locked
GPO: mettre en lecture les lecteurs mappés qui remontent "plus tard" RRS feed

  • Question

  • Bonjour à tous!

    Encore un problème à la noix! :) J'espère que certains d'entre vous l'auront rencontré;

    Architecture en place:  3 Serveur RDS dans un datacenter, un serveur dc et un serveur Exchange.

    Plusieurs agences distantes viennent se connecter aux 3 serveurs RDS, soit par un mpls opérateur soit par des vpn ipsec.

    Chacun des utilisateurs à la possibilité de connecter des clés usb, disques durs us, cartes mémoires ou autres appareils photos pour déposer des photos sur les serveurs.

    Ce qu'il faut que j'arrive à faire : Autoriser les usb et autres périphériques à monter sur la session des utilisateurs car ils en ont besoin, mais il faut que je le rende en lecture seule pour empêcher les utilisateurs de copier des fichiers des serveurs vers ces clés usb ou autres...

    Une question subsidiaire à cela: un utilisateur utilisant un pc portable par exemple, comment l’empêcher de copier des fichiers des serveurs vers son propre disque dur local (au travers du lecteur monté dans la session rdp)?

    J'ai trouvé une clé de registre à créer ou modifier pour rendre les périphériques usb (en local) en lecture seule. Mais le souci c'est que une clé usb qui monte sur une session rdp est vue comme un lecteur (il me semble) et non comme un périphérique usb.

    Merci d'avance à tous en tout cas! :)

    Fred


    Frédéric Campagna

    mardi 5 avril 2016 09:05

Réponses

  • Bonjour,

    concernant les clés USB connectés, le blocage en lecture uniquement sur les postes est une bonne voie.

    Si la clé USB est en lecture uniquement, la session RDP ne pourra pas écrire dessus quelque soit la manière dont elle soit vue.

    Maintenant, pour les portables ou lecteurs locaux, à partir du moment où ils sont présentés dans RDP, tout ce qui est en lecture sur le serveur sera copiable sur les disques locaux, là où l'utilisateur a des droits!

    Le seul moyen d'être sûr serait d'empêcher la présentation des lecteurs de disque locaux dans RDP, et d'utiliser un autre système de transfert: Connexion à partage du poste client, transfert par FTP ou autre outil équivalent...

    On peut aussi imaginer des solutions utilisant des droits NTFS spéciaux sur le disque/dossier du serveur, par exemple en autorisant l'écriture de fichiers, mais pas la lecture des éléments présents dans le dossier...

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(82 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    • Proposé comme réponse Emile Supiot vendredi 8 avril 2016 08:35
    • Marqué comme réponse Emile Supiot mardi 12 avril 2016 05:27
    mercredi 6 avril 2016 08:09

Toutes les réponses

  • Bonjour Frederic,

    Que ce soit pour la première ou la deuxième question cela vous conviendrait-il de changer les droits de ces utilisateurs dans les répertoires concernés ?

    Cordialement,

    Emile


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.


    mercredi 6 avril 2016 06:39
  • Bonjour!

    Merci de ta réponse;

    Et bien je te dirai que je n'en sais rien car comme les lecteurs (à partir des périphériques usb) montent " à la demande" de l'utilisateur ils peuvent prendre une lettre différente à chaque fois.. comment les repérer?

    Si il y a un moyen de changer les droits users sur les lecteurs autres que ceux qui montent avec le gpo je suis preneur!

    Bonne journée


    Frédéric Campagna

    mercredi 6 avril 2016 06:54
  • Bonjour,

    concernant les clés USB connectés, le blocage en lecture uniquement sur les postes est une bonne voie.

    Si la clé USB est en lecture uniquement, la session RDP ne pourra pas écrire dessus quelque soit la manière dont elle soit vue.

    Maintenant, pour les portables ou lecteurs locaux, à partir du moment où ils sont présentés dans RDP, tout ce qui est en lecture sur le serveur sera copiable sur les disques locaux, là où l'utilisateur a des droits!

    Le seul moyen d'être sûr serait d'empêcher la présentation des lecteurs de disque locaux dans RDP, et d'utiliser un autre système de transfert: Connexion à partage du poste client, transfert par FTP ou autre outil équivalent...

    On peut aussi imaginer des solutions utilisant des droits NTFS spéciaux sur le disque/dossier du serveur, par exemple en autorisant l'écriture de fichiers, mais pas la lecture des éléments présents dans le dossier...

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(82 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    • Proposé comme réponse Emile Supiot vendredi 8 avril 2016 08:35
    • Marqué comme réponse Emile Supiot mardi 12 avril 2016 05:27
    mercredi 6 avril 2016 08:09
  • Merci pour ta réponse!

    Du coup je pense à un espèce de "dossier tampon" qui ne servirait qu'à l'upload, et qui à partir du serveur tse serait en lecture seule? mais comment le rendre en lecture seule coté rdp et en écriture coté client léger?

    Je ne pense pas que cela soit possible, donc il faudrait que je m'assure que de chaque client leger les personnes n'utilisent que leur login sur le client léger et pas un login d'utilisateur generique..

    C'est compliquéééééé! :)

    Bonne soirée!


    Frédéric Campagna

    mercredi 6 avril 2016 15:45
  • Bonjour Frédéric,

    Juste pour ajouter une solution alternative : si les fichiers que tu veux "protéger" sont des documents Microsoft Office, tu peux aussi gérer des permissions en installant un AD RMS.

    https://technet.microsoft.com/en-us/library/cc753531%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    Peut être également, qu'avec bitlocker tu peux faire quelque chose.

    Bon courage :-)

    Cordialement,

    Chris.

    vendredi 8 avril 2016 02:22
  • Merci pour ta réponse!

    Malheureusement il y a aussi des pdf, des fichiers autres de logiciels métiers...

    Je ne sais pas comment marche Ad RMS mais je vais quand meme aller voir.

    Encore merci du conseil!

    Cordialement,

    Fred


    Frédéric Campagna

    lundi 11 avril 2016 15:19