Hallo zusammen,
ich habe folgendes Problem:
Anforderung des Kunden:
Ein Zugriff auf USB-Datenträger (Sticks/HDDs) soll grundsätzlich nicht möglich sein.
1. Ausnahme: Definierte einzelne Sticks (Seriennummern sind bekannt) sollen für alle erlaubt sein.
2. Ausnahme: Admins dürfen sich selbst Zugriff auf beliebige USB-Datenträger erlauben.
Umgebung des Kunden:
Es handelt sich um ein isoliertes Netzwerk ohne Internet-Anbindung (also Datenaustausch durch E-Mail oder Dropbox usw. NICHT möglich).
Wunsch:
Realisierung der Anforderung per GPO
1. Variante mögliche Realisierung durch Einstellungen in: Administrative Templates\System\Removeable Storage Access
Problem: Generelles Sperren ist möglich, aber gewünschte Ausnahmen sind nicht realisierbar.
2. Variante mögliche Realisierung durch Einstellungen in:
Administrative Templates\System\Device Installation\Device Installation Restrictions
Problem a) GPO grift nicht für USB-Devices, für die ein Treiber bereits vorhanden ist.
Problem b) GPO greift auch für andere USB-Devices (z.B. Mäuse), die einen neuen Treiber benötigen.
Problem c) Ausnahme-Definitionen sind für Geräte-IDs möglich bis hin zu Versionen, aber nicht bis auf Seriennummern-Ebene.
Problem d) Bisher definierte Ausnahmen funktionieren nicht.
Problem d) ist vermutlich lösbar, aber Probleme a)/b)/c) liegen in der Natur der GPO und sind m.E. nicht lösbar.
Fragen:
Gibt es eine Möglichkeit, die Kundenanforderung per GPO zu realisieren oder nicht?
Falls nein, welche andere Möglichkeit (Drittanbieter-Tools) wird empfohlen?
Danke für die Unterstützung!
Andreas Lauer
