nepost
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DmitriyGDG
Чтобы служба остановилась, необходимо отключить устройство, использующее эту службу
Вот принцип отключения устройств:
1.Ставим службу в disable путем установки ключика Start = 4
2.Отключаем само устройство (например с использованием утилиты devcon.exe http://support.microsoft.com/default.aspx?scid=kb;en-us;311272 )
Получаем: отключенное устройство, которое видно в диспетчере устройств. При попытке его включить оно ругается на отключенный драйвер.
Если службу запустить (установкой ключика в значение 3), то тупо мышкой можно устройство через диспетчер включить. Служба - отключает драйвер.
Аналогично включение:
1. Сначала ключик ставим = 3
2. Затем втыкаем или включаем утилитой уже установленное устройство
Как всё это реализовать - это уже на ваше усмотрение. Хоть политиками, хоть скриптами, хоть тупо bat-файлами... Всё это можно повесить на пользователя на logon-скрипт.
У себя я сделал таким образом:
Создал группы безопасности пользователей USB Users, CDROM Users, Floppy Users (это те, кому разрешено).
С этого сайта http://forum.lavteam.com/index.php?showtopic=7385&mode=threaded взял скрипт devcfg.vbs (Сырец #2).
Немного переделал, закоментировал строки (чтобы всегда раздавать права на службу для группы):
if instr(S, "Access is denied .")=0 then
endif
Увеличил паузы, сделал отдельные скрипты для CDRom, Floppy, USB
Для USB устройств в переменную device прописал *usbstor* (звездочки - это маска для кода экземпляра устройства. Кто не понял - через диспетчер устройств - свойства устройства - Сведения...)
В службу - usbstor
Группу назвал USB Users
и повесил их отдельными политиками (Disable_USB, Disable_CDRom, Disable_Floppy) на весь домен на логон-скрипт пользователя с параметром disable.
В логофф-скрипт поставил его-же, но с параметром enable.
Применил каждую политику на "прошедших проверку", но запретил применение на группы USB Users, CDROM Users, Floppy Users (каждую - на соответствующую группу безопасности)
Тем самым получаем:
Машина грузится с запущенными службами. При логине пользователя, которому РАЗРЕШЕНО использование определенных устройств, НЕ ЗАПУСКАЕТСЯ соответствующий скрипт. На то, что ЗАПРЕЩЕНО - ЗАПУСКАЕТСЯ скрипт.
При логоффе пользователя запускается обратный скрипт, разрешающий использование устройств.
Почему всё разрешено, а при логине - запрет: глюки с USB-устройствами. Например если сделать наоборот, то пользователю обязательно нужно будет вставлять флешку уже после логина, иначе она просто не будет определяться.
В общем пробуйте. У меня к сожалению упорно не хочет работать, если юзеры не локальные админы, хотя по описанию должно работать.
И напоследок ссылка: несколько примеров реализации одной и той же задачи (через скрипты, батники, политики):
http://www.petri.co.il/forums/archive/index.php/t-3164.html
З.ы. Если у вас пользователи являются локальными админами, всё это можно упростить и использовать батники в две строки:
sc config usbstor start= disabled
devcon disable *usbstor*
либо
sc config cdrom start= disabled
devcon disable *cdrom*
либо
sc config flpydisk start= disabled
devcon disable *floppy*
|
Всего записей: 10 | Зарегистр. 04-12-2007 | Отправлено: 17:42 04-12-2007 | Исправлено: nepost, 13:04 05-12-2007 |
|
сервера просто ......
