none
RemovableStorageDevices über Gruppen steueren RRS feed

  • Allgemeine Diskussion

  • Hallo,

    ich habe vorkurzem herausgefunden das man bei Windows 7 über Gruppenrichtlinien den Zugriff auf verschiedene Wechseldatenträger steueren kann.

    Durch den von WinFAQ veröffentlichten Artikel habe ich jetzt noch herausgefunden das man das auch über die Registry steueren kann. LINK

    Nun habe ich mir gedacht das ich über die neuen Gruppenrichtlinien (Group Policy Preferences) und den Gemeinsamen Optionen diese Registry Keys auf diesen weg schreibe.

    Ich schreibe also zuerst für die Geräteklassen Diskette, CD-ROM und Wechseldatenträger (USB) ein Deny_Read "1" und Deny_Write "1".

    Und dann schreibe ich abhänig von Gruppen wieder ein Deny_Read "0" und Deny_Write "0".

    Dieses ganze verfahren funktioniert wunderbar nur leider sind die Schnittstellen nicht gesperrt bzw. zugreifbar obwohl die Registry Key existieren.

    Hat da jemand eine Idee warum das so sein könnte?

    Zur vollständigkeit hänge ich noch die XML Gruppenrichtline an:

    LINK

    mfg

    HyP3r


    Donnerstag, 10. November 2011 18:10

Alle Antworten

  • >Dieses ganze verfahren funktioniert wunderbar nur leider sind die Schnittstellen nicht gesperrt bzw. zugreifbar obwohl die Registry Key existieren.

    Das deutet ja erst einmal darauf hin, dass die GPPs an und für sich funktionieren.

    Um dir aber sicher zu sein, dass deine Keys wirklich alle passen, benutze doch erst einmal diese Policy:

    Benutzerkonfiguration > Administrative Vorlagen\System\Wechselmedienzugriff

    Du kannst hier ebenfalls eine GPO1 und GPO2 erstellen, die du dann per ACLs filterst.

    Per GPPs mit Item Level Targeting ist es natürlich etwas eleganter, da du alles in einer Policy hast.

    Also bitte erst die Administrative Vorlage benutzen, wenn es darüber funktioniert, hast du noch einen Fehler in deinen GPPs.

     


    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Donnerstag, 10. November 2011 20:41
    Beantworter
  • > Das deutet ja erst einmal darauf hin, dass die GPPs an und für sich
    > funktionieren.
     
    Es mag auch daran liegen, daß die GPPs im Verarbeitungszyklus an einer
    anderen Stelle kommen wie die ADM-Vorlagen - und ich weiß natürlich
    nicht, wie diese Gerätesteuerung die zugehörigen Keys ausliest.
     
    Könnte ein Timing-Problem sein, siehe Proquota.exe: Die richtet eine
    Notification auf den Beginn der ADM-Verarbeitung ein und liest -
    hardcoded - exakt 2 Sekunden später ihren Regkey ein (was da dann halt
    gerade drinsteht).
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Freitag, 11. November 2011 07:46
    Beantworter
  • Hallo Matthias,

    hallo Martin,

     

    erstmal muss ich sagen das ich von diesem Forum immer begeisterter bin hier wird man professionell und schnell geholfen :-).

    Es mag auch daran liegen, daß die GPPs im Verarbeitungszyklus an einer anderen Stelle kommen wie die ADM-Vorlagen - und ich weiß natürlich nicht, wie diese Gerätesteuerung die zugehörigen Keys ausliest.

    Könnte ein Timing-Problem sein, siehe Proquota.exe: Die richtet eine Notification auf den Beginn der ADM-Verarbeitung ein und liest - hardcoded - exakt 2 Sekunden später ihren Regkey ein (was da dann halt gerade drinsteht).

    Gibt es da einen Weg irgendein Logging zu aktivieren um das herauszufinden? Außerdem sollte es doch dann nach einem neustart funktionieren. Da existieren dann die Schlüssel bereits und die Schnittstelle sollte gesperrt sein. Funktioniert aber nicht.

