none
Bloqueio de USB e gravadora de CD/DVD RRS feed

  • Pergunta

  • Pessoal, faço bloqueio de USB e Gravador de CD/DVD via GPO onde meu cenário ficou assim:

    Criei o grupo LIBERA_USB_GRAVADORA e neste grupo incluo as pessoas que tem permissão para acessar os dispositivos.

    Criei uma GPO USB_GRAVADORA_BLOQUEADA bloqueando os dispositivos citados acima e a esta GPO é aplicada para TODOS os Usuários Autenticados com exceção do grupo LIBERA_USB_GRAVADORA (este controle foi feito incluindo o grupo na Guia Delegação e depois em Avançado > Segurança > LIBERA_USB_GRAVADORA onde está negando Aplicar Diretiva de Grupo.

    Também criei uma GPO USB_GRAVADORA_LIBERADA onde no filtro de segurança inclui apenas o grupo LIBERA_USB_GRAVADORA.

    Bem, até aqui está aplicando e GPO e negando para quem está fora do grupo mas estou tento problemas. Uma pessoa que antes foi negada por não ter permissão passa a ter permissão e é inclusa no Grupo mas mesmo após vários logoff ou reiniciar o pc não está liberando! Tem algo errado no processo que fiz ?!

    terça-feira, 24 de janeiro de 2017 02:47

Respostas

  • Júnior, se o usuário abrir o prompt de comando e digitar:

    gppupdate /force

    A política de será atualizada, entretanto, dependendo da política, é necessário realizar o logoff/logon. Faça o teste executando esse comando, se der certo, você pode criar um .bat e deixar na área de trabalho do usuário, com o nome "atualizar politica de Bloqueio", bastaria ele executar.

    quinta-feira, 26 de janeiro de 2017 18:26

Todas as Respostas

  • No pc cliente/usuário tente forças as policias atreves do seguinte comando na linha de comandos em modo administrativo "gpupdate /force"

    If this answer help please mark it as a answer :) Thanks, Ricardo Cabral

    terça-feira, 24 de janeiro de 2017 09:44
  • Júnior, as duas GPO's estão aplicadas na mesma OU? Lhe recomendaria aplicar um ENFORCED na GPO LIBERA_USB_GRAVADORA, como ela tem o filtro aplicando somente a alguns usuários, isso vai garantir que eles estão liberados, os outros continuariam com o bloqueio pela GPO USB_GRAVADORA_BLOQUEADA. Me tire só uma dúvida, essa configuração de GPO é de COMPUTADOR ou de USUÁRIO? Se ela for de COMPUTADOR, seria ideal que o filtro de segurança estivesse coerente, liberando o acesso para os determinados computadores que devem ter acesso, não usuários.
    terça-feira, 24 de janeiro de 2017 18:28
  • Júnior, as duas GPO's estão aplicadas na mesma OU? Lhe recomendaria aplicar um ENFORCED na GPO LIBERA_USB_GRAVADORA, como ela tem o filtro aplicando somente a alguns usuários, isso vai garantir que eles estão liberados, os outros continuariam com o bloqueio pela GPO USB_GRAVADORA_BLOQUEADA. Me tire só uma dúvida, essa configuração de GPO é de COMPUTADOR ou de USUÁRIO? Se ela for de COMPUTADOR, seria ideal que o filtro de segurança estivesse coerente, liberando o acesso para os determinados computadores que devem ter acesso, não usuários.

    Bruno, no meu cenário ela tem É e tem que ser por usuário pois o usuário tem que ter acesso mais de um terminal. Sobre o ENFORCED não o conheço, como faria isso ?
    quarta-feira, 25 de janeiro de 2017 21:37
  • Clicando com o botão direito na GPO tem uma opção chamada ENFORCED (não sei como está traduzido em PT-BR), quando você habilita a GPO fica com o símbolo de um cadeado, ela vai ser superior a qualquer outra GPO que faça o contrário dela. Por exemplo, você colocou a GPO de bloquear abaixo da GPO de liberar, se escolher a opção enforced na de liberar, essas opções serão aplicadas mesmo não tendo prioridade na ordem de aplicação. É para forçar que essas opções sejam aplicadas independentemente do que outra GPO diga o contrário. Espero que tenha conseguido explicar.
    quarta-feira, 25 de janeiro de 2017 21:45
  • Clicando com o botão direito na GPO tem uma opção chamada ENFORCED (não sei como está traduzido em PT-BR), quando você habilita a GPO fica com o símbolo de um cadeado, ela vai ser superior a qualquer outra GPO que faça o contrário dela. Por exemplo, você colocou a GPO de bloquear abaixo da GPO de liberar, se escolher a opção enforced na de liberar, essas opções serão aplicadas mesmo não tendo prioridade na ordem de aplicação. É para forçar que essas opções sejam aplicadas independentemente do que outra GPO diga o contrário. Espero que tenha conseguido explicar.

    Clicando com o botão direito tenho:

    Editar
    Imposto
    Vinculo Habilitado
    Salvar Relatório...
    Excluir

    ....

    mas não tem essa opção que traduzindo serial algo como Forçar/Obrigar

    quarta-feira, 25 de janeiro de 2017 23:52
  • Imposto! É exatamente isso. Forçar realmente seria mais intuitivo.
    quinta-feira, 26 de janeiro de 2017 00:53
  • Imposto! É exatamente isso. Forçar realmente seria mais intuitivo.

    Bruno, apliquei a opção IMPOSTO e nos testes que fiz aplicou direitinho. Remove e inclui usuários no grupo, o que remove após logoff não acessaram mais e quando voltei eles para o grupo após logoff voltaram a ter acesso. Só mais um detalhe, neste caso é obrigatório fazer o logoff para que a GPO se aplique, não teria algo no Windows que permitisse fazer isso em tempo real não para que o usuário não precisasse fazer logoff ou reiniciar a maquina ? Se bem que, isso é uma rotina que irá acontecer lá de vez em quando!
    quinta-feira, 26 de janeiro de 2017 18:21
  • Júnior, se o usuário abrir o prompt de comando e digitar:

    gppupdate /force

    A política de será atualizada, entretanto, dependendo da política, é necessário realizar o logoff/logon. Faça o teste executando esse comando, se der certo, você pode criar um .bat e deixar na área de trabalho do usuário, com o nome "atualizar politica de Bloqueio", bastaria ele executar.

    quinta-feira, 26 de janeiro de 2017 18:26
  • Bom dia,

    Por falta de retorno, esta thread será encerrada.

    Caso seja necessário, por gentileza, abra uma nova thread.

    Atenciosamente


    Guilherme Macedo S

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    segunda-feira, 30 de janeiro de 2017 11:37