Tartalomjegyzék
Ez az útmutató lépésről lépésre tartalmazza az USB-tárolóeszközök blokkolásának lépésenkénti utasításait a teljes tartományban vagy a tartomány egyes felhasználóinál a csoportházirend használatával egy AD 2016 vagy 2012 tartományban. Konkrétabban, az útmutató utasításainak elolvasása után megtanulhatja, hogyan akadályozhatja meg a hozzáférést bármilyen USB-tárolóeszközhöz (flash meghajtók, külső merevlemezek, okostelefonok, tabletek stb.), amelyek csatlakoztathatók bármelyikszámítógépet a tartományban, vagy csak bizonyos tartományi felhasználók számára tiltsa meg az USB-tároló hozzáférését.
Manapság sokan használnak USB-tárolóeszközt az adatok továbbítására. Egy szervezet számára azonban az, hogy alkalmazottai külső tárolóeszközöket használhatnak, biztonsági kockázatokat rejthet magában, például rosszindulatú programok terjesztését vagy érzékeny adatok lehallgatását. E kockázatok elkerülése érdekében az alábbi utasításokkal blokkolhatja az USB-tárolóeszközökhöz való hozzáférést a tartományában lévő összes felhasználó és számítógép, vagy bizonyoscsak a tartományi felhasználók számára, a csoportházirend használatával. *.
Megjegyzések:
1. Ebben a bejegyzésben az USB-meghajtók csoportházirenddel történő blokkolásához egy Active Directory 2016 tartományvezérlőt használtunk az új csoportházirend létrehozásához, és Windows 10 Pro és Windows 7 Pro munkaállomásokat az alkalmazáshoz.
2. Az "USB-hozzáférés blokkolása" házirend nem érinti a tartományi rendszergazdákat vagy más csatlakoztatott USB-eszközöket, például USB-billentyűzetet, egeret, nyomtatót stb.
3. A csoportházirend alkalmazása után a felhasználók nem férnek hozzá semmilyen USB-tárolóeszközhöz, és az alábbi hibaüzenetek valamelyikét kapják, amikor megpróbálnak USB-tárolóeszközhöz hozzáférni a számítógépükön.
Hogyan lehet a csoportházirend használatával megakadályozni az USB-tárolóeszközökhöz való hozzáférést (Server 2012/2012R2/2016)?
- 1. rész: Az USB olvasási/írási hozzáférés blokkolása minden tartományi felhasználó számára. 2. rész: Az USB olvasási/írási hozzáférés blokkolása bizonyos tartományi felhasználók számára.
1. rész: Hogyan lehet blokkolni az USB-tárolóeszközökhöz való hozzáférést az egész 2016-os tartományban.
A tartomány bármely számítógépének (felhasználójának) bármely csatlakoztatott USB-tárolóeszközhöz való hozzáférésének letiltása:
1. A Server 2016 AD tartományvezérlőn nyissa meg a Kiszolgáló menedzser majd a Eszközök menü, nyissa meg a Csoportházirend kezelése. *
Továbbá navigáljon a Vezérlőpult -> Adminisztratív eszközök -> Csoportházirend kezelése.
2. A címen. Tartományok , válassza ki a tartományt, majd jobb klikk a címen. Alapértelmezett tartományi házirend és válassza a Szerkesztés .
3. A 'Csoportházirend kezelése szerkesztő' menüpontban navigáljon a következőre:
- Felhasználói konfiguráció > Házirendek > Felügyeleti sablonok > Rendszer > Eltávolítható tároló hozzáférés
4. A jobb oldali ablaktáblán kattintson duplán a: Eltávolítható lemezek: Olvasási hozzáférés megtagadása. *
* Megjegyzések:
1. Sok oktatóprogram ezen a ponton azt javasolja, hogy Engedélyezze a a ' Minden eltávolítható tároló osztály: Minden hozzáférés megtagadása házirend, de tesztjeink során felfedeztük, hogy ez a házirend nem vonatkozik (működik) okostelefonokra vagy táblagépekre.
2. Ha blokkolni szeretné az USB írási hozzáférést, válassza ki a Eltávolítható lemezek: Írási hozzáférés megtagadása.
5. Ellenőrizze a címet. Engedélyezve és kattintson RENDBEN.
6. Bezárás a csoportházirend-szerkesztő.
7. Újraindítás a kiszolgáló és az ügyfélgépek, vagy futtassa a gpupdate /force paranccsal az új csoportházirend-beállítások (újraindítás nélküli) alkalmazása a kiszolgálón és az ügyfeleken egyaránt.
