So blockieren Sie USB-Speichergeräte in einer Domäne 2016/2012 mit Gruppenrichtlinien.

VerschiedenesDec 19, 2021
click fraud protection

Dieses Handbuch enthält schrittweise Anweisungen zum Blockieren von USB-Speichergeräten auf der gesamten Domäne oder auf bestimmten Domänenbenutzern mithilfe von Gruppenrichtlinien in einer AD-Domäne 2016 oder 2012. Genauer gesagt erfahren Sie, nachdem Sie die Anweisungen in diesem Handbuch gelesen haben, wie Sie den Zugriff auf USB-Speichergeräte (Flash-Laufwerke, externe Festplatten, Smartphones, Tablets usw.), die sich mit jedem Computer in der Domäne verbinden können, oder den Zugriff auf den USB-Speicher nur bestimmten Domänenbenutzern verweigern.

Heutzutage verwenden viele von uns ein USB-Speichergerät, um Daten zu übertragen. Für ein Unternehmen kann die Fähigkeit seiner Mitarbeiter, externe Speichergeräte zu verwenden, jedoch Sicherheitsrisiken bergen, wie die Verbreitung von Malware oder das Abfangen sensibler Daten. Um diese Risiken zu vermeiden, können Sie die folgenden Anweisungen lesen, um den Zugriff auf USB-Speichergeräte für alle Benutzer und Computer in Ihrer Domäne oder nur für bestimmte Domänenbenutzer mithilfe von Gruppenrichtlinien zu blockieren. *

* Anmerkungen:
1.Um in diesem Beitrag USB-Laufwerke über Gruppenrichtlinien zu blockieren, Wir haben einen Active Directory 2016-Domänencontroller verwendet, um die neue Gruppenrichtlinie zu erstellen, und Windows 10 Pro- und Windows 7 Pro-Workstations, um sie anzuwenden.
2. Die Richtlinie "USB-Zugriff blockieren" wirkt sich nicht auf die Domänenadministratoren oder andere angeschlossene USB-Geräte wie USB-Tastaturen, Maus, Drucker usw. aus.
3.Nach dem Anwenden der Gruppenrichtlinie haben die Benutzer keinen Zugriff auf irgendeinen Typ von USB-Speichergerät, und erhält eine der folgenden Fehlermeldungen, wenn Sie versuchen, auf ein USB-Speichergerät auf ihrem PC.

BildBild

So verwenden Sie Gruppenrichtlinien zum Verhindern des Zugriffs auf USB-Speichergeräte (Server 2012/2012R2/2016)

  • Teil 1. Blockieren Sie den USB-Lese-/Schreibzugriff für alle Domänenbenutzer.
  • Teil 2. Blockieren Sie den USB-Lese-/Schreibzugriff für bestimmte Domänenbenutzer.

Teil 1. So blockieren Sie den Zugriff auf USB-Speichergeräte auf der gesamten Domain 2016.

So deaktivieren Sie den Zugriff auf ein angeschlossenes USB-Speichergerät für jeden Computer (Benutzer) in der Domäne:

1. Öffnen Sie im Server 2016 AD-Domänencontroller die Server Administrator und dann von Werkzeug Menü, öffne das Gruppenrichtlinienverwaltung. *

* Navigieren Sie zusätzlich zu Schalttafel -> Verwaltungswerkzeuge -> Gruppenrichtlinienverwaltung.

Gruppenrichtlinienverwaltung - Server 2016

2. Unter Domänen, wählen Sie Ihre Domain aus und dann Rechtsklick beim Standarddomänenrichtlinie und wähle Bearbeiten.

Standarddomänenrichtlinie bearbeiten

3. Navigieren Sie im 'Gruppenrichtlinienverwaltungs-Editor' zu:

  • Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > System > Zugriff auf Wechselspeicher

4. Doppelklicken Sie im rechten Bereich auf: Wechseldatenträger: Lesezugriff verweigern. *

* Anmerkungen:
1. Viele Tutorials schlagen an dieser Stelle vor, Ermöglichen das 'Alle Wechselmedienklassen: Den gesamten Zugriff verweigern Richtlinie, aber während unserer Tests haben wir festgestellt, dass diese Richtlinie nicht für Smartphones oder Tablets gilt.
2. Wenn Sie den USB-Schreibzugriff blockieren möchten, wählen Sie die Wechseldatenträger: Schreibzugriff verweigern.

So blockieren Sie USB-Speichergeräte in einer Domäne mit Gruppenrichtlinien

5. Überprüfen Ermöglicht und klicke OK.

So blockieren Sie USB durch Gruppenrichtlinien in Windows Server 2016

6. Nah dran den Gruppenrichtlinien-Editor.
7. Neustart den Server und die Client-Rechner, oder führen Sie die gpupdate /force Befehl, um die neuen Gruppenrichtlinieneinstellungen (ohne Neustart) sowohl auf den Server als auch auf die Clients anzuwenden.

Teil 2. So verhindern Sie den Zugriff auf USB-Speichergeräte für bestimmte Domänenbenutzer.

