Ez az útmutató lépésről lépésre tartalmazza az USB-tárolóeszközök letiltását a teljes tartományon vagy bizonyos tartományfelhasználókon csoportházirend használatával egy AD 2016 vagy 2012 tartományban. Pontosabban, az útmutatóban található utasítások elolvasása után megtudhatja, hogyan akadályozhatja meg a hozzáférést bármilyen USB-tárolóeszközhöz (flash meghajtók, külső merevlemezek, okostelefonok, táblagépek stb.), amelyek a tartomány bármely számítógépéhez csatlakozhatnak, vagy csak bizonyos domain felhasználóktól tilthatják meg az USB-tárhoz való hozzáférést.
Manapság sokan használunk USB-tárolóeszközt adatátvitelre. Egy szervezet számára azonban az, hogy az alkalmazottak külső tárolóeszközöket használhatnak, biztonsági kockázatokat rejthet magában, például rosszindulatú programok terjesztését vagy érzékeny adatok elfogását. E kockázatok elkerülése érdekében olvassa el az alábbi utasításokat, amelyek segítségével a csoportházirend segítségével blokkolhatja az USB-tárolóeszközökhöz való hozzáférést a domain összes felhasználója és számítógépe számára, vagy csak bizonyos tartományfelhasználók számára.
* Megjegyzések:
1.Ebben a bejegyzésben az USB-meghajtók csoportházirenden keresztüli blokkolásához Active Directory 2016 tartományvezérlővel hoztuk létre az új csoportházirendet, és Windows 10 Pro és Windows 7 Pro munkaállomásokat alkalmaztunk.
2. Az „USB-hozzáférés blokkolása” házirend nem érinti a tartományadminisztrátorokat vagy bármely más csatlakoztatott USB-eszközt, például USB-billentyűzetet, egeret, nyomtatót stb.
3.A csoportházirend alkalmazása után a felhasználók nem férhetnek hozzá semmilyen típusú USB-tárolóeszközhöz, és a következő hibaüzenetek egyikét fogja kapni, amikor megpróbál hozzáférni egy USB-tárolóeszközhöz PC.
Csoportházirend használata az USB-tárolóeszközökhöz való hozzáférés megakadályozására (2012/2012R2/2016 szerver)
- 1. rész. Az USB olvasási/írási hozzáférés letiltása az összes tartományfelhasználónál.
- 2. rész. Az USB olvasási/írási hozzáférés letiltása bizonyos tartományfelhasználók számára.
1. rész. Az USB-tárolóeszközökhöz való hozzáférés blokkolása a teljes tartományon 2016.
Bármely csatlakoztatott USB-tárolóeszköz hozzáférésének letiltása a tartomány bármely számítógépéhez (felhasználójához):
1. A Server 2016 AD Domain Controller alkalmazásban nyissa meg a Szerverkezelő majd onnan Eszközök menüt, nyissa meg a Csoportházirend-kezelés. *
* Ezenkívül navigáljon ide Kezelőpanel -> Adminisztratív eszközök -> Csoportházirend-kezelés.
2. Alatt Domains, válassza ki a domainjét, majd Jobb klikk nál nél Alapértelmezett domain házirend és válassz Szerkesztés.
3. A „Csoportházirend-kezelő szerkesztőben” lépjen a következő helyre:
- Felhasználói konfiguráció > Házirendek > Felügyeleti sablonok > Rendszer > Cserélhető tárhely hozzáférés
4. A jobb oldali ablaktáblában kattintson duplán a következőre: Cserélhető lemezek: Az olvasási hozzáférés megtagadása. *
* Megjegyzések:
1. Ezen a ponton sok oktatóanyag azt javasolja Engedélyezze a 'Minden eltávolítható tárhelyosztály: Minden hozzáférés megtagadása irányelvet, de tesztjeink során azt tapasztaltuk, hogy ez a szabályzat nem vonatkozik (munkahely) okostelefonokra vagy táblagépekre.
2. Ha blokkolni szeretné az USB Write hozzáférést, válassza a lehetőséget Cserélhető lemezek: Az írási hozzáférés megtagadása.
5. Jelölje be Engedélyezve és kattintson RENDBEN.
6. Bezárás a Csoportházirend-szerkesztő.
7. Újrakezd a szervert és a kliens gépeket, vagy futtassa a gpupdate /force parancsot az új csoportházirend-beállítások alkalmazásához (újraindítás nélkül) mind a kiszolgálón, mind az ügyfeleken.
