none
Gpo per accesso alle pennette USB DC 2008R2- RRS feed

  • Domanda

  • Salve a tutti,
    nel mio domimino con 2 DC WIN 2008 R2 e client WIN 7, sto cercando di far si che gli tutti gli utenti abbiamo di default disattivate le usb, senza usare software terzi(in questo momento ho GFI end-pount) ma ho alcuni problemi e se possibile vorrei dei chiarimenti.

    Per la disattivazione, ho creato una nuova policy chiamata "usb disattive" dove in configurazione utente-Criteri-modelli amministrativi-sistema-accesso agli archivi rimovibili ho disattivato la lettura scrittura degli archivi rimovibili. Ho collegato questa a tutte le UO del dominio, e nella sezione ambito sui filtri di protezione della policy ho inserito il gruppo"authenticated users", ed alla fine gli utenti non hanno accesso all'usb.

    Ora all'interno del dominio alcune persone devono avere accesso alle USB, quindi per questo ho creato nel dominio una nuova UO dove ho inserito un gruppo chiamato "USB attiva". A questa UO ho bloccato l'eredità della precedente policy descritta, ed ho collegato una nuova policy creata ad hoc e chiamata "usb attiva" dove l'opzione su configurazione utente-Criteri-modelli amministrativi-sistema-accesso agli archivi rimovibili, l'ho impostata su non configurata in modo tale che sia disponibile, ma purtroppo non ha funzionato.

    Dov'è il mio errore?
    Grazie

    giovedì 13 dicembre 2012 10:48

Risposte

  • Ciao, se lasci la nuova GP con la policy su "Non configurata" e la GP precedente era stata già applicata, rimarrà attiva la modifica eseguita in precedenza perchè non verranno eseguite variazioni. Quindi, se ad esempio hai utilizzato la policy "Disci rimovibili: nega accesso in lettura", dovresti impostarla su "Disattivata" in modo da sovrascrivere la procedente impostazione di attivazione. La voce "Non configurata" corrisponde quindi a "Disattivata" solo se in precedenza non erano state eseguite modifiche al sistema, altrimenti hanno comportamenti differenti.
    giovedì 13 dicembre 2012 11:19
    Moderatore
  • Prima di tutto devo correggermi, l'ordine di applicazione è inverso: le policy col più basso ordine di precedenza vincono, quindi devi invertire le policy. My bad!

    Per il discorso sicurezza, è strano... stai usando gruppi di protezioni già esistenti da prima o li hai creati apposta ora? Nel caso, riavvia il client.

    Ciao,


    Dario Palermo

    giovedì 13 dicembre 2012 16:58

Tutte le risposte

  • Ciao, se lasci la nuova GP con la policy su "Non configurata" e la GP precedente era stata già applicata, rimarrà attiva la modifica eseguita in precedenza perchè non verranno eseguite variazioni. Quindi, se ad esempio hai utilizzato la policy "Disci rimovibili: nega accesso in lettura", dovresti impostarla su "Disattivata" in modo da sovrascrivere la procedente impostazione di attivazione. La voce "Non configurata" corrisponde quindi a "Disattivata" solo se in precedenza non erano state eseguite modifiche al sistema, altrimenti hanno comportamenti differenti.
    giovedì 13 dicembre 2012 11:19
    Moderatore
  • Olter quanto detto da Fabrizio, forse hai un altro problema: se ho ben capito, hai creato una OU dentro cui hai messo un gruppo (di protezione immagino), quest'ultimo contenente vari utenti presenti nel dominio.

    Le policy, però, vengono applicate non ai gruppi, ma agli utenti/computer...

    Io avrei giocato sulla precedenza* e sui permessi delle gpo:

    1) crei un gruppo "utenti con usb attiva" e ci metti gli utenti dentro

    2) Metti quindi in ordine le due GPO (applicate al dominio) con la "usb disattive" per prima (filtro di sicurezza: auth. users) e la "usb attive" dopo (filtro di sicurezza: "utenti con usb attiva")

    In questo modo non crei OU specifiche per questa singola discriminante.

    * http://technet.microsoft.com/en-us/library/cc785665(v=ws.10).aspx

    Ciao,


    Dario Palermo

    giovedì 13 dicembre 2012 11:37
  • Olter quanto detto da Fabrizio, forse hai un altro problema: se ho ben capito, hai creato una OU dentro cui hai messo un gruppo (di protezione immagino), quest'ultimo contenente vari utenti presenti nel dominio.

    Le policy, però, vengono applicate non ai gruppi, ma agli utenti/computer...

