Cómo deshabilitar unidades de DVD y USB de PC's en red en Windows Server 2003??

[WolfHeart]

Hey estimados de la "Gran Comuna"... Necesito de su valiosa ayuda, le estoy ayudando de manera urgente a un amigo con una máquina que tiene de servidor que tiene instalado "Microsoft Windows Server 2003 R2 Enterprise Edition Service Pack 2" y quiere poner algunas pequeñas políticas de seguridad a la pequeña red de PC's que tienen "Windows XP SP2" de su negocio y en otro negocio fuerte que tiene en otro domicilio, específicamente cómo habilitar y deshabilitar las "Unidades de DVD/CD-ROM" y con los "Dispositivos de almacenamiento masivo USB" para que sus empleados no utilicen nada de eso, sin estarlo haciendo desde "Editor del Registro" (HKEY_LOCAL_MACHINE) localmente en cada PC es que es bien tedioso y perdida de valioso teimpo en un negocio; se bastantito de hardaware pero de servidores solo lo básico ó nada igual que él jejejeje!! , yo me acuerdo hace años cuando era empleado inexperto aparecían los controladores de dichos dispositivo con la famos alarmita amarilla con signo de exclamación, y un compañero me dijo que eran políticas del Servidor de la red de la empresa que laboraba y que si se puede hacer, yo no le puse mucha importancia, pero hoy me arrepiento de no haberle preguntado de dichos procesos a ese compañebrio que tenía que sabía bastante de esta onda; y la persona que le ayudó a construir políticas de su red demi chero ya se fue de nuestro terruño y no tenemos contacto con él, y mi amigo es superdesconfiado con la mara técnica ya que le pasó una situación bien malévola de parte de un loco que le vio su red  ... He googleado bastantito pero neles solo me apracen soluciones para hacerlo localmente en una PC.
Espero su gan ayuda de los amigos de esta  Gran Comunidad y sus moderadores que le estoy agarrando un gran cariño en poco tiempo a la svcommunity por los grandes aportes que postean en los diferentes "TOPICS"  jejejeje!!
Saludos y de antemano gracias por su ayuda manes!! 

[makiaveluz]

Como hay un server Win 2003 imagino tendra Active Directory asi que puedes probar con "Group Policy" y asi aplicar la politica de deshabilitar las USB y los CD roms.

mas info :

http://support.microsoft.com/kb/555324

un paso a paso:

http://www.petri.co.il/disable_usb_disks_with_gpo.htm

[fhalcon]

como te dice makiaveluz crea una politica de grupo que te permita restringir eso... desde la consola GPMC se hace eso en 2003 es un poco tedioso pero se puede desde ahi..
saluddos man

[youtube]http://www.youtube.com/watch?v=YTmzfoulsBQ[/youtube]

[WolfHeart]

Entendido amigos comunos "makiaveluz" y "fhalcon"... Voy a probar, les aviso a más tardar el Lunes 04-Julio a ver que ondas... Gracias por su ayuda y recomendaciones...!!!   

[WolfHeart]

Heyyy estimados, pude realizar la habilitación y deshabilitación de dichos dispositovos a través de "Group Policy Management"  ... Y de verdad que les agradezco sus consejos con su conociemientos; pero en esta "Políticas de Grupo" de dicho Servidor, solo se puede realizar dicha gestión a nivel de grupo, valga la redundancia... Y necesito saber, claro si Uds. saben como hacerlo, como habilitar y deshabilitar Las "Unidades de CD" ó "DVD" y "Los dispositivos de almacenamiento masivo" en forma individual o alguna PC en específico, porque a veces mi amigo quiere utilizar un ordenador para reinstalarle Drivers, reparar Windows, formateo de HD, etc. Uds. saben a lo que me refiero, o quiere darle privilegios a algún empleado para que le gestione trabajos que requieren que estén en funcionamiento dichos dispositivos temporalmente y depués volverlos a deshabilitar, me he metido bastante en algunas configuraciones pero no encuentro cual y talvez yo no me he fijado por razones de falta de tiempo, les agradezco mucho su aporte, pero echenme la manita por fa manes  ... Saludos!!! 

