Компьютерный форум NoWa.cc
Правила Форума
редакция от 29.01.2013
Портал .::2Baksa.Net::. Трекер BRODIM.COM Фильмы HD Онлайн Форум вебкам моделей
Вернуться   Компьютерный форум NoWa.cc > Операционные системы > Microsoft Windows > Windows 200x Server

Уважаемые пользователи nowa.cc и 2baksa.net. У нас сложилось тяжелое финансовое положение. Мы работаем для вас вот уже более 12 лет
и теперь вынуждены просить о помощи. Окажите посильную поддержку проектам. Мы очень надеемся на вас. Реквизиты для переводов ниже.
Webmoney Webmoney Z826074280762 Webmoney R087294265364 Webmoney U051530505194 Webmoney E804621616710
PayPal E-mail для связи / to Contact E-mail для связи по вопросу помощи / to Contact : E-mail для связи / to Contact
Кошелек для вашей помощи Yandex 410013204813773
Yandex Спасибо за поддержку!

Российский интернет-шлюз: контроль трафика, DLP, антивирус, fail2ban, прокси-сервер, шифрование данных, https-фильтрация. Сертификат ФСТЭК

загрузка...
Ответ
 
Опции темы Language
Старый 16.10.2009, 17:35   #31
Alexei_T
Пользователь
 
Пол:Мужской
Регистрация: 24.04.2009
Сообщений: 90
Репутация: 2
По умолчанию Re: AD - запрет на съемные носители

Цитата:
Сообщение от PLAstic Посмотреть сообщение
Позволю себе подытожить.
konstantino прав в том, что скрипты отрабатывают на ура при входе в домен. Политики применяются не от учётной записи (УЗ) пользователя, что позволяет им применяться без предоставления админских прав пользователям. Под какой конкретно УЗ - повод порыть сайт микрософт.
Служба usbstor отвечает именно за съёмные носители и отрубает их все. А как мы знаем - отрубленная служба будет отрублена для любой УЗ. Т.е. вариант "..., а зашёл под админом - работает" не проходит. Либо не работает для всех, либо работает для всех. Желающие практики могут попробовать такое развитие событий:
  1. устанавливаем тип запуска службы в Авто (это 4, кажется)
  2. net start usbstor
Если это прокатывает, можно вставить в логон-скрипт администратора. Но что-то мне подскажывает, что net start ругнётся.

Хочется разделения по пользователям - покупайте DeviceLock. Кстати, в Windows 7 обещают такие возможности интегрировать.


Может предыдущие способы и хороши - но минусы - отсутствует стабильность, гемор при работе профиля админа (когда нужны сменные накопители), появляются ошибки DNS, а еще думаю будет гемор при смене компа юзера - все это похоже на кустарщину, предлагаю порыться в штатных средствах.
В висте, 7 и серваке 2008 есть похожие штатные политики. Это в случае когда АД поднята на серваке 2008. Но при этом на станциях должна быть установлена ОС не ниже висты - что в нашей ситуации неприемлемо. А с ХР это не работает.
Мы попробовали другой способ - скрытие дисков. Причем работает именно для учетных записей АД, а не для компьютеров (это слишком криво). Единственный минус - диски видны в сторонних файловых менеджерах, ну в принципе можно не ставить их юзерам, или попробовать ограничить в политиках.
Но работает отлично - видны только Мои документы и сетевые ресурсы. Тогда хоть что подключай и вставляй - ничё не видно, никаких дисков, флешек и винтов. А под админским профилем все видно - это как раз и требовалось.
Делается следующим образом:
Создаем контейнер в АД (название любое - как раньше писалось выше)
Помещаем туда выбранных пользователей,
создаем политики (как писал konstantino выше)
далее в политике - конф.пользователя - адм.шаблоны - компоненты windows - проводник - скрыть выбранные диски из окна "мой компьютер".
когда юзер входит в домен под своей учетной записью в АД, то ни хрена не видно, видны только Мои документы и сетевые ресурсы.
Считаю способ оптимальный и без гемора, конечно есть единственный минус (см.выше)
можно отрубить только диски, какие надо, но только через реестр (_http://www.sovety.net/010400.php -
Запрещение различных функций и ресурсов в Windows) - можно попробовать реализовать через скрипты или в локале на каждой станции

Может будут еще предложения?

Последний раз редактировалось Alexei_T; 16.10.2009 в 17:47.. Причина: Добавлено сообщение
Alexei_T вне форума
 
Ответить с цитированием Вверх
Надежный китайский посредник Taobao.com


Реклама: sony kdl 40wd653 smart led диагональ 40отели во владивостоке размещение с животнымиufqrf dn40 ss304покраска кожи салона автомобиля м динамомосква шоу с навкой


Старый 19.10.2009, 10:12   #32
dmitry_a
Постоялец
 
Пол:Мужской
Регистрация: 11.04.2007
Сообщений: 284
Репутация: 85
По умолчанию Re: AD - запрет на съемные носители

Цитата:
Сообщение от Alexei_T Посмотреть сообщение
Может предыдущие способы и хороши - но минусы - отсутствует стабильность, гемор при работе профиля админа (когда нужны сменные накопители), появляются ошибки DNS, а еще думаю будет гемор при смене компа юзера - все это похоже на кустарщину, предлагаю порыться в штатных средствах.

