Jak zablokować urządzenia pamięci masowej USB w domenie 2016/2012 za pomocą zasad grupy.

RóżneDec 19, 2021

Ten przewodnik zawiera instrukcje krok po kroku dotyczące blokowania urządzeń magazynujących USB w całej domenie lub na określonych użytkownikach domeny przy użyciu zasad grupy w domenie AD 2016 lub 2012. Dokładniej, po przeczytaniu instrukcji w tym przewodniku dowiesz się, jak uniemożliwić dostęp do dowolnego urządzenia pamięci masowej USB (pamięci flash, zewnętrznych dyski twarde, smartfony, tablety itp.), które mogą łączyć się z dowolnym komputerem w domenie lub odmawiać dostępu do pamięci USB tylko określonym użytkownikom domeny.

Obecnie wielu z nas używa urządzeń pamięci masowej USB do przesyłania danych. Jednak w przypadku organizacji zdolność jej pracowników do korzystania z zewnętrznych urządzeń pamięci masowej może wiązać się z zagrożeniami bezpieczeństwa, takimi jak rozprzestrzenianie złośliwego oprogramowania lub przechwytywanie poufnych danych. Aby uniknąć tych zagrożeń, możesz przeczytać poniższe instrukcje, aby zablokować dostęp do urządzeń pamięci masowej USB wszystkim użytkownikom i komputerom w domenie lub tylko niektórym użytkownikom domeny przy użyciu zasad grupy

. *

* Uwagi:
1.W tym poście, aby zablokować dyski USB za pomocą zasad grupy, użyliśmy kontrolera domeny Active Directory 2016 do stworzenia nowej polityki grupowej oraz stacji roboczych Windows 10 Pro i Windows 7 Pro, aby ją zastosować.
2. Zasada „Blokuj dostęp do USB” nie ma wpływu na administratorów domeny ani żadne inne podłączone urządzenie USB, takie jak klawiatury USB, mysz, drukarka itp.
3.Po zastosowaniu zasad grupy użytkownicy nie będą mieli dostępu do żadnego typu urządzenia pamięci masowej USB oraz otrzyma jeden z następujących komunikatów o błędach podczas próby uzyskania dostępu do urządzenia pamięci masowej USB na swoim PC.

obrazobraz

Jak korzystać z zasad grupy, aby uniemożliwić dostęp do urządzeń pamięci masowej USB (Server 2012/2012R2/2016)

  • Część 1. Blokuj dostęp USB do odczytu/zapisu dla wszystkich użytkowników domeny.
  • Część 2. Blokuj dostęp USB do odczytu/zapisu dla niektórych użytkowników domeny.

Część 1. Jak zablokować dostęp do urządzeń pamięci masowej USB w całej domenie 2016.

Aby wyłączyć dostęp do dowolnego podłączonego urządzenia pamięci masowej USB do dowolnego komputera (użytkownika) w domenie:

1. W kontrolerze domeny AD Server 2016 otwórz Menedżer serwera a potem od Narzędzia menu, otwórz Zarządzanie polityką grupy. *

* Dodatkowo przejdź do Panel sterowania -> Narzędzia administracyjne -> Zarządzanie polityką grupy.

Zarządzanie zasadami grupy — serwer 2016

2. Pod Domeny, wybierz swoją domenę, a następnie kliknij prawym przyciskiem myszy w Domyślna polityka domeny i wybierz Edytować.

Edytuj domyślną politykę domeny

3. W „Edytorze zarządzania zasadami grupy” przejdź do:

  • Konfiguracja użytkownika > Zasady > Szablony administracyjne > System > Dostęp do pamięci wymiennej

4. W prawym okienku kliknij dwukrotnie na: Dyski wymienne: Odmów dostępu do odczytu. *

* Uwagi:
1. Wiele samouczków w tym momencie sugeruje: Włączyć ten 'Wszystkie klasy pamięci wymiennych: Odmów wszelkiego dostępu” zasady, ale podczas naszych testów odkryliśmy, że ta zasada nie ma zastosowania (działa) w przypadku smartfonów lub tabletów.
2. Jeśli chcesz zablokować dostęp do zapisu USB, wybierz Dyski wymienne: Odmów dostępu do zapisu.

Jak zablokować urządzenia pamięci masowej USB w domenie za pomocą zasad grupy

5. Sprawdzać Włączony i kliknij OK.

Jak zablokować usb za pomocą polityki grupy w systemie Windows Server 2016?

6. Blisko Edytor zasad grupy.
7. Uruchom ponownie serwer i komputery klienckie lub uruchom gpupdate / życie polecenie, aby zastosować nowe ustawienia zasad grupy (bez ponownego uruchamiania) zarówno na serwerze, jak i na klientach.

