[Edgar Hernández Pineda]

Estimados foristas y lectores de la página, 

 

Hoy vengo con una inquietud con respecto a una GPO que no se si pueda hacerse. Les cuento; tengo un dominio y una serie de GPO, me estan pidiendo que bloquee los dispositivos USB. Pero al bloquearlos, me veo afectado en los casos que yo tenga que conectar algún dispositivo de almacenamiento USB para instalar algún programa etc,. Bien, me comentaron que hay una opción de que al conectar el dispositivo USB, este me pida credenciales de windows para poder acceder.. En este caso colocaria mi usuario de administrador de dominio y puedo acceder..

 

Como haría esa configuración??

 

 Mi server AD es 2008 R2 y los equipos son windows 7 y windows 10.

 

Saludos.

[Marco23]

Por lo que te leo, que lo explicas muy bien por cierto para tu pregunta, creo que se refiere a GPO que vaya a usuarios normales, imagino que es así no? si es así lo tendrás fácil creando una GPO por ejemplo a un Grupo de usuarios que hagas en el Dominio, así solo le afectará a los que tu decidas, no a todos. Y para ejecutar en ese equipo que se los tienes capados pues siempre puedes cerrar sesión e iniciar con otra como el administrador del dominio que tendrá todo abierto.

 

Es otra opción que veo clara para implementar, espero que te sirva de ayuda.

[Edgar Hernández Pineda]

Gracias Marco23 por responder, Si eso hice, aplique la GPO a un grupo que cree, pero lo que quiero o no se si se pueda, es que desde un usuario sin privilegios de admin, yo pueda conectar un usb y me pida credenciales de admin. Una vez lo vi pero no se si es una configuración de server o es aparte.

[David Sanz]

Vengo en tu ayuda Edgar, lo mejor que puedes hacer es 

 

Deberás ejecutar el archivo .ADM. Cambia la vista de filtrado predeterminada para el Editor de GPO (GPedit.msc). Sigue estos pasos para configurarlo.

 

• Entras en gpedit.msc > Ver > Filtrar

• Desmarca la opción "Solo mostrar configuraciones de políticas que se pueden administrar por completo". Pulsas en Aceptar.

• Te saldrá nueva configuración en el panel de la derecha.

 

Antes de ejecutar el .ADM ten en cuenta los permisos de acceso a los archivos usbstor.sys y usbstor.inf. Elimina los permisos de acceso al Sistema de ambos. Eso se hace poniendote encima > botón derecho > Propiedades > Seguridad > Elimina el user SYSTEM.

 

Puede que en algunos casos de actualizaciones se requiera que sistema vuelva a tener acceso para que se lo pongas de nuevo, pero ahora lo necesitas así. Tenlo en cuenta para modificarlos añadiendo System en ellos al actualizar el sistema.

 

Aquí lo tienes todo explicado con imagenes y link de descarga de la GPO:

 

Por favor Identificate o Registrate para poder ver este contenido

 

Archivo a descargar para ejecutar la GPO:

 

Por favor Identificate o Registrate para poder ver este contenido

 

Enjoy.

[Carlos Garcia]

Sé que esto no es dominio, pero quizás te interesa capar en algunos PC sueltos y te cierras sesión para logarte como admin para usarlos. Eso si, sería directo a los PC concretos que quieras como explica el video por registro.

 

 

Aquí tienes muchas opciones de hacerlo, sin programas, con programas gratis de terceros etc.

 

https://www.solvetic...windows-10-8-7/

[arios]

Hola Edgar,

 

te recomiendo ver este tutorial te va a gustar también.

 

Cómo deshabilitar disco USB en Directorio Activo para dominio Windows Server

Por favor Identificate o Registrate para poder ver este contenido

[Fede Robles]

Para empresas grandes o que valoren auditar el bloqueo y uso de puertos USB existe este programa que lo vi una vez y audita como no puede hacer Windows Server. Es la leche. Se puede probar 30 días, pero es de pago.

 

Por favor Identificate o Registrate para poder ver este contenido

[Ricardo Isla]

Joer que buenas respuestas, al final que has hecho para tu caso Edgar?? Yo estoy planteandome algo parecido.