Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gruppenrichtlinie, Laufwerke sperren

Frage Microsoft Windows Userverwaltung

Mitglied: torbendietrich

torbendietrich (Level 1) - Jetzt verbinden

24.10.2006, aktualisiert 18.10.2012, 58693 Aufrufe, 27 Kommentare

Guten morgen.

Im Zuge des Dantenschutzes und der Sicherheit im Netzwerk habe ich folgende Frage: Wie kann ich über eine eine Gruppenrichtlinie den Zugriff auf das CD-ROM Laufwerk sperren? Am besten wäre das die USER aus der Gruppe das Laufwerk zwar sehen aber ihnen der Zugriff verweigert wird. Kann ich auch den Zugriff auf das Disketten Laufwerk sperren? Und jetzt die Preisfrage: Ist es mir auch möglich in einer Gruppenrichtlinie festzulegen, dass der User keinen Wechseldatenträger an seinem Computer anschließen kann?
Wenn mir jemand sagen könnte wie ich das am besten mache, wäre ich sehr dankebar!

Mit freundlichen Grüßen

Torben Dietrich
27 Antworten
Mitglied: Anschiss78
24.10.2006 um 09:23 Uhr
Schau dir mal den link an http://www.winfaq.de/faq_html/tip1511.htm.

und das kannst du ja dann in ein script schreiben und dieses über die gruppenrichtlinie auf die rechner setzen.

hoffe es hilft dir?!
Bitte warten ..
Mitglied: Egbert
24.10.2006 um 09:32 Uhr
Hallo

unter Benutzerkonfiguration --> Administrative Vorlagen --> Windows Explorer -->

findest Du folgende Einstellungen

Zugriff auf Laufwerke Vom Arbeitsplatz nicht zulassen (kein zugriff) oder
Diese angegebenen Datenträger im Fenster Arbeitsplatz nicht anzeigen (unsichtbar)

SWenn Dein gewünschter Laufwerksbuchstabe nicht erscheint musst Du das Adm File ändern oder ein eigenes erstellen.


Mit den Massenspeichern ist es etwas anders hier würde entweder auf ein seperates Produkt zurückgreifen oder unter www.gruppenrichtlinien.de gibt es glaube ich auch einen adm dazu.

Gruß
Egbert
Bitte warten ..
Mitglied: 11078
24.10.2006, aktualisiert 18.10.2012
Hallo,

lies Dir mal diesen Thread durch:

http://www.administrator.de/forum/festplatte-verstecken%3f%3f%3f-9662.h ...



Gruß,
Tim
Bitte warten ..
Mitglied: ratzla
24.10.2006 um 10:21 Uhr
Booten vom CD Rom kannst Du nur verhindern, wenn Dein BIOS so was bietet (beim Standard BIOS ist da meist nix zu verhindern).
Tipp aus der Praxis: CD-Laufwerk brauchst Du nur zur Installation des OS (und selbst das geht zu umgehen). Danach kann es physikalisch entfernt werden. Der Zugriff auf USB Devices kann über die Registry verhindert werden (leider weiss ich nicht mehr wie das ging, einfach mal googlen) alternativ und besser über spezielle Tools.
Bitte warten ..
Mitglied: astronomy
24.10.2006 um 11:32 Uhr
Hallo,

für diees Problem nutzen wir Device Watch.
Damit kann man alles sperren. USB-Ports, CD, DVD, Diskette!!

Vielleicht ist es eine Möglichkeit???
Bitte warten ..
Mitglied: torbendietrich
24.10.2006 um 14:32 Uhr
Also erstmal vielen Dank für die vielen Antworten!
ich werd das ein oder andere aus dem Thread hier einfach mal aus probieren und schreib euch dann sobld es geht und wie ich es gemacht habe.

Mit freundlichen Grüßen

Torben
Bitte warten ..
Mitglied: torbendietrich
27.10.2006 um 08:45 Uhr
Hallo noch mal.

