Подскажите пожалуйста как по средствам групповой политики отключить на клиентских машинах использования USB и Flopy.
Если можно более подробно описать... Заранее спасибо!!!

p.s. А CD-Rom должен быть доступен)

по средствам групповой политики »
насколько мне известно, то с помощью ГПО можно отключить только устройства в драйверами майкрасофт.
При этом, в Server 2003 AD - нет таких политик по умолчанию, нужно "дописывать" их туда.
А вот в Server 2008 говорят это уже есть...
Я вам посоветую использовать ПО GFI - отлично всё закрывает.

При этом, в Server 2003 AD - нет таких политик по умолчанию, нужно "дописывать" их туда. »

Вот это как раз мне и нужно... есть ли у кого админ шабло который отключает использования USB и Floppy на клиентских машинах?

И как правильно его импортировать?!

Этот ключик в реестре делает USB read only:

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies] "WriteProtect"=dword:00000000

Можно запхать в сценарий входа скрипт:
usbWriteOnly.js
var WSHShell = WScript.CreateObject("WScript.Shell"); WSHShell.RegWrite ("HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\StorageDevicePolicies\\WriteProtect", 1, "REG_DWORD");

Этот ключик в реестре делает USB read only:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies] "WriteProtect"=dword:00000000 »

Есть такое) Но вот у мну есть клавиатура и мышка и принтера USB... А доступ надо полностью отключить)

Нашёл прогу DeviceLock щя пробую вроде то что надо)

клавиатура и мышка и принтера USB »
рид онли им. но мы через GFI так, а через ГПО вроде полностью отключите.
Вот это как раз мне и нужно... есть ли у кого админ шабло который отключает использования USB и Floppy на клиентских машинах? И как правильно его импортировать?! »
погуглите на эту тему. там будет сценарий. а ещё лучше на этом форуме поищите. я вроде тему создовал там написали...

В ОС Windows XP вроде такой параметр в реестре:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Start"=dword:00000004 - запретить; 00000003 - разрешить
http://forum.sysfaq.ru/index.php?showtopic=6247
http://www.winblog.ru/admin/1147765513-17060802.html
http://support.microsoft.com/kb/823732/ru

В ОС Windows XP вроде такой параметр в реестре: »
скорее всего нужно его создавать. у меня нет.

DarkMaximus, Запрет на показ содержимого в логических дисках (http://forum.oszone.net/thread-123351.html)

USB отключается вот в этой ветке:
HKLM\SYSTEM\CurrentControlSet\Services\UsbStor
Находим параметр Start типа DWORD, меняем цифру 3 на 4, после перезагрузки этот порт не будет работать.

Подскажите пожалуйста как по средствам групповой политики отключить на клиентских машинах использования USB »
Лучше выше описаные манипуляции сделать на каждой машине в ручную, а не на административном компьютере.

и Flopy. »
Здесь можно поступить следующим способом:
В ветке реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Создать параметр типа DWORD NoViewOnDrive поставить значение 1. И флопи не будет открываться

Тут много написано про отключении USB-накопителей через GPO.
А если нужно отключить доступ к флешкам в раб.группе?
На сайте MS нашел http://support.microsoft.com/kb/823732.
По второму пункту мне понятно:
В реестр добавляем
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
"Start"=dword:00000003
Как назначить группе "Пользователи" "Опытные пользователи" запрещающие разрешения на следующие файлы:
%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf
через реестр ?? Не будешь же каждый раз заходиnm во вкладку безопасность. ПК около 100 штук.

И еще вот, что заметил. Если Администратор изменяет параметр "Start" на 4 (запрет), по после подключения флешки, параметр справывается на 3. И после подключения пользователя USER у него работает флешка

Спасибо

Как назначить группе "Пользователи" "Опытные пользователи" запрещающие разрешения на следующие файлы:
%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf
через реестр ?? Не будешь же каждый раз заходиnm во вкладку безопасность.
Батником (.cmd):
cacls /?
Xcacls (http://support.microsoft.com/kb/825751/ru)
SubInACL (http://www.microsoft.com/downloads/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en)

P. S. Есть сторонний софт типа DeviceLock (http://soft.oszone.net/program/1752/DeviceLock/).

Нашёл вот такое, отключение как USB, Floppy и CD-Rom
http://support.microsoft.com/kb/555324/en-us
А вот как насчёт того что у меня клавиатуры и мышки и принтеры + карт-ридеры подключены через USB?
Они будут работать?

Они будут работать? »
Нет. Поэтому и предлагал Вам DeviceLock.

monkkey, ну не все не будет работать. Мышка, клава, принтер работать будут. А вот карт-ридер врядли.

Мышка, клава, принтер работать будут. »
USB? Сомневаюсь.

USB? Сомневаюсь. »
Зря. Во-первых, потому что эта политика запрещает доступ к файлам Usbstor.pnf и Usbstor.inf и к разделу реестра [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] . Слог stor - во всех этих параметрах означает Storage. Перевод я уверен Вам знаком. Поэтому эта политика действует только на то, что система считает хранилищем\диском. Принтер, клава и мышь системой так не определяются. Поэтому и будут работать.
Во-вторых, я проверил это все у себя на работе. Все замечательно работает. К примеру, Canon чтобы "обойти" этот запрет, стал делать так чтобы его фотики в системе тоже не определялись как USB-Storage. И тогда их можно подрубать к компу на который распространяется политика запрета использования USB. :)

Здравствуйте :) Вопрос стоит тот же, закрыть usb средствами AD. Нюанс - пользователи работают с хардварными usb-ключами, то есть закрывать надо на запись. Перерыл инет, нашел пару скриптов, в т. ч. от мелкомягких, которые должны бы добавить шаблон, но политики в шаблоне почему-то работать не хотят, как ни старайся. Пошел другим путем, в AD в конфигурации пользователей написал пару сценариев на вход и выход пользователя (правка dword-параметра реестра WriteProtect). Мне надо, чтобы когда пользователь, кому нельзя использовать флешки, входил в систему, применялся бы сценарий на запрет, а при разлогинивании его применялся бы сценарий на разрешение, для того, чтобы другие пользователи, которые могут их использовать, могли это сделать на том же компьютере. Однако сценарий запрета работает, а вот сценарий обратного разрешения почему-то нет (после разлогинивания и последующего логина другого пользователя запись на флешку все равно невозможна). С этим можно что-то поделать?

Всем привет! и все таки решение вопроса то какое?
Как запретить флешки через GPO у определенных груп пользователей.

Заранее спасибо.