يحتوي هذا الدليل على إرشادات خطوة بخطوة حول كيفية حظر أجهزة تخزين USB على المجال بأكمله أو على مستخدمي مجال معين باستخدام نهج المجموعة في مجال AD 2016 أو 2012. وبشكل أكثر تحديدًا ، بعد قراءة التعليمات الواردة في هذا الدليل ، ستتعلم كيفية منع الوصول إلى أي جهاز تخزين USB (محركات أقراص فلاش ، خارجية محركات الأقراص الثابتة ، والهواتف الذكية ، والأجهزة اللوحية ، وما إلى ذلك) ، التي يمكنها الاتصال بأي كمبيوتر في المجال ، أو رفض الوصول إلى وحدة تخزين USB فقط لمستخدمي مجال معين.
اليوم ، يستخدم الكثير منا جهاز تخزين USB لنقل البيانات. ومع ذلك ، بالنسبة لمؤسسة ما ، قد تحتوي قدرة موظفيها على استخدام أجهزة التخزين الخارجية على مخاطر أمنية ، مثل نشر البرامج الضارة أو اعتراض البيانات الحساسة. لتجنب هذه المخاطر ، يمكنك قراءة الإرشادات التالية لمنع الوصول إلى أجهزة تخزين USB لجميع المستخدمين وأجهزة الكمبيوتر في المجال الخاص بك أو لمستخدمي مجال معينين فقط ، باستخدام نهج المجموعة. *
* ملحوظات:
1.في هذا المنشور ، لحظر محركات أقراص USB من خلال سياسة المجموعة ، استخدمنا وحدة تحكم مجال Active Directory 2016 لإنشاء سياسة المجموعة الجديدة ومحطات عمل Windows 10 Pro و Windows 7 Pro لتطبيقها.
2. لن تؤثر سياسة "حظر وصول USB" على مسؤولي المجال أو أي جهاز USB متصل آخر ، مثل لوحات مفاتيح USB والماوس والطابعة وما إلى ذلك.
3.بعد تطبيق نهج المجموعة ، لن يتمكن المستخدمون من الوصول إلى أي نوع من أجهزة تخزين USB ، و ستتلقى إحدى رسائل الخطأ التالية عند محاولة الوصول إلى جهاز تخزين USB من على كمبيوتر.
كيفية استخدام نهج المجموعة لمنع الوصول إلى أجهزة تخزين USB (خادم 2012 / 2012R2 / 2016)
- الجزء 1. حظر وصول القراءة / الكتابة عبر USB على جميع مستخدمي المجال.
- الجزء 2. حظر وصول القراءة / الكتابة عبر USB لبعض مستخدمي المجال.
الجزء 1. كيفية منع الوصول إلى أجهزة تخزين USB على المجال بأكمله 2016.
لتعطيل الوصول إلى أي جهاز تخزين USB متصل بأي جهاز كمبيوتر (مستخدم) في المجال:
1. في Server 2016 AD Domain Controller ، افتح ملف مدير الخادم ثم من أدوات القائمة ، افتح ملف إدارة نهج المجموعة. *
* بالإضافة إلى ذلك ، انتقل إلى لوحة التحكم -> الأدوات الإدارية -> إدارة نهج المجموعة.
2. تحت المجالات، حدد المجال الخاص بك ثم انقر على اليمين في نهج المجال الافتراضي و اختار تعديل.
3. في "محرر إدارة نهج المجموعة" ، انتقل إلى:
- تكوين المستخدم> السياسات> القوالب الإدارية> النظام> الوصول إلى التخزين القابل للإزالة
4. في الجزء الأيسر ، انقر نقرًا مزدوجًا على: الأقراص القابلة للإزالة: رفض الوصول للقراءة. *
* ملحوظات:
1. تشير العديد من البرامج التعليمية في هذه المرحلة إلى يمكن ال 'كافة فئات "التخزين القابل للإزالة": رفض كل الوصول " السياسة ، ولكن خلال اختباراتنا اكتشفنا أن هذه السياسة لا تنطبق (العمل) على الهواتف الذكية أو الأجهزة اللوحية.
2. إذا كنت تريد حظر الوصول إلى USB للكتابة ، فحدد ملف الأقراص القابلة للإزالة: رفض الوصول للكتابة.
5. التحقق من ممكن وانقر موافق.
6. قريب محرر نهج المجموعة.
7. إعادة تشغيل الخادم وأجهزة العميل ، أو قم بتشغيل gpupdate / القوة الأمر لتطبيق إعدادات نهج المجموعة الجديدة (بدون إعادة التشغيل) على كل من الخادم والعملاء.
