Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Не могу заблокировать USB, FDD, CD-ROM на определенных ПК через GPO в AD (http://forum.oszone.net/showthread.php?t=160952)

morozov_s_v 20-12-2009 23:41 1300341
Не могу заблокировать USB, FDD, CD-ROM на определенных ПК через GPO в AD
 
Пожалуйста помогите следующую проблему!
Сделал стенд для опытов - Установил Windows Server 2003, развернул DNS, Active Directory, сделал учетки в AD. Зарегестрировал один комп в AD.

Захотелось мне заблокировать на юзерском компьютере USB, FDD, CD-ROM через GPO в AD.
Скачал скрипт с MS :

-------------------------------------------------------------------

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"

----------------------------------------------------------------

Далее создал объект-папку с палитикой - добавив туда через административные шаблоны *. ADM файл с этим скриптом далее закрыл редактор GPO и потом поместил зарегестрированный ПК в эту папку с этой политикой.
Типа все должно работать но не работает те. и флешки присоединяются и CD диски видятся но ведь все это не должно видится в системе.

Прошу Вас погите - в чем тут дело ?

Michael 21-12-2009 00:07 1300368
Т.е. вы просто вставили этот шаблон и все?
Это не скрипт, этот шаблон, который позволяет менять некие параметры, в данном случае - запрещать/разрешать использование USB, FDD, CD-ROM. Так например для запрета USB-устройств надо в параметре Disable USB поставить Включен, а disable USB ports - Enabled
Как запретить использование USB портов, дисководов CD-ROM и Floppy с помощью Групповых Политик
Если я вас неправильно понял, т.е. вы не просто вставили этот шаблон, но еще и правили параметры в нем, то опишите более подробно что вы делали

Ivan Bardeen 21-12-2009 00:08 1300371
Цитата:
Цитата morozov_s_v
Далее создал объект-папку с палитикой - добавив туда через административные шаблоны *. ADM файл с этим скриптом далее закрыл редактор GPO и потом поместил зарегестрированный ПК в эту папку с этой политикой. »
Этого мало, если просто добавить adm-шаблон в политику - ничего не изменится. Нужно поменть параметры на "disable *".

Michael 21-12-2009 09:27 1300521
Цитата:
Цитата Ivan Bardeen
поменть параметры на "disable *". »
Нет, там должно быть enable, т.к. сам параметр называется "Disable USB port"

morozov_s_v 21-12-2009 19:05 1300963
Те. как я понял мне нужнопоменять параметры в этом скрипте а именно в [strings] те. Enabled="Enabled"
Disabled="Disabled" этии параметрвы наоборот Да ?

Michael 21-12-2009 22:22 1301141
morozov_s_v, вот так отключаются USB устройства с помощью этого шаблона. А как добраться до этого параметра я выше уже говорил. Сам шаблон править нельзя ни в коем случае

morozov_s_v 23-12-2009 00:48 1302124
Все сделал как ви сказали но не помогло.

Шаблон не менял, делал в редакторе и enable и disable, но не заработало на прикрепленном к AD компьютере.

???

Michael 23-12-2009 15:41 1302552
Цитата:
Цитата morozov_s_v
не заработало на прикрепленном к AD компьютере »
1. К какой OU применяется политика и в какой OU находится клиент?
2. Блокирование наследования нигде не включено?
3. Сколько времени прошло с момента изменения параметров ГП? Может они еще не успели примениться? Обновление происходит каджые 1,5 часа +- до 30 минут, поэтому перезагрузите целевой комп после обновления политики на контроллере домена
4. В оснастке AD - пользователи и компьютеры ПКМ и выберете Все задачи -> результирующая политика.
5. Что есть в логах клиента и сервера?


Время: 06:03.

Время: 06:03.
© OSzone.net 2001-