Добрый день.
Возможно кто-то решал уже подобную задачу и сможет направить в нужную сторону.
Требуется - заблокировать возможность использования внешних носителей данных на доменных ПК для всех пользователей, кроме входящих в 2 группы безопасности AD (разрешение на чтение и на чтение-запись).
Пока в рамках эксперимента на флешках решил проблему приблизительно так:
1. В общих настройках офисного контроля включил пункт "Контролировать доступ к защищаемым объектам" и выбрал класс "дисковые устройства". Результат - флешки блочатся на всех машинах в группе.
2. В групповых настройках взвел галку "Предоставлять доступ только разрешенным устройствам" и добавил маску USBSTOR\*\*, для которой снял галки на чтение и запись в общих правах доступа, а в особых правах указал нужные группы с нужными правами.
Это вроде как решает нужную задачу, но заметил один странный эффект. При таких настройках доступ к устройствам класса USBSTOR\*\* идет запрет на доступ для пользователей "NT AUTHORITY\СИСТЕМА" и "NT AUTHORITY\NETWORK SERVICE", что вызывает определенные неудобства(например вставленная флешка не появляется автоматом в проводнике, надо нажать F5).
Собственно вопрос - в правильную ли сторону я пошел? Или надо использовать какой-то другой способ? Блокировка доступа для системных пользователей это нормально в данной ситуации?
Сообщение было изменено Strato: 20 Май 2024 - 16:12