ajuda com script do netlogon

novonaarea · 2 de outubro de 2015

prezados boa tarde.

fui solicitado que bloqueasse as portas usb dos computadores numa rede.

esta empresa usa um servidor 2012 server e trabalha com ad.

os colaboradores não tem permissão de administrador local nas máquinas.

achei um script que resolvi jogar no netlogon, mas como precisa alterar o registro do windows,

o net logon retorna um erro de acesso negado.

rolando o script como administrador local, ele atualiza a chave no registro numa boa.

mas o problema é que eu não posso deixar isso por conta do usuário.

tentei adicionar na bat o comando de runas o net use... enfim, uma porrada de coisa e já não sei mais o que fazer.

Alguém pode me ajudar?

Douglas · 3 de outubro de 2015

Experimente aplicar uma GPO, ao invés de utilizar a modificação do Registry.

https://4sysops.com/archives/how-to-disable-usb-drive-use-in-an-active-directory-domain/

http://www.techrepublic.com/blog/the-enterprise-cloud/disable-removable-media-through-windows-server-2008s-group-policy-configuration/

novonaarea · 3 de outubro de 2015

douglas obrigado pela dica.

eu criei uma pasta oculta no servidor, com um script para desfazer essa opção.

o caminho da pasta oculta eu passaria para os líderes dos setores, caso alguem precisasse usar o pendrive.

pela gpo se tornaria meio trabalhoso em caso de uso desse pendrive, certo?

acha que existe outra saída?

obg

Douglas · 3 de outubro de 2015

Não, nem um pouco trabalhoso é até melhor, prático e seguro. Através do GPO você pode definir quais grupos e usuários podem ou não utilizar o USB, muito melhor do que pedir para usuário X executar o arquivo batch para permitir o uso.

novonaarea · 3 de outubro de 2015

visto que nao tenho outra saida, vou criar uma politica de segurança somente para os colaboradores. líderes e supervisores vou deixar liberado.

vamos ver o que o gerente da empresa acha disto.

Vou criar as políticas conforme este post, e vamos ver... posto o resultado no começo da semana. por hora muito obrigado Douglas!

Douglas · 3 de outubro de 2015

Essa é a melhor saída, usando o registry é muito arcaico, por GPO você permite/nega em poucos segundos, para qualquer grupo e usuário do domínio.

Leia este artigo;

https://www.petri.com/disable_usb_disks_with_gpo

Tem um arquivo .adm que já vem configurado é só importar e depois criar a GPO.

novonaarea · 3 de outubro de 2015

Douglas, o link para download está quebrado.

de qualquer maneira, fiz conforme você falou no link acima e já criei a gpo para bloquear os dispositivos em massa. Segunda feira fico aguardando o barulho hehehehe

Dei um gpresult e vi que algumas máquinas já estão usando a gpo. por enquanto o telefone não tocou.

Vamos ver como fica o cenário na segunda feira, e aí eu vejo se consigo encerrar o tópico.

mais uma vez, obrigado!

novonaarea · 5 de outubro de 2015

Douglas, boa tarde.

Criamos uma politica de segurança que todos os colaboradores terão que solicitar a seus lideres de setor quando necessário utilizar o pendrive. E esses lideres farão a copia dos arquivos.

Obrigado pela ajuda, abs!