none
Windows 2012 AD Domain Policy "Removable Storage Access : All Removable Storage classes: Deny all access" RRS feed

  • 問題

  • 問題:

    在VMWare ESX 上建立一台虛擬機器OS 為 W2K8R2 掛載了兩個VMDX (Disk C & Disk D)

    Join Domain後會發生Disk D拒絕存取的情形。

    經查後Windows server 2012 AD 上有一條 Domain Policy "Removable Storage Access : All Removable Storage classes: Deny all access" , 是被該條Policy限制住。

    不知道各位有沒有碰過這個問題?

    以下是我做過的幾個測試

    情境一

    ESX上建立VM

    OS 版本 W2K12

    掛載兩個VMDK 虛擬硬碟為Disk C & Disk D

    升級為DC 網域為 Comtoso.com

    新增Domain Policy “Removable Storage Access : All Removable Storage classes: Deny all access

    重新啟動後套用Policy的緣故,Disk D會變成拒絕存取

     

     

    情境二

    Hyper-V 新增VM

    OS 版本 W2K8R2

    掛載三個VHDX 虛擬硬碟為IDE 0:0 Disk C IDE 0:1 Disk E SCSI Disk F

    加入網域 Comtoso.com,並且重新啟動

    確定有套用Domain Policy “Removable Storage Access : All Removable Storage classes: Deny all access

    Disk C , E , F皆正常並無拒絕存取情形發生

     

     

    情境三

    ESX 新增VM

    OS 版本W2K8R2

    VMDX 1 SCSI 0:0上切兩個Partition Disk C & Disk D

    VMDX 2 SCSI 0:1 Disk E

    VMDX 3 IDE   0:0 Disk F

    並且於W2K12 AD上依照MS KB 2822241下載HotFix 更新且重新開機

    http://support.microsoft.com/kb/2822241

    加入網域 Comtoso.com,並且重新啟動

    確定有套用Domain Policy “Removable Storage Access : All Removable Storage classes: Deny all access

    問題並未解決,倒是可以確定IDE格式的VMDX是不受影響的

    看來VMWare 的SCSI控制器是用可移動裝置的方式連接到虛擬機,所以會被Policy限制

    目前找到的解決方式是將VMWare的熱插拔裝置的功能停用

    參考:http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1012225

    但若是網域底下有好幾百台的VMWare Esx 的 Guest OS而且是正式環境實在是沒辦法一台一台的關機做設定

    所以想請教一下大家的看法!?

    2014年5月16日 上午 08:07

解答

  • 你好, 要令Windows 認為VMware的SCSI磁碟機不是移動裝置, 可以這樣做

    假設你是用LSI Logic SAS作為VM的SCSI Controller,

    你的Windows VM會判斷裝置為LSI Adapter, SAS 3000 series, 8-port with 1068 

    開一台VM, 以regedit.exe查看機碼, 找出這一段

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\PCI\VEN_1000&DEV_0054&SUBSYS_197615AD&REV_01\

    底下有一個4&2732702b&0&00A8的 機碼, 就是這塊SCSI Controller的識認, 

    我要說通常都是4&2732702b&0&00A8, 可是也有特別的例子(例如我的截圖), 所以你可以看看你自己的VMware host產生出甚麼, 你的目標是要把這塊Controller的Capabilities由6轉變成2, 可是你不能就這樣改, 必須要以Startup Script來改

    因為這串機碼只能由SYSTEM帳號來更改


    建立一個批次檔, 內容是以下 ,請以一句打完, 而且把確認裝置辨識碼是不是4&2732702b&0&00A8或是其他東西

    reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\PCI\VEN_1000&DEV_0054&SUBSYS_197615AD&REV_01\4&2732702b&0&00A8" /v Capabilities /t REG_DWORD /d 2 /f

    開啟gpedit開啟Group Policy Editor (或以AD群組原則Target 你的VM Security Group), 把批次檔加入Startup Script

    重新啟動電腦後SCSI磁碟機就會被辨識為不能移動


    邊幫助, 邊鍛鍊


    2014年5月16日 上午 09:23
  • 你好, 我要再了解一下這個GPO用甚麼來判定

    在我的模擬環境中是可以在這條原則生效時存取到Vmware SCSI Disk的, 而且打msinfo32也會見到磁碟機顯示成Fixed Disk, 所以不排除有更多環境因素能改變結果

    在英文論壇中相似的問題答案暫時指向選用Vmware增加參數變為非熱拔插裝置作為解決辦法...

    http://social.technet.microsoft.com/Forums/windows/en-US/f7ba8af3-f8af-4564-9f29-c2e2b726911b/specifying-gpo-deny-write-access-to-removable-drives-not-protected-by-bitlocker-denies-write?forum=w7itprosecurity


    邊幫助, 邊鍛鍊


    2014年5月19日 上午 05:01

所有回覆

  • 建議問 VMWare 有無更好的解決方法,
    看來狀況都是在 VMWare ESXI 上發生。

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2014年5月16日 上午 08:27
    版主
  • 你好, 要令Windows 認為VMware的SCSI磁碟機不是移動裝置, 可以這樣做

    假設你是用LSI Logic SAS作為VM的SCSI Controller,

    你的Windows VM會判斷裝置為LSI Adapter, SAS 3000 series, 8-port with 1068 

    開一台VM, 以regedit.exe查看機碼, 找出這一段

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\PCI\VEN_1000&DEV_0054&SUBSYS_197615AD&REV_01\

    底下有一個4&2732702b&0&00A8的 機碼, 就是這塊SCSI Controller的識認, 

    我要說通常都是4&2732702b&0&00A8, 可是也有特別的例子(例如我的截圖), 所以你可以看看你自己的VMware host產生出甚麼, 你的目標是要把這塊Controller的Capabilities由6轉變成2, 可是你不能就這樣改, 必須要以Startup Script來改

    因為這串機碼只能由SYSTEM帳號來更改


    建立一個批次檔, 內容是以下 ,請以一句打完, 而且把確認裝置辨識碼是不是4&2732702b&0&00A8或是其他東西

    reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\PCI\VEN_1000&DEV_0054&SUBSYS_197615AD&REV_01\4&2732702b&0&00A8" /v Capabilities /t REG_DWORD /d 2 /f

    開啟gpedit開啟Group Policy Editor (或以AD群組原則Target 你的VM Security Group), 把批次檔加入Startup Script

    重新啟動電腦後SCSI磁碟機就會被辨識為不能移動


    邊幫助, 邊鍛鍊


    2014年5月16日 上午 09:23
  • 專家您好:

    我依照了您所敘述的解決方案去做了Lab,使用GPO去套用Startup Script,Regedit內的值確實有改,但似乎沒有解決到磁碟被拒絕存取的問題。

    不知是否有我沒注意到的地方?


    Raison Chen

    2014年5月16日 上午 11:29
  • 你好, 我要再了解一下這個GPO用甚麼來判定

    在我的模擬環境中是可以在這條原則生效時存取到Vmware SCSI Disk的, 而且打msinfo32也會見到磁碟機顯示成Fixed Disk, 所以不排除有更多環境因素能改變結果

    在英文論壇中相似的問題答案暫時指向選用Vmware增加參數變為非熱拔插裝置作為解決辦法...

    http://social.technet.microsoft.com/Forums/windows/en-US/f7ba8af3-f8af-4564-9f29-c2e2b726911b/specifying-gpo-deny-write-access-to-removable-drives-not-protected-by-bitlocker-denies-write?forum=w7itprosecurity


    邊幫助, 邊鍛鍊


    2014年5月19日 上午 05:01