Jak blokovat úložná zařízení USB v doméně 2016/2012 pomocí zásad skupiny.

Jak blokovat úložná zařízení USB v doméně 2016/2012 pomocí zásad skupiny.

15-02-2023 Jak na to
Andy Davis

Tato příručka obsahuje pokyny krok za krokem, jak pomocí zásad skupiny v doméně AD 2016 nebo 2012 zablokovat úložná zařízení USB v celé doméně nebo u konkrétních uživatelů domény. Konkrétně se po přečtení pokynů v této příručce dozvíte, jak zabránit přístupu k jakémukoli úložnému zařízení USB (flash diskům, externím pevným diskům, chytrým telefonům, tabletům atd.), které se může připojit k jakémukoli úložnému zařízení USB.počítače v doméně nebo zakázat přístup k úložišti USB pouze určitým uživatelům domény.

V dnešní době mnoho z nás používá k přenosu dat úložné zařízení USB. Pro organizaci však může možnost jejích zaměstnanců používat externí úložná zařízení obsahovat bezpečnostní rizika, jako je šíření malwaru nebo zachycení citlivých dat. Chcete-li se těmto rizikům vyhnout, můžete si přečíst následující pokyny k zablokování přístupu k úložným zařízením USB pro všechny uživatele a počítače v doméně nebo pro určitépouze uživatelé domény pomocí zásad skupiny. *

Poznámky:
1. V tomto příspěvku jsme k blokování USB disků prostřednictvím zásad skupiny použili řadič domény Active Directory 2016 k vytvoření nové zásady skupiny a pracovní stanice se systémem Windows 10 Pro a Windows 7 Pro k jejímu použití.
2. Zásada "Blokovat přístup USB" neovlivní správce domény ani žádné jiné připojené zařízení USB, jako jsou klávesnice USB, myš, tiskárna atd.
3. Po použití zásad skupiny nebudou mít uživatelé přístup k žádnému typu úložného zařízení USB a při pokusu o přístup k úložnému zařízení USB na svém počítači obdrží jednu z následujících chybových zpráv.

Jak pomocí zásad skupiny zabránit přístupu k úložným zařízením USB (Server 2012/2012R2/2016)

  • Část 1. Blokování přístupu ke čtení/zápisu na USB u všech uživatelů domény. Část 2. Blokování přístupu ke čtení/zápisu na USB u některých uživatelů domény.

Část 1. Jak zablokovat přístup k úložným zařízením USB v celé doméně 2016.

Zakázání přístupu k jakémukoli připojenému úložnému zařízení USB pro jakýkoli počítač (uživatele) v doméně:

1. V řadiči domény služby AD serveru 2016 otevřete příkaz Správce serveru a pak z Nástroje otevřete nabídku Správa zásad skupiny. *

Dále přejděte na Ovládací panel -> Nástroje pro správu -> Správa zásad skupiny.

2. Pod Domény , vyberte svou doménu a poté kliknutí pravým tlačítkem myši na adrese Výchozí zásady domény a vyberte Upravit .

3. V Editoru správy zásad skupiny přejděte na:

  • Konfigurace uživatele > Zásady > Šablony pro správu > Systém > Přístup k vyměnitelnému úložišti

4. V pravém podokně dvakrát klikněte na: Vyměnitelné disky: Zakázat přístup ke čtení. *

* Poznámky:
1. Mnoho výukových programů v tomto bodě navrhuje. Povolit Všechny třídy vyměnitelného úložiště: Zakázat veškerý přístup ale během testování jsme zjistili, že tato zásada neplatí (nefunguje) pro chytré telefony a tablety.
2. Pokud chcete zablokovat přístup k zápisu do USB, vyberte možnost Vyměnitelné disky: Zakázat přístup k zápisu.

5. Podívejte se na stránky . Povoleno a klikněte na DOBŘE.

6. Zavřít Editoru zásad skupiny.
7. Restart serveru a klientských počítačů nebo spustit příkaz gpupdate /force použít nové nastavení zásad skupiny (bez restartu) na server i klienty.