2. rész. Hogyan akadályozható meg az USB-tárolóeszközökhöz való hozzáférés bizonyos tartományfelhasználóknál.
Ha csak bizonyos felhasználók számára szeretné letiltani az USB-tárolóeszközök elérését egy csoportházirend használatával, létre kell hoznia a csoportba azokkal a felhasználókkal, akik nem akarnak hozzáférni az USB-tárolóeszközökhöz, majd alkalmazzák erre az új házirendet csoport. Ehhez:
1. lépés. Hozzon létre egy csoportot a letiltott USB-felhasználókkal. *
* Jegyzet: Ha már létrehozott egy csoportot letiltott USB-felhasználókkal, folytassa a következővel 2. lépés.
1. Nyisd ki Active Directory felhasználók és számítógépek.
2. Kattintson jobb gombbal a "Felhasználók" objektumot a bal oldali ablaktáblán, és válassza ki Új > Csoport
3. Írjon be egy nevet az új csoportnak (pl. "USB letiltott felhasználók"), és kattintson a gombra rendben. *
* Jegyzet: Hagyja bejelölve a „Globális” és a „Biztonság” opciókat.
4. Nyissa meg az újonnan létrehozott csoportot, válassza ki a tagok fület, és kattintson Hozzáadás
5. Most válassza ki, hogy melyik tartományfelhasználó(k)ban szeretné letiltani az USB-tárolóeszközöket, majd kattintson a gombra RENDBEN.
6. Kattintson rendben csoporttulajdonságok bezárásához.
2. lépés. Hozzon létre egy új csoportházirend-objektumot az USB-tárolóeszközök letiltásához.
1. Nyissa meg a Csoportházirend-kezelés.
2. A "Domains" objektum alatt kattintson jobb gombbal a domainjére, és válassza ki Hozzon létre egy csoportházirend-objektumot ebben a tartományban, és csatolja ide.
3. Írja be az új csoportházirend-objektum nevét (pl. "USB letiltva"), és kattintson a gombra RENDBEN.
4. Kattintson a jobb gombbal az új csoportházirend-objektumra, és kattintson a gombra Szerkesztés.
5. A „Csoportházirend-kezelő szerkesztőben” lépjen a következő helyre:
- Felhasználói konfiguráció > Házirendek > Felügyeleti sablonok > Rendszer > Cserélhető tárhely hozzáférés
4. A jobb oldali ablaktáblában kattintson duplán a következőre: Cserélhető lemezek: Az olvasási hozzáférés megtagadása. *
* Jegyzet:
1. Ezen a ponton sok oktatóanyag azt javasolja Engedélyezze a 'Minden eltávolítható tárhelyosztály: Minden hozzáférés megtagadása irányelvet, de tesztjeink során azt tapasztaltuk, hogy ez a szabályzat nem vonatkozik (munkahely) okostelefonokra vagy táblagépekre.
2. Ha blokkolni szeretné az USB Write hozzáférést, válassza a lehetőséget Cserélhető lemezek: Az írási hozzáférés megtagadása.
5. Jelölje be Engedélyezve és kattintson RENDBEN.
6. Bezárás a Csoportházirend-kezelési szerkesztő ablak.
7. Vissza a „Csoportházirend-kezelés” részhez, válassza ki az „USB letiltva” csoportházirend-objektumot, és a „Hatókör” lapon kattintson a Hozzáadás gombot (a „Biztonsági szűrés” beállítások alatt).
8. Írja be az "USB letiltott felhasználók" csoport nevét (például "USB letiltott felhasználók" ebben a bejegyzésben), majd kattintson rendben.
9. Ha kész, válassza ki a Delegáció lapon.
10. A „Delegálás” lapon válassza ki a Hitelesített felhasználók és kattintson Fejlett.
11. A Biztonsági beállításoknál, válassza ki a Hitelesített felhasználók és törölje a jelölést a Alkalmazza a csoportházirendet jelölőnégyzetet. Ha kész, kattintson RENDBEN.
6. Bezárás a Csoportházirend-szerkesztő.
7. Újrakezd a kiszolgálót és a kliens gépeket, vagy futtassa a "gpupdate /force" paranccsal (rendszergazdaként), hogy az új csoportházirend-beállításokat (újraindítás nélkül) alkalmazza mind a kiszolgálón, mind az ügyfeleken.
Ez az! Tudassa velem, ha ez az útmutató segített Önnek, és hagyja meg véleményét tapasztalatairól. Lájkold és oszd meg ezt az útmutatót, hogy másoknak is segíthess.