Część 2. Jak uniemożliwić dostęp do urządzeń pamięci masowej USB określonym użytkownikom domeny.

Aby wyłączyć dostęp do urządzeń pamięci masowej USB tylko określonym użytkownikom za pomocą zasad grupy, musisz utworzyć pogrupuj z użytkownikami, którzy nie chcą uzyskiwać dostępu do urządzeń pamięci masowej USB, a następnie zastosuj do nich nowe zasady Grupa. Aby to zrobić:

Krok 1. Utwórz grupę z wyłączonymi użytkownikami USB. *

* Notatka: Jeśli utworzyłeś już grupę z wyłączonymi użytkownikami USB, przejdź do krok 2.

1. otwarty Użytkownicy i komputery usługi Active Directory.
2. Kliknij prawym przyciskiem myszy „Użytkownicy" obiekt w lewym okienku i wybierz Nowy > Grupa

Active Directory — Utwórz grupę

3. Wpisz nazwę nowej grupy (np. „USB Disabled Users”) i kliknij ok. *

* Notatka: Pozostaw zaznaczone opcje „Globalne” i „Zabezpieczenia”.

obraz

4. Otwórz nowo utworzoną grupę, wybierz Członkowie tab i kliknij Dodać

obraz

5. Teraz wybierz, w których użytkownikach domeny chcesz zablokować urządzenia pamięci masowej USB, a następnie kliknij OK.

obraz

6. Kliknij ok aby zamknąć właściwości grupy.

obraz

Krok 2. Utwórz nowy obiekt zasad grupy, aby wyłączyć urządzenia pamięci masowej USB.

1. Otworzyć Zarządzanie polityką grupy.
2. Pod obiektem „Domeny” kliknij swoją domenę prawym przyciskiem myszy i wybierz Utwórz obiekt zasad grupy w tej domenie i połącz go tutaj.

obraz

3. Wpisz nazwę nowego obiektu zasad grupy (np. „USB wyłączone”) i kliknij OK.

obraz

4. Kliknij prawym przyciskiem myszy nowy obiekt zasad grupy i kliknij Edytować.

Wyłącz dostęp USB dla niektórych użytkowników za pomocą zasad grupy

5. W „Edytorze zarządzania zasadami grupy” przejdź do:

  • Konfiguracja użytkownika > Zasady > Szablony administracyjne > System > Dostęp do pamięci wymiennej

4. W prawym okienku kliknij dwukrotnie na: Dyski wymienne: Odmów dostępu do odczytu. *

* Notatka:
1. Wiele samouczków w tym momencie sugeruje: Włączyć ten 'Wszystkie klasy pamięci wymiennych: Odmów wszelkiego dostępu” zasady, ale podczas naszych testów odkryliśmy, że ta zasada nie ma zastosowania (działa) w przypadku smartfonów lub tabletów.
2. Jeśli chcesz zablokować dostęp do zapisu USB, wybierz Dyski wymienne: Odmów dostępu do zapisu.

Blokuj dostęp do pamięci USB dla niektórych użytkowników

5. Sprawdzać Włączony i kliknij OK.

Dyski wymienne — odmowa dostępu

6. Blisko ten Edytor zarządzania zasadami grupy okno.

7. Wróć do „Zarządzanie zasadami grupy”, wybierz obiekt zasad grupy „Wyłączone USB” i na karcie „Zakres” kliknij Dodać przycisk (w ustawieniach „Filtrowanie bezpieczeństwa”).

Blokuj USB dla niektórych użytkowników w AD Server 2016

8. Wpisz nazwę grupy „Wyłączeni użytkownicy USB” (np. „Wyłączeni użytkownicy USB” w tym poście) i kliknij ok.

obraz

9. Po zakończeniu wybierz Delegacja patka.

obraz

10. W zakładce „Delegacja”, wybierać ten Uwierzytelnieni użytkownicy i kliknij Zaawansowany.

obraz

11. W Opcje bezpieczeństwa, wybierać ten Uwierzytelnieni użytkownicy oraz odznacz ten Zastosuj zasady grupy pole wyboru. Po zakończeniu kliknij OK.

obraz

6. Blisko Edytor zasad grupy.
7. Uruchom ponownie serwer i komputery klienckie lub uruchom "gpupdate / życie" (jako administrator), aby zastosować nowe ustawienia zasad grupy (bez restartu) zarówno na serwerze, jak i na klientach.

Otóż ​​to! Daj mi znać, czy ten przewodnik Ci pomógł, zostawiając komentarz na temat swojego doświadczenia. Polub i udostępnij ten przewodnik, aby pomóc innym.