Добро пожаловать на неофициальный городской портал г. Мытищи! Наш портал создан для того, чтобы Мытищинцы могли общаться со своими земляками ! Еще он создан для людей, интересующихся г. Мытищи! Вы можете зайти и обсудить любые темы на нашем форуме! А также купить/продать что либо на нашей доске объявлений! Узнать историю, последние новости г. Мытищи Посмотреть фотографии нашего прекрасного города! И, конечно же, оставить отзывы в нашей гостевой книге! Мы очень рады видеть Вас в любое время на нашем сайте!

-
 
 
 
 
:
 
 

Блокирование USB, CD-ROM, Floppy из Active Directory.

А теперь подробнее по задаче. Необходимо залочить все перечисленные в сабже устройства, чтобы ими было невозможно пользоваться всем, кроме определенных лиц. Очевидное решение, вроде программы DeviceLock не подходит, т. к. программа хоть и хорошая по функционалу и качеству работы, но платная (на момент написания этой статьи, стоимость лицензии на 1 компьютер была от 900р.).
Бесплатные решения для корпоративной среды с доменом я не нашел, хотя честно говоря и не особо искал. Платные решения под Windows, как показывает практика, часто не особо удачны.

Из сложившейся ситуации я видел два выхода:
1. Отключить всем USB, как устройства в Диспетчере устройств
2. Что то придумать в Групповых политиках.
Первый вариант имеет много очевидных минусов. Например, как быть пользователям мышек и клавиатур, использующих тот же порт, а также что делать счастливым владельцам принтеров? Вариант отпадал сразу.
Второй показался наиболее предпочтительным, но вот беда. AD 2003 Сервера не имеет необходимых опций. Максимум, что можно себе позволить, это отключить обычные и сетевые диски по буквам, но ведь у некоторых есть только С, а у кого то C, D, E и F. Значит, надо придумать, как отключить через AD. Возможно, есть возможность добавить какую либо опцию.

Достаточно быстро на сайте Microsoft был найден скрипт в формате.adm, который и обеспечивал меня необходимым функционалом. Установка этого скрипта описана в предыдущей теме или, для ленивых, здесь.

Сам скрипт я перевел и дополнил комментариями, исходя из замеченного мной.

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
ENDPART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
ENDPART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
ENDPART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED

VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
ENDPART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Ограничение использования устройств"
categoryname="Съемные диски"
policynameusb="Отключить USB"
policynamecd="Отключить CD-ROM"
policynameflpy="Отключить дисковод 3.5А"
policynamels120="Отключить дисковод высокой емкости (ZIP)"
explaintextusb="Отключает все USB порты, отключая драйвер usbstor.sys. Если опция Включена, пользователь сможет продолжать пользоваться USB устройствами, типа мышек, клавиатур, принтеров и т.д., но не сможет подключиться к флешке, хотя компьютер и увидит ее. Высветится сообщение: Отказано в доступе. Перевел и дополнил: Василий Костюченко."
explaintextcd="Отключает на компьютерах CD-ROM, отключая драйвер cdrom.sys. Если опция включена, CD-ROM будет отключен и им будет невозможно воспользоваться. Перевел и дополнил: Василий Костюченко."
explaintextflpy="Отключает Floppy диск, деактивируя драйвер flpydisk.sys. Проверить не удалось по причине отсутствия в свободном доступе. Кто проверит, прошу отписать в мой блог сюда: http://dojuk.livejournal.com Перевел и дополнил: Василий Костюченко."
explaintextls120="Отключает Floppy диск высокой емкости, деактивируя драйвер sfloppy.sys. Проверить не удалось по причине отсутствия в свободном доступе. Кто проверит, прошу отписать в мой блог сюда: http://dojuk.livejournal.com Перевел и дополнил: Василий Костюченко."
labeltextusb="Отключить USB порты"
labeltextcd="Отключить CD-ROM"
labeltextflpy="Отключить Floppy диск"
labeltextls120="Отключить Floppy Диск высокой емкости"
Enabled="Включить правило"
Disabled="Выключить правило"


Создаете файл в блокноте, вставляете туда этот код и сохраняете его с расширением.adm Затем по инструкции, о которой говорилось выше, импортируете его в групповые политики и настраиваете, как вам заблагорассудится. Находится он будет в Административных шаблонах компьютера (не пользователя). Пункт называется «Ограничение использования устройств». Удачного использования.


Прошу отписаться сюда тех, кто знает, как поведет себя дисковод (например), в случае применения политики, т. к. у меня нет возможности проверить.

Добавить комментарий


Защитный код
Обновить