O primeiro ponto a saber sobre esse quesito é qual “mecanismo” dentro do Windows é responsável por habilitar ou desabilitar a montagem de dispositivos de armazenamento.
Esse “mecanismo” é uma chave de registro, contida no editor de registro (regedit) em:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
E a chave a ser aletrada é a “START” – quando o valor é “3″ a opção é habilitado para a montagem de dispositivos, mudando a opção para “4” a montagem fica bloqueada.
Agora, como fazemos para configurar essas opções no controlador de domínio e repassá-las as estações de trabalho clientes?
Devemos fazer o seguinte:
No Windows 2008 Server, acessar o console do Group Police Management.
Iniciar -> Executar -> Administrative Tools – > Group Police Management
Dentro do Gerenciamento de GPOs, escolher a GPO que se pretende incluir a restrição, clicar com o botão direito do mouse sobre ela e escolher a opção “edit”.
Valer lembrar que os usuários e grupos que serão controlados por essa GPO devem ser inseridos em “Security Filtering”, clicando no botão “add” e depois escolhendo os grupos ou usuários propriamente ditos, como demonstrado abaixo:
Inserindo usuários na GPO
Dentro da edição da política escolhida, navegue até a aba ”User Configuration”, depois “Preferences”, “Windows Settings” e clique com o botão direto do mouse em cima da opção “Registry” e escolha New > “Registry Item”, como na imagem a seguir.
Surgirá então uma janela para configuração do item do registro a ser alterado.
Em “action” escolhemos a opção “Update”, pois a chave do registro já existe nas estações clientes e portanto necessita somente ser alterada.
Em “Hive”, escolhemos a chave” HKEY_LOCAL_MACHINE”. Em “Key Patch” escolhemos o caminho: “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR”, e clicamos na chave “Start”, cujo valor padrão é {3}, como demonstrado na imagem:
Agora é só inserir o valor “4″ no campo “Value Data” e dar um “OK” quando necessário.
Pronto, a configuração do lado do Servidor já está pronta.
Execute o comando “gpupdate /force” para que as atualizações da GPO sejam repassadas às estações clientes.
Ja testei esse esquema em um ambiente de domínio com estações de trabalho rodando os sistemas operacionais Windows Vista e 7 e funcionou perfeitamente, porém com clientes Windows XP ele tem um pequeno entrave. pois estes clientes não conseguem receber esse controle. Mas existe uma forma simples de driblar esse contratempo.
A solução consiste em instalar dois patches de atualização nas estações de trabalho com o Windows XP. Esses arquivos na verdade são dois KB que fazem o Windows XP reconhecer esse controle repassado via GPO pelo Windows 2008.
Segue link para download dos arquivos:
http://www.microsoft.com/pt-br/download/details.aspx?id=3628
http://www.microsoft.com/pt-br/download/details.aspx?id=13978
A instalação desses dois executáveis podem ser repassados para as estações através de scripts de inicialização criados no Servidor.
Nenhum comentário:
Postar um comentário