CDRom und Disk Laufw. sperren

schmacko · 21.04.2004

hallo zusammen,

unsere sicherheit kam auf die gloreiche idee in der gesamten domäne die disketten und cdrom laufwerke zu sperren.

über gpo computerkonfiguration kann ich zwar die beiden punkte auswählen, so dass die user die laufwerke nur als lokal angemeldete user nutzen können.

problem ist nur, das dies nicht ausreichend ist, und zum anderen die richtlinie auch überhaupt nicht übernommen wird!

kennt jemand das problem?

w2k server
w2k clients

danke für eure antworten

Joshua · 21.04.2004

schmacko schrieb:
....problem ist nur, das dies nicht ausreichend ist, und zum anderen die richtlinie auch überhaupt nicht übernommen wird!....

Warum ist das nicht ausreichend - wofür habt ihr ne Domäne, wenn die User sich lokal anmelden dürfen/lokale Konten angelegt sind ?!?

Was das Nicht-Übernehmen betrifft:
Wo im AD hast du denn die GPO erstellt ?!?

Cheers,
Joshua

schmacko · 22.04.2004

Wo im AD hast du denn die GPO erstellt ?!?

@joshua

danke für deine antwort, problem ist, dass ich keinen 2000er lehrgang hab, nur nt 4.0, naja und daraus resultiert, dass ich nicht ganz so fit bin. was meinst du mit AD?

willst du eigentlich mit deiner antwort sagen, dass sich bei euch die user überhaupt nicht lokal anmelden können? was wenn der server mal nicht da ist?

schmacko

Joshua · 22.04.2004

schmacko schrieb:
.....was meinst du mit AD?.....

AD => Active Directory
So heisst die Domäne eben ab W2k.....
Schildere mal en Detail, wie du vorgegangen bist, um eine Gruppenrichtlinie zu implementieren.

willst du eigentlich mit deiner antwort sagen, dass sich bei euch die user überhaupt nicht lokal anmelden können? was wenn der server mal nicht da ist?

Genau das wollte ich damit sagen: Bei uns gibt es keine lokalen User-Konten, nur das Administrator-Konto, das beim Installieren des BS eingerichtet wird.
Server mal nicht da gibt es einfach nicht, dafür hat man mind. einen weiteren DC, der dann da ist, wenn der erste/andere ausfällt.....

Cheers,
Joshua

schmacko · 22.04.2004

@joshua

gpo default domain policy>computerconfiguration>windows einstellungen>sicherheitseinstellungen>lokale richtlinien>sicherheitsoptionen und dann dort ziemlich unten die einträge cdrom und disk laufw nur für lokal zulassen. aber es wird halt nicht übernommen.

übrigens hab ich dich falsch verstanden, lokale anmeldung gibt es bei uns auch nicht, und auch mit dem server hast du natürlich recht, sorry for that :-[

aber warum wird die gruppenrichtlinie nicht übernommen?

danke schmacko

Joshua · 22.04.2004

schmacko schrieb:
gpo default domain policy>computerconfiguration>windows einstellungen>sicherheitseinstellungen>lokale richtlinien>sicherheitsoptionen und dann dort ziemlich unten die einträge cdrom und disk laufw nur für lokal zulassen. aber es wird halt nicht übernommen.

Ok, das Ändern der Default Domain Policy ist zwar strategisch etwas ungeschickt, funktionieren muss es dennoch.

...lokale anmeldung gibt es bei uns auch nicht...

Beruhigt mich ein bisschen ;-)

aber warum wird die gruppenrichtlinie nicht übernommen?

Wo hast du deine User erstellt, im vorgegeben Container Users oder in einer eigenen OU ?!?
Ist evtl. die Richtlinienvererbung deaktiviert ?!?

Lade dir mal die GPMC von Microsoft herunter, damit kannst du recht einfach nachverfolgen, warum welche Richtlinie nicht übernommen wurde.

Cheers,
Joshua

schmacko · 23.04.2004

@joshua

danke für deine antwort, hab es runter geladen, aber leider funzt es nicht (hab ja wie gesagt nur windows 2000 server)

:-(

schmacko

Joshua · 23.04.2004

schmacko schrieb:
@joshua

danke für deine antwort, hab es runter geladen, aber leider funzt es nicht (hab ja wie gesagt nur windows 2000 server)

:-(

schmacko

Ich Trottel ich..... wer lesen kann ist klar im Vorteil ;-)
Sorry, mein Fehler.
Dann hilft nur Eventlogs wälzen oder mal hier vorbeischauen: www.grurili.de

Chers,
Joshua

yippy · 29.04.2004

Hi,

über die GPO's läßt sich dies nur beschränkt durchführen! Letztlich hat der User mit entsprechenden bootbaren Medien immer Zugriff auf die LW's. Einzig die Deaktivierung im BIOS führt hier zum Erfolg. Klar ist das Rennerei und bei mehreren Standorten nicht an einem Tag zu regeln... ;-) Das BIOS per Password sperren nicht vergessen. Weshalb baust Du die LW's nicht einfach aus bzw. bestellst die neuen Clients nicht mit bootfähigen NIC's? Das spart Kosten u. Rennerei...

Floppys u. CD-Rom's wird es bald in gr. Domänen clientseitig eh nicht mehr geben.

Gruß, Frank

Joshua · 30.04.2004

@yippy:
Guter Einwurf eigentlich ;-)

Ich sehe das allerdings ein wenig differenzierter - klar kann der User bei De-Aktivierung via GPO lokal von einem boot-fähigem Medium starten, aber er kann dann halt auch nur lokal Schaden anrichten, da ja kein Zugriff auf die Domäne besteht. Und ehrlich gesagt, wenn ein User seinen Arbeitsplatzrechner plättet und das trotz anderslautender Klauseln im Arbeitsvertrag, darf er das Neu-Aufsetzen bezahlen und bekommt ne Abmahung......

Das De-Aktivieren der Geräte im BIOS/der Ausbau der Geräte wäre mir etwas zu endgültig - es gab und gibt immer wieder Situationen, in denen vor allem das CD-ROM benötigt wird.

Cheers,
Joshua

yippy · 30.04.2004

Joshua,

woher weißt Du, daß der User sich selbst seinen Client zerstört? Auch dies ist eine interessante These... Ich habe die Schädiger bislang viel differenzierter kennengelernt.

Und lokal Schaden anrichten, was glaubst Du, was ich in Eurer Domäne alles für Schaden anrichten könnte - nicht nur lokal. Sei froh mich nicht zum Feind zu haben... ;-)

Wenn Du CD-LW's brauchst, dann kaufe ein Externes, das läuft fast überall.

Schönes Wochenende

Frank

CDRom und Disk Laufw. sperren

schmacko

Joshua

schmacko

Joshua

schmacko

Joshua

schmacko

Joshua

yippy

Joshua

yippy

CDRom und Disk Laufw. sperren

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums