Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

USB-Datenträger via Gruppenrichtlinie blockieren?

Frage Microsoft Windows Userverwaltung

Mitglied: -BassT-

-BassT- (Level 1) - Jetzt verbinden

13.05.2011 um 13:21 Uhr, 6662 Aufrufe, 11 Kommentare

Hallo,

ich habe schon einige Versuche hinter mir und habe auch schon im Netz recherchiert, bisher aber keine Lösung für mein Problem ohne Zuhilfenahme weiterer Tools gefunden:

Ich muss in der Firma, deren Rechner ich administriere, die Nutzung von USB-Datenträgern unterbinden.
Und zwar soll das Ganze Benutzer-spezifisch ablaufen, also dass ich nur bestimmte Nutzer für USB-Datenträger freischalten kann, dies bei allen anderen Nutzern aber blockiert wird.

Tools wie USB-Wächter sind mir bekannt, hier muss aber jeder Rechner einzeln konfiguriert werden und hier funktionieren USB-EIngeräte manchmal nicht.

Habe nun schon den passenden Registry-Eintrag für Wechselmedien gefunden (Wechselmedien können gern generell blockiert werden),
hier meine entsprechenden ADM-Inhalte:

01.
CLASS USER 
02.
 
03.
CATEGORY "Dienste und Gerätetreiber"  
04.
CATEGORY "USB"  
05.
    POLICY "USB-Massenspeichertreiber"  
06.
    KEYNAME "System\CurrentControlSet\Services\usbstor"  
07.
     PART "Startzeitpunkt" DROPDOWNLIST  
08.
       VALUENAME "Start"  
09.
           ITEMLIST  
10.
           NAME "Bootzeitpunkt" VALUE NUMERIC 0  
11.
           NAME "Systemstart"   VALUE NUMERIC 1  
12.
           NAME "Automatisch"   VALUE NUMERIC 2 DEFAULT  
13.
           NAME "Manuell"       VALUE NUMERIC 3  
14.
           NAME "Deaktiviert"   VALUE NUMERIC 4  
15.
           END ITEMLIST  
16.
     END PART 
17.
	EXPLAIN "USB-Treiber aktivieren oder deaktivieren" 
18.
    END POLICY  
19.
 
20.
    POLICY "USB schreibschützen"  
21.
    KEYNAME System\CurrentControlSet\Control\StorageDevicePolicies 
22.
        VALUENAME WriteProtect  
23.
        VALUEON 1 VALUEOFF 0  
24.
	EXPLAIN "USB-Schreibschutz an/ausschalten" 
25.
    END POLICY  
26.
 
27.
    POLICY "Wechselmedien-Dienst"  
28.
    KEYNAME "System\CurrentControlSet\Services\NtmsSvc"  
29.
     PART "Startzeitpunkt" DROPDOWNLIST  
30.
       VALUENAME "Start"  
31.
           ITEMLIST  
32.
           NAME "Bootzeitpunkt" VALUE NUMERIC 0  
33.
           NAME "Systemstart"   VALUE NUMERIC 1  
34.
           NAME "Automatisch"   VALUE NUMERIC 2 DEFAULT  
35.
           NAME "Manuell"       VALUE NUMERIC 3  
36.
           NAME "Deaktiviert"   VALUE NUMERIC 4  
37.
           END ITEMLIST  
38.
     END PART 
39.
	EXPLAIN "Nutzung von Wechselmedien blockieren (Nötigen Dienst deaktivieren)" 
40.
    END POLICY 
41.
END CATEGORY  
42.
END CATEGORY 
Angezeigt wird's auch, jedoch wird die Einstellung auch nach "gpupdate /force" nicht übernommen.

Was mich auch wundert ist, dass die 3 oben genannten Einstellungen nur angezeigt werden, wenn ich unter Ansicht > Filterung das Häkchen bei "Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen" entferne, ansonsten ist die Kategorie leer.

Vielen Dank für eure Hilfe

Sebastian
Mitglied: LordXearo
13.05.2011 um 13:30 Uhr
Hallo,

von welchem BS reden wir hier 2003/2008 ? In den GPO Templates gibt es schon die Einstellungen für "Massenspeicher blockieren". Und dann könntest du eine Gruppe erstellen, bei welchen usern das alles blockiert wird. Und nur bei dieser Gruppe, soll die GPO angewendet werden.


Mfg

Xearo
Bitte warten ..
Mitglied: -BassT-
13.05.2011 um 13:36 Uhr
Clients sind Windows XP - Rechner,
Server ist Windows Server 2003.

Wo finde ich diese Einstellungen?
Habe noch nichts dergleichen gefunden

Viele Grüße und Danke schonmal

Sebastian
Bitte warten ..
Mitglied: Edi.Pfisterer
13.05.2011 um 15:38 Uhr
Hallo!

für XP gibt es die oben beschriebene Gruppenrichtlinie noch nicht...

aber:
es gäbe einen workaround, in dem Du
a) die Laufwerksbuchstaben (dh, alle ausser c: und dem für das DVD-LW) ausblendest und
b) die Verwendung der command-shell über den hash-wert verbietest.

siehe hier-> http://www.schulnetz.info/wie-gestalte-ich-eine-prufung-unter-verwendun ...

der Wert, der die entsprechenden Buchstaben ausblendet, lässt sich mit diesem Tool errechnen:
http://www.wisdombay.com/hidedrive/index.php

hier noch etwas:
http://www.winxperts4all.at/index.php?option=com_content&view=artic ...

lg
edi
Bitte warten ..
Mitglied: -BassT-
13.05.2011 um 16:16 Uhr
Das Problem ist, dass wir unterschiedliche Rechner mit einer unterschiedlichen Laufwerksanzahl haben.
Manche haben c-e, manche nur c:\

Dazu werden noch Netzlaufwerke beim Start über Logonscript eingebunden...

