Добавляем доменных пользователей в локальную группу безопасности, правила GPO

Локальные (или встроенные) группы безопасности создаются при установке операционной системы и служат для назначения пользователям прав доступа к различным ресурсам на отдельно взятом компьютере. Групп довольно много, но на практике  используются всего две:

• Пользователи  (Users) — могут запускать приложения и работать с ними, но не имеют прав на изменение параметров системы.
• Администраторы  (Administrators) — имеют полные и ничем не ограниченные права доступа к компьютеру.

В группу Администраторы входит встроенная учетная запись администратора, учетная запись под которой производилась установка системы и (если компьютер входит в домен) группа Администраторы домена (Domain Admins). Все остальные локальные и доменные пользователи по умолчанию помещаются в группу Пользователи  и не имеют административных полномочий на локальном компьютере.

Отключение USB накопителей в Windows XP

Отключение USB накопителей в Windows XP

Осталось совсем немного времени до окончания поддержки этой ОС, но все-таки...
Итак пользователь не должен иметь возможность читать, писать и видеть свой носитель в системе, впрочем как и сама система не должна этого делать. Не знаю, что и важнее. Не смотря на то, что где-то около года назад Microsoft выпустила заплатку, не дающую автозапуск  со съемных носителей, но кто бы ее еще ставил. В киосках быстрой печати фотографий о ней совсем не знают. Вот и ходят вирусы от флешки к флэшке. :-)



Что-то я отвлекся, вернусь к предмету.
Запрет использования разбивается на 2 части.
1. Изменение ключей реестра. (можно через групповые политики, шаблоном.)
2. Удаление прав доступа к файлам usbstor.inf и usbstor.pnf.

Второй пункт необходим для того, чтобы неизвестный ранее системе носитель волшебным образом не появлялся перед глазами пользователя. Это, мягко говоря, нелепо. Известные носители мы запрещаем к показу, а неизвестные пожалуйста. Пункт 2 обязателен для исполнения. Рецепт, между прочим, от Microsoft.