dossi84 10 Geschrieben 20. April 2005 Melden Teilen Geschrieben 20. April 2005 Hallo, wir haben hier eine w2k-domäne. Alle User haben von Haus aus nicht das Recht USB-Sticks zu benutzen, da sie keine Treiber dafür installieren dürfen. Gibts einen Weg das über die Gruppenrichtlinen des W2K-Server zu realisieren? Bisher hab ich immer nur Anleitungen gefunden, mit denen man es verbieten kann. Danke für eure Anworten Zitieren Link zu diesem Kommentar
saracs 10 Geschrieben 20. April 2005 Melden Teilen Geschrieben 20. April 2005 :suspect: wenn du allen usern das recht entzogen hast usb sticks zu benutzen, dann sollte es doch kein problem sein dieses wieder rückgänngig zu machen oder? wie habt ihr denn die usb sticks für user "nicht nutzbar" gemacht? gruss saracs Zitieren Link zu diesem Kommentar
dossi84 10 Geschrieben 20. April 2005 Autor Melden Teilen Geschrieben 20. April 2005 entzogen haben wir es gar nicht. die user sind ganz normal in OU's angelegt. Die Gruppenrichtilinie verbietet es nicht. btw. kann ich "normalen" usern auch Rechte des "Hauptbenutzers" geben per Richtlinie? Zitieren Link zu diesem Kommentar
FLOST 10 Geschrieben 20. April 2005 Melden Teilen Geschrieben 20. April 2005 Was hast du für Clients? W2K und XP erkennen die inger automatisch. Wenn es nicht verboten wurde saollte es auch gehen. fg fLOST Zitieren Link zu diesem Kommentar
dossi84 10 Geschrieben 20. April 2005 Autor Melden Teilen Geschrieben 20. April 2005 alles w2k clients. erkannt werden die geräte ja, aber wenn ein Treiber dafür installiert werden muss, klappts halt nicht mir user-rechten. Zitieren Link zu diesem Kommentar
Rebell 10 Geschrieben 20. April 2005 Melden Teilen Geschrieben 20. April 2005 Hi, denke es gibt 2 Wege ... entweder du installierst alle erdenkbaren treiber für USB Sticks über Group Policy's so das jeder Stick erkannt werden sollte und es keine Probleme mit der installation gibt... oder Du gibst ihnen das Recht die treiber zu installieren indem du sie für bestimmte installationsvorgänge zu lokalen admin's machst Bin mir nicht 100%tig sicher ob das geht meine aber schon Zitieren Link zu diesem Kommentar
dossi84 10 Geschrieben 20. April 2005 Autor Melden Teilen Geschrieben 20. April 2005 du installierst alle erdenkbaren treiber für USB Sticks über Group Policy's wie funktioniert das? per softwareverteilung? Zitieren Link zu diesem Kommentar
Halford 10 Geschrieben 20. April 2005 Melden Teilen Geschrieben 20. April 2005 1.) Verwendung eines eigenen ADM Templates, das die Startart des Treibers regelt. ----------- schnipp usb.adm ----------- CLASS MACHINE CATEGORY "Dienste und Gerätetreiber" POLICY "USB-Massenspeichertreiber" KEYNAME "System\CurrentControlSet\Services\usbstor" PART "Startzeitpnkt" DROPDOWNLIST VALUENAME "Start" ITEMLIST NAME "Bootzeitpunkt" VALUE NUMERIC 0 NAME "Systemstart" VALUE NUMERIC 1 NAME "Automatisch" VALUE NUMERIC 2 DEFAULT NAME "Manuell" VALUE NUMERIC 3 NAME "Deaktiviert" VALUE NUMERIC 4 END ITEMLIST END PART END POLICY END CATEGORY ----------- schnapp usb.adm ----------- 2.) Erst mit Windows XP2 verfügbar: Den USB Stick schreibschützen, Reg-Eintrag als ADM Template: ----------- schnipp usbwriteprotect.adm ----------- CLASS MACHINE CATEGORY "USB" POLICY "USB schreibschützen" KEYNAME System\CurrentControlSet\Control\StorageDevicePolicies VALUENAME WriteProtect VALUEON 1 VALUEOFF 0 END POLICY END CATEGORY ----------- schnapp usbwriteprotect.adm ----------- Der nächste Schritt ist dann das Setzen von Berechtigungen sowohl auf Datei~ als auch auf Registry-Ebene: => HKLM\System\CurrentControlSet\Services\usbstor Der Pfad zum Gerätetreiber in der Registry => %systemroot%\inf\usbstor.inf Die Treiber-Informationsdatei => %systemroot%\inf\usbstor.pnf Precompiled Informationsdatei => %systemroot%\system32\drivers\usbstor.sys Der Treiber an sich Zu setzende Berechtigung: "SYSTEM" Zugriff "Verweigern" Durch diese Einstellung wird die automatische Erkennung des USB Sticks (oder anderen Gerätes) verhindert. Dem Prozess des System, der im Hintergrund die Plug&Play Hardwareerkennung inkl. Auswahl des passenden Treibers ausführt, wird hiermit der Zugriff verweigert und der Treiber kann nicht gefunden werden. Was allerdings nur funktioniert, solange der Treiber nicht schon einmal erkannt wurde und das Gerät nicht schon einaml angeschlossen war. Es hilft also nur bei der Erst-Installation. Ist das Gerät einmal installiert worden, findet die Suche nicht mehr statt und die Einstellung hat keinerlei Auswirkung auf das Gerät. Es funktioniert weiterhin (vorrausgesetzt der Treiber ist nicht deaktiviert). Dateiberechtigungen alleine reichen nicht aus. 3rd Party Alternativen 1. USB-Wächter. Der USB Wächter ist eine "Fummel und Bastellösung" von der c´t http://www.heise.de/ct/ftp/03/08/190/ Die Leute von der c´t haben ein VB Script geschrieben, daß die Geräte der USB Schnittstelle überwacht. Das Script läuft im Hintergrund und entscheidet anhand einer .cfg Datei über die zugelassenen Geräte. Zum Thema Sicherheit sei nur soviel gesagt: Einen Prozess zu killen ist wohl eine der leichtesten Übungen ... 2. USB Wächter Ähnlicher Name wie unter 1. aber anderer Entwickler. http://forum.trinit-soft.de/viewforum.php?f=10 Ist auf jeden Fall die bessere Alternative, verglichen mit dem Script der c´t, da der USB Wächter von Martin Eckes als Dienst konfiguriert ist und eine bequeme GUI bietet, welche der aktuell an USB angeschlossenen Geräte erlaubt sind. Natürlich obliegt auch in diesem Fall dem Administrator die Konfiguration. 3. Drive Lock Kostenpflichtige Lösung von Centertools http://www.centertools.de/ 4. DeviceLock Kostenpflichtige Lösung von SmartLine http://www.protect-me.com/de/dl/ 5. Sanctuary Device Control (ehemals SecureNT) Kostenpflichtige Lösung von SecureWave http://www.securewave.com/ http://www.gruppenrichtlinien.de/HowTo/usb_sticks_deaktivieren.htm Zitieren Link zu diesem Kommentar
Rebell 10 Geschrieben 20. April 2005 Melden Teilen Geschrieben 20. April 2005 Prinzipiell geht das so .. nur wenn ich das richtig verstanden habe geht es hier darum das die treiber komplett fehlen und nicht das genutzt bzw. nicht genutzt werden sollen... Treiber über Group Policy geht theoretisch/praktisch so: - blankes XP system aufsetzen - Wininstall LE ziehn - Treiber MSI erstellen - per Gruppenrichtlinie zuweisen 1.) Verwendung eines eigenen ADM Templates, das die Startart des Treibers regelt. ----------- schnipp usb.adm ----------- CLASS MACHINE CATEGORY "Dienste und Gerätetreiber" POLICY "USB-Massenspeichertreiber" KEYNAME "System\CurrentControlSet\Services\usbstor" PART "Startzeitpnkt" DROPDOWNLIST VALUENAME "Start" ITEMLIST NAME "Bootzeitpunkt" VALUE NUMERIC 0 NAME "Systemstart" VALUE NUMERIC 1 NAME "Automatisch" VALUE NUMERIC 2 DEFAULT NAME "Manuell" VALUE NUMERIC 3 