Sperren von USB-Speichergeräten in einer Domäne 2016/2012 mit Gruppenrichtlinien.

Sperren von USB-Speichergeräten in einer Domäne 2016/2012 mit Gruppenrichtlinien.

15-02-2023 Wie man
Andy Davis

Dieser Leitfaden enthält eine schrittweise Anleitung zum Sperren von USB-Speichergeräten für die gesamte Domäne oder für bestimmte Domänenbenutzer mithilfe von Gruppenrichtlinien in einer AD-Domäne 2016 oder 2012. Nachdem Sie die Anweisungen in diesem Leitfaden gelesen haben, werden Sie lernen, wie Sie den Zugriff auf alle USB-Speichergeräte (Flash-Laufwerke, externe Festplatten, Smartphones, Tablets usw.) verhindern können, die sich mit einem beliebigenComputer in der Domäne, oder verweigern Sie den Zugriff auf den USB-Speicher nur für bestimmte Domänenbenutzer.

Heutzutage verwenden viele von uns ein USB-Speichergerät, um Daten zu übertragen. Für eine Organisation kann die Möglichkeit, dass ihre Mitarbeiter externe Speichergeräte verwenden, jedoch Sicherheitsrisiken bergen, wie z. B. die Verbreitung von Malware oder das Abfangen sensibler Daten. Um diese Risiken zu vermeiden, können Sie die folgenden Anweisungen lesen, um den Zugriff auf USB-Speichergeräte für alle Benutzer und Computer in Ihrer Domäne oder für bestimmtenur Domänenbenutzer mit Hilfe von Gruppenrichtlinien. *

Anmerkungen:
Um USB-Laufwerke über eine Gruppenrichtlinie zu blockieren, haben wir in diesem Beitrag einen Active Directory 2016-Domänencontroller verwendet, um die neue Gruppenrichtlinie zu erstellen, und Windows 10 Pro- und Windows 7 Pro-Arbeitsstationen, um sie anzuwenden.
Die Richtlinie "USB-Zugang sperren" hat keine Auswirkungen auf die Domänenadministratoren oder andere angeschlossene USB-Geräte wie USB-Tastaturen, -Mäuse, -Drucker usw.
Nach der Anwendung der Gruppenrichtlinie haben die Benutzer keinen Zugriff mehr auf USB-Speichergeräte und erhalten eine der folgenden Fehlermeldungen, wenn sie versuchen, auf ein USB-Speichergerät auf ihrem PC zuzugreifen.

So verhindern Sie mithilfe von Gruppenrichtlinien den Zugriff auf USB-Speichergeräte (Server 2012/2012R2/2016)

  • Teil 1: USB-Lese-/Schreibzugriff für alle Domänenbenutzer sperren. Teil 2: USB-Lese-/Schreibzugriff für bestimmte Domänenbenutzer sperren.

Teil 1: Sperren des Zugriffs auf USB-Speichergeräte in der gesamten Domain 2016.

So deaktivieren Sie den Zugriff auf ein angeschlossenes USB-Speichergerät für jeden Computer (Benutzer) in der Domäne:

1. Öffnen Sie in Server 2016 AD Domain Controller die Server-Manager und dann von Werkzeuge Menü, öffnen Sie das Verwaltung von Gruppenrichtlinien. *

Navigieren Sie außerdem zu Bedienfeld -> Administrative Werkzeuge -> Verwaltung von Gruppenrichtlinien.

2. Unter Domains wählen Sie Ihre Domäne und dann Rechtsklick unter Standard-Domänenpolitik und wählen Sie bearbeiten .

3. Navigieren Sie im "Gruppenrichtlinien-Verwaltungseditor" zu:

  • Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > System > Zugriff auf Wechselspeicher

4. Doppelklicken Sie im rechten Fensterbereich auf: Wechseldatenträger: Lesezugriff verweigern. *

* Anmerkungen:
1 Viele Tutorials empfehlen an dieser Stelle Aktivieren Sie die ' Alle Wechselspeicherklassen: Jeden Zugriff verweigern' Richtlinie, aber während unserer Tests haben wir festgestellt, dass diese Richtlinie nicht für Smartphones oder Tablets gilt (funktioniert).
Wenn Sie den USB-Schreibzugriff blockieren möchten, wählen Sie die Option Wechseldatenträger: Schreibzugriff verweigern.

5. Siehe Aktiviert und klicken Sie GUT.

6. schließen den Gruppenrichtlinien-Editor.
7. neu starten den Server und die Client-Rechner, oder führen Sie die gpupdate /force um die neuen Gruppenrichtlinieneinstellungen (ohne Neustart) sowohl auf den Server als auch auf die Clients anzuwenden.

Teil 2: Wie man den Zugriff auf USB-Speichergeräte für bestimmte Domänenbenutzer verhindert.

