Fosco 10 Geschrieben 14. März 2007 Melden Geschrieben 14. März 2007 Hallo Leute.. Ich weiß, es gibt eine Suchfunktion im Board, aber dort bin ich leider nicht wirklich fündig geworden. Mein Problem ist folgendes: Ich muß in meinem Netzwerk einem Großteil der User die Nutzung der Laufwerke unterbinden. Dies gedachte ich über eine ADM für eine OU zu regeln. Die ADM ist original von MS (leider primär für den 2003-Server gedacht) und sieht so aus: CLASS MACHINE CATEGORY !!category CATEGORY !!categoryname POLICY !!policynameusb KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR" EXPLAIN !!explaintextusb PART !!labeltextusb DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 3 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY !!policynamecd KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom" EXPLAIN !!explaintextcd PART !!labeltextcd DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 1 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY !!policynameflpy KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk" EXPLAIN !!explaintextflpy PART !!labeltextflpy DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 3 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY !!policynamels120 KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy" EXPLAIN !!explaintextls120 PART !!labeltextls120 DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 3 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY END CATEGORY END CATEGORY [strings] category="Custom Policy Settings" categoryname="Restrict Drives" policynameusb="Disable USB" policynamecd="Disable CD-ROM" policynameflpy="Disable Floppy" policynamels120="Disable High Capacity Floppy" explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver" explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver" explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver" explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver" labeltextusb="Disable USB Ports" labeltextcd="Disable CD-ROM Drive" labeltextflpy="Disable Floppy Drive" labeltextls120="Disable High Capacity Floppy Drive" Enabled="Enabled" Disabled="Disabled" Damit sollten alle Laufwerke für die gewünschte Usergruppe gesperrt sein. Ich hab die ADM einer OU-Testgruppe (über Eigenschaften->Gruppenrichtlinien->Neu) zugeordnet, in die Computerconfiguration importiert, aktiviert und eingerichtet. Leider kann ich mit dem User, den ich in diese Test-OU gepackt habe, auch weiterhin auf USB, CD und Floppy zugreifen. Ich hatte die hoffnung, das es auch mit einem 2000-Server funzen würde. Hat jemand eine Ahnung, was ich übersehen haben könnte, oder liegt das wirklich an der Serverversion? Wenn ich übrigens in den Snap-In "Gruppenrichtlinien" schaue, dann finde ich dort nix. Ich denke auch, das das so richtig ist, da diese Vorgabe nur eine bestimmte OU betreffen soll, und nicht die gesamte Domäne. Wäre dankbar wenn ich deaktivierung ans laufen bekäme. Thx im Voraus Fosco Zitieren
Hirgelzwift 10 Geschrieben 14. März 2007 Melden Geschrieben 14. März 2007 das ist eine gruppenrichtline für computer. du kannst die nicht auf benutzer anwenden sondern musst die richtlinie auf computer anwenden. wenn du computerrichtlinien auf bestimmt benutzer anwenden willst musst du den loopbackverarbeitungsmodus aktivieren. zugleich wirst du den GPO delegierung wohl auch auf die Gruppe die es betreffen soll entsprechend anpassen. Zitieren
Fosco 10 Geschrieben 14. März 2007 Autor Melden Geschrieben 14. März 2007 Erstmal danke für die schnelle Antwort, Hirgelzwift... Aber ich geb zu, die Hilfefunktion in der GPO hat mir nicht wirklich weitergeholfen, glaube ich. Vielleicht kannst du mir helfen, meinen Fehler (sachlich oder des Verständnisses) zu finden. 1. Diese Loopbackfunktion ermöglicht mir, eine Computerrichtlinie für eine Benutzergruppe aus zuführen, richtig? 2. Die Loopbackfunktion aktiviere ich in der ADM unter ComputerKonfiguration->Administrative Vorlagen->System->Group Policy 3. Bei der Aktivierung wähle ich den Modus zusammenfügen aus, damit diese Einstellungen an die Policys der Benutzer "angehängt" wird. Wenn das "alles war" dann funktioniert es noch nicht. Da fehlt also von meiner Seite aus irgentwas. Gruß Fosco Zitieren
