PB GPO et clé USB
Nico
-
lazarbadr -
lazarbadr -
Salut a tous,
bon, j'ai pas mal fait de recherche avant de faire ce post mais la j'ai besoin d'aide :
Voila, comment souvent (g remarqué sur différent forum) je veux bloqué les ports usb sur les pc client (Server : windows server 2003, client : windows 2000)
Donc je passe par les stratégies de groupe et je créé une GPO. Dans cette GPO, g créé (ajouter) un fichier .adm ki est censé modifier la base de registre client pour desactiver les ports usb (le contenu du fichier est bon je l'ai trouvé ici : https://docs.microsoft.com/en-us/troubleshoot/windows-server/group-policy/adm-template-disable-drivers
Bref, mon problème est que la partie de désactivation apparait, je l'active et rien se passe sur la machine cliente. Mais si je met un truc du style enlever telle icone du bureau, la ca marche (dans la meme GPO bien sur). Donc voila il doit pas aimer le fichier que je rajoute, doit sans doute avoir une subtilité mais la je seche (j'ai modifier a la main dans la base de registre la valeur decrite dans le fichier et la ca marche => c donc pas le problème du contenu du fichier, enfin je pense).
Donc si quelqu'un a chtite partie de réponse ou un moyen de m'orienté, je suis preneur !!
Merci a ceux qui pourront m'aider
bon, j'ai pas mal fait de recherche avant de faire ce post mais la j'ai besoin d'aide :
Voila, comment souvent (g remarqué sur différent forum) je veux bloqué les ports usb sur les pc client (Server : windows server 2003, client : windows 2000)
Donc je passe par les stratégies de groupe et je créé une GPO. Dans cette GPO, g créé (ajouter) un fichier .adm ki est censé modifier la base de registre client pour desactiver les ports usb (le contenu du fichier est bon je l'ai trouvé ici : https://docs.microsoft.com/en-us/troubleshoot/windows-server/group-policy/adm-template-disable-drivers
Bref, mon problème est que la partie de désactivation apparait, je l'active et rien se passe sur la machine cliente. Mais si je met un truc du style enlever telle icone du bureau, la ca marche (dans la meme GPO bien sur). Donc voila il doit pas aimer le fichier que je rajoute, doit sans doute avoir une subtilité mais la je seche (j'ai modifier a la main dans la base de registre la valeur decrite dans le fichier et la ca marche => c donc pas le problème du contenu du fichier, enfin je pense).
Donc si quelqu'un a chtite partie de réponse ou un moyen de m'orienté, je suis preneur !!
Merci a ceux qui pourront m'aider
A voir également:
- PB GPO et clé USB
- Gpo lecteur mappé %username% ✓ - Forum Windows serveur
- Problèmes GPO ✓ - Forum Windows
- GPO refusé - Forum Réseau
- GPO Raccourci - Forum Windows serveur
- Forcer gpo ✓ - Forum logiciel systeme
7 réponses
Bonjour,
Je planche sur le même sujet depuis 1 mois et je suis tombé sur les même infos et problème.
Si quelqu'un pouvait nous aider merci....
Je planche sur le même sujet depuis 1 mois et je suis tombé sur les même infos et problème.
Si quelqu'un pouvait nous aider merci....
idem, suis en stage dans un hôpital et pour mon projet je dois interdire la détection des clé USB ( GPO vie fichier .adm et .bat qui se déclenche à l'ouverture d'une sessions ) mais ça ne marche pas.
Aparament d'après ce que j'ai pu en conclure, il faut que les utilisateurs soient en administrateur, mais impossible de faire cela sinon c'est l'anachie ^^
Voila tlm, c'était ma petite idée :)
Merci de répondre si quelqu'un connait la solution*
a+
Aparament d'après ce que j'ai pu en conclure, il faut que les utilisateurs soient en administrateur, mais impossible de faire cela sinon c'est l'anachie ^^
Voila tlm, c'était ma petite idée :)
Merci de répondre si quelqu'un connait la solution*
a+
bonjour,
j'ai creer un simple script batch qui march nikel sur le GPO des ordinateurs
@ echo off
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR /v Start /t REG_DWORD /d 00000004 /f
mais a une condition que vous devez restreindre toutes les lettres non utilisé
j'ai creer un simple script batch qui march nikel sur le GPO des ordinateurs
@ echo off
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR /v Start /t REG_DWORD /d 00000004 /f
mais a une condition que vous devez restreindre toutes les lettres non utilisé
Normalement par GPO tu désactive la détection automatique des lecteurs et vous limitez l'accès aux lettres de disque...et voila...autrement vous passé votre serveur en 2008 et vos client en vista ( ou seven )...vous disposerez de plusieurs GPO créé pour ce type de restriction.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
https://petri.com/disable_usb_disks_with_gpo
et çà, c est du béton !
petit résumé pour les anglophobes :
tu télécharges le fichier adm sur le site :
http://www.petri.co.il/software/usb_removable_drives_adm.zip
Tu lances l'install.bat qui te fait juste une copie du fichier au bon endroit.
Ensuite tu ajoutes cet .adm à ta gpo (click droit sur "modèle d'administration" de ta config ordinateur)
ajouter ...
ne pas oublié de décocher dans ta MMC le filtrage des strategie non géré
(affichage / filtrage ....)
Et voila !
et çà, c est du béton !
petit résumé pour les anglophobes :
tu télécharges le fichier adm sur le site :
http://www.petri.co.il/software/usb_removable_drives_adm.zip
Tu lances l'install.bat qui te fait juste une copie du fichier au bon endroit.
Ensuite tu ajoutes cet .adm à ta gpo (click droit sur "modèle d'administration" de ta config ordinateur)
ajouter ...
ne pas oublié de décocher dans ta MMC le filtrage des strategie non géré
(affichage / filtrage ....)
Et voila !
Slt mon cher,
J'ai testé le fichier .adm pour la restriction des usb dans ma foret mais sa ne marche pas. Dit moi cette restriction ne passe pas lorsqu'on la déploie sur un controleur de domaine???? Merci d'avance stp j'ai vraiment besoin de ton aide
J'ai testé le fichier .adm pour la restriction des usb dans ma foret mais sa ne marche pas. Dit moi cette restriction ne passe pas lorsqu'on la déploie sur un controleur de domaine???? Merci d'avance stp j'ai vraiment besoin de ton aide
CLASS MACHINE
CATEGORY "Restrict USB Drive"
POLICY "Disable USB Drives"
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN explaintext
PART labeltext DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME Disabled VALUE NUMERIC 3 DEFAULT
NAME Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
[strings]
categoryname="Restrict Drives"
policyname="Disable the USB Drive"
explaintext="Disables the computers USB Drive completely"
labeltext="Disable USB Drive"
Enabled="Enabled"
Disabled="Disabled"
voila le script de Fichier .ADM :)
CATEGORY "Restrict USB Drive"
POLICY "Disable USB Drives"
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN explaintext
PART labeltext DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME Disabled VALUE NUMERIC 3 DEFAULT
NAME Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
[strings]
categoryname="Restrict Drives"
policyname="Disable the USB Drive"
explaintext="Disables the computers USB Drive completely"
labeltext="Disable USB Drive"
Enabled="Enabled"
Disabled="Disabled"
voila le script de Fichier .ADM :)