В чем отсутсвует стабильность ?
Гимор при работе админского профиля решается простым скриптом на OU где находятся пользователи с правами администратора.

Цитата:
В висте, 7 и серваке 2008 есть похожие штатные политики. Это в случае когда АД поднята на серваке 2008. Но при этом на станциях должна быть установлена ОС не ниже висты - что в нашей ситуации неприемлемо. А с ХР это не работает.

Да в windows vista, 2008 и 7, функция отключения USB устройств уже есть изначально в групповых политиках, а еще можно выборочно давать возможность подключать какие-либо флэшки по ID, что бывает довольно удобно, к сожелению, эти вкусности небудут работать на машинах под управлением windows xp.

Цитата:
Мы попробовали другой способ - скрытие дисков. Причем работает именно для учетных записей АД, а не для компьютеров (это слишком криво).

Ну тут каждый извращается как может, мне например, такой подход в голову бы не пришел, потому как слишком часто использую сетевый диски.
А вот основные минусы такого подхода вы описали сами, хотя есть еще несколько спорных моментов в правильности подобного решения.

Ну ,коли вам ненравятся решения скриптами, можно это реализовывать при помощи административных шаблонов, вот пример
Код:
CLASS MACHINE
CATEGORY !!category
 CATEGORY !!categoryname
  POLICY !!policynameusb
   KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
   EXPLAIN !!explaintextusb
     PART !!labeltextusb DROPDOWNLIST REQUIRED
 
       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynamecd
   KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
   EXPLAIN !!explaintextcd
     PART !!labeltextcd DROPDOWNLIST REQUIRED
 
       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 1 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynameflpy
   KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
   EXPLAIN !!explaintextflpy
     PART !!labeltextflpy DROPDOWNLIST REQUIRED
 
       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
  POLICY !!policynamels120
   KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
   EXPLAIN !!explaintextls120
     PART !!labeltextls120 DROPDOWNLIST REQUIRED
 
       VALUENAME "Start"
       ITEMLIST
        NAME !!Disabled VALUE NUMERIC 3 DEFAULT
        NAME !!Enabled VALUE NUMERIC 4
       END ITEMLIST
     END PART
   END POLICY
 END CATEGORY
END CATEGORY
 
[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"
Взят в [Для просмотра ссылок требуется регистрация. Зарегистрироваться...]

А по поводу необходимости позволить пользователям с административными полномочиями использовать флэш на компьютерах, я описал выше как выходить из такой ситуации, поставить скрипт на logon пользователя (на OU где находятся учетные записи с правами администратора).
На мой взгляд это решение более правильное, чем рубить руки(диски) у всех пользователей.
dmitry_a вне форума
 
Ответить с цитированием Вверх
Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение:
Старый 19.10.2009, 11:02   #33
Alexei_T
Пользователь
 
Пол:Мужской
Регистрация: 24.04.2009
Сообщений: 90
Репутация: 2
По умолчанию Re: AD - запрет на съемные носители

С помощью этих адм.шаблонов уже пробовали вариант с самого начала (я об этом уже писал ранее) - эффект такой же как со скриптами - через раз и указанными ранее недостатками.
Конечно можно прописать скрипты на каждой станции для админа - но это надо бегать по всем станциям - это не вариант,
или же.... в АД как ты пишешь -

Цитата:
Сообщение от dmitry_a Посмотреть сообщение
А по поводу необходимости позволить пользователям с административными полномочиями использовать флэш на компьютерах, я описал выше как выходить из такой ситуации, поставить скрипт на logon пользователя (на OU где находятся учетные записи с правами администратора).
На мой взгляд это решение более правильное, чем рубить руки(диски) у всех пользователей.

- зачем плодить еще кучу учетных записей с админскими правами в АД? - так можно и запутаться.
Для порядка на каждой станции я делаю профиль локального админа и доменный профиль (с ограниченными правами).

а по поводу:...

Цитата:
Сообщение от dmitry_a Посмотреть сообщение
Ну тут каждый извращается как может, мне например, такой подход в голову бы не пришел, потому как слишком часто использую сетевый диски.
А вот основные минусы такого подхода вы описали сами, хотя есть еще несколько спорных моментов в правильности подобного решения.

Я же написал что видны сетевые ресурсы и Мои документы на станциях - а что еще нужно кроме этого рядовому пользователю?
да, недостаток есть единственный - диски будут видны в файловых менеджерах, но это можно попробовать решить - во-первых не ставить их, во-вторых есть политика - список разрешенных программ (правда я еще не пробовал ее применять).