Also ich hab jetzt versucht es über eine Gruppenrichtlinie zu lösen. Ich hab die Vorlage soweit verändert das ich alle Laufwerke sperre bis auf c und d. Das klappt auch sehr gut allerdings gibt es da noch ein kleines Problem, bei dem ihr mir vielleicht noch mal helfen könnt. Das Problem ist, dass in meinem Netzwerk manche PC´s zwei Festplatten Partitionen haben und manche nur c benutzen. wenn ich jetzt c und d erlaube, dann kann ja jemand der nur Partition c besitzt wieder einen Wechseldatenträger in den PC stecken, der sich dann den Laufwerksbuchstaben d nimmt und damit hat er wieder Zzugriff. Ich kann aber nicht nur den Zugriff auf c erlauben, da dann einige User nicht mehr an ihre Daten von der d Partition kommen.
Sehr verzwickt... Habt ihr ne Idee?

Vielen Dank schon mal

Torben
Bitte warten ..
Mitglied: 11078
27.10.2006 um 09:00 Uhr
Hallo,

wenn Du nicht generel die Verwendung von USB-Sticks sperren willst, sehe ich keine Möglichkeit.

Natürlich besteht prinzipiell die Möglichkeit, einem USB-Stick manuell einen Laufwerksbuchstaben zuzuordnen: Am selben Rechner und - soweit mir bekannt ist - mit einem USB-Stick selben Typs wird dann der manuell vergebene Laufwerksbuchstabe bei jedem Anschließen des Sticks auch wieder vergeben.

Das ist natürlich erstens unpraktisch und zweitens funktioniert das nicht nach einmaliger Konfiguration mit jedem Stick jeden Herstellers automatisch.

Wenn Du Active Directory nutzt, kann Du eine angepasste Gruppenrichtlinie für diejenigen Rechner verteilen, die ein Laufwerk D haben (dann c und d nicht gesperrt) und eine andere an diejenigen, die nur c haben (nur Laufwerk c gesperrt).

Wenn es sich bei den Rechnern, die nur C nutzen, nicht um so viele handelt, kannst Du die angepasste ADM-Vorlage auch manuell an die Maschinen verteilen.


Weitere Lösungen fallen mir momentan nicht ein.


Gruß,
Tim
Bitte warten ..
Mitglied: torbendietrich
27.10.2006 um 12:25 Uhr
jo vom Prinzip her könnte ich das machen. Aber dafür muss ich erst mal ne anfrage machen wer alles festplatte d hat und wer nicht. Und bei ungefähr 200 PC´s find ich es ziemlich umständlich jeden einzelnen einmal anzufassen und den in ein gruppe zu ziehen.

Ich möchte übrgigends generell den Zugriff auf wechseldatenträger sperren. hast du da vielleicht noch ne idee?

Mit freundlichen Grüßen

Torben
Bitte warten ..
Mitglied: 11078
27.10.2006 um 12:47 Uhr
Hallo,

Du könntest mal testen, ob es ausreicht, den Treiber "usbstor.sys" zu löschen (zweimal vorhanden: Systemverzeichnis und Systemverzeichnis\Driver Cache). Über diesen kommuniziert Windows mit USB-Massenspeichern, also: Sticks, externen USB-Platten, etc. pp.



Gruß,
Tim
Bitte warten ..
Mitglied: ratzla
28.10.2006 um 13:33 Uhr
Kann mann denn mit Device Watch denn schon in den Bootprozess bzw. das BIOS eingreifen ?

Ich dachte das ist ein Windows Lösung die erst zum Zuge kommt wenn der Windows Kernel geladen ist. Damit kann ich immer noch eine Fremd CD booten.
Bitte warten ..
Mitglied: ANW
08.11.2006 um 08:38 Uhr
Hallo zusammen,

kann mir bitte mal jemand erklären, wie ich so eine ADM Datei erstelle bzw. eine Vorhandene Datei so bearbeite, das ich in den GPO's beim ausblenden der Laufwerke über die vorhandene Auswahl A,B,C,D hinaus Buchstaben einfügen kann.
Alle kann ich nicht benutzen, da auf E die Daten der Nutzer liegen.
Muss also A, C-System, D-Programme, F und G als Optische Laufwerke ausblenden.

