Просмотр темы - Ограничение доступа к CD

[Manyak Профиль]

Есть ли возможность ограничить достпу пользователей к CD, сеть домен W2K

[domovoy]

Смотри в сторону политик.
То есть там есть такой пункт ;-)

[Manyak Профиль]

Да уже все политки просмотрел, есть пункт ограничения доступа к дискам по букве, т.е. флопы то я закрыл, а CD как букву отследить, или я что то недоглядел в политиках?

[domovoy]

Смотри внимательнее есть политика "разрешения доступа к Компакт дискам", так она и называется.

[Manyak Профиль]

Блин уже все пересмотрел, есть только "Разрешить доступ к дисководам компакт-дисков только локальным пользователем" так мне надо чтоб не локальные ни какие доступа не имели, или это опять перевод косячный и это то что надо?

[demon-tt Профиль]

[demon-tt Профиль]

Manyak
Подскажи как ограничить доступ

[Manyak Профиль]

Я сам не нашел политику чтоб ограничить доступ к CD

[SoccerMan Профиль]

Manyak

Используй софт:
GFI LANguard Portable Storage Control или DeviceLock

[_nomad Профиль]

источник http://www.securitylab.ru/

Простейший способ провести операцию отключения устройства – воспользоваться утилитой Device Manager. Зайдите в систему от учетной записи с административными привилегиями, выполните команду devmgmt.msc, нажмите правой кнопкой на устройстве (например, приводе CD-ROM) и выберете пункт Disable в контекстном меню. В появившемся диалоговом окне нажмите кнопку Yes, после чего запустите «Проводник». О, чудо! Привод CD-ROM исчез из доступных устройств. Причем пользователи со стандартным уровнем привилегий не будут иметь возможности его подключить, хотя вполне сумеют воспользоваться кнопкой Play на передней панели устройства для прослушивания аудио дисков.

Однако вручную отключать устройства с помощью графического интерфейса на всех компьютерах в сети не очень удобно. Можно конечно написать собственную утилиту, выполняющую эти действия, но это слишком сложный путь. Гораздо легче воспользоваться готовой утилитой devcfg, описанной в Q311272 и доступной для загрузки на сервере Microsoft.

Эта утилита представляет собой полнофункциональный аналог Device Manager, позволяющий манипулировать устройствами (т.е. их драйверами) из командной строки.

Нас в принципе интересуют три опции этой утилиты:

- найти устройство (devcfg.exe find *CDROM*);

- отключить устройство (devcfg.exe disable *CDROM*);

- подключить устройство (devcfg.exe enable *CDROM*).

Пытливому читателю, интересующемуся тем, «где лежат» драйверы я посоветую посетить ключи реестра HKLM\SYSTEM\CurrentControlSet\Control\Class и HKLM \SYSTEM\CurrentControlSet\Control\DeviceClasses.

Для автоматизации процесса подключения/отключения устройств можно воспользоваться групповыми политиками и сценариями загрузки и входа в систему.

В сценариях загрузки компьютера того организационного подразделения, на компьютерах которого мы собираемся отключать устройства, прописываются команды отключения «ненужных» устройств:

devcfg.exe disable *CDROM*

devcfg.exe disable *floppy* … и так далее.

Сценарии входа в систему пользователей, наоборот, включают устройства:

devcfg.exe enable *CDROM*

devcfg.exe enable *floppy*

Ну и последний штрих – сценарии выхода из системы, в которых устройства снова отключаются.

Сценарии загрузки Windows (Startup Scripts) обрабатываются в контексте безопасности учетной записи компьютера (т.е. Local System) и имеют возможность модифицировать параметры любых устройств. Сценарии входа в систему (Logon Scripts) работают с привилегиями учетной записи текущего пользователя и соответственно, устройства будут подключены, если пользователь имеет на это должные права. По умолчанию они присутствуют у членов группы Administrators.

Сценарии выхода из системы (Logoff Scripts) используются для того, что бы защититься от ситуаций, когда администратор забывает перезагрузить компьютер после выполнения своих задач. Эти сценарии выполняются при завершении сеанса пользователя и отключают все устройства, которые он мог включить.