none
gpo, deshabilitar devices RRS feed

  • Pregunta

  • Amigos,

    Tengo la siguiente consulta,

    Tengo equipos con Windows XP y windows 7, y el usuario pertenece al grupo de administraodres local del equipo, pero sucede por ejm que cuando aplico una politica para deshabilitar la lectora y el USB, no funciona la GPO, pero cuando lo aplico a un equipo en donde el usuario NO es administrador de su equipo Si funciona, a que podria deberse ?

    El AD que tengo es Windows Server 2008 R2

    Gracias por la ayuda

    viernes, 26 de octubre de 2012 5:16

Respuestas

Todas las respuestas

  • Hola Mikent,

    Hay dos opciones por GPO que es la que has probado y con los administradores locales no funciona, y por registro.

    http://support.microsoft.com/kb/823732



    Daniel Graciá - Madrid / España

    ITIL v3, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    viernes, 26 de octubre de 2012 8:24
  • Dani,

    He revisado el KB que me acabas de enviar y veo que hay un hostfix, tambien menciona sobre el cambio de

    • %SystemRoot%\Inf\Usbstor.pnf
    • %SystemRoot%\Inf\Usbstor.inf

    Tuvieras un procedimiento de como desplegar los USB por gpo, segun el KB lineas arriba

    Gracias

    martes, 30 de octubre de 2012 22:38
  • Prueba con esto http://4sysops.com/archives/how-to-disable-usb-drive-use-in-an-active-directory-domain/



    Daniel Graciá - Madrid / España

    ITIL v3, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    martes, 30 de octubre de 2012 22:42
  • Dani, te comento,

    Aplique lo que muesta en el blogs pero sucede que solo aplica cuando el usuario no es administrador de su equipo, necesariamente el usuario tiene que ser administrador de su equipo y cuando lo configuro no funciona, a que podria deberse ?

    Gracias

    martes, 30 de octubre de 2012 22:46
  • Es que no hay forma de limitar a un administrador local, y tampoco tiene mucho sentido

    Si quiere, saca el equipo del Dominio, y ya le deja de aplicar las GPOs

    Y específicamente todo lo que es Plantillas Administrativas son configuraciones que revierten a valores por omisión o lo que esté en la Local Policy

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 30 de octubre de 2012 23:01
    Moderador
  • Es que no hay forma de limitar a un administrador local, y tampoco tiene mucho sentido

    Si quiere, saca el equipo del Dominio, y ya le deja de aplicar las GPOs

    Y específicamente todo lo que es Plantillas Administrativas son configuraciones que revierten a valores por omisión o lo que esté en la Local Policy

    Mikent, ya te hemos comentado que si los usuarios son local admin no se puede limitar. Lo único que se me ocurrió era hacer la limitación por registro, pero un usuario admin de la máquina puede saltarse todas las restricciones (o casi todas).

    Lo que deberías plantearte es que ningun usuario sea administrador de su equipo, en un entorno de dominio no está recomendado, justamente por lo que te hemos explicado.



    Daniel Graciá - Madrid / España

    ITIL v3, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    miércoles, 31 de octubre de 2012 19:59