Gehts denn über "meine" Variante nicht?
Hab da wohl irgendwo einen Fehler drin...oder geht das generell nicht?
Bitte warten ..
Mitglied: Edi.Pfisterer
13.05.2011 um 16:20 Uhr
noch eine Anmerkung für Nachkommende:

Und zwar soll das Ganze Benutzer-spezifisch ablaufen...
und
01.
    PART "Startzeitpunkt" DROPDOWNLIST   
02.
08. 
03.
       VALUENAME "Start"   
04.
09. 
05.
           ITEMLIST   
06.
10. 
07.
           NAME "Bootzeitpunkt" VALUE NUMERIC 0   
08.
11. 
09.
           NAME "Systemstart"   VALUE NUMERIC 1   
10.
12. 
11.
           NAME "Automatisch"   VALUE NUMERIC 2 DEFAULT   
12.
13. 
13.
           NAME "Manuell"       VALUE NUMERIC 3   
14.
14. 
15.
           NAME "Deaktiviert"   VALUE NUMERIC 4
sind 2 Dinge, die nicht zusammenpassen...
wenn der Startzeitpunkt zb auf "systemstart" stehen soll, dann muss dieser LAAANGE vor der Anmeldung des jeweiligen Benutzers gelegen haben

dh, dieses ADM - so es funktioniert - kannst du bestenfalls als ADM bei der Computerkonfiguration zum Einsatz bringen...
(so nebenbei...)
Bitte warten ..
Mitglied: -BassT-
13.05.2011 um 16:32 Uhr
Das heißt, die Dienste laufen quasi immer unabhängig wer angemeldet ist?
Dachte, das könnte man dadurch beeinflussen...
Bitte warten ..
Mitglied: Edi.Pfisterer
13.05.2011 um 22:45 Uhr
hallo!
du kannst per Logonscript natürlich einzelne Dienste Starten bzw. Stoppen...
aber: das Problem dabei ist, dass der jeweilige User, der sich anmeldet, dafür über Administratorenrechte verfügen muss...
und wenn er die hat (weil Du ihn in die Gruppe der lokalen Admins steckst), dann kann er sich natürlich danach den Dienst wieder aktivieren...

also, für meine bescheidenen Kenntnisse würde ich meinen:
nein, Dein Lösungsweg funktioniert so leider nicht....

was die unterschiedlichen Rechner angeht:

mach einfach für jedes Modell eine eigene Gruppenrichtlinie...

damit du die verschiedenen Gruppenrichtlinien zuweisen kannst, musst Du
a) die jeweiligen Modelle in eine eigene Unter-OU schieben
b) über einen WMI-Filter die Gruppenrichtlinie aufrufen...
(zu b) hab ich heute vormittag zufällig einen Artikel auf meinem Blog geschrieben...
das Script wmi_computerinfos_in_txt.vbs sollte Dir die Infos über die unterschiedlichen Clients liefern...
danach filterst Du und gut ists...)

würde mich freuen, wenn Du uns wissen lassen würdest, ob dieser Ansatz Dein Problem beseitigen konnte (damit Nachfolgende sich leichter tun...

gutes Gelingen
lg
Bitte warten ..
Mitglied: -BassT-
16.05.2011 um 08:38 Uhr
Hallo!

Die Nutzer haben natürlich keine Admin-Rechte, daher fällt der Weg via Logonscript sowieso weg.
Wir haben > 30 Rechner und noch mehr Konfigurationen, da wird das mit den unterschiedlichen Gruppen doch sehr schwierig...

Schade, dachte ich könnte es einfach über die oben beschriebene Gruppenrichtlinie lösen, wäre natürlich der einfachste Weg...

Naja, muss schauen und werd dann Rückmeldung geben.

Gruß

Sebastian
Bitte warten ..
Mitglied: -BassT-
31.05.2012 um 11:51 Uhr
Möchte nach über einem Jahr doch mal Rückmeldung geben:

Am Ende hat das Rumspielen mit Gruppenrichtlinien oder so nichts gebracht,
ich habe an jedem Rechner das Tool "USB Wächter" (http://www.trinit-soft.de/usb-waechter/) installiert,
damit gings dann...

Viele Grüße

Sebastian
Bitte warten ..
Mitglied: Edi.Pfisterer
31.05.2012 um 11:55 Uhr
Hallo!
eine kleine Erweiterung hätte ich auch noch:

Ab Windows Vista gäbe es auch
• Computerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff
• Benutzerkonfiguration/Administrative Vorlagen/System/Wechselmedienzugriff

lg
Bitte warten ..
Mitglied: -BassT-
31.05.2012 um 12:00 Uhr
Danke, da nun die ersten Windows 7 - Rechner eintrudeln, könnte man dort ja hoffentlich auf das Tool verzichten
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
IDE & Editoren
USB STICK Datei AUTOMATISCH beim anschliessen auf fremden PC öffnen (9)

Frage von Jwanner83 zum Thema IDE & Editoren ...

Windows Installation
Server 2016 UEFI Installation von USB (3)

Tipp von DerWoWusste zum Thema Windows Installation ...

Datenschutz
gelöst USB-Ports sperren über Kaspersky (1)

Frage von Tak-47 zum Thema Datenschutz ...

Humor (lol)
Der Unterschied zwischen USA und USB

Link von BirdyB zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...