So blockieren Sie USB-Speichergeräte in einer Domäne 2016/2012 mit Gruppenrichtlinien.

So blockieren Sie USB-Speichergeräte in einer Domäne 2016/2012 mit Gruppenrichtlinien.

Dieses Handbuch enthält Schritt-für-Schritt-Anleitungen zum Blockieren von USB-Speichergeräten in der gesamten Domäne oder bei bestimmten Domänenbenutzern mithilfe von Gruppenrichtlinien in einer AD-Domäne 2016 oder 2012. Genauer gesagt, nachdem Sie die Anweisungen in diesem Handbuch gelesen haben, erfahren Sie, wie um den Zugriff auf USB-Speichergeräte (Flash-Laufwerke, externe Festplatten, Smartphones, Tablets usw.) zu verhindern,die sich mit jedem Computer in der Domäne verbinden oder den Zugriff auf den USB-Speicher nur bestimmten Domänenbenutzern verweigern kann.

Heutzutage verwenden viele von uns ein USB-Speichergerät, um Daten zu übertragen. Für ein Unternehmen kann die Fähigkeit seiner Mitarbeiter, externe Speichergeräte zu verwenden, jedoch Sicherheitsrisiken bergen, z. B. die Verbreitung von Malware oder das Abfangen sensibler Daten. Um diese Risiken zu vermeiden, können Sie die folgenden Anweisungen lesen, um mithilfe von Gruppenrichtlinien den Zugriff auf USB-Speichergeräte für alle Benutzer und Computer in Ihrer Domäne oder nur für bestimmte Domänenbenutzer zu blockieren.*

* Anmerkungen:
ein. In diesem Beitrag, um USB-Laufwerke über Gruppenrichtlinien zu blockieren,Wir haben einen Active Directory 2016-Domänencontroller verwendet, um die neue Gruppenrichtlinie zu erstellen, und Windows 10 Pro- und Windows 7 Pro-Workstations, um sie anzuwenden.
zwei.Die Richtlinie „USB-Zugriff blockieren“ wirkt sich nicht auf die Domänenadministratoren oder andere angeschlossene USB-Geräte wie USB-Tastaturen, -Mäuse, -Drucker usw. aus.

3. Nach dem Anwenden der Gruppenrichtlinie haben die Benutzer keinen Zugriff auf irgendein USB-Speichergerät und erhalten eine der folgenden Fehlermeldungen, wenn sie versuchen, auf ein USB-Speichergerät auf ihrem PC zuzugreifen.



Bild

Verwendung von Gruppenrichtlinien zum Verhindern des Zugriffs auf USB-Speichergeräte (Server 2012/2012R2/2016)

Teil 1. So blockieren Sie den Zugriff auf USB-Speichergeräte in der gesamten Domain 2016.

So deaktivieren Sie den Zugriff auf alle angeschlossenen USB-Speichergeräte für alle Computer (Benutzer) in der Domäne:

ein. Öffnen Sie im Server 2016 AD-Domänencontroller die Server Administrator und dann ab Werkzeug Menü, öffnen Sie die Gruppenrichtlinienverwaltung. *

* Navigieren Sie zusätzlich zu Schalttafel -> Verwaltungswerkzeuge -> Gruppenrichtlinienverwaltung.

Gruppenrichtlinienverwaltung – Server 2016

zwei. Unter Domänen , wählen Sie Ihre Domain aus und dann Rechtsklick beim Standarddomänenrichtlinie und wähle Bearbeiten .

Bearbeiten Sie die Standarddomänenrichtlinie

3. Navigieren Sie im „Gruppenrichtlinienverwaltungs-Editor“ zu:

    Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > System > Zugriff auf Wechselmedien

Vier. Doppelklicken Sie im rechten Bereich auf: Wechseldatenträger: Lesezugriff verweigern. *

* Anmerkungen:
ein.Viele Tutorials schlagen an dieser Stelle vor Ermöglichen das ' Alle Wechselmedienklassen: Allen Zugriff verweigern Richtlinie, aber während unserer Tests haben wir festgestellt, dass diese Richtlinie nicht für Smartphones oder Tablets gilt (funktioniert).
zwei.Wenn Sie den USB-Schreibzugriff sperren möchten, wählen Sie die aus Wechseldatenträger: Schreibzugriff verweigern.

So blockieren Sie USB-Speichergeräte in einer Domäne mit Gruppenrichtlinien

5. Überprüfen Ermöglicht und klicken OK.

So blockieren Sie USB über Gruppenrichtlinien in Windows Server 2016

6. Schließen den Gruppenrichtlinien-Editor.
7. Neustart den Server und die Client-Rechner oder führen Sie die aus gpupdate /force Befehl, um die neuen Gruppenrichtlinieneinstellungen (ohne Neustart) auf Server und Clients anzuwenden.

Teil 2. So verhindern Sie den Zugriff auf USB-Speichergeräte für bestimmte Domänenbenutzer.

