Показать сообщение отдельно
Старый 22.09.2009, 22:36   #25
konstantino
Пользователь
 
Пол:Мужской
Регистрация: 17.11.2008
Сообщений: 54
Репутация: 17
По умолчанию Re: AD - запрет на съемные носители

Alexei_T,

1)"Как я понимаю, с помощью скриптов в АД ты делаешь запрет компьютерам, а не юзерам" - да.
2)Вообще для проверки этого, можно выполнить эти команды на компе вручную, и будет видно что под ограниченным профилем они не работают.
ИМХО Работа в консольном режиме все же несколько отличается. Ведь добавив скрипт в групповые политики ты явно являешся админом домена и комп при загрузке скрипты хавает как раз плюнуть. Какой вообще тогда смысл было майкрософт добавлять работу со скриптами в гр.политиках? Для того чтоб они действовали только на админов чтоль...
3)А по поводу того что работает пол-года - посмотри права на компах - именно права учетной доменной записи - вероятно они админские.
Зачем мне вообще тогда контроллер домена если все так запущено?...Права почти у всех: Пользователи домена, Пользователи уд.рабочего стола, Операторы печати и все.
4)попробуй вставить в комп флешку, которая ранее не вставлялась - наверняка он ее найдет, может у тебя юзеры особо и пользуются.
Пользуются. Когда я это сделал на утро посыпались звонки один за одним что флеш не работает. Узеры месяц ныли и в итоге успокоились и поняли что это правильно. Флешки всякие пробывал.
5)Короче пока не вижу решения для УСБ
Решение уже есть читай полностью тему
6)Если можно - подробнее про свои скрипты расскажи (или это те, что тут предлагались ранее?), желательно выложи их, и где ты их прописываешь. А еще расскажи какие у тебя права на компах у доменных профилей (Админ, Опытный пользователь или Пользователь (ограниченный)).
Скрипты те что подсказал Dmitry_a за что ему отдельное спасибо. Кстати CD-rom я тоже везде поотключал точно также.
В групповых политиках я еще задал политики на включение если потребуется. Теже скрипты только в последней строке поменял цифры и знаки.
Если я сижу админю юзерский комп под его профилем и мне вдруг срочно понадобилась флешка (это было всего два раза за пол года). То я делаю завершение сеанса захожу под своей учеткой (не вытаскивая флешку), захожу в управление компьютером - диспетчер устройств - контроллеры ун. последов шины правой кнопкой по устройству с васклицательным знаком - выбираю удалить. Втаскиваю флешку вставляю и она работает. После перезагрузки когда я уйду она опять перестанет работать.
7)чтобы когда входишь под локальным админом на комп - всё работает, а когда заходит юзер в домен - рубится УСБ
Стоит попробывать в гр.политике админа применить скрипт на включение. А в политике пользователя отключение.

Добавлено через 3 минуты
Подробная инструкция того как сделал это я.
Если вы имеете доменную сеть и хотите отключить на определенных компюютерах доступ к FLASH и CD-rom то:


на контроллере домена нажмите пуск - программы - администрирование - Active Directory пользователи и компьютеры.(не обязательно это делать на контроллере домена. Можно войти на любой компьютер зарегестрированный в домене под учетной записью администратора домена, нажать пуск - выполнить - mmc - консоль - добавить или удалить остнастку - добавить - выбрать Active Directory пользователи и компьютеры - добавить - закрыть окно изолированных остнасток - ок)

Раскрываем домен выбираем папку в которой находятся нужные компьютеры(стандартная папка computers не подойдет). Если такой нет то нажимаем правой кнопкой по домену - создать подразделение. Пишем название новой папки в моем случае Компьютеры отд. Закуп - Ок.

Если это новая папка(как у меня "компьютеры отд.Закупа") то переместите в нее нужные ПК .

Теперь Начнем работу с групповой политикой отключения USB .

Правая кнопка мыши по папке AD в которой находятся ПК на которых мы будем отключать - свойства - появится окно - выбераем вкладку Групповая политика - создать - вводим имя политики (в моем случае "Откл.USB") (Нажав кнопку свойства можно гибко настроить применение политики на ПК) - выделяйте свою политику и нажмите кнопку Изменить - появится Редактор объектов групповой политики.

Входим в Конфигурация Компьютера - Конфигурация Windows - Сценарии (запуск/Завершение) - Автозагрузка - нажимаем кнопку добавить - обзор - в появившемся окне создаем текстовый документ - называем его как нужно(у меня откл.USB) - раскрываем его и вставляем такой текст:


Dim objShell, regKey
Set objShell = WScript.CreateObject("WScript.Shell")
regKey = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\USBSTOR\start"
key = objShell.RegRead(regKey)
If key < 4 Then objShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\USBSTOR\start", 4, "REG_DWORD"

Этот текстовый документ сохраняем с расширением VBS там же - выбираем наш vbs скрипт - открыть - ок - ок. Закрываем все окна.

Теперь если вы все сделали правильно то доступ к флеш носителям на компьютерах находящихся в папке (как у мена "компьютеры отд.Закуп") AD будет закрыт после их перезагрузки.
С отключением CD-rom все то же самое только вставляем в текстовый файл такой текст:

Option Explicit
Dim objShell, regKey, key
Set objShell = WScript.CreateObject("WScript.Shell")
regKey = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\Cdrom\start"
key = objShell.RegRead(regKey)
If key < 4 Then objShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\Cdrom\start", 4, "REG_DWORD"

Точно также можно сделать групповую политику на включение Флешек текст:

Dim objShell, regKey
Set objShell = WScript.CreateObject("WScript.Shell")
regKey = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\USBSTOR\start"
key = objShell.RegRead(regKey)
If key = 4 Then objShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\USBSTOR\start", 3, "REG_DWORD"

И включение на CD-rom текст:

Option Explicit
Dim objShell, regKey, key
Set objShell = WScript.CreateObject("WScript.Shell")
regKey = "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\Cdrom\start"
key = objShell.RegRead(regKey)
If key = 4 Then objShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\Cdrom\start", 3, "REG_DWORD"


Для точности на тестовом компьютере включенном в домен в CMD вводим gpupdate(обновление гр. политик компьютера и пользавателя. Можно обновлять политики по отдельности gpupdate:computer и на пользователя gpupdate:user), обычно это не требуется.

Anatol_Kov
olegskala дал два файлика VBS с точно таким же текстом скриптов как и от Dmitry_aI

Последний раз редактировалось konstantino; 17.11.2009 в 20:54.. Причина: исправил ошибки в скриптах
konstantino вне форума
 
Ответить с цитированием Вверх
Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение:
 
Время генерации страницы 0.10079 секунды с 10 запросами