    Io avrei giocato sulla precedenza* e sui permessi delle gpo:

    1) crei un gruppo "utenti con usb attiva" e ci metti gli utenti dentro

    2) Metti quindi in ordine le due GPO (applicate al dominio) con la "usb disattive" per prima (filtro di sicurezza: auth. users) e la "usb attive" dopo (filtro di sicurezza: "utenti con usb attiva")

    In questo modo non crei OU specifiche per questa singola discriminante.

    * http://technet.microsoft.com/en-us/library/cc785665(v=ws.10).aspx

    Ciao,


    Dario Palermo

    Ciao Dario,
    ho proprio il caso da te descritto.
    Ora ho effettuato il cambiamento come consigliato, quindi la policy "usb attive" con la voce "nega accesso agli archivi rimovibili" impostatata su disattivata è l'ultima della lista nell'ordine delle policy , ma ho sempre accesso negato alle usb...


    • Modificato Adricharlie giovedì 13 dicembre 2012 15:42
    giovedì 13 dicembre 2012 15:32
  • Se quella che disattiva le usb è l'ultima in lista viene applicata per ultima e "vince" sulle altre...

    Con la Group Policy Management console puoi calcolare la RSOP (Resultant Set of Policy) per un dato utente su un dato client e verificare il settaggio applicato. Dovresti a mio avviso invertire l'ordine delle due policy e riverificare.

    Ciao,


    Dario Palermo

    giovedì 13 dicembre 2012 15:36
  • L'ultima è quella delle USB ATTIVE con la voce nega accesso agli archivi rimovibili impostata su "disattivata".

    Ho creato un report, e tra le voci del report c'è la voce  "criteri di gruppo negati", la policy"USB ATTIVE" motivazione"filtri di sicurezza"

    Ma tra i filtri di sicurezza della policy c'è sia il gruppo "usb utenti autorizzati" sia il gruppo "domain Admins"...

    ??

    giovedì 13 dicembre 2012 16:18
  • Prima di tutto devo correggermi, l'ordine di applicazione è inverso: le policy col più basso ordine di precedenza vincono, quindi devi invertire le policy. My bad!

    Per il discorso sicurezza, è strano... stai usando gruppi di protezioni già esistenti da prima o li hai creati apposta ora? Nel caso, riavvia il client.

    Ciao,


    Dario Palermo

    giovedì 13 dicembre 2012 16:58
  • Ciao

    nella scheda "eredità criteri di gruppo", l'ordine di precedenza è :

    n° 1 la policy generale di dominio
    n° 2 la policy per le usb disattive
    n° 3 la policy delle usb attive

    venerdì 14 dicembre 2012 08:18
  • Quindi la policy delle USB disattivate ora ha la precedenza....ma all'interno dell'OU ci sono gli oggetti utente? Premetto di non aver ancora capito bene come hai strutturato il tutto, però secondo me non te lo applica perchè o l'utente non si trova nell'OU a cui hai assegnato la policy, oppure perchè non si trova all'interno del gruppo.
    venerdì 14 dicembre 2012 08:32
    Moderatore
  • Inverti le policy delle memorie usb. Quella che le attiva, filtrata sul gruppo di protezione opportuno, deve avere la precedenza, di modo che ribalti i settaggi di quella che le disattiva.

    Facendo l'RSOP per un utente appartenente al gruppo di "privilegiati" ancora ti dice che l'accesso alla policy "usb attive" è negato?

    Ciao,


    Dario Palermo

    venerdì 14 dicembre 2012 09:15
  • Aggiornamento.

    Ho invertito l'ordine delle policy delle usb, mettendo per ultima quella per la disattivazione delle usb ed ora funziona!

    Ho fatto più prove e sembra tutto ok.
    Quindi da questo ho capito che l'applicazione delle policy è inversa al numero nella lista eredità, quindi la prima di questa lista sarà l'ultima ad essere associata.

    Grazie per la pazienza,^_^

    PS Una cosa soltanto, nel creare una nuova GPO, ho visto che alcuni comandi che posso fare a livello utente sono anche presenti a livello computer, come capire la differenza per una giusta applicazione?

    venerdì 14 dicembre 2012 09:45
  • @Edoardo: Ho ricontrassegnato la risposta perchè la policy di riattivazione dell'USB ha dovuto comunque utilizzarla....l'ordine di applicazione è un problema che ha avuto poi in seguito.
    venerdì 14 dicembre 2012 11:10
    Moderatore
  • Nel caso in esempio, controlli in base all'utente se abilitare o meno le memorie usb. Se avessi applicato la policy ai computer (ammesso che esista, non ho verificato), avresti potuto discriminare in base alla postazione e non all'utente loggato. Spesso non c'è il modo giusto in assoluto, ma quello più adatto all'obiettivo che devi raggiungere.

    Ciao,


    Dario Palermo

    venerdì 14 dicembre 2012 13:16