    Um dir aber sicher zu sein, dass deine Keys wirklich alle passen, benutze doch erst einmal diese Policy:

    Benutzerkonfiguration > Administrative Vorlagen\System\Wechselmedienzugriff

    Du kannst hier ebenfalls eine GPO1 und GPO2 erstellen, die du dann per ACLs filterst.

    Per GPPs mit Item Level Targeting ist es natürlich etwas eleganter, da du alles in einer Policy hast.

    Also bitte erst die Administrative Vorlage benutzen, wenn es darüber funktioniert, hast du noch einen Fehler in deinen GPPs.

    Diesen weg habe ich davor gehabt. Zuerst habe ich mit einer Policy alles gesperrt und dann durch ACL Filterung wieder bestimmte Schnistellen für bestimmte Gruppen freigeben. Hat wunderbar funktioniert aber irgendwie nervig mit vier verschiedene Gruppenrichtlinien (Sperrung, CD-ROM, Diskette und USB).

    Mfg

    HyP3r

    • Bearbeitet HyP3r92 Freitag, 11. November 2011 08:28
    Freitag, 11. November 2011 08:27
  • Hi,

    Am 10.11.2011 19:10, schrieb HyP3r92:

    Dieses ganze verfahren funktioniert wunderbar nur leider sind die
    Schnittstellen nicht gesperrt bzw. zugreifbar obwohl die Registry Key
    existieren.

    Ich tippe mal auf den Klassiker:
    Anmeldeskripts gleichzeitig ausführen=AKTIVIERT
    Computerkonfiguration/Administrative Vorlagen/System/Anmeldung

    | Wartet bis die Anmeldeskripts zu Ende ausgeführt wurden, bevor das
    | Windows Explorer-Schnittstellenprogramm gestartet und der Desktop
    | erstellt wird

    Ansonsten kannst du es auch direkt mit den ADMs definieren, was der sinnvollere Weg ist, da es "echte" Policies sind.
    Administrative Vorlagen\System\Wechselmedienzugriff

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 11. November 2011 08:46
  • Hallo Mark,

     

    ich habe diese Option mal aktiviert hat aber leider auch nichts gebracht.

    Die Option ist jetzt irgendwie nur unter "Computerkonfiguration/Administrative Vorlagen/System/Skripts/Anmeldesktrips gleichzeitig ausführen".

     

    mfg

    HyP3r

    Freitag, 11. November 2011 09:17
  • > hier wird man professionell und schnell geholfen :-).
     
    Danke für die Blumen (:
     
    > Gibt es da einen Weg irgendein Logging zu aktivieren um das
    > herauszufinden? Außerdem sollte es doch dann nach einem neustart
    > funktionieren. Da existieren dann die Schlüssel bereits und die
    > Schnittstelle sollte gesperrt sein. Funktioniert aber nicht.
     
    Nur bedingt - alles, was aus ADM-Vorlagen kommt, wird zuerst mal
    gelöscht und dann neu gesetzt.
     
    > gesperrt und dann durch ACL Filterung wieder bestimmte Schnistellen für
    > bestimmte Gruppen freigeben. Hat wunderbar funktioniert aber irgendwie
     
    Ist der "normale" Weg... Hast Du's alternativ mal - statt Regkeys zu
    setzen - mit "Geräte" der Group Policy Preferences versucht?
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Freitag, 11. November 2011 09:26
    Beantworter
  • Hi,

    Am 11.11.2011 10:17, schrieb HyP3r92:

    ich habe diese Option mal aktiviert hat aber leider auch nichts gebracht.

    du hast den Rechner neugestartet?

    Die Option ist jetzt irgendwie nur unter[...]

    stimmt ...

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 11. November 2011 09:50
  • >Nur bedingt - alles, was aus ADM-Vorlagen kommt, wird zuerst mal
    >gelöscht und dann neu gesetzt.
     
