Ten przewodnik zawiera instrukcje krok po kroku dotyczące blokowania urządzeń magazynujących USB w całej domenie lub na określonych użytkownikach domeny przy użyciu zasad grupy w domenie AD 2016 lub 2012. Dokładniej, po przeczytaniu instrukcji w tym przewodniku dowiesz się, jak uniemożliwić dostęp do dowolnego urządzenia pamięci masowej USB (pamięci flash, zewnętrznych dyski twarde, smartfony, tablety itp.), które mogą łączyć się z dowolnym komputerem w domenie lub odmawiać dostępu do pamięci USB tylko określonym użytkownikom domeny.
Obecnie wielu z nas używa urządzeń pamięci masowej USB do przesyłania danych. Jednak w przypadku organizacji zdolność jej pracowników do korzystania z zewnętrznych urządzeń pamięci masowej może wiązać się z zagrożeniami bezpieczeństwa, takimi jak rozprzestrzenianie złośliwego oprogramowania lub przechwytywanie poufnych danych. Aby uniknąć tych zagrożeń, możesz przeczytać poniższe instrukcje, aby zablokować dostęp do urządzeń pamięci masowej USB wszystkim użytkownikom i komputerom w domenie lub tylko niektórym użytkownikom domeny przy użyciu zasad grupy
. ** Uwagi:
1.W tym poście, aby zablokować dyski USB za pomocą zasad grupy, użyliśmy kontrolera domeny Active Directory 2016 do stworzenia nowej polityki grupowej oraz stacji roboczych Windows 10 Pro i Windows 7 Pro, aby ją zastosować.
2. Zasada „Blokuj dostęp do USB” nie ma wpływu na administratorów domeny ani żadne inne podłączone urządzenie USB, takie jak klawiatury USB, mysz, drukarka itp.
3.Po zastosowaniu zasad grupy użytkownicy nie będą mieli dostępu do żadnego typu urządzenia pamięci masowej USB oraz otrzyma jeden z następujących komunikatów o błędach podczas próby uzyskania dostępu do urządzenia pamięci masowej USB na swoim PC.
Jak korzystać z zasad grupy, aby uniemożliwić dostęp do urządzeń pamięci masowej USB (Server 2012/2012R2/2016)
- Część 1. Blokuj dostęp USB do odczytu/zapisu dla wszystkich użytkowników domeny.
- Część 2. Blokuj dostęp USB do odczytu/zapisu dla niektórych użytkowników domeny.
Część 1. Jak zablokować dostęp do urządzeń pamięci masowej USB w całej domenie 2016.
Aby wyłączyć dostęp do dowolnego podłączonego urządzenia pamięci masowej USB do dowolnego komputera (użytkownika) w domenie:
1. W kontrolerze domeny AD Server 2016 otwórz Menedżer serwera a potem od Narzędzia menu, otwórz Zarządzanie polityką grupy. *
* Dodatkowo przejdź do Panel sterowania -> Narzędzia administracyjne -> Zarządzanie polityką grupy.
2. Pod Domeny, wybierz swoją domenę, a następnie kliknij prawym przyciskiem myszy w Domyślna polityka domeny i wybierz Edytować.
3. W „Edytorze zarządzania zasadami grupy” przejdź do:
- Konfiguracja użytkownika > Zasady > Szablony administracyjne > System > Dostęp do pamięci wymiennej
4. W prawym okienku kliknij dwukrotnie na: Dyski wymienne: Odmów dostępu do odczytu. *
* Uwagi:
1. Wiele samouczków w tym momencie sugeruje: Włączyć ten 'Wszystkie klasy pamięci wymiennych: Odmów wszelkiego dostępu” zasady, ale podczas naszych testów odkryliśmy, że ta zasada nie ma zastosowania (działa) w przypadku smartfonów lub tabletów.
2. Jeśli chcesz zablokować dostęp do zapisu USB, wybierz Dyski wymienne: Odmów dostępu do zapisu.
5. Sprawdzać Włączony i kliknij OK.
6. Blisko Edytor zasad grupy.
7. Uruchom ponownie serwer i komputery klienckie lub uruchom gpupdate / życie polecenie, aby zastosować nowe ustawienia zasad grupy (bez ponownego uruchamiania) zarówno na serwerze, jak i na klientach.
