omezení funkce flash disku pod uživatelem s právy user
Dobrý den,
předem se omlouvám za poněkud zmatečný dotaz.
Před nějakou dobou jsem testoval na 2 PC (skleróza má za následek to, že už nevím, které to byly) chování XP Prof u uživatele s právy USER.
Fungovaly tak, že když uživatel vložil nový Flash disk, tak byl odmítnut a musel jsem Flash disk nejdříve vložit já s právy administrátora (možná stačil i power user, už si nevzpomínám), tím se Flash disk "přihlásil" do systému a pak byl přístupný dál i pro USER uživatele při přihlášení pod jeho účtem. Původní chování jsem bral jako logické a dál jsem už ho netestoval.
Bohužel teď jsem zjistil, že to je jinak. Momentálně u všech USER uživatelů vložím na tom počítači dosud nepoužitý Flash disk s FAT32 a bez problémů z něho čtu i na něj zapíšu. Nepotřebuji tedy předchozí přihlášení Flash disku adminem.
Teď nevím kde hledat problém. Napadají mě 3 důvody:
1) je to standardní chování XP Pro popřípadě změna po nějaké aktualizaci
2) bylo to nastavením v BIOS
3) nikdy tomu tak nebylo, to jen enterprise admin změnil GPO, kde to tak mohlo být dříve nastaveno
ad 1) divné, ale možné
ad 2) obcházet několik desítek PC a hledat, kde že to bylo beru až jako poslední možnost
ad 3) nepodařilo se mi v GPO najít místo, kde to změnit a přebít tak nastavení GPO enterprise adminem. Můžete mě prosím někdo nasměrovat, kde to v GPO hledat? Našel jsem pouze možnost vysunutí a formátování výmšnných médií, ale toto daný problém neřeší. Stejně tak instalace nepodepsaných ovladačů.
Zablokovat úplně USB porty, popřípadě je přelepit lepící páskou, za řešení nepovažuji.
Obdobný problém je s combo vypalovačkami. Chtěl bych povolit čtení, ale zakázat zápis. v GPO jsem ale našel pouze omezení možnosti přístupu k CD-ROM pro lokální uživatele. Já to ale potřebuji v doméně.
To, ze niektore USB idu a ine nie zavisi asi od toho, ake ovladace musi XP doinstalovat.
Myslim, ze priamo to neurobis, ale v
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer
NoDriveAutoRun - zakazujes/povolujes autorun
http://www.microsoft.com/technet/prodtechnol/window s2000serv/reskit/regentry/93506.mspx
NoDrives - zakazujes/povolujes pismeno zariadenia
http://www.microsoft.com/technet/prodtechnol/window s2000serv/reskit/regentry/58871.mspx
NoDriveTypeAutoRun - zakazujes/povolujes automaticke spustanie CD(DVD)a vymenitelnych jednotiek,... http://www.microsoft.com/technet/prodtechnol/window s2000serv/reskit/regentry/93502.mspx
S tym napalovanim je vacsi problem, nieco takto
Zákaz zápisu na USB
============================================== ====
Vo Windows XP s inštalovaným Service pack 2 je to možné urobiť zápisom do registrov. Nájdite v registroch vetvu:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Cont rol a v nej položku StorageDevicePolicies – ak neexistuje, vytvorte ju.
Vytvorte v nej novú DWORD položku s názvom WriteProtect a priraďte jej hodnotu 1 (decimálne). Spätne môžete v prípade potreby nastaviť WriteProtect na hodnotu 0 – na USB zariadenie bude možné zapisovať dáta.
"Znefunkcnenie" USB
============================================== ====
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Se rvices\UsbStor a jeho hodnotu zmeníte z pôvodnej 3 na 4
cez GP takto
Disable USB Storage Devices with Group Policy
http://www.windowsdevcenter.com/pub/a/windows/2005/ 11/15/disabling-usb-storage-with-group-policy.html
125
Ak mas napalovacku v pocitaci, mozes zakazat napalovanie (IMAPI CD-Burning) cez GP
konfigurace uzivatele/sablony pro spravu/soucasti systemu windows/pruzkumnik windows/Odebrat funkci zápisu na disk CD
Ak pouzivas napalovaci softver, musis ho odinstalovat a zakazat spustanie programov z USB, existuju portable verzie napalovacieho SW.
Díky.