XP: Jak zakázat flashdisk uživateli?

Pavle, to se zas trpaslíci proběhli - samosebou našli prd.
Ale ten první odkaz od Azora - to bylo přibližně to, co hledali.
Ale na tu změnu v registrech, jsem právě kdysi narazil - a fungovalo to.

Jasně, ono to funkční je. Jenže to umí akorát zakázat zápis na flashdisk, kdežto já potřebuju úplně ten flashdisk zakázat, aby se ani nenačetl. Ale jen pro omezenej uživatelskej účet.

Pavel

Kdysi jsem tu postoval návod, jak na počítači nepřipojeném do domény vyloučit skupinu Administrators z místních politik. Je to docela špinavý hack kdy se odebere na vybraných souborech /adresářích práva pro Administrators. Bohužel to nedovedu najít.

...kdy se odebere na vybraných souborech /adresářích práva pro Administrators.

Tak to je perfektní. Na mém administrátorském účtu to bude vlastně chránit mé soubory přede mnou samotným.

Jdu to hledat...

Hm, ale pokud je to složitý a náchylný, tak do toho bych se nepouštěl. Abych pak trávil týden tím, že se to budu snažit opravit, kdyby se něco podělalo.

Ale díky za pomoc.

Pavel

Není to moc složitý a vůbec ne náchylný, jen neortodoxní. Jde jen o to, že politiky jsou taky jen soubor(y): pokud se na něm odeberou práva pro čtení pro Administrators, nedovede si je systém při přihlášení přečíst, takže se neaplikují žádná omezení.

Mám řešení přímo od MS, pokud tedy PC není v doméně a jde o lokální účty. Je to docela jednoduchý:

To prevent users from connecting to USB storage devices, use one or more of the following procedures, as appropriate for your situation.

If a USB storage device is not already installed on the computer, assign the user or the group Deny permissions to the following files:%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf
%SystemRoot%\Inf\Usbstor.pnf
%SystemRoot%\Inf\Usbstor.inf
When you do this, users cannot install a USB storage device on the computer.

Více na http://support.microsoft.com/default.aspx?scid=kb; en-us;823732

Až to vyzkouším, dám vědět.

Pavel

Hm, jednoduchý to je, ale chová se podivně. Našel jsem jen soubor usbstor.inf (pnf chybí), nastavil pro uživatele system a omezenej účet Odepřít (všechno) a:

Přihlásím se jako omezenej, flashdisk to najde, odmítne ho instalovat, že nejsou oprávnění. Restartuju, přihlásím omezenýho a to samý.

Pak přihlásím admina, flashdisk se nainstaluje, dostanu se k obsahu. Odhlásím admina, přihlásím omezenýho a ať mě kopne hajtra z votočky - flashdisk je přístupnej.

Je toto možné? Má někdo logický vysvětlení?

Pavel

tymto si zabranil obmedzenemu uzivatelovi nainstalovat USB zariadenie, ak sa prihlasis ako admin, tak sa zariadenie nainstaluje a flashdisk uz bude pristupny
odinstaluj USB zariadenie napr. pomocou http://www.nirsoft.net/utils/usb_devices_view.html
potom zakaz pristup na dany subor aj skupine Administrators

nie je mozne selektovat pre ake skupiny uzivatelov sa USB zariadenie nainstaluje, jednoducho bud nainstalovane je alebo nie je

No jo, ale když zakážu přístup skupině Administrator, jak ho povolím admin účtu? Tuším, že takhle to nepůjde, ne?

Pavel

nie takto to nepojde, pretoze ak je zariadenie nainstalovane pod akymkolvek uctom, tak uz je funkcne, takymto sposobom mozes obmedzit len nainstalovanie zariadenia nie jeho funkcnost po nainstalovani

Tak na tom PC neinstaluj ziadne USB disky ani ty, alebo ich po sebe odinstaluj, a nemas problem.
Ono USB zariadenie sa instaluje osobitne pre kazdeho vyrobcu/typ disku, takze ked ty si nainstalujes svoj USB stick, tak userovi nepojde iny USB stick, musel by vediet ktory si tam uz ty nainstaloval a pouzit presne taky isty vyrobcu/typ.

nestudoval sem to poradne, ale neumi to Microsoft Windows Steady State?

Pozri PowerToys XP
http://www.microsoft.com/windowsxp/Downloads/power toys/Xppowertoys.mspx

Pomocou toho je mozne zakazat pismena zariadeni (cize bude povolene iba napr. A-disketa a C - disk).

Pozri

Spristupnenie/zablokovanie pismena zariadenia
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer

NoDriveAutoRun - zakazujes/povolujes autorun
http://www.microsoft.com/technet/prodtechnol/windo ws2000serv/reskit/regentry/93506.mspx

NoDrives - zakazujes/povolujes pismeno zariadenia
http://www.microsoft.com/technet/prodtechnol/windo ws2000serv/reskit/regentry/58871.mspx

NoDriveTypeAutoRun - zakazujes/povolujes automaticke spustanie CD(DVD)a vymenitelnych jednotiek,... http://www.microsoft.com/technet/prodtechnol/windo ws2000serv/reskit/regentry/93502.mspx

Poradie: Vzestupná hodnota jednotlivých diskových jednotek se počítá jako druhá mocnina pořadového čísla písmena dané jednotky, počínaje A = 0

k připojování usb krámů na vyhrazená písmena používám usb drive letter manager
je konfigurovatelný .ini souborem, který obsahuje zajímavou možnost "Letter=-", chce to vyzkoušet.
různým uživatelům by se mohly skriptem při startu [hcu\sw\...\rum] měnit tyto ini soubory.

tak to nechodí. teď jsem to zkusil otestovat - změnit .ini soubor, zastavit a rozběhnout sužbu usbdlm, a nefunguje to, klíček je detekován a dostane písmeno.
ale mám mírně starší verzi, na webu nabízí usbdlm už 4.2 s novým parametrem:

NoMediaNoLetter=0 -> no drive

Díky za pomoc, teď se tomu nemůžu věnovat, ale vedu to v patrnosti.

Pavel