2. rész: Hogyan akadályozhatja meg az USB-tárolóeszközökhöz való hozzáférést bizonyos tartományi felhasználók esetében.
Ha csak bizonyos felhasználók számára szeretné letiltani az USB-tárolóeszközökhöz való hozzáférést egy csoportházirend használatával, akkor létre kell hoznia egy csoportot azokkal a felhasználókkal, akik nem szeretnének hozzáférni az USB-tárolóeszközökhöz, majd az új házirendet erre a csoportra kell alkalmaznia. Ehhez:
1. lépés: Hozzon létre egy csoportot a Letiltott USB-felhasználókkal. *
Megjegyzés: Ha már létrehozott egy csoportot a letiltott USB-felhasználókkal, folytassa a 2. lépéssel.
1. Nyissa meg a címet. Active Directory - felhasználók és számítógépek.
2. Kattintson a jobb gombbal a " Felhasználók " objektumot a bal oldali ablaktáblán, és válassza a Új > Csoport
3. Írjon be egy nevet az új csoportnak (pl. "USB Disabled Users"), majd kattintson a OK . *
Megjegyzés: Hagyja bejelölve a 'Globális' és a 'Biztonság' beállításokat.
4. Nyissa meg az újonnan létrehozott csoportot, válassza ki a Tagok fülre, és kattintson a Add
5. Most válassza ki, hogy melyik tartomány felhasználó(k) számára szeretné letiltani az USB-tárolóeszközöket, majd kattintson a RENDBEN.
6. Kattintson a címre. OK a csoport tulajdonságainak lezárásához.
2. lépés: Hozzon létre egy új csoportházirend-objektumot az USB-tárolóeszközök letiltásához.
1. Nyissa meg a Csoportházirend kezelése.
2. A "Domains" objektum alatt kattintson a jobb gombbal a domainre, és válassza a következő lehetőséget Hozzon létre egy GPO-t ebben a tartományban, és kapcsolja ide.
3. Írjon be egy nevet az új GPO-nak (pl. "USB letiltva"), és kattintson a RENDBEN.
4. Kattintson a jobb gombbal az új GPO-ra, és kattintson a Szerkesztés.
5. A 'Csoportházirend kezelése szerkesztő' menüpontban navigáljon a következőre:
- Felhasználói konfiguráció > Házirendek > Felügyeleti sablonok > Rendszer > Eltávolítható tároló hozzáférés
4. A jobb oldali ablaktáblán kattintson duplán a: Eltávolítható lemezek: Olvasási hozzáférés megtagadása. *
* Megjegyzés:
1. Sok oktatóprogram ezen a ponton azt javasolja, hogy Engedélyezze a a ' Minden eltávolítható tároló osztály: Minden hozzáférés megtagadása házirend, de tesztjeink során felfedeztük, hogy ez a házirend nem vonatkozik (működik) okostelefonokra vagy táblagépekre.
2. Ha blokkolni szeretné az USB írási hozzáférést, válassza ki a Eltávolítható lemezek: Írási hozzáférés megtagadása.
5. Ellenőrizze a címet. Engedélyezve és kattintson RENDBEN.
6. Bezárás a Csoportházirend-kezelő szerkesztő ablak.
7. Visszatérve a 'Csoportházirend kezelése' menüpontba, válassza ki az "USB letiltva" GPO-t, majd a 'Hatály' lapon kattintson a "USB letiltva" gombra. Add gombot (a "Biztonsági szűrés" beállítások alatt).
8. Írja be az "USB letiltott felhasználók" csoport nevét (pl. "USB letiltott felhasználók" ebben a bejegyzésben), és kattintson a OK .
9. Ha kész, válassza ki a Delegáció tab.
10. A "Delegálás" fülön, válassza ki a címet. a Hitelesített felhasználók és kattintson Haladó.
11 . a Biztonsági beállításoknál, válassza ki a címet. a Hitelesített felhasználók és törölje a jelölést. a Csoportos házirend alkalmazása Ha kész, kattintson a RENDBEN.
6. Bezárás a csoportházirend-szerkesztő.
7. Újraindítás a kiszolgáló és az ügyfélgépek, vagy futtassa a " gpupdate /force " parancs (rendszergazdaként), hogy az új csoportházirend-beállításokat (újraindítás nélkül) alkalmazza a kiszolgálón és az ügyfeleken egyaránt.
Ennyi! Tudasd velem, ha ez az útmutató segített neked, hagyj egy megjegyzést a tapasztalataidról. Kérlek, lájkold és oszd meg ezt az útmutatót, hogy másoknak is segíts.
Andy Davis
Rendszergazda blogja a Windowsról