none
GPO鎖USB無法生效 RRS feed

  • 問題

  • 請教各位前輩,小弟目前正在測試使用GPO來鎖定USB,已經先行爬過文了,但並沒有類似相同的問題,所以才來求助~

    相關的設定都可以成功,包括製作.adm檔和匯入系統管理範本,也可以成功看到相關的設定,但怎麼設定(將USB禁用啟動),重開機十幾次,Client的USB仍是可以使用,於Client使用regedit查看,發現start這個值仍是3,小弟的做法是參考如下連結的

    DC Server : Windows 2003 Std R2

    http://forum.icst.org.tw/phpBB2/viewtopic.php?p=34388&PHPSESSID=1ad8b8355900cc9d46c78f388ac2ed5c

    http://support.microsoft.com/kb/555324/

    小弟的疑問點如下

    1. 小弟是在子層OU設定GPO的,OU內只有群組和使用者帳號,這樣可以順利套用嗎??

    2. 設定GPO有任何的設定與修改的話,那麼Client多快可以套用呢??是否有生效時間的限制呢??

    如有說明不清的地方,煩請告知,感謝~

    2007年3月26日 上午 09:05

解答

  • 你好:

    這些設定都是套用在GPO物件中的電腦設定,所以你要套用再有電腦帳號的OU

    關於Client 端GPO套用的時間是1-2小時會套用一次,如果要手動套用 就下

    XP: gpupdate /force

    Win 2000: secedit /refreshpolicy {machine_policy | user_policy}[/enforce

    2007年3月26日 下午 12:38

所有回覆

  • 你好:

    這些設定都是套用在GPO物件中的電腦設定,所以你要套用再有電腦帳號的OU

    關於Client 端GPO套用的時間是1-2小時會套用一次,如果要手動套用 就下

    XP: gpupdate /force

    Win 2000: secedit /refreshpolicy {machine_policy | user_policy}[/enforce

    2007年3月26日 下午 12:38
  • 感謝您的回覆,小弟再跟您請教一事

    1.若是我設定GPO的OU,只有人員帳號與群組,那麼是否就沒法套用GPO物件中的電腦設定呢??

       因為不是全部人員都要禁用USB,所以想針對使用者帳號作限制,而不是電腦帳號

     

     

    再次感謝~

    2007年3月27日 上午 05:19
  • 因為該GPO的設計就是針對電腦,所以你可以將

    那些要限制的使用者平時登入的電腦設定一各OU,

    在針對該OU設定GPO囉。

    2007年3月27日 上午 07:22
  • 感謝您耐心的回覆,另外再請教一事

    若是將要限制的使用用平時登入的電腦設定一個OU加入的話

    1. 若是使用者知道針對使用電腦做限制的話,那麼去別的電腦登入即可使用usb

        因為不是全部的部門都有做此限制,一定會有使用者知道別的部門仍然可以使用

     

    2. 若該限制的部門,有新增人員與電腦,與加入Domain,新加入的電腦都會預計在Computer下

        那麼就要不斷的去查看Computer是否有漏網之魚~

     

    3. 網路查到的有Microsoft Group Policy Management Console此工具,從網路上資料看起來,是可以套用到使用者

        但我試了半天,還是依然沒有辦法,套用到使用者帳號上,可否提供一下您的建議

     

    再次感謝~

     

    2007年3月27日 上午 11:09
  • A1:你可以配合下述

    在AD使用者及電腦 ,在要設定的使用者帳號點選滑鼠右鍵->內容->帳戶->

    登入到 ->下列電腦,將使用者希望可以登入的電腦帳號加入

     

    A2:可能要變更作法,先在OU中新增電腦帳號,在該電腦加入網域

     

    A3:GPMC 只是Group Policy 的管理工具,其底層還是利用Group Policy 運作

     

    記得市面上也有再賣限制USB的軟體,不然就要考慮是問問看那些產品

    ,將使用者限制登入到特定電腦

     

     

     

     

     

     

    2007年3月28日 上午 04:59
  • 1. 如果要考慮到這麼仔細的話,我想你應該做的是整個公司都鎖掉吧,畢竟旁邊的人可以使用USB的話誰還會想要去用自己的帳號登入他人的電腦這麼麻煩的事啊。

     

    2. 新電腦加入網域以及新人開帳號不是應該是你MIS負責的嗎?若是權限都交給全公司的人自己亂搞的話我想你要管理應該是在作夢吧。

     

    3. 真的要在這種情況下作管理的話我還是建議你不要用微軟內建的功能好了,third party的產品才應該是你的選擇!

     

    終結: 你應該在你公司大方向安全性的規劃上先重新考量再作這些Detail類別的考慮囉.........^.^

    2007年3月28日 上午 07:47
  • 感謝兩位前輩耐心的回覆,小弟由衷感謝,謝謝你們的建議~
    2007年3月28日 上午 11:00
  • 你好,本人也曾試過有關的禁用原則, 亦將有關之policy套用到指定的OU(內含使用者的帳號), 但是有關的用戶仍是能繼續USB. 我用原則分析結果, 發覺"電腦設定"中的policy沒有顯示被套用. 請建議/ Thanks!
    2007年12月10日 上午 03:10