Суть в том, чтобы не бегать по станциям, а так же не плодить в АД параметры для каждого юзера или станции, а прописать всё в политике для определенного контейнера с учетными записями - ограничить права этих пользователей при входе в домен, и все. А при входе под локальным администратором все будет работать в обычном режиме.
Alexei_T вне форума
 
Ответить с цитированием Вверх
Старый 29.10.2009, 12:12   #34
Terv
Новичок
 
Пол:Мужской
Регистрация: 20.02.2008
Сообщений: 7
Репутация: 2
По умолчанию Re: AD - запрет на съемные носители

а можно ли как нибудь запретить автоматическое монтирование файловой системы?

со службами: "Диспетчер логических дисков", "Служба администрирования диспетчера логических дисков" поиграться не получиться?

Последний раз редактировалось Terv; 29.10.2009 в 12:26..
Terv вне форума
 
Ответить с цитированием Вверх
Старый 26.01.2010, 10:37   #35
MrMischief
Новичок
 
Аватар для MrMischief
 
Пол:Мужской
Регистрация: 25.01.2010
Сообщений: 1
Репутация: 0
По умолчанию Re: AD - запрет на съемные носители

надеялся увидеть хоть что то про использование утилит. вчера скачал SysUtils Device Manager, бесплатную версию. Вроде позволяет удаленно администрировать рабочии станции с компа администратора, то есть устанавливать запреты на устройства USB, DVD и Floppy. Единственно смущает отсутствие в сети каких либо отзывов
MrMischief вне форума
 
Ответить с цитированием Вверх
Старый 05.02.2010, 16:54   #36
Alexei_T
Пользователь
 
Пол:Мужской
Регистрация: 24.04.2009
Сообщений: 90
Репутация: 2
По умолчанию Re: AD - запрет на съемные носители

Да платная прога

Добавлено через 1 минуту
У Гейтса наверно сговор с производителями подобных программ - они же тоже используют средства ОС, только мы не знаем какие - это от нас скрыто, чтобы сбить с нас бабки ))))

Добавлено через 5 минут
Цитата:
Сообщение от Terv Посмотреть сообщение
а можно ли как нибудь запретить автоматическое монтирование файловой системы?

со службами: "Диспетчер логических дисков", "Служба администрирования диспетчера логических дисков" поиграться не получиться?

Уже пробовали - тоже так думали - не помогает

Последний раз редактировалось Alexei_T; 05.02.2010 в 17:00.. Причина: Добавлено сообщение
Alexei_T вне форума
 
Ответить с цитированием Вверх
Старый 11.04.2010, 11:04   #37
nw_walker
Новичок
 
Пол:Мужской
Регистрация: 26.08.2009
Сообщений: 4
Репутация: 1
По умолчанию Re: AD - запрет на съемные носители

Цитата:
Сообщение от MrMischief Посмотреть сообщение
надеялся увидеть хоть что то про использование утилит. вчера скачал SysUtils Device Manager,

Очень странно, что никто не упомянул [Для просмотра ссылок требуется регистрация. Зарегистрироваться...] - мощнейшее средство контроля за всеми существующими видами носителей - от флешек и приводов до инфракрасных, ком-портов, принтеров и сканеров.
Можно использовать как на отдельных машинах и одноранговых сетях так и в доменных сетях. На серверах замечательно конфигурится из AD - можно настроить очень гибко доступ - есть т.н. "белые списки" - определенным пользователям можно разрешить определенные флешки. Есть отличная возможность "shadow copy" - юзеру разрешается определенный носитель, но все файлы которые юзер использовал на этом носителе копируются в определенное место, недоступное для пользователя. Но и конечно, мощнейший аудит - видно когда и кто пытался всунуть свою флешку. Пользуюсь DeviceLock уже более 4 лет - программа просто супер
nw_walker вне форума
 
Ответить с цитированием Вверх
Старый 12.04.2010, 09:35   #38
Alexei_T
Пользователь
 
Пол:Мужской
Регистрация: 24.04.2009
Сообщений: 90
Репутация: 2
По умолчанию Re: AD - запрет на съемные носители

да она платная,
была бы халявная - это другой вопрос,
а если ставить на несколько сотен станций - кругленькая сумма получается
Alexei_T вне форума
 
Ответить с цитированием Вверх
Ответ
 Уважаемые пользователи портала 2BakSa.NeT и форума NoWa.cc !

  Рады Вам сообщить, что у нас открылся Torrent трекер >> BRODIM.COM

  Приглашаем вас принять участие в обмене полезной информацией,

  и ждем от вас поддержки в создании новых раздач.

Опции темы

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Express Burn (Free Version) - программа для записи данных на оптические носители YSF Диски и файлы 10 20.06.2015 03:02
Альтернативные носители информации Igor grushun КПК 26 29.09.2013 20:22
Носители / Carriers (2009) Ujene Фильмы 1 19.05.2013 22:25
Запрет запуска Alexx22 ICQ, QIP, Miranda, R&Q и другие... 6 01.01.2010 01:26

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 20:06. Часовой пояс GMT +3.


Rambler's Top100
Copyright ©2004 - 2017 2Baksa.Net

Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2017, vBulletin Solutions, Inc. Перевод: zCarot
Время генерации страницы 0.14790 секунды с 10 запросами