Um den Zugriff auf USB-Speichergeräte nur für bestimmte Benutzer mithilfe einer Gruppenrichtlinie zu deaktivieren, müssen Sie ein Gruppe mit Benutzern, die nicht auf USB-Speichergeräte zugreifen möchten, und dann die neue Richtlinie darauf anzuwenden Gruppe. Das zu tun:

Schritt 1. Erstellen Sie eine Gruppe mit den deaktivierten USB-Benutzern. *

* Notiz: Wenn Sie bereits eine Gruppe mit den deaktivierten USB-Benutzern erstellt haben, fahren Sie fort mit Schritt 2.

1. Offen Aktive Verzeichnisse Benutzer und Computer.
2. Klicken Sie mit der rechten Maustaste auf das "Benutzer"-Objekt im linken Bereich und wählen Sie Neu > Gruppe

Active Directory - Gruppe erstellen

3. Geben Sie einen Namen für die neue Gruppe ein (z. B. "USB-Deaktivierte Benutzer") und klicken Sie auf OK. *

* Notiz: Lassen Sie die Optionen „Global“ und „Sicherheit“ aktiviert.

Bild

4. Öffnen Sie die neu erstellte Gruppe, wählen Sie die Mitglieder Tab und klicken Sie Hinzufügen

Bild

5. Wählen Sie nun aus, in welchen Domänenbenutzern Sie die USB-Speichergeräte blockieren möchten, und klicken Sie dann auf OK.

Bild

6. Klicken OK um Gruppeneigenschaften zu schließen.

Bild

Schritt 2. Erstellen Sie ein neues Gruppenrichtlinienobjekt, um die USB-Speichergeräte zu deaktivieren.

1. Öffne das Gruppenrichtlinienverwaltung.
2. Klicken Sie unter dem Objekt "Domains" mit der rechten Maustaste auf Ihre Domain und wählen Sie Erstellen Sie ein GPO in dieser Domäne und verknüpfen Sie es hier.

Bild

3. Geben Sie einen Namen für das neue GPO ein (z. B. "USB deaktiviert") und klicken Sie auf OK.

Bild

4. Klicken Sie mit der rechten Maustaste auf neues GPO und klicken Sie auf Bearbeiten.

Deaktivieren Sie den USB-Zugriff für bestimmte Benutzer über die Gruppenrichtlinie

5. Navigieren Sie im 'Gruppenrichtlinienverwaltungs-Editor' zu:

  • Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > System > Zugriff auf Wechselspeicher

4. Doppelklicken Sie im rechten Bereich auf: Wechseldatenträger: Lesezugriff verweigern. *

* Notiz:
1. Viele Tutorials schlagen an dieser Stelle vor, Ermöglichen das 'Alle Wechselmedienklassen: Den gesamten Zugriff verweigern Richtlinie, aber während unserer Tests haben wir festgestellt, dass diese Richtlinie nicht für Smartphones oder Tablets gilt.
2. Wenn Sie den USB-Schreibzugriff blockieren möchten, wählen Sie die Wechseldatenträger: Schreibzugriff verweigern.

Blockieren Sie den USB-Speicherzugriff für bestimmte Benutzer

5. Überprüfen Ermöglicht und klicke OK.

Wechseldatenträger - Zugriff verweigern

6. Nah dran das Gruppenrichtlinienverwaltungs-Editor Fenster.

7. Zurück zu 'Gruppenrichtlinienverwaltung', wählen Sie das Gruppenrichtlinienobjekt "USB deaktiviert" und klicken Sie auf der Registerkarte "Bereich" auf das Hinzufügen (unter den Einstellungen 'Sicherheitsfilter').

Blockieren Sie USB für bestimmte Benutzer in AD Server 2016

8. Geben Sie den Namen der Gruppe "USB-deaktivierte Benutzer" ein (z. B. "USB-deaktivierte Benutzer" in diesem Beitrag) und klicken Sie auf OK.

Bild

9. Wenn Sie fertig sind, wählen Sie die Delegation Tab.

Bild

10. Auf der Registerkarte "Delegation" wählen das Authentifizierte Benutzer und klicke Fortschrittlich.

Bild

11. Unter Sicherheitsoptionen, wählen das Authentifizierte Benutzer und deaktivieren das Gruppenrichtlinie anwenden Kontrollkästchen. Wenn Sie fertig sind, klicken Sie auf OK.

Bild

6. Nah dran den Gruppenrichtlinien-Editor.
7. Neustart dem Server und den Client-Rechnern, oder führen Sie die "gpupdate /force"-Befehl (als Administrator), um die neuen Gruppenrichtlinieneinstellungen (ohne Neustart) sowohl auf den Server als auch auf die Clients anzuwenden.

Das ist es! Lassen Sie mich wissen, ob dieser Leitfaden Ihnen geholfen hat, indem Sie Ihren Kommentar zu Ihren Erfahrungen hinterlassen. Bitte liken und teilen Sie diesen Leitfaden, um anderen zu helfen.