NAME "Deaktiviert" VALUE NUMERIC 4 END ITEMLIST END PART END POLICY END CATEGORY ----------- schnapp usb.adm ----------- 2.) Erst mit Windows XP2 verfügbar: Den USB Stick schreibschützen, Reg-Eintrag als ADM Template: ----------- schnipp usbwriteprotect.adm ----------- CLASS MACHINE CATEGORY "USB" POLICY "USB schreibschützen" KEYNAME System\CurrentControlSet\Control\StorageDevicePolicies VALUENAME WriteProtect VALUEON 1 VALUEOFF 0 END POLICY END CATEGORY ----------- schnapp usbwriteprotect.adm ----------- Der nächste Schritt ist dann das Setzen von Berechtigungen sowohl auf Datei~ als auch auf Registry-Ebene: => HKLM\System\CurrentControlSet\Services\usbstor Der Pfad zum Gerätetreiber in der Registry => %systemroot%\inf\usbstor.inf Die Treiber-Informationsdatei => %systemroot%\inf\usbstor.pnf Precompiled Informationsdatei => %systemroot%\system32\drivers\usbstor.sys Der Treiber an sich Zu setzende Berechtigung: "SYSTEM" Zugriff "Verweigern" Durch diese Einstellung wird die automatische Erkennung des USB Sticks (oder anderen Gerätes) verhindert. Dem Prozess des System, der im Hintergrund die Plug&Play Hardwareerkennung inkl. Auswahl des passenden Treibers ausführt, wird hiermit der Zugriff verweigert und der Treiber kann nicht gefunden werden. Was allerdings nur funktioniert, solange der Treiber nicht schon einmal erkannt wurde und das Gerät nicht schon einaml angeschlossen war. Es hilft also nur bei der Erst-Installation. Ist das Gerät einmal installiert worden, findet die Suche nicht mehr statt und die Einstellung hat keinerlei Auswirkung auf das Gerät. Es funktioniert weiterhin (vorrausgesetzt der Treiber ist nicht deaktiviert). Dateiberechtigungen alleine reichen nicht aus. 3rd Party Alternativen 1. USB-Wächter. Der USB Wächter ist eine "Fummel und Bastellösung" von der c´t http://www.heise.de/ct/ftp/03/08/190/ Die Leute von der c´t haben ein VB Script geschrieben, daß die Geräte der USB Schnittstelle überwacht. Das Script läuft im Hintergrund und entscheidet anhand einer .cfg Datei über die zugelassenen Geräte. Zum Thema Sicherheit sei nur soviel gesagt: Einen Prozess zu killen ist wohl eine der leichtesten Übungen ... 2. USB Wächter Ähnlicher Name wie unter 1. aber anderer Entwickler. http://forum.trinit-soft.de/viewforum.php?f=10 Ist auf jeden Fall die bessere Alternative, verglichen mit dem Script der c´t, da der USB Wächter von Martin Eckes als Dienst konfiguriert ist und eine bequeme GUI bietet, welche der aktuell an USB angeschlossenen Geräte erlaubt sind. Natürlich obliegt auch in diesem Fall dem Administrator die Konfiguration. 3. Drive Lock Kostenpflichtige Lösung von Centertools http://www.centertools.de/ 4. DeviceLock Kostenpflichtige Lösung von SmartLine http://www.protect-me.com/de/dl/ 5. Sanctuary Device Control (ehemals SecureNT) Kostenpflichtige Lösung von SecureWave http://www.securewave.com/ Zitieren Link zu diesem Kommentar
dossi84 10 Geschrieben 20. April 2005 Autor Melden Teilen Geschrieben 20. April 2005 wenn nun aber ca. 30 versdhiedene usb sticks sind? mach ich dann ein paket für jeden treiber? oO Zitieren Link zu diesem Kommentar
Rebell 10 Geschrieben 20. April 2005 Melden Teilen Geschrieben 20. April 2005 wenn nun aber ca. 30 versdhiedene usb sticks sind?mach ich dann ein paket für jeden treiber? oO nein du kannst eins mit allen zusammen machen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.