grizzly999 11 Geschrieben 14. März 2007 Melden Geschrieben 14. März 2007 Die oben stehende Erklärung des Loopbackmodus ist nicht korrekt. Der Loopbackmodus macht es möglich Benutzerrichtlinien, die in einer Richtlinie für eine ComputerOU auf die sich dort anmelden Benutzer anzuwenden, deren Benutzerkonten aber nicht in dieser OU (in der sich der Computer befindet) sind. Der Modus macht es aber auf keinen Fall möglich, dass Computersettings auf einen Benutzer angewendet werden, das geht schlichtweg nicht. Computereinstellungen schreiben in HKLM und Benutzereinstellungen in HKCU, das ändert auch Loopback nichts daran. grizzly999 Zitieren
Fosco 10 Geschrieben 14. März 2007 Autor Melden Geschrieben 14. März 2007 Bedeutet das, das es nicht möglich ist,gezielt einer Benutzergruppe die nutzung von Hardware (hier USB/CDROM/Floppy) per Policy zu verweigern? Oder wie kann man das sonst bewerkstelligen? Das wäre schlecht, denn ich hab hier eine sehr große Gruppe, denen der Zugriff auf die Laufwerke nicht möglich sein soll...*grübel* Vielleicht nen anderen Vorschlag zur Hand? Zitieren
grizzly999 11 Geschrieben 14. März 2007 Melden Geschrieben 14. März 2007 Schau mal schnell hier rein Gruppenrichtlinien - Übersicht, FAQ und Tutorials und suche unten links im Suchfeld nach USB. Da weist auch Kollege Mark Heitbrink darauf hin, dass das nur mit Drittherstellerprodukten sinnvoll möglich ist, was du möchtest. grizzly999 Zitieren
Fosco 10 Geschrieben 14. März 2007 Autor Melden Geschrieben 14. März 2007 Schau mal schnell hier rein Gruppenrichtlinien - Übersicht, FAQ und Tutorials und suche unten links im Suchfeld nach USB. Da weist auch Kollege Mark Heitbrink darauf hin, dass das nur mit Drittherstellerprodukten sinnvoll möglich ist, was du möchtest. grizzly999 Die Kosten sind einfach zur Zeit nicht zu finanzieren...:( Mal ketzerisch (und stur auf lösung) gedacht.... Wenn ich die Computer dieser Benutzergruppe in eine OU fasse und dieser dann diese ADM zuweise, werden alle Laufwerke dieser Rechner geblockt, oder? Besteht die Möglichkeit, diese ADM für andere Benutzergruppen/OU-Objekte ausser Kraft zu setzen? Vielleicht klappt das ja von hinten durch die Brust ins Auge? Ansonsten seh ich nur die Möglichkeit, die Rechner in diese OU zu nehmen und für Veränderungen in eine andere OU zu verschieben. Bin anderen Ideen gegenüber offen... Zitieren
grizzly999 11 Geschrieben 14. März 2007 Melden Geschrieben 14. März 2007 Wenn ich die Computer dieser Benutzergruppe in eine OU fasse und dieser dann diese ADM zuweise, werden alle Laufwerke dieser Rechner geblockt, oder? Ja. Besteht die Möglichkeit, diese ADM für andere Benutzergruppen/OU-Objekte ausser Kraft zu setzen? Nein, siehe Ausführungen in den vorigen Beiträgen. Vielleicht klappt das ja von hinten durch die Brust ins Auge? Ja, siehe Link Mark Heitbrink, aber beachte auch dessen Ausführungen zu solchen Workarounds, oder schau auch mal hier rein https://www.mcseboard.de/windows-forum-lan-wan-32/usb-sperren-gpo-65457.html grizzly999 Zitieren
Fosco 10 Geschrieben 16. März 2007 Autor Melden Geschrieben 16. März 2007 Sodele.. da bin ich wieder.. :D Ich habe mich nun entschlossen, das ich die Sperrung der Laufwerke auf die Teilnehmerrechner setze. Bedeutet für mich, das ich bei einem Support das Gerät in eine andere Gruppe setzen muß, aber gut... Nun habe ich eine OU eingerichtet und dieser die ADM zugewiesen. Innerhalb diese OU habe zwei "Untereinheiten", die lediglich der sortierung (Rechner-Etage) dienen sollen. Obwohl ich diese umstellung gestern getätigt habe(also repliziert ist), stelle ich heute fest, das diverse Teilnehmer immernoch zugriff auf ihre Laufwerke und den USB-Port haben. Bei anderen jedoch greift die Richtlinie... Habe was übersehen? Muß die ADM auf jede Ebene der OU? Will mich das System nur ärgern?? Zitieren
Mouseman 10 Geschrieben 16. März 2007 Melden Geschrieben 16. März 2007 Wurden die PC's neu gestartet ? Manche Computereinstellungen werden nur beim Neustart übernommen. Zitieren
Fosco 10 Geschrieben 19. März 2007 Autor Melden Geschrieben 19. März 2007 Wurden die PC's neu gestartet ?Manche Computereinstellungen werden nur beim Neustart übernommen. Morgen zusammen.. Also alle Clients sind nun mehrfach neu gestartet worden, doch greift die ADM lediglich bei einer Handvoll Rechnern. Das ist natürlich so nicht Sinn der Sache. Kann mir da jemand hilfreich in die Seite treten? Es gibt einfach zuviele USB-Sticks hier... Thx Fosco *EDIT* Es greift lediglich bei 26 von ca. 100 Clients... Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.