = 1;
Aber wie Softmeister schon schreibt, dies wäre eine sehr radikale Lösung.
Bitte warten ..
Mitglied: unkwownuser
03.12.2012 um 16:52 Uhr
Hallo,

ich habe jetzt nochmal nachgesehen, der USB-Stick ist im NTFS-Dateisystem formatiert. Der Domänenbenutzer ist auch kein lokaler Administrator. Verstehe also nicht, warum die Gruppenrichtlinie nicht angewendet wird.

Die andere Möglichkeit, den kompletten Schreibzugriff auf den USB-Stick zu verbieten, ist leider keine akzeptable Lösung. Schreibzugriff muss den Domänenbenutzern gewährt sein.

Hintergrund der Aktion ist folgender, die Domänenbenutzer erhalten einen mit TrueCrypt verschlüsselten USB-Stick. Wenn man den verschlüsselten USB-Stick im Windows-Explorer anklickt, kommt die Abfrage zur Formatierung. Dieses Szenario möchte ich so gut wie möglich vermeiden.
Wird jetzt allerdings ein anderer USB-Stick verwendet, brauchen die Domänenbenutzer Schreibrechte.


Gruß,
unkwownuser
Bitte warten ..
Ähnliche Inhalte
Windows Server
GPO USB Sticks Sperren geht nicht (3)

Frage von opc123 zum Thema Windows Server ...

Windows Netzwerk
USB-Gerät ins Netzwerk (Domäne) einbinden (4)

Frage von griss0r zum Thema Windows Netzwerk ...

Windows Server
gelöst Anmeldung als Gast an Clients verbieten (4)

Frage von tobivan zum Thema Windows Server ...

Erkennung und -Abwehr
USB- Zerstörer nun auch für Apple-Lightning- und USB-C-Geräte (3)

Link von magicteddy zum Thema Erkennung und -Abwehr ...

Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
CNC Maschinen verlieren Netzwerkverbindung (kurioser Fehler) (22)

Frage von NoHopeNoFear zum Thema LAN, WAN, Wireless ...

Drucker und Scanner
Erfahrungen mit Enterprise-Tintenstrahldruckern A4 und A3 (14)

Frage von User1000 zum Thema Drucker und Scanner ...

Webentwicklung
Aktuellen Mitarbeiter auf Homepage anzeigen (13)

Frage von alemanne21 zum Thema Webentwicklung ...