Понимаю, что задачка уже не раз обсуждалась на различных форумах, но решения именно своей я так и не нашел.
ИТАК: Необходимо запретить копирование с USB-носителей для пользователей, НЕ входящих в группу Active Directory USB_Access. Соответственно для входящих - разрешить. Т.е. Запрет должен быть не на уровне конкретного компа, а на уровне группы AD.
P.S. Специализированный софт применять недопустимо. Сделать нужно на уровне Windows.
[Ответ]
][irurg 09:19 09.10.2009
Сообщение от Арх:
копирование
а читать, просматривать можно?
скорее всего решение будет заключатся в раздаче определенного ключа реестра, например напрочь запрещающее подключение юсб. либо автозагрузки/автоутсановки невыключаемого спецсофта блокирующего юсб, самописного например. можно тупо службу останавливать - так что и чтения не будет
[Ответ]
Part!zan 18:43 09.10.2009
Арх, у мелкософта на сайте есть статья, в которой описывается, как можно ограничить доступ к USB mass storage device-ам. Помнится, там несколько строк в реестре. Правда, если человек локальный админ, то я сомневаюсь, что ему что-то помешает снять любые запреты...
[Ответ]
gene 06:05 10.10.2009
Для доменов уровня 2003 и ниже сколь-нибудь эффективного управления доступом к USB использованием только средств ОС получить невозможно. Кроме флешек под одну гребенку пойдут принтеры и проч., да и снимается такое ограничение даже без админских прав. В этом случае надо использовать софт типа DeviceLock, ZLock и еще штук 20 подобных.
Большинство таких программ лицензируется не на количество установленных агентов, а на количество одновременно подключенных агентов к консолям управления (или управляющим серверам). Если не требуется массовое управление компами одновременно, не нужна статистика и централизованное хранение файлов теневого копирования, то можно купить 1 лицензию - это от 600 до 1500 р на год и рулить неограниченным количеством компов, формируя установочные пакеты для АД с типовыми настройками - всем нельзя, а этой группе можно, например. Вариации практически бесконечны и цена вопроса смешная.
В доменах 2008 этот вопрос уже полностью решается на уровне осей при условии, что клиентская ось - не ниже висты. Но управление этой штукой - сам по себе жутко тупой и геморройный процесс с очень недружественным набором правил и невыразительными отчетами.
Так что использование софта типа DeviceLock все равно предпочтительнее, к тому же он умеет очень эффективно фильтровать содержимое флешек и опознает более 20 типов USB-устройств.
[Ответ]