none
Como gravar arquivo reg no perfil de usuário comum RRS feed

  • Pergunta

  • Bom dia,
    Estou precisando desabilitar o uso de Pen Driver para determinados usuários.
    Fiz um script em VBS e outro em REG e criei uma GPO que desabilita o uso de pen drive quando esses usuários fazem logon e habilita novamente depois do logoff desses usuários, mas ambos os não funcionam para os usuários quando estes não são administradores da estações.
    Fui ver no regedit as permissões de gravação na chave específica do registro e realmente só os administradores locais.
    Existe alguma forma de fazer esses scripts rodarem com permissão de admin local, mesmo sendo durante o logon e logoff dos usuários sem que esses sejam administradores?
    terça-feira, 8 de setembro de 2009 14:14

Respostas

  • Olá,

    Por se tratar de alteração de registro, recomendo você utilizar a GPO nas configurações de computadores.

    Assim o script será executado com a conta SYSTEM (com permissão para alterar o REG)


    A única desvantagem é que você terá que colocar a GPO na OU onde estão as contas de computadores e não os usuários.

    Se não for assim, só tentando dar permissão no registro.

    Até mais,

    Jesiel

    Obs.: Se útil, classifique
    terça-feira, 8 de setembro de 2009 17:39

Todas as Respostas

  • Rafael,

              Post seu script para podemos analizar.
    Leonardo Sousa
    terça-feira, 8 de setembro de 2009 16:38
  • Segue abaixo Leo:
    VBS
    Para habilitar USB

    Dim WSHShell
    Set WSHShell = WScript.CreateObject("WScript.Shell")
    WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Start",3 ,"REG_DWORD"
    Set WSHShell = nothing

    Para desabilitar USB

    Dim WSHShell
    Set WSHShell = WScript.CreateObject("WScript.Shell")
    WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Start",4 ,"REG_DWORD"
    Set WSHShell = nothing

    Reg
    Para habilitar USB

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
    "Type"=dword:00000001
    "Start"=dword:00000003

    Para desabilitar USB
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]
    "Type"=dword:00000001
    "Start"=dword:00000004

    terça-feira, 8 de setembro de 2009 17:02
  • Olá,

    Por se tratar de alteração de registro, recomendo você utilizar a GPO nas configurações de computadores.

    Assim o script será executado com a conta SYSTEM (com permissão para alterar o REG)


    A única desvantagem é que você terá que colocar a GPO na OU onde estão as contas de computadores e não os usuários.

    Se não for assim, só tentando dar permissão no registro.

    Até mais,

    Jesiel

    Obs.: Se útil, classifique
    terça-feira, 8 de setembro de 2009 17:39
  • Boa tarde Jesiel,
    Então realmente não tem outro jeito mesmo, pois não queria bloquear a USB por estações, mas por usuário.
    Então criei um grupo de trabalho chamado PenDrivers, fiz uma GPO com link para a OU aonde estão as Estações e dei a permissão para alterar somente essa chave para esse grupo. Nessa mesma GPO coloquei o script para desabilitar o uso de pen drivers durante o logon e para habilitar novamente após o logoff e apliquei ele para todos os usuários, sendo que nas permissões da GPO somente coloquei o grupo PenDrivers e computadores do domínio.
    terça-feira, 8 de setembro de 2009 17:45
  • Eu estou com o mesmo problema. Idêntico ao seu.
    Eu tentei até mesmo fazer um script que apenas iria executar um outro script com permissão de admin, porém ele não manteve a autenticação que eu deixei na configuração do script. Vou postar como fiz, quem sabe se clarear as idéias de alguem por favor nos ajude.

    Option explicit
    Dim oShell
    set oShell= Wscript.CreateObject("WScript.Shell")
    oShell.Run "runas /noprofile /user:dominio\adminuser ""cscript \\server\compartilhamento$\usb.vbs"""
    WScript.Sleep 100
    oShell.Sendkeys "senha~"
    Wscript.Quit

    Com esse script acima ele iria executar esse outro script que coloquei no compartilhamento conforme mostrado, mas... não funcionou, ele mostrou a janela solicitando a senha do adminuser.

    Continuarei pesquisando, caso eu chegue a uma conclusão tento ajuda-lo.

    Inacio de Oliveira
    sexta-feira, 11 de setembro de 2009 19:25