[fhalcon]

Crea un usuario en el AD (Active directory) que tenga permisos de administrador y no lo vayas a incluir en el grupo que le haz establecido las politicas de grupo para que este usuario no se le aplique la politica que creaste

aqui esta un ejemplo de como crear un usuario en AD:
[youtube]http://www.youtube.com/watch?v=CM7hdV6QQFM&feature=related[/youtube]

[WolfHeart]

Crea un usuario en el AD (Active directory) que tenga permisos de administrador y no lo vayas a incluir en el grupo que le haz establecido las politicas de grupo para que este usuario no se le aplique la politica que creaste

Nombre gracias man!!! La verdad amigo "fhalcon" que ya intenté hacerlo entre pruebas y otras cosas, incluso creando el equipo; pero la verdad que siempre se me destella la alarmita amarilla con el famoso signo de admiración (código 32, es decir están deshabilitadas por las políticas de grupo) en "Unidades de CD" ó "DVD" y "Los dispositivos de almacenamiento masivo", incluso reiniciando las PC's eliminándolas del dominio volviéndolas a crear, etc. de las cuales he creado el usuario o equipo en el Servidor... Ya probé varias ondas, que será amigos?   

[fhalcon]

Me imagino que cuando agregaste la politica lo hiciste en default users o algo asi
la cosa es que ahi todos los usuarios del ad menos el admin te tomaran la politica

deberias de quitar la politica, crear una unidad organizativa o grupo desde el AD donde incluya todos los usuarios que quieres que se le aplique la politica, y crea un grupo al que tu quieras que no se le apliquen las politicas de grupo.....

ahora ya teniendo los 2 grupos solo aplicale la politica al primer grupo...
 y al otro grupo no

cualquier onda ahi estamos para ayudarnos man

[makiaveluz]

Aca se pueden hacer una o dos cosas como ya dijo fhalcon :

Una es crear una Unidad Organizativa solo para administradores y otra para usuarios, asi solo aplicarla a los usuarios en su unidad organizativa, ojo que al aplicar la politica seria a los usuarios, no a las pc si estuvieran todos en una UO.

Otra es si estan en la misma unidad organizativa seria de "denegar la politica" a ciertos usuarios como creo tu quieres, como ?
click derecho a la UO, propiedades, Politicas de grupo, y a la politica creada darle click derecho y propiedades, click en seguridad y agregar el usuario en donde no quieres que aplique la politica, una vez agregado  en la columna "denegar" de "Aplicar politica de grupo", esto hace que solo a este usuario no se le aplique la politica.

suerte 

[juanca]

Como mencionaron, tienes que crear una politica a nivel de dominio y crear un grupo o una OU y aplicarla, en 2003 AD no tiene algo tan granular que incluso limite el servicio de montaje de volumenes en USB, solo puedes eliminar unidades de disco por letra.

Segun tengo entendido Server 2008 si ya es mas granular en las politicas para unidades de disco externas, pero tienes que probar antes y hacer una migracion a 2008.

[WolfHeart]

Heeyyy Gracias amigos, iba a intentar lo que "fhalcon" me recomendó, pero mi chero el dueño del negocio me dijo que no quería que tocaramos nada de las configuraciones del Dominio Local y la Unidad Organizativa que tenía por cuestiones de tiempo, así que ya había hecho lo que el amigo "makiaveluz" posteó y me funcionó; pero igual gracias de todas formas, se valora sus recomendaciones y ayuda... Saludos!! 

[WolfHeart]

Muy buenas estimados... Necesito su ayuda... Cómo puedo saber que proxy tienen configurado en la PC de Servidor que tiene mi chero en sus negocios, es la misma que hemos hablado en este "TOPIC" tienen instalado "Microsoft Windows Server 2003 R2 Enterprise Edition Service Pack 2", aclaro que no se mucho de configuraciones de proxies, es más nunca he configurado uno solo he visto de boladitas sus configs., y sé que tienen unp instalado; es que, me solicita su ayuda para poder restringir y habilitarles unos sitios webs de unas PC de su red que utilizan sus empleados, porque unos saturan el ancho de banda (internet) de dicha red y otros no pueden ver algunos sitios por la config. que le dejó la persona que se fue del país como les mencioné en el primer post. O será que se puede realizar desde el  AD (Active directory) / "Group Policy Management" (Política de Grupo)??... Pero la verdad que me he metido en algunas configs. y no hayo como más que el Server está en inglés y me cuesta de boladas, aydúdenme con algún tuto o con algún conocimiento de Uds. porfa que son los expertos, de antemano les agradezco por su interés y ayuda...!!!