Část 2. Jak zabránit přístupu k úložným zařízením USB konkrétním uživatelům domény.

Chcete-li zakázat přístup k úložným zařízením USB pouze konkrétním uživatelům pomocí zásad skupiny, musíte vytvořit skupinu s uživateli, kteří nechtějí mít přístup k úložným zařízením USB, a poté na tuto skupinu aplikovat novou zásadu. To provedete takto:

Krok 1. Vytvořte skupinu s uživateli USB se zakázaným přístupem. *

Poznámka: Pokud jste již vytvořili skupinu se zakázanými uživateli USB, pokračujte krokem 2.

1. Otevřít Uživatelé a počítače služby Active Directory.
2. Klikněte pravým tlačítkem myši na " Uživatelé " v levém podokně a vyberte možnost Nový > Skupina

3. Zadejte název nové skupiny (např. "USB Disabled Users") a klikněte na tlačítko OK . *

Poznámka: Možnosti "Globální" a "Zabezpečení" ponechte zaškrtnuté.

4. Otevřete nově vytvořenou skupinu, vyberte Členové a klikněte na kartu Přidat

5. Nyní vyberte uživatele domény, u kterých chcete blokovat zařízení USB Storage, a klikněte na tlačítko. DOBŘE.

6. Klikněte na OK k uzavření vlastností skupiny.

Krok 2. Vytvořte nový objekt zásad skupiny pro zakázání úložných zařízení USB.

1. Otevřete Správa zásad skupiny.
2. V objektu "Domény" klikněte pravým tlačítkem myši na svou doménu a vyberte možnost Vytvořte objekt GPO v této doméně a propojte jej sem.

3. Zadejte název nového objektu GPO (např. "USB Disabled") a klikněte na tlačítko DOBŘE.

4. Klikněte pravým tlačítkem myši na nový objekt GPO a klikněte na Upravit.

5. V Editoru správy zásad skupiny přejděte na:

  • Konfigurace uživatele > Zásady > Šablony pro správu > Systém > Přístup k vyměnitelnému úložišti

4. V pravém podokně dvakrát klikněte na: Vyměnitelné disky: Zakázat přístup ke čtení. *

* Poznámka:
1. Mnoho výukových programů v tomto bodě navrhuje. Povolit Všechny třídy vyměnitelného úložiště: Zakázat veškerý přístup ale během testování jsme zjistili, že tato zásada neplatí (nefunguje) pro chytré telefony a tablety.
2. Pokud chcete zablokovat přístup k zápisu do USB, vyberte možnost Vyměnitelné disky: Zakázat přístup k zápisu.

5. Podívejte se na stránky . Povoleno a klikněte na DOBŘE.

6. Zavřít na Editor správy zásad skupiny okno.

7. Vraťte se zpět do "Group Policy Management", vyberte GPO "USB Disabled" a na kartě "Scope" klikněte na tlačítko Přidat (v nastavení "Bezpečnostní filtrování").

8. Zadejte název skupiny "USB disabled users" (např. "USB Disabled Users" v tomto příspěvku) a klikněte na tlačítko OK .

9. Po dokončení vyberte Delegace tab.

10. Na kartě Delegování, vybrat na Ověření uživatelé a klikněte na Pokročilé.

11 . u možností zabezpečení, vybrat na Ověření uživatelé a zrušte zaškrtnutí na Použít zásady skupiny Zaškrtněte políčko. Po dokončení klikněte na DOBŘE.

6. Zavřít Editoru zásad skupiny.
7. Restart serveru a klientských počítačů nebo spusťte příkaz " gpupdate /force " (jako správce), abyste použili nové nastavení zásad skupiny (bez restartu) pro server i klienty.

To je vše! Dejte mi vědět, zda vám tento návod pomohl, a zanechte komentář o svých zkušenostech. Prosím, lajkujte a sdílejte tento návod, abyste pomohli ostatním.


Andy Davis

Blog správce systému o Windows

Předchozí příspěvek Jak naplánovat zálohování a synchronizaci Google.
Další příspěvek Jak nastavit virtuální počítač Hyper-V v systému Windows 11/10.
Leave a comment