Część 2. Jak uniemożliwić dostęp do urządzeń pamięci masowej USB określonym użytkownikom domeny.
Aby wyłączyć dostęp do urządzeń pamięci masowej USB tylko określonym użytkownikom za pomocą zasad grupy, musisz utworzyć pogrupuj z użytkownikami, którzy nie chcą uzyskiwać dostępu do urządzeń pamięci masowej USB, a następnie zastosuj do nich nowe zasady Grupa. Aby to zrobić:
Krok 1. Utwórz grupę z wyłączonymi użytkownikami USB. *
* Notatka: Jeśli utworzyłeś już grupę z wyłączonymi użytkownikami USB, przejdź do krok 2.
1. otwarty Użytkownicy i komputery usługi Active Directory.
2. Kliknij prawym przyciskiem myszy „Użytkownicy" obiekt w lewym okienku i wybierz Nowy > Grupa
3. Wpisz nazwę nowej grupy (np. „USB Disabled Users”) i kliknij ok. *
* Notatka: Pozostaw zaznaczone opcje „Globalne” i „Zabezpieczenia”.
4. Otwórz nowo utworzoną grupę, wybierz Członkowie tab i kliknij Dodać
5. Teraz wybierz, w których użytkownikach domeny chcesz zablokować urządzenia pamięci masowej USB, a następnie kliknij OK.
6. Kliknij ok aby zamknąć właściwości grupy.
Krok 2. Utwórz nowy obiekt zasad grupy, aby wyłączyć urządzenia pamięci masowej USB.
1. Otworzyć Zarządzanie polityką grupy.
2. Pod obiektem „Domeny” kliknij swoją domenę prawym przyciskiem myszy i wybierz Utwórz obiekt zasad grupy w tej domenie i połącz go tutaj.
3. Wpisz nazwę nowego obiektu zasad grupy (np. „USB wyłączone”) i kliknij OK.
4. Kliknij prawym przyciskiem myszy nowy obiekt zasad grupy i kliknij Edytować.
5. W „Edytorze zarządzania zasadami grupy” przejdź do:
- Konfiguracja użytkownika > Zasady > Szablony administracyjne > System > Dostęp do pamięci wymiennej
4. W prawym okienku kliknij dwukrotnie na: Dyski wymienne: Odmów dostępu do odczytu. *
* Notatka:
1. Wiele samouczków w tym momencie sugeruje: Włączyć ten 'Wszystkie klasy pamięci wymiennych: Odmów wszelkiego dostępu” zasady, ale podczas naszych testów odkryliśmy, że ta zasada nie ma zastosowania (działa) w przypadku smartfonów lub tabletów.
2. Jeśli chcesz zablokować dostęp do zapisu USB, wybierz Dyski wymienne: Odmów dostępu do zapisu.
5. Sprawdzać Włączony i kliknij OK.
6. Blisko ten Edytor zarządzania zasadami grupy okno.
7. Wróć do „Zarządzanie zasadami grupy”, wybierz obiekt zasad grupy „Wyłączone USB” i na karcie „Zakres” kliknij Dodać przycisk (w ustawieniach „Filtrowanie bezpieczeństwa”).
8. Wpisz nazwę grupy „Wyłączeni użytkownicy USB” (np. „Wyłączeni użytkownicy USB” w tym poście) i kliknij ok.
9. Po zakończeniu wybierz Delegacja patka.
10. W zakładce „Delegacja”, wybierać ten Uwierzytelnieni użytkownicy i kliknij Zaawansowany.
11. W Opcje bezpieczeństwa, wybierać ten Uwierzytelnieni użytkownicy oraz odznacz ten Zastosuj zasady grupy pole wyboru. Po zakończeniu kliknij OK.
6. Blisko Edytor zasad grupy.
7. Uruchom ponownie serwer i komputery klienckie lub uruchom "gpupdate / życie" (jako administrator), aby zastosować nowe ustawienia zasad grupy (bez restartu) zarówno na serwerze, jak i na klientach.
Otóż to! Daj mi znać, czy ten przewodnik Ci pomógł, zostawiając komentarz na temat swojego doświadczenia. Polub i udostępnij ten przewodnik, aby pomóc innym.