Discussion :

[amazigh42]

Bonjour,

J'ai créé un réseau AD à base de machines virtuelles. Je souhaiterai créer une GPO autorisant que certaines clés USB via une stratégie globale sur le serveur AD.
Les sources, ci-après, traitent il me semble, que le cas d'une stratégie locale.

J'ai ma petite idée mais je n'arrive pas à trouver ce chemin ?
/Configuration ordinateur/Stratégies/Modèles d'administration : définition de stratégies (fichiers ADMX) récupérées à partir de l'ordinateur local./ Système/Installation de périphériques/Restrictions d'installation de périphériques

Sources :
https://blogs.technet.microsoft.com/...s-priphriques/
https://msdn.microsoft.com/en-us/library/bb530324.aspx

Merci d'avance

[cerede2000]

Bonjour à toi,

Voici deux liens qui contiennent des explications et capture pour mise en place dans un AD
https://technet.microsoft.com/en-us/...ouppolicy.aspx
http://prajwaldesai.com/how-to-disab...-group-policy/

[amazigh42]

Merci pour tes liens,
mon problème est que je n'arrive pas à trouver ce chemin dans la version française de Windows server 2012

Right click the policy and click Edit. This will open Group Policy Management Editor. Navigate to Computer Configuration\Policies\Administrative Templates\System\Removable Storage Access.

Group Policy Management Editor correspond bien à Gestion de stratégie de groupe
je l'ai bien ouvert mais je ne trouve pas la suite du chemin ?

Merci de ton aide

[cerede2000]

En direct de mon AD 2012

[amazigh42]

bizarre je ne retrouve pas " Éditeur de gestion de stratégie de groupe " dans les outils du Gestionnaire de serveur ?

Peux-tu me donner la ligne de commande pour y accéder.

Merci

[cerede2000]

Heu.... http://lmgtfy.com/?q=editeur+de+strategie+de+groupe

[amazigh42]

J'ai déjà faire des recherches, et tous ces liens renvoient soit à gpedit.msc soit à l'éditeur de stratégie de groupe local

STP peux-tu arrêter de me ridiculiser et me donner la ligne de commande

[cerede2000]

Je ne comprends pas, tu ne gère jamais de GPO dans ton AD ???
Lance la console Gestion de stratégie de groupe => gpmc.msc
Puis tu crée une nouvelle stratégie.
Ensuite tu l'appliquera à une OU.

[amazigh42]

Merci,
Pour répondre à ta question, je suis autodidacte et j'en suis qu'au début de ma connaissance de AD via des machines virtuelles.

[cerede2000]

L’autodidaxie n'est pas une excuse (ce n'est pas méchant hein !)
Je le suis moi même, mais cela fait partie de la base de la gestion d'un AD, la partie Ordinateurs et utilisateurs + Gestion de stratégie de groupe

[amazigh42]

Bonjour,

J'ai choisi cette méthode assimilé à une restriction de périphériques USB par liste blanche.
https://technet.microsoft.com/en-us/...ouppolicy.aspx
J'ai activé les 2 options
- Autoriser l'installation de périphériques correspondant à l'un de ces ID
ID concerné USBSTOR\DiskSanDisk_Cruzer_Edge_____1.27

- Empêcher l'installation de périphériques amovibles
J'ai dû louper quelque chose car ça ne marche pas sur la VM windows 7 client

Merci de ton aide car tu m'a l'air de maitriser ton affaire.

[cerede2000]

Avant d'aller plus loin, as tu bien vérifier que la GPO était appliqué sur le client Windows 7 ?
Dans un CMD gpresult /r colle le résultat ici (entre balise CODE bouton #) si tu veux

[amazigh42]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
Jeu créé le 22/04/2016 à 10:42:24


Données RSOP pour appli\sssi sur WIN7 : mode journalisation
----------------------------------------------------------------

Configuration du système d'exploitation : Station de travail membre
Version du système d'exploitation...... : 6.1.7601
Nom du site............................ : N/A
Profil itinérant :             N/A
Profil local........................... : C:\Users\sssi
Connexion via une liaison lente ? : Non


PARAMÈTRES UTILISATEURS
------------------------
    CN=sssi,OU=Utilisateurs,OU=cosic,DC=appli,DC=fr
    Heure de la dernière application de la stratégie de groupe : 22/04/2016 à 10
:42:03
    Stratégie de groupe appliquée depuis :      SRV-WINDOWS2012.appli.fr
    Seuil de liaison lente dans la stratégie de groupe :   500 kbps
    Nom du domaine*:                        appli
    Type de domaine :                        Windows 2000

    Objets Stratégie de groupe appliqués
    -------------------------------------
        appliGPO
        Stratégie de groupe locale