Um den Zugriff auf USB-Speichergeräte nur für bestimmte Benutzer mithilfe einer Gruppenrichtlinie zu deaktivieren, müssen Sie eine Gruppe mit Benutzern erstellen, die nicht auf USB-Speichergeräte zugreifen möchten, und dann die neue Richtlinie auf diese Gruppe anwenden. Das zu tun:

Schritt 1. Erstellen Sie eine Gruppe mit den deaktivierten USB-Benutzern. *

* Notiz:Wenn Sie bereits eine Gruppe mit deaktivierten USB-Benutzern erstellt haben, fahren Sie mit fort Schritt 2 .

ein. Offen Aktive Verzeichnisse Benutzer und Computer.
zwei.
Klicken Sie mit der rechten Maustaste auf das ' Benutzer ' Objekt im linken Bereich und wählen Sie Neu > Gruppe

Active Directory - Gruppe erstellen

3. Geben Sie einen Namen für die neue Gruppe ein (z. B. „USB Disabled Users“) und klicken Sie auf OK . *

* Notiz:Lassen Sie die Optionen „Global“ und „Sicherheit“ aktiviert.

Bild

Vier. Öffnen Sie die neu erstellte Gruppe, wählen Sie die aus Mitglieder Tab und klicken Hinzufügen

Bild

5. Wählen Sie nun aus, in welchen Domänenbenutzern Sie die USB-Speichergeräte sperren möchten, und klicken Sie dann auf OK.

Bild

6. Klicken OK um Gruppeneigenschaften zu schließen.

Bild

Schritt 2. Erstellen Sie ein neues Gruppenrichtlinienobjekt, um die USB-Speichergeräte zu deaktivieren.

ein. Öffne das Gruppenrichtlinienverwaltung.
zwei.
Klicken Sie unter dem Objekt „Domains“ mit der rechten Maustaste auf Ihre Domain und wählen Sie sie aus Erstellen Sie ein Gruppenrichtlinienobjekt in dieser Domäne und verlinken Sie es hier.

Bild

3. Geben Sie einen Namen für das neue GPO ein (z. B. „USB deaktiviert“) und klicken Sie auf OK.

Bild

Vier. Klicken Sie mit der rechten Maustaste auf neues Gruppenrichtlinienobjekt und klicken Sie darauf Bearbeiten.

Deaktivieren Sie den USB-Zugriff für bestimmte Benutzer über die Gruppenrichtlinie

5. Navigieren Sie im „Gruppenrichtlinienverwaltungs-Editor“ zu:

    Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > System > Zugriff auf Wechselmedien

Vier. Doppelklicken Sie im rechten Bereich auf: Wechseldatenträger: Lesezugriff verweigern. *

* Notiz:
ein.Viele Tutorials schlagen an dieser Stelle vor Ermöglichen das ' Alle Wechselmedienklassen: Allen Zugriff verweigern Richtlinie, aber während unserer Tests haben wir festgestellt, dass diese Richtlinie nicht für Smartphones oder Tablets gilt (funktioniert).
zwei.Wenn Sie den USB-Schreibzugriff sperren möchten, wählen Sie die aus Wechseldatenträger: Schreibzugriff verweigern.

Blockieren Sie den USB-Speicherzugriff für bestimmte Benutzer

5. Überprüfen Ermöglicht und klicken OK.

Wechseldatenträger - Zugriff verweigern

6. Schließen das Gruppenrichtlinienverwaltungs-Editor Fenster.

7. Kehren Sie zu „Gruppenrichtlinienverwaltung“ zurück, wählen Sie das Gruppenrichtlinienobjekt „USB deaktiviert“ und klicken Sie auf der Registerkarte „Bereich“ auf die Hinzufügen Schaltfläche (unter den Einstellungen „Sicherheitsfilterung“).

Blockieren Sie USB für bestimmte Benutzer in AD Server 2016

8. Geben Sie den Namen der Gruppe „USB-deaktivierte Benutzer“ ein (z. B. „USB-deaktivierte Benutzer“ in diesem Beitrag) und klicken Sie auf OK .

Bild

9. Wenn Sie fertig sind, wählen Sie die aus Delegation Tab.

Bild

10. Auf der Registerkarte „Delegation“ auswählen das Authentifizierte Benutzer und klicken Fortschrittlich.

Bild

elf . Unter Sicherheitsoptionen, auswählen das Authentifizierte Benutzer und deaktivieren das Gruppenrichtlinie anwenden Kontrollkästchen. Wenn Sie fertig sind, klicken Sie OK.

Bild

6. Schließen den Gruppenrichtlinien-Editor.
7. Neustart dem Server und den Client-Rechnern oder führen Sie das ' gpupdate /force ' Befehl (als Administrator), um die neuen Gruppenrichtlinieneinstellungen (ohne Neustart) sowohl auf Server als auch auf Clients anzuwenden.

Das ist es!

Wir stellen ein