Блокировка модема политиками Windows Server 2008

[crush]

Суть вопроса в следующем, может кто сталкивался и решал данную проблему.
У нас стоит AD в которую логинится пользователь и ряд ограничений на инет который он получает.
У данного пользователя ноутбук и нужен он ему для командировок, так вот суть проблемы в том, что ему так же выдан USB модем, для доступа в инет в тех самых командировках и он уже ничем не ограничен в рамках не корпоративной среды, но возвращаясь из тех самых командировок никто не может за ним проследить, что он его подключит при подключенной локалке.
Ну наконец-то добрался и до вопроса, можно ли политиками Windows 2008 заблокировать при логине в систему использование USB модема, либо при подключении самой локалки, но с условием, что в командировках он у него будет работать в штатном режиме.

[dmitry_a]

Можно попробовать при логине в корпоративную сеть, отключать USB.
А при выходе из сети, включать его обратно, НО у такого способа есть 1 неприятный момент.
При захождении на ноутбук под локальной учетной записью, модем будет работать нормально.

[crush]

Да в том-то и проблема, что блокировать USB пока нельзя, в корпоративных правилах нет запрета на использование внешних накопителей.

[crush]

Так, мы проблему решили творчески, завтра напишу как, может кому пригодится.

[dmitry_a]

Тогда задачу можно реализовать только одним оставшимся способом и то он будет работать только, когда клиент работает под win vista, 7.

В групповых политиках на уровне компьютера, Administrative templates->System->Device Installation-> Device Installation Restriction->Prevent istallation of devices using that match these driver

там надо указать GUID драйвера модема.


pecifies a list of Plug and Play device setup class GUIDs for devices that cannot be installed.

If you enable this setting, new devices cannot be installed and existing devices cannot be updated if they use drivers that belong to any of the listed device setup classes.

If you disable or do not configure this setting, new devices can be installed and existing devices can be updated as permitted by other policy settings for device installation.

NOTE: This policy setting takes precedence over any other policy settings that allow a device to be installed. If this policy setting prevents a device from being installed, the device cannot be installed or updated, even if it matches another policy setting that would allow installation of that device.

If this computer is a Terminal Server, then enabling this policy also affects redirection of the specified devices from a Terminal Services Client to this computer.

Интересно будет услышать и иные варианты решения.

[crush]

И так, как мы решили данную проблему для себя!

Мы создали в планировщике задач Windows 7 обработку события отвечающего за подключение локальной сети и вот как это выглядит в картинках:









И действует все это таким образом, если подключен модем, в планировщик идет событие 10000, в результате чего отрабатывается задание которое проверяет подключена ли в данный момент локальная сеть или нет. Если сеть подключена происходит сброс модемного соединения, если нет, то модем работает в штатном режиме. Соответственно и при обратной ситуации с включенным модемным соединением, мы при подключении локальной сети отрабатываем задание и оно выключает подключение по модему.
Распространить данную политику к сожалению можно только на Windows 7, но учитывая, что мы на нее переходим это для нас уже не является проблемой.