Khóa ổ đĩa USB theo User

[bichhien]

Xin các thầy cho Em hỏi?
Làm cách nào để khóa USB theo User khi đăng nhập vào Domain, Em thấy một số Cty khóa theo User rất là hay. chẳng hạn trên PC1 khi User U1 Logon vào thì cắm USB vào sẽ không sử dụng được, nhưng user U2 Logon vào PC1 thì sẽ cho sử dụng USB (đại loại là U2 được phân quyền cho sử dụng USB). Vì trên thực tế 1 máy tính có thể cho nhiều User sử dụng .
Thanks

[Tony_nguyen19]

Trích:

Nguyên văn bởi bichhien

Xin các thầy cho Em hỏi?
Làm cách nào để khóa USB theo User khi đăng nhập vào Domain, Em thấy một số Cty khóa theo User rất là hay. chẳng hạn trên PC1 khi User U1 Logon vào thì cắm USB vào sẽ không sử dụng được, nhưng user U2 Logon vào PC1 thì sẽ cho sử dụng USB (đại loại là U2 được phân quyền cho sử dụng USB). Vì trên thực tế 1 máy tính có thể cho nhiều User sử dụng .
Thanks

cái này bạn tạo GPO cấm USB + dùng WMI Filter nữa là OK

[joinNhatNghe]

Trích:

Nguyên văn bởi Tony_nguyen19

cái này bạn tạo GPO cấm USB + dùng WMI Filter nữa là OK

Cái này hay thật. Tony_nguyen19 hdẫn sd WMI filter luôn đi.

[bichhien]

Tony_nguyen19 làm ơn nói rõ luôn được kg?
Thanks

[snooppro]

theo mình bạn vào ou gán delegate cho 1 ou hoặc user cấm usb

[joinNhatNghe]

Mình tạo GPO: "Cấm Control Panel" trên OU Test (với 2 user: u1,u2)
Mình tạo 1 WMI filter cho user u1 với query như sau

SELECT * FROM Win32_UserAccount WHERE Name = "u1"

Nhưng chẳng ép-phê gì cả.

Vơi query cho computer thì chạy tốt.

Cho mình ý kiến nhé. Thanks

[Tony_nguyen19]

1/ Mở Nodepad, copy đoạn text dưới đây và Save as dạng disableusb.adm file:

Trích:

CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED


VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY

[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
labeltextusb="Disable USB Ports"
Enabled="Enabled"
Disabled="Disabled"

2/ Tạo OU, right click Properties, chọn Group Policy.
3/ Tạo Group Policy: New, đặt tên “disable usb”Sau đó, chọn Edit.
4/ Trong Group Policy Object Editor, chọn Computer Configuration -> Administrative Templates. Right click Add/Remove Templates, chọn Add và Browse đến file disableusb.adm và Close.
5/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings và right click View chọn Filtering, bỏ check box Only show policy settings that can be fully managed.
6/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings -> Restrict Drivers, double click Disable USB,chọn Disable ->OK
7/ Theo đường dẫn sau:
Computer Config \ Admin Template \ system \ Group Policy \ “User Group Policy loopback processing mode” => Enable nó lên và chọn Mode là Merge
8/ Properties cái GPO “disable usb” lên -> qua tab WMI Filter -> check vào This Filter và click vào nút Browse \ Manage -> Click nút advange -> New -> đặt tên cho WMI filter -> paste cái này vào ô queries:

Trích:

SELECT * FROM Win32_ComputerSystem WHERE Name = "pc01" or Name = "pc03"

=> Save
9/ muốn u1 không bị disable usb thì deny quyền read + apply của u1 trên GPO đó đi là xong.
10/Move các Computers muốn disable USB vào OU. (pc01 + pc03)
11/Start ->Run: gpupdate /force
=> Test

Ngoài ra bạn có thể sử dụng soft để remote disable usb đi, nếu trúng máy sếp mà sếp ko sử dụng dc usb thì sếp la lên -> mình open lại
Thà disable nhầm còn hơn bỏ sót

Bổ sung thêm là bạn có thể dùng script để disable usb đi:

Trích:

Const HKEY_LOCAL_MACHINE = &H80000002

strComputer = "."

Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\ " & _
strComputer & "\root\default:StdRegProv")

strKeyPath = "SYSTEM\CurrentControlSet\Services\USBSTOR"
strValueName = "Start"
dwValue = 4
oReg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue

Have nice weeken.

[joinNhatNghe]

Trích:

Nguyên văn bởi Tony_nguyen19

1/ Mở Nodepad, copy đoạn text dưới đây và Save as dạng disableusb.adm file:

2/ Tạo OU, right click Properties, chọn Group Policy.
3/ Tạo Group Policy: New, đặt tên “disable usb”Sau đó, chọn Edit.
4/ Trong Group Policy Object Editor, chọn Computer Configuration -> Administrative Templates. Right click Add/Remove Templates, chọn Add và Browse đến file disableusb.adm và Close.
5/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings và right click View chọn Filtering, bỏ check box Only show policy settings that can be fully managed.
6/ Tại Group Policy Object Editor -> Administrative Templates, chọn Custom Policy Settings -> Restrict Drivers, double click Disable USB,chọn Disable ->OK
7/ Theo đường dẫn sau:
Computer Config \ Admin Template \ system \ Group Policy \ “User Group Policy loopback processing mode” => Enable nó lên và chọn Mode là Merge
8/ Properties cái GPO “disable usb” lên -> qua tab WMI Filter -> check vào This Filter và click vào nút Browse \ Manage -> Click nút advange -> New -> đặt tên cho WMI filter -> paste cái này vào ô queries:

=> Save
9/ muốn u1 không bị disable usb thì deny quyền read + apply của u1 trên GPO đó đi là xong.
10/Move các Computers muốn disable USB vào OU. (pc01 + pc03)
11/Start ->Run: gpupdate /force
=> Test

Ngoài ra bạn có thể sử dụng soft để remote disable usb đi, nếu trúng máy sếp mà sếp ko sử dụng dc usb thì sếp la lên -> mình open lại
Thà disable nhầm còn hơn bỏ sót

Bổ sung thêm là bạn có thể dùng script để disable usb đi:

Have nice weeken.

Cám ơn Tony_nguyen19.
Nhưng cho mình hỏi có thể tác động tới user đ.c không ? (cái này tác động đối với computer name).
Mình test trên user ko thấy hiệu lực.

[Tony_nguyen19]

change cái Computer Config \ Admin Template thành User Config \ Admin Template nếu mún user nào ko bị apply this GPO thì deny quyền read của nó đi.
mình thấy dùng script hay hơn đó, bỏ vào logon script chạy ầm ầm khỏi phải áp nhìu GPO cho user quá sợ lại conflict GPO ...

[joinNhatNghe]

Trích:

Nguyên văn bởi Tony_nguyen19

change cái Computer Config \ Admin Template thành User Config \ Admin Template nếu mún user nào ko bị apply this GPO thì deny quyền read của nó đi.
mình thấy dùng script hay hơn đó, bỏ vào logon script chạy ầm ầm khỏi phải áp nhìu GPO cho user quá sợ lại conflict GPO ...

Ok, thank you. Mình cũng khoái dùng script hơn.
Have a nice day !!