Windows 2003 R2 проблема с ограничением USB, дисководов
 

Здрасти, вообще я собирался ограничить доступ к дисководам, флопикам и USB некоторым пользователям. Нашел способ, применение одминистративного шаблона, вот он:

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"

Я его применил в Организацинном подразделении нужных пользователей, которых нужно органичить, в нем были и все компьютеры, проблема в том что он ограничивает доступ к флешкам и дисководам всем пользователям, даже тем которым не нужно. Хотя доверенные пользователи находятся в другом Организационном подразделении. Этот параметр применяется ток к компьютерам и нельзя его почему применить к опред пользователям. Заранее спасибо.

Может из-за этого?

А как сделать так чтоб применялось не к MACHINE а к пользователям?

Никак

1) создать группу специальую. В неё добавить тех пользователей, которым нужно запрещать.
2) GPO применить на весь домен.
3) В фильтрах указать не "Авторизованные пользователи", а созданную группу.

Таким образом, GPO применится на всех пользователей данной группы, не зависимо от того, в какой OU они находятся.

Только в специальную группу добавить не пользователей, а компьютеры, потому что как было сказано выше, данная политика применяется только к компьютерам.

exo,
Порты USB работают независимо от пользователя, залогиненного на компьютере )

ну тогда GFIendPointSecurity или как-то так в помощь... можно правами играться: рид онли или фулл.

Простите за глупый вопрос, как ето 3) В фильтрах указать не "Авторизованные пользователи", а созданную группу., можно поподробней как и где это)

Спасибо, за подсказку, в своих действиях я таки и не знал...непонятно.

Тему можно закрывать, нашел способ ограничить доступ наиболее удобный программой GFI EndPointSecurity v4.0