    Aber in der Regel nicht immer, sondern nur wenn die Policy geändert wurde.
     
    >Gibt es da einen Weg irgendein Logging zu aktivieren um das herauszufinden?
     
    Ich würde erst einmal an deiner Stelle herausfinden, ob denn dein Setting überhaupt funktioniert.
    Erst einmal unabhängig von GPO bzw. GPP.
    Setze doch die Einstellungen zunächst manuell.
     
    Funktioniert hier die Sperrung der Geräte schon nicht, musst du nicht nach Timing Problemen etc. suchen.
    Funktioniert es mit den manuell gesetzten Keys, dann könnte es evtl. ein derartiges Problem sein.
     
    Wobei die GPPs da relativ plump vorgehen und setzen die Keys.
    Es sollte also spätetens beim zweiten Versuch (bzw. Neustart) funktionieren.

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Freitag, 11. November 2011 10:10
    Beantworter
  • Hallo,

    bist Du inzwischen weitergekommen?

    Gruss,
    Raul

    Mittwoch, 30. November 2011 10:04
  • Hallo,

    nach etwas herumprobieren habe ich herausgefunden das wenn zum Beispiel ein USB Stick bereits beim Starten des Betriebssystems im Computer steckt ein Schreib- und Lesevorgang auf den Stick möglich ist obwohl die Registry Schlüssel und Werte existieren.

    Wird aber der USB Stick nach der anmeldung eingesteckt ist ein Schreib- und Lesevorgang nicht mehr möglich.

    mfg

    HyP3r

    Donnerstag, 1. Dezember 2011 18:08
  • Am 01.12.2011 19:08, schrieb HyP3r92:

    Wird aber der USB Stick nach der anmeldung eingesteckt ist ein Schreib- und Lesevorgang nicht mehr möglich.

    Du hast die GPO auf den Benutzer angewendet und nicht auf den Computer?

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 1. Dezember 2011 21:15
  • Hallo,

     

    ich schreibe die Registry Keys in "CURRENT_USER". Also eigentlicht Benutzerbezogen.

     

    Könnte das der Grund dafür sein?

     

    mfg

    HyP3r

    Freitag, 2. Dezember 2011 10:19
  • >ich schreibe die Registry Keys in "CURRENT_USER". Also eigentlicht Benutzerbezogen.

    >Könnte das der Grund dafür sein?

    Ja, das wird es vermutlich sein.
    Zu dem Zeitpunkt, zu dem der Zugriff auf das Gerät bereits geregelt ist (durch die nicht vorhandenen
    Policies beim Start des Computer), wird die Policy für den Benutzer keine großartige Auswirkung mehr haben.

    Zumindest wenn der Stick schon beim Starten steckt.

    Setze die Policy bitte noch einmal für den Computer.


    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Freitag, 2. Dezember 2011 11:44
    Beantworter
  • Am 02.12.2011 11:19, schrieb HyP3r92:

    Könnte das der Grund dafür sein?

    Logisch. Woher soll der Computer beim Start und ohne Anmeldung eines
    Benutzers wissen, das der BEnutzer der sich "irgendwann anmelden könnte"
    zu denen gehört, denen es verboten ist?

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Freitag, 2. Dezember 2011 20:34
  • >Logisch. Woher soll der Computer beim Start und ohne Anmeldung eines
    >Benutzers wissen, das der BEnutzer der sich "irgendwann anmelden könnte"
    >zu denen gehört, denen es verboten ist?

    Korrekt wäre es allerdings, wenn nach Erhalt der Policy für den User dieses "enforced" würde.

    Aber die Durchsetzung könnte natürlich schwierig werden.

    Wenn erst einmal Handles zum Volume geöffnet sind müssten diese dann wieder beendet werden..

    Sei es drum, is so wie's is.

     


    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Freitag, 2. Dezember 2011 21:01
    Beantworter