الجزء 2. كيفية منع الوصول إلى أجهزة تخزين USB على مستخدمي مجال معينين.
لتعطيل الوصول إلى أجهزة تخزين USB لمستخدمين محددين فقط باستخدام نهج المجموعة ، يجب عليك إنشاء ملف مجموعة مع المستخدمين الذين لا يرغبون في الوصول إلى أجهزة تخزين USB ثم تطبيق السياسة الجديدة على ذلك مجموعة. للقيام بذلك:
الخطوة 1. قم بإنشاء مجموعة مع مستخدمي USB المعوقين. *
* ملحوظة: إذا كنت قد أنشأت بالفعل مجموعة مع مستخدمي USB المعوقين ، فتابع إلى الخطوة 2.
1. فتح مستخدمي Active Directory وأجهزة الكمبيوتر.
2. انقر بزر الماوس الأيمن فوق "المستخدمون"الكائن في الجزء الأيمن ، واختر جديد > مجموعة
3. اكتب اسمًا للمجموعة الجديدة (على سبيل المثال ، "مستخدمو USB المعطّلون") وانقر موافق. *
* ملحوظة: اترك الخيارين "عمومي" و "أمان" محددًا.
4. افتح المجموعة التي تم إنشاؤها حديثًا ، وحدد ملف أعضاء علامة التبويب وانقر فوق يضيف
5. حدد الآن مستخدم (مستخدمين) المجال الذي تريد حظر أجهزة تخزين USB فيه ثم انقر فوق موافق.
6. انقر موافق لإغلاق خصائص المجموعة.
الخطوة 2. قم بإنشاء كائن نهج مجموعة جديد لتعطيل أجهزة تخزين USB.
1. افتح ال إدارة نهج المجموعة.
2. ضمن كائن "المجالات" ، انقر بزر الماوس الأيمن على المجال الخاص بك وحدد قم بإنشاء GPO في هذا المجال واربطه هنا.
3. اكتب اسمًا لـ GPO الجديد (على سبيل المثال ، "USB معطل") وانقر موافق.
4. انقر بزر الماوس الأيمن فوق GPO الجديد وانقر فوق تعديل.
5. في "محرر إدارة نهج المجموعة" ، انتقل إلى:
- تكوين المستخدم> السياسات> القوالب الإدارية> النظام> الوصول إلى التخزين القابل للإزالة
4. في الجزء الأيسر ، انقر نقرًا مزدوجًا على: الأقراص القابلة للإزالة: رفض الوصول للقراءة. *
* ملحوظة:
1. تشير العديد من البرامج التعليمية في هذه المرحلة إلى يمكن ال 'كافة فئات "التخزين القابل للإزالة": رفض كل الوصول " السياسة ، ولكن خلال اختباراتنا اكتشفنا أن هذه السياسة لا تنطبق (العمل) على الهواتف الذكية أو الأجهزة اللوحية.
2. إذا كنت تريد حظر الوصول إلى USB للكتابة ، فحدد ملف الأقراص القابلة للإزالة: رفض الوصول للكتابة.
5. التحقق من ممكن وانقر موافق.
6. قريب ال محرر إدارة نهج المجموعة نافذة او شباك.
7. ارجع إلى "إدارة نهج المجموعة" ، حدد كائن نهج المجموعة "معطل USB" وفي علامة التبويب "النطاق" ، انقر فوق يضيف زر (ضمن إعدادات "تصفية الأمان").
8. اكتب اسم مجموعة "مستخدمو USB المعطّلون" (على سبيل المثال ، "مستخدمو USB المعطّلون" في هذا المنشور) ، وانقر موافق.
9. عند الانتهاء ، حدد ملف وفد التبويب.
10. في علامة التبويب "التفويض" ، تحديد ال مستخدمون موثقين وانقر متقدم.
11. في خيارات الأمان ، تحديد ال مستخدمون موثقين و ازل ال تطبيق نهج المجموعة خانة الاختيار. عند الانتهاء ، انقر فوق موافق.
6. قريب محرر نهج المجموعة.
7. إعادة تشغيل الخادم وأجهزة العميل ، أو قم بتشغيل "gpupdate / القوة"الأمر (كمسؤول) ، لتطبيق إعدادات نهج المجموعة الجديدة (بدون إعادة التشغيل) على كل من الخادم والعملاء.
هذا هو! اسمحوا لي أن أعرف ما إذا كان هذا الدليل قد ساعدك من خلال ترك تعليقك حول تجربتك. يرجى اعجاب ومشاركة هذا الدليل لمساعدة الآخرين.