nepost
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору DmitriyGDG Чтобы служба остановилась, необходимо отключить устройство, использующее эту службу Вот принцип отключения устройств: 1.Ставим службу в disable путем установки ключика Start = 4 2.Отключаем само устройство (например с использованием утилиты devcon.exe http://support.microsoft.com/default.aspx?scid=kb;en-us;311272 ) Получаем: отключенное устройство, которое видно в диспетчере устройств. При попытке его включить оно ругается на отключенный драйвер. Если службу запустить (установкой ключика в значение 3), то тупо мышкой можно устройство через диспетчер включить. Служба - отключает драйвер. Аналогично включение: 1. Сначала ключик ставим = 3 2. Затем втыкаем или включаем утилитой уже установленное устройство Как всё это реализовать - это уже на ваше усмотрение. Хоть политиками, хоть скриптами, хоть тупо bat-файлами... Всё это можно повесить на пользователя на logon-скрипт. У себя я сделал таким образом: Создал группы безопасности пользователей USB Users, CDROM Users, Floppy Users (это те, кому разрешено). С этого сайта http://forum.lavteam.com/index.php?showtopic=7385&mode=threaded взял скрипт devcfg.vbs (Сырец #2). Немного переделал, закоментировал строки (чтобы всегда раздавать права на службу для группы): if instr(S, "Access is denied .")=0 then endif Увеличил паузы, сделал отдельные скрипты для CDRom, Floppy, USB Для USB устройств в переменную device прописал *usbstor* (звездочки - это маска для кода экземпляра устройства. Кто не понял - через диспетчер устройств - свойства устройства - Сведения...) В службу - usbstor Группу назвал USB Users и повесил их отдельными политиками (Disable_USB, Disable_CDRom, Disable_Floppy) на весь домен на логон-скрипт пользователя с параметром disable. В логофф-скрипт поставил его-же, но с параметром enable. Применил каждую политику на "прошедших проверку", но запретил применение на группы USB Users, CDROM Users, Floppy Users (каждую - на соответствующую группу безопасности) Тем самым получаем: Машина грузится с запущенными службами. При логине пользователя, которому РАЗРЕШЕНО использование определенных устройств, НЕ ЗАПУСКАЕТСЯ соответствующий скрипт. На то, что ЗАПРЕЩЕНО - ЗАПУСКАЕТСЯ скрипт. При логоффе пользователя запускается обратный скрипт, разрешающий использование устройств. Почему всё разрешено, а при логине - запрет: глюки с USB-устройствами. Например если сделать наоборот, то пользователю обязательно нужно будет вставлять флешку уже после логина, иначе она просто не будет определяться. В общем пробуйте. У меня к сожалению упорно не хочет работать, если юзеры не локальные админы, хотя по описанию должно работать. И напоследок ссылка: несколько примеров реализации одной и той же задачи (через скрипты, батники, политики): http://www.petri.co.il/forums/archive/index.php/t-3164.html З.ы. Если у вас пользователи являются локальными админами, всё это можно упростить и использовать батники в две строки: sc config usbstor start= disabled devcon disable *usbstor* либо sc config cdrom start= disabled devcon disable *cdrom* либо sc config flpydisk start= disabled devcon disable *floppy* | Всего записей: 10 | Зарегистр. 04-12-2007 | Отправлено: 17:42 04-12-2007 | Исправлено: nepost, 13:04 05-12-2007 |
|