Групповые политики/Политики доступа к съемным носителям
Эта групповая политика позволяет централизованно для компьютеров или пользователей настраивать доступ к съемным запоминающим устройствам (CD, DVD, USB и др.).
Настройка политики
На рабочей станции
Шаг 1. На машине с установленными ADMC и GPUI получить ключ Kerberos для администратора домена.
Шаг 2. В ADMC создать новый объект групповой политики (GPO) и связать его с OU, в который входят машины или учётные записи пользователей.
Шаг 3. Запустить GPUI:
- из модуля удаленного управления базой данных конфигурации (ADMC), выбрав в контекстном меню объекта групповой политики пункт «Изменить…»:
- или с указанием каталога групповой политики:
$ gpui-main -p "smb://dc1.test.alt/SysVol/test.alt/Policies/{50A474C5-8097-4EBF-A503-0DAB29176FC6}"- где dc1.test.alt — имя контроллера домена, а {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXX} — GUID шаблона групповой политики для редактирования.
Откроется окно редактирования групповых политик.
Шаг 4. Перейти в «Компьютер»/«Пользователь» -> «Административные шаблоны» -> «Система -> «Доступ к съемным запоминающим устройствам»:
Шаг 5. Щёлкнуть левой кнопкой мыши на политике «Съемные запоминающие устройства всех классов: Запретить любой доступ», откроется диалоговое окно настройки политики. Можно не задавать настройку политики, включить или отключить:
Для включения запрета на доступ следует выбрать параметр «Включено», для отключения — «Отключено» или «Не сконфигурировано».
На машине Windows
Шаг 1. На машине с установленным RSAT открыть консоль «Управление групповыми политиками» (gpmc.msc).
Шаг 2. Создать новый объект групповой политики (GPO) и связать его с OU, в который входят машины или учётные записи пользователей.
Шаг 3. В контекстном меню GPO выбрать пункт «Редактировать». Откроется редактор GPO.
Шаг 4. Перейти в «Конфигурация компьютера»/«Конфигурация пользователя» -> «Политики» -> «Административные шаблоны» -> «Система» -> «Доступ к съемным запоминающим устройствам». В правом окне редактора отобразится список политик:
Шаг 5. Дважды щелкнуть на политике «Съемные запоминающие устройства всех классов: Запретить любой доступ», откроется диалоговое окно настройки политики:
Для включения запрета на доступ следует выбрать параметр «Включить», для отключения — «Отключить» или «Не задано».
Файлы настроек политики
Все настройки политики хранятся в:
- {GUID GPT}/Machine/Registry.pol
- {GUID GPT}/User/Registry.pol
Пример Registry.pol:
PReg[Software\Policies\Microsoft\Windows\RemovableStorageDevices;Deny_All;;;]
Реализация
Политика полного запрета на доступ к съемным носителям реализована через правила в Polkit (/etc/polkit-1/rules.d/).
Для машинной политики создается файл правил 49-gpoa_disk_permissions.rules, для пользовательской политики — 48-gpoa_disk_permissions_user.<USERNAME>.rules. Правила для пользовательской политики обрабатываются до правил для машинной политики.