წინა სტატიაში ჩვენ უკვე განვიხილეთ თუ როგორ შეიძლება დავბლოკოთ USB დრაივებზე ჩაწერა Intune-ს ძალებით.

სამწუხაროდ ქართულ რეალობაში  Intune-ს კომპანიების მხოლოდ მცირე ნაწილი იყენებს. ამიტომ დღეს ვისაუბრებთ ჩვენთან უფრო გავრცელებული გადაწყვეტილების – Windows სერვერის Group Policy (ჯგუფის პოლიტიკების) მეშვეობით USB მოწყობილობების დაბლოკვაზე.

Group Policy Objects (GPOs)  იძლევა  საშუალებას Windows Domain-ის მეშვეობით, ცენტრალიზებულად, ვმართოთ მთელი რიგი პარამეტრები. რა თქმა უნდა GPO შეიძლება გამოყენებულ იქნას კომპიუტერზე USB მოწყობილობების გამორთვისთვის. უკვე შექმნილ GPO-ს აბამთ  Active Directory-ს შესაბამის კონტეინერს ან საიტს ან თუნდაც კონკრეტულ კომპიუტერებს

გაუშვით Group Policy Management სერვერზე, მარჯვენა კლიკი Group Policy Objects, შემდგომ New. ჩაწერეთ პოლიტიკის სასურველი სახელი, მაგალითად Block USB Devices და დააკლიკეთ OK.

შექმნილ GPO-ზე დააჭირეთ მარჯვენა ღილაკს და აირჩიეთ  Edit.  გაიხსნება Group Policy Management Editor სადაც უნდა გადახვიდეთ Computer Configuration\Policies\Administrative Templates\System\Removable Storage Access.

ჩვენ გვჭირდება პოლიტიკა All Removable Storage classes: Deny all access.  პოლიტიკის ეს პარამეტრი საშუალებას გაძლევთ აკრძალოთ წვდომა ყველა removable storage-ზე. აღნიშნული პოლიტიკა უპირატესია removable storage სხვა პოლიტიკებთან მიმართებით.

დააკლიკეთ პოლიტიკაზე მარჯვენა ღილაკით. დააწკაპუნეთ Enabled და დააჭირეთ Apply და შემდეგ OK.

 

GPO მზადაა. ეხლა დროა მივაბათ ეს პოლიტიკა შესაბამის OU-ს. დაბრუნდით Group Policy Management Editor-ში დააწკაპუნეთ მარჯვენა ღილაკით OU-ზე და აირჩიეთ Link an Existing GPO.

გამოსული სიიდან აირჩიეთ Block USB Devices და დააკლიკეთ OK.

აღნიშნული პოლიტიკის გააქტიურებით USB მოწყობილობებზე მომხმარებლები სრულიად დაკარგავენ წვდომას.

სრული აკრძალვის ნაცვლად საჭიროების შემთხვევაში თქვენ შეგიძლიათ აირჩიოთ სხვა პოლიტიკები. მაგალითად მხოლოდ წაკითხვის აკრძალვა ან მხოლოდ ჩაწერის აკრძალვა, შესაბამისად Removable Disks: Deny read access ან Removable Disks: Deny write access

გაითვალისწინეთ, რომ პოლიტიკების გამართვის შემდეგ კლიენტ კომპიუტერებს ჭირდებათ გარკვეული დრო პოლიტიკის სერვერიდან მისაღებად. კლიენტ კომპიუტერებზე ასევე შეგიძლიათ გამოიყენოთ ბრძანება gpupdate /force პოლიტიკების სასწრაფო წესით განახლებისთვის.