Um den Zugriff auf USB-Speichergeräte nur für bestimmte Benutzer mithilfe einer Gruppenrichtlinie zu deaktivieren, müssen Sie eine Gruppe mit Benutzern erstellen, die nicht auf USB-Speichergeräte zugreifen möchten, und dann die neue Richtlinie auf diese Gruppe anwenden. Dazu müssen Sie

Schritt 1: Erstellen Sie eine Gruppe mit den deaktivierten USB-Benutzern*.

Hinweis: Wenn Sie bereits eine Gruppe mit den deaktivierten USB-Benutzern erstellt haben, fahren Sie mit Schritt 2 fort.

1. Öffnen Sie Active Directory-Benutzer und -Computer.
2. Klicken Sie mit der rechten Maustaste auf den " Benutzer "Objekt im linken Fensterbereich und wählen Sie Neu > Gruppe

3. Geben Sie einen Namen für die neue Gruppe ein (z. B. "USB Disabled Users") und klicken Sie auf OK . *

Hinweis: Lassen Sie die Optionen "Global" und "Sicherheit" aktiviert.

4. Öffnen Sie die neu erstellte Gruppe, wählen Sie die Mitglieder und klicken Sie auf hinzufügen

5. Wählen Sie nun aus, für welche(n) Domänenbenutzer Sie die USB-Speichergeräte sperren möchten, und klicken Sie dann auf GUT.

6. Klicken Sie auf OK um Gruppeneigenschaften zu schließen.

Schritt 2: Erstellen Sie ein neues Gruppenrichtlinienobjekt, um die USB-Speichergeräte zu deaktivieren.

1. Öffnen Sie die Verwaltung von Gruppenrichtlinien.
2. Klicken Sie unter dem Objekt "Domains" mit der rechten Maustaste auf Ihre Domain und wählen Sie Erstellen Sie ein GPO in dieser Domäne und verknüpfen Sie es hier.

3. Geben Sie einen Namen für das neue GPO ein (z. B. "USB Disabled") und klicken Sie auf GUT.

4. Klicken Sie mit der rechten Maustaste auf das neue GPO und dann auf Bearbeiten.

5. Navigieren Sie im "Gruppenrichtlinien-Verwaltungseditor" zu:

  • Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > System > Zugriff auf Wechselspeicher

4. Doppelklicken Sie im rechten Fensterbereich auf: Wechseldatenträger: Lesezugriff verweigern. *

* Anmerkung:
1 Viele Tutorials empfehlen an dieser Stelle Aktivieren Sie die ' Alle Wechselspeicherklassen: Jeden Zugriff verweigern' Richtlinie, aber während unserer Tests haben wir festgestellt, dass diese Richtlinie nicht für Smartphones oder Tablets gilt (funktioniert).
Wenn Sie den USB-Schreibzugriff blockieren möchten, wählen Sie die Option Wechseldatenträger: Schreibzugriff verweigern.

5. Siehe Aktiviert und klicken Sie GUT.

6. schließen die Editor für die Gruppenrichtlinienverwaltung Fenster.

7. Gehen Sie zurück zur Gruppenrichtlinienverwaltung, wählen Sie das GPO "USB Disabled" aus und klicken Sie auf der Registerkarte "Scope" auf die Schaltfläche hinzufügen (unter den Einstellungen für die "Sicherheitsfilterung").

Geben Sie den Namen der Gruppe "USB Disabled Users" ein (z. B. "USB Disabled Users" in diesem Beitrag), und klicken Sie auf OK .

9. Wählen Sie anschließend die Option Delegation tab.

10. Auf der Registerkarte "Delegation", Wählen Sie die Authentifizierte Benutzer und klicken Sie Fortgeschrittene.

11 Unter Sicherheitsoptionen, Wählen Sie die Authentifizierte Benutzer und abhaken. die Gruppenrichtlinie anwenden Wenn Sie fertig sind, klicken Sie auf GUT.

6. schließen den Gruppenrichtlinien-Editor.
7. neu starten den Server und die Client-Rechner, oder führen Sie das Programm " gpupdate /force " (als Administrator), um die neuen Gruppenrichtlinieneinstellungen (ohne Neustart) sowohl auf den Server als auch auf die Clients anzuwenden.

Das war's! Lassen Sie mich wissen, ob dieser Leitfaden Ihnen geholfen hat, indem Sie einen Kommentar über Ihre Erfahrungen hinterlassen. Bitte mögen und teilen Sie diesen Leitfaden, um anderen zu helfen.


Andy Davis

Der Blog eines Systemadministrators über Windows

Vorherigen Post So planen Sie Google Backup und Synchronisierung.
Nächster Beitrag Einrichten einer virtuellen Hyper-V-Maschine in Windows 11/10.
Leave a comment