none
Como deshabilitar la instalacion de nuevo hardware por politica de grupo 2012 RRS feed

  • Pregunta

  • buenos dias el problerma es el siguiente tengo un servidor de dominio 2012 con politicas de grupo instalada y funcionando y necesito bloquear a un grupo de usuario a que cuando instale cualquier memoria usb o celular no lo deje instalar dicho equipo 
    miércoles, 22 de febrero de 2017 15:34

Respuestas

  • Hola, Oscar Alavardo:

    La posibilidad de instalaciones en estaciones de trabajo cliente sólo puede realizarse en base a los permisos/privilegios que tengan las cuentas cliente. Dicho de otra manera: un usuario (que además sea miembro del grupo BUILTIN\INVITADOS) no podrá instalar nada en su estación cliente..

    Pero si lo que quieres es ponerte "cachondo", tienes unas cuantas directivas que puedes gestionar desde el editor GPO. Ahí van unas cuantas:

    1.- Accede a la ruta CONF.EQUIPO > CONF.WINDOWS > CONF.SEGURIDAD > POLITICAS LOCALES > OPCIONES DE SEGURIDAD, donde hay un registro de nombre "Dispositivos: Permitir formatear y expulsar  dispositivos extraíbles" (o algo así!). Asegúrate de poner al grupo "Administradores" en el combo-box. Tienes información más detallada en:

    · Devices: Allowed to format and eject removable media:
    https://technet.microsoft.com/en-us/library/jj852171(v=ws.11).aspx

    2.- Accede a la ruta CONF.EQUIPO > CONF.WINDOWS > PLANTILLAS ADMIN > SISTEMA > ACCESO A DISPOSITIVOS EXTRAIBLES, donde hallarás unas directivas de nombre "TODOS los discos extraíbles: Denegar todos los accesos" además de "Discos extraíbles: Denegar.. " Tienes más info en:

    · Control Read or Write Access to Removable Devices or Media:
    https://technet.microsoft.com/es-es/library/cc730808(v=ws.10).aspx

    3.- Por último, accede a la ruta CONF.USUARIO > PLANTILLAS ADMIN. > COMP. WINDOWS > EXPLORADOR DE WINDOWS, donde hallarás 2 directivas de nombre "Ocultar éstas unidades en Mi PC" y "No permitir el acceso a éstas unidades desde mi PC"


    Desiderio Ondo || Engineer

    • Propuesto como respuesta Moderador M jueves, 23 de febrero de 2017 17:00
    • Marcado como respuesta Moderador M miércoles, 1 de marzo de 2017 15:34
    miércoles, 22 de febrero de 2017 16:15
  • Buen día Carlos,

    Lo ideal para este caso es crear una nueva GPO y vincularla a la OU donde estan los usuarios a los que les deseas bloquear la capacidad de utilizar dispositivos USB.

    Una vez creada la GPO a la que llamaremos "Bloqueo-USB" (o el nombre que quieras), la editamos de la siguiente manera:

    Computer Configuration\Policies\Administrative Templates\System\Removable Storage Access.

    dentro de la lista de opciones que te va mostras la ventana nos interesan las sguientes:

    All Removable Storage classes: Deny all access - la habilitamos

    Removable Disk:  Deny Read Access -habilitada

    Removable Disk:  Deny Write Access -habilitada

    WPD Devices: Deny Read Access -habilitada

    WPD Devices: Deny Write Access -habilitada

    Con esto la GPO va a bloquear cualquier dispositivo usb que se conecte.

    Generalmente encontrarás, que se utiliza solo la opción All Removable Storage classes: Deny all access, pero ocurre que dispositivos como cámaras o celulares a veces son reconocidos como tales, osea un hardware que no es de almacenamiento y salta la politica, las opciones de WPD Devices, permiten bloquear ese tipo de dispositivos.

    Vinculamos la GPO a la OU correspondiente y actualizamos a través de DOS con el comando gpupdate /force.

    Esto aplica para equipos con windows vista, 7 y superior 

    Dejo como referencias los siguientes links para su consulta, que pueden ayudarte:

    https://prajwaldesai.com/how-to-disable-usb-devices-using-group-policy/

    Si aún tienes equipos con XP en la red, te recomiendo ver el siguiente artículo:

    https://support.microsoft.com/es-mx/help/823732/how-can-i-prevent-users-from-connecting-to-a-usb-storage-device

    Espero haber sido de ayuda.

    Saludos,

    Jorge Mejías C.

