none
2008 server e client xp / win7, come disattivare le chiavette usb a determinati utenti tramite GPO. RRS feed

  • Domanda

  • Salve a tutti,

    come da titolo sto cercando di disattivare la chiavette usb creando una policy apposita in gestione criteri di gruppo ed ho fatto le operazioni qui di seguito.

    1)In gestione criteri di gruppo-oggetti criteri di gruppo, ho creato una policy chiamata "disattivazione usb".

    2) ho modificato la policy in :configurazione utente-Criteri-modelli amministrativi-sistema-accesso agli archivi rimovibili, dove ho disattivato la lettura scrittura degli archivi rimovibili.

    3) Nella sezione ambito sui filtri di protezione della policy ho inserito il gruppo a cui l'usb deve essere disattivata.

    Dopodichè ho provato su client xp che win 7, ma non ha funzionato. Sapete cosa ho potuto sbagliare?

    Un 'altra domanda, ho visto anche che come requisito l'impostazione chiede minimo Win Vista, ma se ho quasi tutti i client con Xp come posso fare?

    Grazie

    mercoledì 4 maggio 2011 08:01

Risposte

  • Rileggi attentamente questo tutorial

    http://www.petri.co.il/disable_usb_disks_with_gpo.htm

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 4 maggio 2011 08:23
    Moderatore
  • Salve a tutti,

    ho riletto con calma tutto l'articolo anche se il mio inglese purtroppo è scarso, penso di esser riuscito a trovare la policy giusta anche per gli utenti con client xp seguendo l'articolo seguente:

    http://www.petri.co.il/disable_writing_to_usb_disks_in_xp_sp2_with_gpo.htm

    Vorrei però se possibile, chiedere un paio di delucidazioni.
    Lla prima è se il seguente cambiamento deve essere effettuato su tutti i controller di dominio:

    "An additional step that needs to be performed before the above tip will work has to do with modifying the file access permissions for 2 files. You need to remove the SYSTEM access permissions from the usbstor.sys and usbstor.inf files.

    You can do so by right clicking these files > Properties, then going to the Security tab. There you need to remove the line for the SYSTEM account."

    La seconda è come applicare la policy correttamente al dominio, io ho eseguito sul mio dominio un "collegamento oggetto criteri di gruppo esistente.." e successivamente su untrambe i controller ho mandato in esecuzione un "GPUPDATE/FORCE", ma non tutti i client(xp) hanno l'usb disattivata.... Perchè? C'è da aspettare qualche ora?

    lunedì 9 maggio 2011 09:06

Tutte le risposte

  • Rileggi attentamente questo tutorial

    http://www.petri.co.il/disable_usb_disks_with_gpo.htm

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 4 maggio 2011 08:23
    Moderatore
  • Ciao,

     sto cercancdo di interpretare l'articolo sono riuscito a scaricare il file come indicato qui:

    "Download the USB_removable_drives_ADM file (2kb)"

    Dopo sono andato all'rticolo di riferimento successivo:

    "After downloading the .ADM file, read Adding New Administrative Templates to a GPO." , ma una volta importato il file adm all'interno della GPO appositamente creata, io non la vedo....forse perchè l'articolo porta l'esempiocon 2003 server e quindi con 2008 è diverso, oppure non si può?

     

    Qui mi sono bloccato

     

    mercoledì 4 maggio 2011 09:20
  • Ciao,

    ora sono riuscito almeno in parte penso.

    Ho importato il file .ADM come indicato nell'articolo, associandolo alla GPO che avevo creato in precedenza, successivamente quest'ultima l'ho collegata al dominio esistente, ma l'utente "prova" continua a vedere le usb.

    Da aggiungere che nelle GPO ho lasciato comunque anche le impostazioni che sono valide per win vista e successivo, ma anche entrando in un pc dotato di win 7 l'utente "prova" vede le usb.

    mercoledì 4 maggio 2011 10:09
  • hai forzato la riapplicazione delle policies sul client ?
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 4 maggio 2011 10:20
    Moderatore
  • Ciao,
    sul client?
     ma non bisogna farlo sul dominio con "gpupdate/force" per far si che l'utente, in qualsiasi pc del dominio vada, non possa utilizzare l'usb?
    mercoledì 4 maggio 2011 10:47
  • Ciao,

    ora sembra funzionare, ma non blocca la letturea ma solo la scrittura sulle usb,  ed ho visto che il file .ADM nella descrizione c'è proprio solo WRITE PROTECT, se invece dovessi disabilitare anche la lettura?

    mercoledì 4 maggio 2011 10:58
  • ma l'articolo che ti ho indicato l'hai letto tutto per  bene ?
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 4 maggio 2011 11:05
    Moderatore
  • la parte che intende Edoardo, nello specifico, credo sia:

        In GPEdit.msc (or any other GPO Editor window you're using) click on View > Filtering.

