Подскажите, пожалуйста, как в W2000/XP запретить работу по USB-порту с любыми устройствами, кроме мыши и сканера, *пользователю с правами ADVANCED USER.

К сожалению это не возможно с помощья политик...
Есть простой способ:
Запретить использование драйвера для устройств "Съёмный диск" (не помню как он называется :)) всего один файлик...

2 способа:
1. Запретить доступ определенным пользоваетлям к %windir%\system32\drivers\usbstor.sys
2. Не стартовать "Драйвер  запомнинающих устройств для USB" (он же и есть usbstor.sys)

По умолчанию он подключается автоматически при "втыкании" usb-флешки.

Поставил разрешения тольок администраторам, результат то же, переткнул флешку и диск нарисовался

Исправлено: Dennis, 13:34 3-11-2003

Добавлено:

Единственное что удалось, так запретить "Запоминающее устройство для USB"

Поставил разрешения тольок администраторам, результат то же, переткнул флешку и диск нарисовался
NTFS или FAT?
Попробуй пункт 2 из моего предыдущего поста.

NTFS или FAT?
Ntfs.
А пункт 2 прошел.

Dennis
А пункт 2 прошел.
И флэшки отвалились для всех? А про пункт 1, -  видимо, так и должно быть. Там ведь от имени system (по идее) должно стартовать...

Да, для всех. Что и требуется в моем случае.
А по п.1. :gigi: Удалил доступ ВСЕМ, ктроме админа (даже system), результат не изменился, как будто система плюет на права на уровне драйверов...

Dennis
будто система плюет на права на уровне драйверов...
.... Windows предмет темный, и потому изучению не подлежит :)

Тут пришла в голову мысль попробовать воспользоваться сценарием входа. Для пользователей, которым разрешена такая работа с USB - прописать копирование этого драйвера из специально созданного резервного каталога туда, где его потом ищет система, а для тех, кому подобная работа запрещена - прописать в сценарии удаление этого драйвера из системного каталога. Единственный минус - не знаю можно ли в вин2к прописывать сценарии для групп, а не для отдельных пользователей - я не нашел...:(

можно ли в вин2к прописывать сценарии для групп, а не для отдельных пользователей
Можно. Создай политику, пропиши её всему домену, убери у "Прошедших проверку" право применения этой политики, затем добавь в список доступа нужную группу (NB: глобальную) и дай ей право применять политику.

Raistlin
На сколько я понял (по крайней мере я писал именно об этом) речь шла о локальных политиках. Что на сервере можно процедуры для групп оформлять я в курсе (по крайней мере на вин2003). А здесь я поднял вопрос, справедливый для всех станций, в том числе и вообще не включенных в сеть.

речь шла о локальных политиках
Как-то не подумал об этом :). Зато подумал вот о чём: чтобы твои сценарии заработали, надо будет дать всём пользователям право записи в %SystemRoot% -- ведь сценарии, насколько я знаю, исполняются от имени пользователей. Т. е. дыра в системе безопасности гарантирована.

ведь сценарии, насколько я знаю, исполняются от имени пользователей.
нихт..
если указать сценарий на запуск компьютера - то они будут выполняться от имени localSystem.

SkyF
нихт..
если указать сценарий на запуск компьютера - то они будут выполняться от имени localSystem.
Даже если этот сценарий запускается из сценария входа конкретного пользователя (интересно, а это хоть возможно...)?

Даже если этот сценарий запускается из сценария входа конкретного
при чем здесь этот сценарий?
я указывал на сценарий "автозагрузки" компьютера в групповой политике домена, а не на атрибут учетной записи "сценарий входа". в этом сценарии, конечно все от имени пользователя делается..

если указать сценарий на запуск компьютера
Речь-то шла о сценариях для пользователей:
Для пользователей, которым разрешена такая работа с USB - прописать копирование этого драйвера

Greyman
Тут пришла в голову мысль попробовать воспользоваться сценарием входа. Для пользователей, которым разрешена такая работа с USB - прописать копирование этого драйвера из специально созданного резервного каталога

насколько я понял вот это исходная фраза.
тут имеется ввиду вообще возможность замены драйверов - для одних пользователей и копирование для других.

как именно это делать - это вторично..
просто автор не акцентировал на этом внимание. С моей точки зрения, если заменить "сценарием входа" (logon) на сценарий автозагрузки (start), то предложение будет законченным и верным.
ИМХО. =)

Другое дело, что етсь желание прописывать всеэто именно сценариями входа - тогда действительно, для этого учетные записи должны иметь право доступа к замене системных файлов - те членами локальной группы администраторов.
что явно пойдет на вред безопасности домена. С этим согласен.

достигнули консенсуса? =)

Тут кстати наткнулся на одну вестч, дык может она подойдет:

* * * * * * * * *DeviceLock 5.6
* * * * * * * * *Мощное средство контроля доступа к сменным носителям в системах, работающих под управлением Windows 2000/NT. DeviceLock позволяет назначать права доступа для пользователей и групп пользователей. Дает возможность контролировать дисководы, CD-ROM, принтерные и модемные порты, ZIP’ы, JAZZ’ы, магнитооптику и любые другие устройства, несмотря на установленную на них файловую систему! Поддерживаются все виды файловых систем — FAT, NTFS (версии 4 и 5), CDFS и т.п. DeviceLock имеет систему удаленного управления, что дает возможность администратору сети управлять всеми функциями, не покидая своего рабочего места. Клиент для удаленного администрирования может работать как под Windows 2000/NT, так и под Windows 95/98 и Windows Me

http://www.securitylab.ru/tools/29777.html