Danke
ANW


Ich habe die Lösung gefunden Danke.
Bitte warten ..
Mitglied: 11078
08.11.2006 um 08:56 Uhr
Bitte warten ..
Mitglied: torbendietrich
22.11.2006 um 09:27 Uhr
Hallo,

ich bin immer noch nicht sonderlich viel weiter gekommen, da sich immer wieder andere Probleme ergeben.
Meine Planung war nun um Diskettenlaufwerke, CD-ROM Laufwerke und Wechseldatenträger zu sperren, den Zugriff über eine Gruppenrichtlinie zu verweigern.
1. Problem man muss alle Laufwerksbuchstaben sperren damit sich der USB - Stick nicht einfach einen holen kann und aktiv ist. Allerdings arbeiten sehr viele User mit Netzlaufwerken. Deswegen ist es nicht so einfach, dass ich alles sperre, weil die User dann nicht mehr arbeiten können.
2. Problem ist das viele nur Festplatte C und andere wieder C&D Partitionen haben.

Muss ich jetzt für jedes Programm das nen Netzlaufwerk benutzt ne eigene Gruppenrichtlinie festlegen und das ganze dann mal 2 nehmen wegen den Partitionen.

Gibt es eventuell die Möglichkeit das ich sage falls nen wechseldatenträger angeschlossen wird darf er sich nur den Laufwerksbuchstaben h nehmen, damit ich nur den sperren muss.
Oder besteht die Möglichkeit das ich allen Domänen usern verbiete Wechseldatenträger anzuschließen? Ich glaube das wäre die einfachste Möglichkeit.

Ich hoffe das ich mir helfen könnt.

Mit freundlichen Grüßen

Torben Dietrich
Bitte warten ..
Mitglied: ANW
22.11.2006 um 15:08 Uhr
Hallo,

als erstes kann ich Dir nur empfehlen, alle Clients gleich zu konfigurieren, z.B.: C:\System D:AnwenderProgramme E:Daten.
Absolutes muss wenn Du Ordnung rein bringen willst. Und wenn Du bei den Clients die jetzt nur ein C: Lw haben noch zwei vorerst ungenutzte Partitionen ran hängst.
Das stellt sicher, das wenn Du das Lw F: sperrst, es bei allen das Optische Lw ist.
Bezüglich des USB Port kannst Du über eine GPR den Dienst Wechselmedien deaktivieren und in den Sicherheitseinstellungen für den Dienst nur den Admin eintragen.
Somit sollte das Problem USB gelöst sein.
Für all die Nutzer die ein Netzlaufwerk benötigen, würde ich das Zentral über GPR einsteuern, und den Nutzern das Recht Laufwerke zu verbinden nehmen,
sonst blickst Du nie mehr durch, wenn jeder sein Lw mappt wie er gerade lustig ist. Dazu auch über GPR das Menü Verwalten am Arbeitsplatz ausblenden, damit niemand an den Lw Buchstaben Zuordnung rumspielen kann.
Wenn Du dann die zu verbindenden Lw ziemlich weit nach hinten, U: V:, legst kannst Du den USB auch über die Lw Sperre verhindern, Du musst aber beachten, die Systempartition (meistens C darfst Du nur ausblenden, nicht verweigern. Das gilt auch für Lw auf denen noch weitere Anwendungssoftware installiert ist, in dessen Verzeichnisse der Nutzer schreiben muss.
Alle anderen Lw ausblenden und sperren. Die letzten Lw würde Y: Z: würde ich für Administrative dinge reservieren.

Gruß
ANW
Bitte warten ..
Mitglied: ANW
22.11.2006 um 15:22 Uhr

Hallo,

bin dem Link gefolgt, das war die Lösung.

Danke
ANW
Bitte warten ..
Mitglied: torbendietrich
23.11.2006 um 08:16 Uhr
das hört sich schon mal sehr gut an. Kannst du mir eventuell sagen wo ich die GPR Wechselmedien sperren finde? Ist die in den administrativen Vorlagen oder muss ich da selber ne ADM erstellen? Wenn ja kannst mir sagen wie die auszusehen hat?
Danke schon mal

Mit freundlichen Grüßen

Torben
Bitte warten ..
Mitglied: ANW
23.11.2006 um 09:57 Uhr
Hallo,

die Richtlinie findest Du unter >Computerkofiguration >Windows-Einstellungen >Sicherheitseinstellungen >Systemdienste >>Wechselmedien

Startmodus des Dienstes, auf Manuell und die Sicherheit bearbeiten.

Mit freundlichen Grüßen
ANW
Bitte warten ..
Mitglied: torbendietrich
23.11.2006 um 10:13 Uhr
Jo! Vielen Dank! das erspart mir ne Menge arbeit... ich wollte das erst über nen registry schlüssel lösen aber so ist es viel einfacher! Du scheinst ja ziemlich viel Ahnung über GPO´s zu haben, vielleicht kannst du mir noch bei ner anderen Sache weiter helfen. Ich hab die system.adm soweit erweitert das es die Option x,y,z gesperrt gibt. Das habe ich auf unserem PDC gemacht. wenn ich den gruppenrichtlinien editor lokal öffne ist es auch da aber wenn ich ihn domänen bezogen öffne, gibt es die option noch nicht. Ich dachte das sich der Domänenbezogene Gruppenrichtlinieneditor auf die system.adm des PDC bezieht, tut er aber anscheinend nicht. Kannst du mir sagen wie ich ihm sagen kann das er sich die vorlagen aus der system.adm vom PDC holen soll? Wär sehr nett

Mit freundlichen Grüßen Torben
Bitte warten ..
Mitglied: ANW
23.11.2006 um 11:41 Uhr
Hallo,

das gleiche Problem hatte ich auch, ich habe zwei System ADM auf meinem DC gefunden, eine in %SystemRoot%\inf und eine im %SystemRoot%\system32\GroupPolicy.
Ich hatte die in dem inf Verzeichnis bearbeitet, damit konnte ich mit dem GPR Tool lokal am DC arbeiten aber nicht in der Domäne.

Ich habe dann einfach eine neue GPR ertellt, damit wird im SysVoL deiner Domäne unter Policies ein neues Verzeichnis mit einer ID erstellt, diese ID findest Du auch unter Details deiner neu erstellten GPR, etwas so {513CCCBD-36B4-4AA7-B148-90E7F8531300}.
In dem Verzeichnis im SysVoL unter der ID deiner gerade erst erstellten GPR findest Du ein Verzeichnis ADM, dort ist auch eine System ADM, wenn Du diese bearbeitest, kannst Du anschließend in dem GPR Tool die Auswahl für deine x,y,z Lw finden und für die Domäne auswählen.

Wo beim erstellen der GPR die System ADM als Vorlage her kommt weiß ich auch nicht ,vermutlich aus der zweiten Quelle, habe ich aber noch nicht ausprobiert, ob wenn ich die System ADM aus dem GroupPolicy Verzeichnis bearbeite, diese dann als Vorlage für die Domäne hergenommen wird.

Wenn Du dann weitere GPR zum Lw sperren brauchst, kannst Du die erste kopieren, und hast die bearbeitete Sys ADM gleich in deiner neuen GPR ID.
Du musst aufpassen keine zwei GPRs mit Lw Sperren auf den gleichen Nutzer loszulassen, dann geht keine, Du musst alles was Du für einen Nutzer brauchst in einer ADM Programmieren.
Ich würde Dir auch noch empfehlen, das Gruppenrichtlinienverwaltungs- Tool gpmc.msc, gibts irgendwo bei MS in einem KIT such mal nach gpmc.msi ca. 4,9 MB, ist echt die Arbeit wert.
Gruß
ANW
Bitte warten ..
Mitglied: torbendietrich
23.11.2006 um 11:53 Uhr
jo das tool hab ich! Ist echt so gut zu gebrauchen... Vielen Dank für die Hilfe ich werd´s nachher gleich mal ausprobieren
Bitte warten ..
Mitglied: torbendietrich
29.11.2006 um 16:54 Uhr
Hi!

