Geräte Installation verweigern

    Hi Leute,

    hab heute mal eine Frage zum Thema Gruppenrichtlinien. Und zwar will ich an einem System auf dem nur ein Benutzer eingerichtet ist die Geräteinstallation verweigern. Sprich der Benutzer darf keine zusätlichen Speichermedien anschließen können (z.B. USB). Ich bin mir eigendlich ziehmlich sicher, dass das in den Gruppenrichtlinien einzustellen ist, finde aber nicht den entsprechenden Einstellungspunkt.

    Help me ;)

    Wenn die Klügeren immer nur nachgeben, würde die Welt bald von Dummen regiert ;)

    Hallo Backdoor!

    Müßte gehen. Versuche es mal so:

    Computerkonfiguration/Administrative Vorlage/System/Geräteinstallation/Einschränkungen bei der Geräteinstallation

    • Installation von Wechselgeräten verhindern: aktiviert
    • Installation von Geräten verhindern, die nicht in anderen Richtlinien verhindert sind: aktiviert

    Bereits installierte Wechselmedien werden davon nicht erfasst, Du mußt sie zuerst deinstallieren (Treiber entfernen!), den Rechner neu starten und dann die Richtlinien in Kraft setzen.

    Einzelne Geräte kannst Du von diesen Vorschriften ausnehmen per

    • Administratoren das Außerkraftsetzen der Richtlinien unter „Einschränkungen bei der Geräteinstallation“ erlauben: aktiviert
    • Installation von Geräten mit diesen Geräte-IDs zulassen: Geräte-ID eintragen

    Nur die Geräte mit den gelistetn ID's lassen sich dann einbinden.

    Möchtest Du ganz sicher gehen, aktivierst Du außerdem noch

    • Installation von Geräten verhindern, die nicht in anderen Richtlinien verhindert sind

    Damit läßt Windows auch keine neuen Festplatten oder andere Geräte mehr zu.


    Viel Erfolg!

    Grüße
    Funkenzupfer.

    \"Wo kämen wir hin, wenn alle sagten, wo kämen wir hin, und niemand ginge, um einmal zu schauen, wohin man käme, wenn man ginge.\" (Kurt Marti)

    Sorry, das geht nach dieser Methode (so glaube ich) erst ab Vista. Unter 2000/XP setzt Du einfach unter [INDENT]Computerkonfiguration --> Windows-Einstellungen --> Sicherheitseinstellungen --> Systemdienste -->Wechselmedien
    [/INDENT]den Startmodus des Dienstes auf "manuell" und passt die Sicherheit entsprechend an. Das sollte den gleichen Effekt haben.

    Grüße
    Funkenzupfer.

    \"Wo kämen wir hin, wenn alle sagten, wo kämen wir hin, und niemand ginge, um einmal zu schauen, wohin man käme, wenn man ginge.\" (Kurt Marti)

    Ja für Vista hab ich das auch im Web gefunden. Aber ich kann leider deiner XP-Variante nicht ganz folgen. Finde den Punkt nicht wo das einzustellen seien soll. Sollte vielleicht noch erwähnen, das es sich nicht um ein Win Server 2003 gestüztes System handelt sondern nur um Einzelplatzrechner mit XP Prof.

    Hatte auch noch Windows SteadyState ausprobiert aber irgendwie gefällt mir das nicht sonderlich (zudem macht es komischerweise den Rechner langsamer :question: :exclaim: )

    Wenn die Klügeren immer nur nachgeben, würde die Welt bald von Dummen regiert ;)

    Als Ergänzung: ich kann deine Beschreibung bis zum Punkt Sicherheitseinstellungen verfolgen. Aber den Punkt Systemdienste find ich nicht mehr...

    Wenn die Klügeren immer nur nachgeben, würde die Welt bald von Dummen regiert ;)

    Ein einfaches sperren des Dienstes ist unter XP nicht möglich, da nicht vorgesehn.(Es gibt die angesprochene Sicherheitseinstellung in einem "normalen" XP gar nicht)

    Man könnte über eine zusätzliche "Administrative Vorlage" diese Funktion in den Gruppenrichtlinien einpflegen, ist aber sehr umständlich.


    Die einfachste Variante (bisher nicht installierte) USB Wechselmedien am Laden zu hindern, ist die Systemdatei

    usbstor.sys

    von jeglichen Zugriffen zu schützen, soll heissen alle Zugriffrechte (auch für den Benutzer System) zu entfernen.

    Dann kann Xp das Gerät nicht installieren, also auch nicht benutzen.

    Das geht aber nicht, wenn das Gerät bei Einstellen dieser Einschränkung bereits angeschlossen ist, es wird dann auch weiterhin funktionieren. (wie genau das ist wenn man das Gerät entfernt und dann neustartet müsste man mal ausprobieren :confused: )

    Normale USB Geräte sind davon nicht betroffen, also können Mäuse und ähnliches weiter benutzt werden.

    Wer nicht weiss wovon er redet sollte besser die Klappe halten.
    Also: Schnauze Welt!

    Als Nachtrag mal gesagt:

    Es ginge auch über die Registry, man muss nur den Startwert der USBSTOR Datei ändern.

    Geht so:

    In diesem Registryzweig:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR

    den Wert der Variable Start auf 4 setzen zum Deaktivieren, zum Aktivieren wieder auf 3 setzen.

    Wer nicht weiss wovon er redet sollte besser die Klappe halten.
    Also: Schnauze Welt!

    Hmmm na gut. Gehen wir einfach mal davon aus. Wir würden alle Laufwerksbuchstaben bis auf die bereits vorhandenen verbieten. Würde denn dann ein USB-Device überhaupt noch im Arbeitsplatz auftauchen bzw. ansprechbar sein ?

    Wenn die Klügeren immer nur nachgeben, würde die Welt bald von Dummen regiert ;)

    Ohne verfügbare LW Buchstaben auch (unter XP) kein Zugriff. (es sei den mit Datenrettungsprogrammen, die gehen meist auch ohne LW Buchstaben)

    Stimmt so schon, aber probiere doch vorher mal den Registry Tweak aus, hier bei mir hats funktioniert.

    Wer nicht weiss wovon er redet sollte besser die Klappe halten.
    Also: Schnauze Welt!

    Dickes Danke schön Magic Mike.:sehrgut: Hat super funktioniert und ist längst nicht so kompliziert wie eine evt. Gruppenrichtlinienvariante.

    Wer aber auch noch mal die Laufwerksvariante ausprobieren. Just for Fun.

    Wenn die Klügeren immer nur nachgeben, würde die Welt bald von Dummen regiert ;)