    Les objets stratégie de groupe n'ont pas été appliqués
    car ils ont été refusés
    ----------------------------------------------------------------------------
-------
        Default Domain Policy
          Filtrage :  Non appliqué (vide)

        identité de l'application
          Filtrage :  Non appliqué (vide)

        Restriction des clés USB
          Filtrage :  Non appliqué (vide)

    L'utilisateur fait partie des groupes de sécurité suivants
    ----------------------------------------------------------
        Utilisateurs du domaine
        Tout le monde
        Utilisateurs
        INTERACTIF
        OUVERTURE DE SESSION DE CONSOLE
        Utilisateurs authentifiés
        Cette organisation
        LOCAL
        Développeurs
        Niveau obligatoire moyen

[cerede2000]

Il manque un bout !
Ou est la partie GPO Ordinateur....

Lance ton CMD avec élévation UAC

[amazigh42]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
Jeu créé le 22/04/2016 à 12:39:38


Données RSOP pour appli\Administrateur sur WIN7 : mode journalisation
--------------------------------------------------------------------------

Configuration du système d'exploitation : Station de travail membre
Version du système d'exploitation...... : 6.1.7601
Nom du site............................ : Default-First-Site-Name
Profil itinérant :             N/A
Profil local........................... : C:\Users\Administrateur.appli
Connexion via une liaison lente ? : Non


Paramètre de l'ordinateur
--------------------------
    CN=WIN7,OU=Ordinateurs,OU=cosic,DC=appli,DC=fr
    Heure de la dernière application de la stratégie de groupe : 22/04/2016 à 12
:38:36
    Stratégie de groupe appliquée depuis :      SRV-WINDOWS2012.appli.fr
    Seuil de liaison lente dans la stratégie de groupe :   500 kbps
    Nom du domaine.........................*: appli
    Type de domaine........................ : Windows 2000

    Objets Stratégie de groupe appliqués
    -------------------------------------
        appliGPO
       Restriction des clés USB
        Default Domain Policy
        identité de l'application
        Stratégie de groupe locale

    L'ordinateur fait partie des groupes de sécurité suivants
    ---------------------------------------------------------
        Administrateurs
        Tout le monde
        Utilisateurs
        RESEAU
        Utilisateurs authentifiés
        Cette organisation
        WIN7$
        Agents
        Développeurs
        Ordinateurs du domaine
        Niveau obligatoire système


PARAMÈTRES UTILISATEURS
------------------------
    CN=Administrateur,CN=Users,DC=appli,DC=fr
    Heure de la dernière application de la stratégie de groupe : 21/04/2016 à 13
:39:28
    Stratégie de groupe appliquée depuis :      SRV-WINDOWS2012.appli.fr
    Seuil de liaison lente dans la stratégie de groupe :   500 kbps
    Nom du domaine*:                        appli
    Type de domaine :                        Windows 2000

    Objets Stratégie de groupe appliqués
    -------------------------------------
        Stratégie de groupe locale

    Les objets stratégie de groupe n'ont pas été appliqués
    car ils ont été refusés
    ----------------------------------------------------------------------------
-------
        Default Domain Policy
          Filtrage :  Non appliqué (vide)

        identité de l'application
          Filtrage :  Non appliqué (vide)

    L'utilisateur fait partie des groupes de sécurité suivants
    ----------------------------------------------------------
        Utilisateurs du domaine
        Tout le monde
        Utilisateurs
        Administrateurs
        INTERACTIF
        OUVERTURE DE SESSION DE CONSOLE
        Utilisateurs authentifiés
        Cette organisation
        LOCAL
        Propriétaires créateurs de la stratégie de groupe
        Admins du domaine
        Administrateurs de l'entreprise
        Administrateurs du schéma
        Groupe de réplication dont le mot de passe RODC est refusé
        Niveau obligatoire élevé

[cerede2000]

Donc la GPO est bien appliqué.
Après honnêtement je n'ai jamais utilisé la restriction de matériel c'est beaucoup trop contraignant.

La seule chose que j'ai mis en place c'est la désactivation de l'autoexecution et mon antivirus (Eset NOD32) scanne les périphériques externes avant qu'ils soient montés au niveau Windows

[amazigh42]

Bonjour,

En fait avant d'appliquer les GPO il faut :
- préalablement désinstaller les pilotes des clés non désirés
- puis installer les pilotes des clés désirés (Liste blanche)

Attention
Si un compte admin se connecte puis installe un pilote non désiré celui-ci se trouvera dans la liste blanche des pilotes désirés.

Peut-être que quelqu'un a une solution à cet inconvénient ?

Merci

[cerede2000]

Ah oui c'est vraiment ultra contraignant !!