        Click to un-select the "Only show policy settings that can be fully managed" check-box. Click Ok.


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    venerdì 6 maggio 2011 08:55
  • Salve a tutti,

    ho riletto con calma tutto l'articolo anche se il mio inglese purtroppo è scarso, penso di esser riuscito a trovare la policy giusta anche per gli utenti con client xp seguendo l'articolo seguente:

    http://www.petri.co.il/disable_writing_to_usb_disks_in_xp_sp2_with_gpo.htm

    Vorrei però se possibile, chiedere un paio di delucidazioni.
    Lla prima è se il seguente cambiamento deve essere effettuato su tutti i controller di dominio:

    "An additional step that needs to be performed before the above tip will work has to do with modifying the file access permissions for 2 files. You need to remove the SYSTEM access permissions from the usbstor.sys and usbstor.inf files.

    You can do so by right clicking these files > Properties, then going to the Security tab. There you need to remove the line for the SYSTEM account."

    La seconda è come applicare la policy correttamente al dominio, io ho eseguito sul mio dominio un "collegamento oggetto criteri di gruppo esistente.." e successivamente su untrambe i controller ho mandato in esecuzione un "GPUPDATE/FORCE", ma non tutti i client(xp) hanno l'usb disattivata.... Perchè? C'è da aspettare qualche ora?

    lunedì 9 maggio 2011 09:06
  • Secondo me lo devi fare sui computer a cui devi togliere l'accesso.

    Niente paura, puoi fare un semplice script di startup;

     

    cacls /E /R SYSTEM c:\windows\usbstor.sys
    cacls /E /R SYSTEM c:\windows\usbstor.inf

     

     


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    lunedì 9 maggio 2011 19:04
  • Adesso il problema mi si è rivoltato contro! Ieri sera, ho disattivato e cancellato le policy di disattivazione riportando tutto come l'inizio, lasciando solo la policy di default ma STAMATTINA i client continuano ad avere le usb in scrittura disabilitate!! Mentre i controller di dominio è tutto ok...perchè? Ho forzato alcuni client con GPUPDATE/FORCE, ed infatti sul loro visualizzatore eventi viene fuori il corretto rinnovo delle policy, ma non ha risolto nulla. Dove posso vedere il problema secondo voi? Vi dico che l'unica policy di default attivata nel dominio non ha configurato nulla che blocchi l'usb, e che il tempo di rinnovo delle policy è sul valore di default ad 1h.30'... Sapete dove posso intervenire?
    giovedì 12 maggio 2011 10:12
  • Ho notato che in qualche client controllato randomicamente, sulla chiave di registro

    "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies, CurrentControlSet001\Control\StorageDevicePolicies"  il valore "WriteProtect" è settato ad "1",  ecco spiegato il perchè della protezione in scrittura, giusto?

     

    Ma perchè la policy riportata di default, quindi senza nessuna protezione in scrittura non ha cambiato questo valore  dato che il cambiamento è avvenuto da più di 24 ore?

     

    Ora come posso far si di cambiare tutti i client (oltre 200..) ?

     

    Grazie

     

    giovedì 12 maggio 2011 11:30
  • Ho notato che in qualche client controllato randomicamente, sulla chiave di registro

    "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies, CurrentControlSet001\Control\StorageDevicePolicies"  il valore "WriteProtect" è settato ad "1",  ecco spiegato il perchè della protezione in scrittura, giusto?

     

    Ma perchè la policy riportata di default, quindi senza nessuna protezione in scrittura non ha cambiato questo valore  dato che il cambiamento è avvenuto da più di 24 ore?

     


    la policy WriteProtect la vai settare a 0 o la metti in stato disabled ?
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 13 maggio 2011 07:44
    Moderatore
  • Ciao,

    sulla default domain policy, l'unica collegata al dominio al momento, non ho importato il file .ADM "disable_writing_to_usb_disks".

    Avevo importato questo file .ADM in una policy creata ad hoc pr questa prova dove il valore era su "1", e collegandola al dominio. Ora questa policy non è più collegata al dominio.

    Forse devo ricrearla settando il valore su "non configurata" oppure su "0" e ricollegarla al dominio?

    venerdì 13 maggio 2011 08:34
  • ricollegarla e settarla su 0.
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    venerdì 13 maggio 2011 11:24
    Moderatore
  • Ok, fatto.

    Spero che Lunedì quando tutti i client si ricollegheranno non avranno più problemi.

    venerdì 13 maggio 2011 12:59