    • Propuesto como respuesta Moderador M jueves, 23 de febrero de 2017 17:00
    • Marcado como respuesta Moderador M miércoles, 1 de marzo de 2017 15:35
    miércoles, 22 de febrero de 2017 16:50

Todas las respuestas

  • Hola, Oscar Alavardo:

    La posibilidad de instalaciones en estaciones de trabajo cliente sólo puede realizarse en base a los permisos/privilegios que tengan las cuentas cliente. Dicho de otra manera: un usuario (que además sea miembro del grupo BUILTIN\INVITADOS) no podrá instalar nada en su estación cliente..

    Pero si lo que quieres es ponerte "cachondo", tienes unas cuantas directivas que puedes gestionar desde el editor GPO. Ahí van unas cuantas:

    1.- Accede a la ruta CONF.EQUIPO > CONF.WINDOWS > CONF.SEGURIDAD > POLITICAS LOCALES > OPCIONES DE SEGURIDAD, donde hay un registro de nombre "Dispositivos: Permitir formatear y expulsar  dispositivos extraíbles" (o algo así!). Asegúrate de poner al grupo "Administradores" en el combo-box. Tienes información más detallada en:

    · Devices: Allowed to format and eject removable media:
    https://technet.microsoft.com/en-us/library/jj852171(v=ws.11).aspx

    2.- Accede a la ruta CONF.EQUIPO > CONF.WINDOWS > PLANTILLAS ADMIN > SISTEMA > ACCESO A DISPOSITIVOS EXTRAIBLES, donde hallarás unas directivas de nombre "TODOS los discos extraíbles: Denegar todos los accesos" además de "Discos extraíbles: Denegar.. " Tienes más info en:

    · Control Read or Write Access to Removable Devices or Media:
    https://technet.microsoft.com/es-es/library/cc730808(v=ws.10).aspx

    3.- Por último, accede a la ruta CONF.USUARIO > PLANTILLAS ADMIN. > COMP. WINDOWS > EXPLORADOR DE WINDOWS, donde hallarás 2 directivas de nombre "Ocultar éstas unidades en Mi PC" y "No permitir el acceso a éstas unidades desde mi PC"


    Desiderio Ondo || Engineer

    • Propuesto como respuesta Moderador M jueves, 23 de febrero de 2017 17:00
    • Marcado como respuesta Moderador M miércoles, 1 de marzo de 2017 15:34
    miércoles, 22 de febrero de 2017 16:15
  • Buen día Carlos,

    Lo ideal para este caso es crear una nueva GPO y vincularla a la OU donde estan los usuarios a los que les deseas bloquear la capacidad de utilizar dispositivos USB.

    Una vez creada la GPO a la que llamaremos "Bloqueo-USB" (o el nombre que quieras), la editamos de la siguiente manera:

    Computer Configuration\Policies\Administrative Templates\System\Removable Storage Access.

    dentro de la lista de opciones que te va mostras la ventana nos interesan las sguientes:

    All Removable Storage classes: Deny all access - la habilitamos

    Removable Disk:  Deny Read Access -habilitada

    Removable Disk:  Deny Write Access -habilitada

    WPD Devices: Deny Read Access -habilitada

    WPD Devices: Deny Write Access -habilitada

    Con esto la GPO va a bloquear cualquier dispositivo usb que se conecte.

    Generalmente encontrarás, que se utiliza solo la opción All Removable Storage classes: Deny all access, pero ocurre que dispositivos como cámaras o celulares a veces son reconocidos como tales, osea un hardware que no es de almacenamiento y salta la politica, las opciones de WPD Devices, permiten bloquear ese tipo de dispositivos.

    Vinculamos la GPO a la OU correspondiente y actualizamos a través de DOS con el comando gpupdate /force.

    Esto aplica para equipos con windows vista, 7 y superior 

    Dejo como referencias los siguientes links para su consulta, que pueden ayudarte:

    https://prajwaldesai.com/how-to-disable-usb-devices-using-group-policy/

    Si aún tienes equipos con XP en la red, te recomiendo ver el siguiente artículo:

    https://support.microsoft.com/es-mx/help/823732/how-can-i-prevent-users-from-connecting-to-a-usb-storage-device

    Espero haber sido de ayuda.

    Saludos,

    Jorge Mejías C.

    • Propuesto como respuesta Moderador M jueves, 23 de febrero de 2017 17:00
    • Marcado como respuesta Moderador M miércoles, 1 de marzo de 2017 15:35
    miércoles, 22 de febrero de 2017 16:50