Das mit dem registry eintrag zum sperren von usbstorage klappt gut! Jetzt hab ich allerdings noch mal eine Frage.
Also ich habe den Schlüssel soweit verändert und exportiert.
Jetzt will ich den aber in der ganzen domäne verteilen und man kann ihn nur ausführen wenn man adminrechte hat.
Gibts irgend eine Möglichkeit den über eine Gruppenrichtlinie zu verteilen, sodass jeder den ausführen kann?
Danke schon mal

Mit freundlichen Grüßen Torben
Bitte warten ..
Mitglied: ANW
30.11.2006 um 14:48 Uhr
Hi!

Das mit dem registry eintrag zum sperren von
usbstorage klappt gut! Jetzt hab ich
allerdings noch mal eine Frage.
Also ich habe den Schlüssel soweit
verändert und exportiert.
Jetzt will ich den aber in der ganzen
domäne verteilen und man kann ihn nur
ausführen wenn man adminrechte hat.
Gibts irgend eine Möglichkeit den
über eine Gruppenrichtlinie zu
verteilen, sodass jeder den ausführen
kann?

Hallo,
das mit dem Registry Eintrag hast Du nicht von mir, da kann ich dir nicht weiterhelfen.
Ich hatte Dir empfohlen, die Sperrung via abschalten des Wechselmediendienst durch GPO zu versuchen.

Gruß
ANW
Bitte warten ..
Mitglied: torbendietrich
30.11.2006 um 14:56 Uhr
jo! das wär die einfachste Möglichkeit gewesen aber das hat leider nicht funktioniert. selbst wenn ich den dienst manuell deaktiviert habe, haben die sticks noch funktioniert.
Bitte warten ..
Mitglied: Egbert
30.11.2006 um 15:22 Uhr
Hallo Torben,

unter www.simplescripts.de findest Du ein sehr interessantes werkzeug um bestimmte Sachen dediziert zu sperren und freizugeben.

Is Freeware und nicht schlecht, funktioniert sehr gut.

Kommerziell würde ich zum Beispiel auf Drivelock zugreifen, astreine GPO Integration inclusive Reporting und Verschlüsselung.

Gruß
Egbert
Bitte warten ..
Mitglied: ANW
30.11.2006 um 15:50 Uhr
Hallo,
dann kann ich dir auf die schnelle nur empfehlen, so viel Lw nach deinem C: bzw. D: auszublenden und zu verweigern, wie die meisten rechner USB anschlüsse haben, wenn sich das nicht mit deinen netz Lw beist. die ich auf jeden fall vereinheitlichen würde, sonst kommst du nie auf einen grünen zweig. ich betreue ca. 500 rechner und 20 server im netzwerk, da kannst du nur noch mit standards arbeiten.
Gruß
ANW
Bitte warten ..
Mitglied: torbendietrich
30.11.2006 um 15:54 Uhr
das wird sich beißen
naja dann werd ich mal das tool von dem poster unter mir probieren, wenn das nicht klappt verteil ich mein registry Paket wohl mit dem SMS von microsoft. das is aber nur zweite wahl weil der irgentwie nicht alle erkennt und den rest dann maunell machen muss... aber trotzdem danke für die hilfe
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Laufwerke werden nicht immer gemappt (Windows) (7)

Frage von YotYot zum Thema Windows Server ...

Datenschutz
gelöst USB-Ports sperren über Kaspersky (1)

Frage von Tak-47 zum Thema Datenschutz ...

Windows 10
gelöst Net Framework über Gruppenrichtlinie aktivieren (10)

Frage von DarkScabs zum Thema Windows 10 ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...