Распределение доступа к USB и CD....

[Антон Фридрих]

Всем доброго системного времени.
Прошу обсудить одну задачу, итак условия.....
OES SLES 9 + ZEN 7 + eDir 8.8 рабочие станции Win XP + Novell Client4.91

Необходимо: централизованно на основе eDir/LDAP раздать права на доступ к внешним устройствам (USB, CD, Firewire....)

Большинство решений предлагается на основе AD, и к сожалению ни одного решения под заявленные условия. Коментарии приветствуются, особенно интересует мнение админов закрытых предприятий, как боретесь?

[Андрей Тр. aka RH]

А чего там такое есть в AD что позволяет блокировать доступ к USB ? Наверняка, все же делается через групповые политики - так оно не зависит от службы каталогов, их можно раздать и через Зен. Мы в своих вроде запрещали пользование USB ( про FW и пр. не скажу, т.к. не было необходимости ). Надо только знать, где какие настройки править.

ИМХО, чтобы реально с этим бороться, стоит просто поотключать соответствующие девайсы на компах, где они не нужны ( кабели либо в БИОСе ) - это в дополнение к ГП.

[Антон Фридрих]

......про отключение девайсов эт понятно, про закрытие девайсов в реестре тоже, про групповые политики не знаю, надо подумать....
вопрос в ином, скажем пользователь принадлежит группе которой разрешена запись на USB он может писать на USB на любом компе, а другой пользователь вне той группы не может....

Для AD есть решения вроде ZLock и DeviceLock для eDir пока ничего, пробую подсунуть DeviceLockу пользователей через LDAP пока тщетно...

[Андрей Тр. aka RH]

.вопрос в ином, скажем пользователь принадлежит группе которой разрешена запись на USB он может писать на USB на любом компе, а другой пользователь вне той группы не может....

Можно через Зен назначать пользователям членство в локальных группах - которым каким-то другим способом раздавать нужные привилегии ( уже не через Зен ). У нас, например, таким образом пользователи DLU становятся членами той или иной группы, для которой на образе рабочей станции назначены те или иные права на NTFS.

Вообще, ИМХО раздача прав на какие-то локальные устройства ( типа писать / не писать на USB ) имеет малое отношение к службе каталогов ( и тем более LDAP ). Конечно, можно замастырить какую-то прогу, которая будет крутиться на клиенте и тягать из каталога ( может, даже по LDAP - расширяем схему и вперед ) права на тот или иной ресурс. Но я сомневаюсь, что подобное существует под еДир.

[Антон Фридрих]

....ну я про это и говорил, пытаюсь через DeviceLock теперь раздать права локальным группам.... пока не выходит....

....просто думал уже есть более красивое решение под eDir, тема то не новая кажется.....

[Иван Иванов]

....просто думал уже есть более красивое решение под eDir, тема то не новая кажется.....

У Вас есть же зен. Назначайте всем в старт Application, которые закрывают систему через реестр, NTFS. А нужным разрешающие. Другое дело что доступ к "железу" (тем же CD) на XP без дополнительного софта закрывается абы как.

[Мещеряков Андрей]

По дефолту, члены группы users в ХР не имеют прав на установку драйверов. Следовательно, флеш карты автоматически перестают функционировать.

[Иван Иванов]

По дефолту, члены группы users в ХР не имеют прав на установку драйверов. Следовательно, флеш карты автоматически перестают функционировать.

Нет. К флешкам єто не относится.

[Михаил Григорьев]

....просто думал уже есть более красивое решение под eDir, тема то не новая кажется.....

Решение есть...

http://novell.org.ru/forum/viewtopic.ph ... =sanctuary

Правда оно громозкое и дорогое!

[Андрей Тр. aka RH]

Решение есть и тоже дорогое и громоздкое. Называется Виндоуз Виста :

Известно, что бесконтрольное использование USB-накопителей может привести не только к утечке важной конфиденциальной информации из организации, но и к заражению компьютера вредоносным ПО. Для предотвращения таких случаев в Windows Vista реализован механизм контроля использования USB-устройств - групповые политики, которые позволяют блокировать инициализацию такого рода накопителей как на отдельном ПК, так и на группе машин в сети.

[Aleksey(ishua)]

В реестре есть параметр запрещающий монтирование USB Mass storage device
у меня зеном этот параметр меняется в зависимости от группы, но вот как быть с CD-Rom не знаю, если надо знать где параметр, на работе посмотрю...

[Ковалев Артем]

У нас решение самое кондовое, но успешно работает много лет.
Пользователям NDS через Zen запрещаются буквы дисков. Причем по умолчанию разрешены только сетевые диски (от F и далее). Админских прав пользовтели не имеют, Power User выдаем сугубо индивидуально после долгой ругани . В итоге - флешку можно подцепить, даже дрова на нее поставить, но как к ней обратится - юзеры не знают, потому как она уже смонтировалась на запрещенную им букву, а "управление дисками" им недоступно.
Плюс есть политики, открывающие те или иные буквы (with_A, with_C, with_A&C, with_CD, etc). Пока работает.

[Иван Иванов]

запрещенную им букву

Если не ошибаюсь эта буква скрывается только для проводника но из комстроки и из всяких оболочек а-ля нортон можно было работать с спрятанным диском.

[Ковалев Артем]

запрещенную им букву

Если не ошибаюсь эта буква скрывается только для проводника но из комстроки и из всяких оболочек а-ля нортон можно было работать с спрятанным диском.

Ну в общем-то вы праву, только не ком. строки, ни оболочек у них нет.

[Андрей Тр. aka RH]

У нас решение самое кондовое, но успешно работает много лет.
Пользователям NDS через Zen запрещаются буквы дисков.

У нас, кстати, тоже ( еще со времен НТ4 ). Правда, не только с целью запретить всякие левые девайсы, а также с целью прикрыть сетевые диски, которые нужны для функционирования системы, но непосредственно для пользователей не нужны ( "меньше знаешь / видишь - дольше живешь" ). При этом их не видно не только в Эксплорере, но и в приложениях - в Ворде, например ( КС при этом запрещена ). Конечно, до них добраться можно ( например, если создать или откуда притащить ссылку на определенный диск ), и для серьезных ограничений я бы на это не полагался. Но нам вполне хватает.