omezení funkce flash disku pod uživatelem s právy user
Dobrý den,
předem se omlouvám za poněkud zmatečný dotaz.
Před nějakou dobou jsem testoval na 2 PC (skleróza má za následek to, že už nevím, které to byly) chování XP Prof u uživatele s právy USER.
Fungovaly tak, že když uživatel vložil nový Flash disk, tak byl odmítnut a musel jsem Flash disk nejdříve vložit já s právy administrátora (možná stačil i power user, už si nevzpomínám), tím se Flash disk "přihlásil" do systému a pak byl přístupný dál i pro USER uživatele při přihlášení pod jeho účtem. Původní chování jsem bral jako logické a dál jsem už ho netestoval.
Bohužel teď jsem zjistil, že to je jinak. Momentálně u všech USER uživatelů vložím na tom počítači dosud nepoužitý Flash disk s FAT32 a bez problémů z něho čtu i na něj zapíšu. Nepotřebuji tedy předchozí přihlášení Flash disku adminem.
Teď nevím kde hledat problém. Napadají mě 3 důvody:
1) je to standardní chování XP Pro popřípadě změna po nějaké aktualizaci
2) bylo to nastavením v BIOS
3) nikdy tomu tak nebylo, to jen enterprise admin změnil GPO, kde to tak mohlo být dříve nastaveno
ad 1) divné, ale možné
ad 2) obcházet několik desítek PC a hledat, kde že to bylo beru až jako poslední možnost
ad 3) nepodařilo se mi v GPO najít místo, kde to změnit a přebít tak nastavení GPO enterprise adminem. Můžete mě prosím někdo nasměrovat, kde to v GPO hledat? Našel jsem pouze možnost vysunutí a formátování výmšnných médií, ale toto daný problém neřeší. Stejně tak instalace nepodepsaných ovladačů.
Zablokovat úplně USB porty, popřípadě je přelepit lepící páskou, za řešení nepovažuji.
Obdobný problém je s combo vypalovačkami. Chtěl bych povolit čtení, ale zakázat zápis. v GPO jsem ale našel pouze omezení možnosti přístupu k CD-ROM pro lokální uživatele. Já to ale potřebuji v doméně.
Myslím že se to dělá přes konzole:
ntmsmgr.msc
ntmsoprq.msc
Mrkni tam.
Bohužel bez úspěchu.
jak to blokovat nevím
jinak mám za to že to chování je náhodné, resp. některé flashky potřebují první přihlášení pod admošem, některé ne.
To je taky možné. Ověřoval jsem to tehdy na 1GB Kinkston. První připojenou pod adminem vzal a druhou stejného typu připojenou pod USER ne. Bylo potřeba se přihlásit pod adminem.
To, ze niektore USB idu a ine nie zavisi asi od toho, ake ovladace musi XP doinstalovat.
Myslim, ze priamo to neurobis, ale v
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer
NoDriveAutoRun - zakazujes/povolujes autorun
http://www.microsoft.com/technet/prodtechnol/window s2000serv/reskit/regentry/93506.mspx
NoDrives - zakazujes/povolujes pismeno zariadenia
http://www.microsoft.com/technet/prodtechnol/window s2000serv/reskit/regentry/58871.mspx
NoDriveTypeAutoRun - zakazujes/povolujes automaticke spustanie CD(DVD)a vymenitelnych jednotiek,... http://www.microsoft.com/technet/prodtechnol/window s2000serv/reskit/regentry/93502.mspx
S tym napalovanim je vacsi problem, nieco takto
Zákaz zápisu na USB
============================================== ====
Vo Windows XP s inštalovaným Service pack 2 je to možné urobiť zápisom do registrov. Nájdite v registroch vetvu:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Cont rol a v nej položku StorageDevicePolicies – ak neexistuje, vytvorte ju.
Vytvorte v nej novú DWORD položku s názvom WriteProtect a priraďte jej hodnotu 1 (decimálne). Spätne môžete v prípade potreby nastaviť WriteProtect na hodnotu 0 – na USB zariadenie bude možné zapisovať dáta.
"Znefunkcnenie" USB
============================================== ====
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Se rvices\UsbStor a jeho hodnotu zmeníte z pôvodnej 3 na 4
cez GP takto
Disable USB Storage Devices with Group Policy
http://www.windowsdevcenter.com/pub/a/windows/2005/ 11/15/disabling-usb-storage-with-group-policy.html
125
Ak mas napalovacku v pocitaci, mozes zakazat napalovanie (IMAPI CD-Burning) cez GP
konfigurace uzivatele/sablony pro spravu/soucasti systemu windows/pruzkumnik windows/Odebrat funkci zápisu na disk CD
Ak pouzivas napalovaci softver, musis ho odinstalovat a zakazat spustanie programov z USB, existuju portable verzie napalovacieho SW.
Díky.