none
Нужна помощь в настройке GPO по отключению съемных носителей. RRS feed

  • Вопрос

  • Добрый день!

    Ситуация такая. Есть контейнер с машинами, на него применена GPO, отключающая доступ к съемным носителям.

    Требуется каким-то образом предоставить разрешения открывать на данных машинах съемные носители для определенной группы AD (IT саппорт).

    Проблема усугубляется тем, что после злосчастных апдейтов бюллетеня MS16-072 от июня этого года сменился контекст доступа к контроллеру домена при применении групповых политик, а в вышеозначенном контейнере присутствуют машины и на Windows XP, и на Win 7, причем в случае Win 7 большинство компьютеров без обновлений из этого бюллетеня, но есть и уже свежие с этими апдейтами.

    Копаю уже который час, но однозначного решения подобной проблемы не нашел. Экспериментальным способом решить не удается. Просьба дать направление.

    P.S. Режим работы домена - 2008 R2


    • Изменено MorgenRu 24 октября 2016 г. 14:10
    24 октября 2016 г. 14:04

Ответы

  • 1. Включите для машин в этом контейнере(подразделении) обработку политики пользователя в режиме замыкания (в варианте слияния).

    2. Перенесите настройки политики, запрещающие доступ к съёмным запоминающим устройствам, в раздел конфигурации пользователя. Лучше для этого дела создать специальный объект политики, привязанный к нужному контейнеру.

    3. Чтобы не иметь проблем с обновлением MS16-072, верните там, где убрали и больше не трогайте разрешение на чтение для Прошедших проверку, которое установлено по умолчанию. Фильтрацию политики делайте с помощью разрешений на применение политики.

    4. В данном случае либо дайте разрешение на применение политики нужной группе пользователей (для которой запрещён доступ к съёмным носителям) в консоли управления групповой политикой. Если затрудняетесь выделить этих пользователей в группу, установите на вкладке Безопасность свойств политики в редакторе групповой политики явный запрет на применение этой политики для тех групп(или пользователей),  на которых этот запрет не распространяется.


    Слава России!

    24 октября 2016 г. 17:09
  • От имени учётки компьютера происходит только считывание политики. Оценка применимости, как и раньше, делается на основе разрешений для учётной записи субъекта, к которому политика применяется - то есть, в данном случае, пользователя. С этим в MS16-072 ничего не поменялось.

    А почему у вас там политика фильтровалась - это надо смотреть конкретно, по её разрешениям.


    Слава России!


    25 октября 2016 г. 10:51

Все ответы

  • 1. Включите для машин в этом контейнере(подразделении) обработку политики пользователя в режиме замыкания (в варианте слияния).

    2. Перенесите настройки политики, запрещающие доступ к съёмным запоминающим устройствам, в раздел конфигурации пользователя. Лучше для этого дела создать специальный объект политики, привязанный к нужному контейнеру.

    3. Чтобы не иметь проблем с обновлением MS16-072, верните там, где убрали и больше не трогайте разрешение на чтение для Прошедших проверку, которое установлено по умолчанию. Фильтрацию политики делайте с помощью разрешений на применение политики.

    4. В данном случае либо дайте разрешение на применение политики нужной группе пользователей (для которой запрещён доступ к съёмным носителям) в консоли управления групповой политикой. Если затрудняетесь выделить этих пользователей в группу, установите на вкладке Безопасность свойств политики в редакторе групповой политики явный запрет на применение этой политики для тех групп(или пользователей),  на которых этот запрет не распространяется.


    Слава России!

    24 октября 2016 г. 17:09
  • написал не по теме. удалил

    25 октября 2016 г. 3:32
  • 1. Включите для машин в этом контейнере(подразделении) обработку политики пользователя в режиме замыкания (в варианте слияния).

    2. Перенесите настройки политики, запрещающие доступ к съёмным запоминающим устройствам, в раздел конфигурации пользователя. Лучше для этого дела создать специальный объект политики, привязанный к нужному контейнеру.

    3. Чтобы не иметь проблем с обновлением MS16-072, верните там, где убрали и больше не трогайте разрешение на чтение для Прошедших проверку, которое установлено по умолчанию. Фильтрацию политики делайте с помощью разрешений на применение политики.

    4. В данном случае либо дайте разрешение на применение политики нужной группе пользователей (для которой запрещён доступ к съёмным носителям) в консоли управления групповой политикой. Если затрудняетесь выделить этих пользователей в группу, установите на вкладке Безопасность свойств политики в редакторе групповой политики явный запрет на применение этой политики для тех групп(или пользователей),  на которых этот запрет не распространяется.


    Слава России!

    Спасибо за развернутый ответ. А как фильтрация будет отрабатывать если после последних апдейтов политики запрашиваются от учетки компьютера? Насколько я понимаю, теперь фильтровать по учеткам пользователей бесполезно? Или я ошибаюсь?

    Просто я рассматривал схожий вариант, где бы было 2 политики - 1 на запрет, а 2 - на разрешение, и 2 должна применяться только для определенной группы пользователей (саппорт), но при применении на конечной машине gpresult говорил, что вторая политика отфильтрована под любой учеткой.

    25 октября 2016 г. 7:10
  • От имени учётки компьютера происходит только считывание политики. Оценка применимости, как и раньше, делается на основе разрешений для учётной записи субъекта, к которому политика применяется - то есть, в данном случае, пользователя. С этим в MS16-072 ничего не поменялось.

    А почему у вас там политика фильтровалась - это надо смотреть конкретно, по её разрешениям.


    Слава России!


    25 октября 2016 г. 10:51