Le vendredi 25/11/2011 09:34:17, albertoh a écrit dans le message <news:79fdc65e-6854-42d8-8a35-2e33f942825a@communitybridge.codeplex.com> ce qui suit :
Bonjour,
Oui je précise : Sur cette machine il y a 2 comptes :
1 compte avec les droits d'administrateur (=> c'est LE compte qui n'a pas de limitation).
Et 1 compte utilisateur non administrateur, avec en plus la limitation : Pas d'accès au lecteur DVD et aux ports USB
Suis-je assez clair ?
Oui, et je réponds : ce que tu veux est :
- impossible en ce qui concerne les lecteurs de CD/DVD
- possible en ce qui concerne les lecteurs amovibles USB, mais sans possibilité de distinction de compte.
Au passage, le fait que l'ordinateur appartienne à un workgroup et non pas un domaine ne change rien.
======================================================================
En ce qui concerne ton problème, la clef qui permet le masquage de certains lecteurs est :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive
(de type REG_DWORD)
Elle est définie dans GPEDIT (non utilisable dans les version Familiales) par la stratégie :
Utilisateur
Modèles d'administration
Composants Windows
Explorateur Windows
Empêcher l'accès aux lecteurs à partir du Poste de travail
La valeur numérique associée correspond à la combinaison des lecteurs :
A : bit 0 (1)
B : bit 1 (2)
C : bit 2 (4)
D : bit 3 (8)
E : bit 4 (16)
F : bit 5 (32)
G : bit 6 (64)
H : bit 7 (128)
I : bit 8 (256)
J : bit 9 (512)
K : bit 10 (1024)
L : bit 11 (2048)
M : bit 12 (4096)
N : bit 13 (8192)
O : bit 14 (16384)
P : bit 15 (32768)
Q : bit 16 (65536)
R : bit 17 (131072)
S : bit 18 (262144)
T : bit 19 (524288)
U : bit 20 (1048576)
V : bit 21 (2097152)
W : bit 22 (4194304)
X : bit 23 (8388608)
Y : bit 24 (16777216)
Z : bit 25 (33554432)
Donc si on veut AUTORISER UNIQUEMENT "C","D" et "X", on codera :
4 + 8 + 8388608 = 8388620
Si on veut autoriser TOUS les disques possibles (de A à Z) :
1 + 2 + 4 +...+ 33554432 = 2^26 -1 = 67108863
Si un PC comporte
Disquette A:
Partition C:
Partition D:
CDROM E:
et si on veut autoriser A:(1) , E:(16) mais interdire le reste (C: et D:)
-> 1 + 16 = 17
...
Donc C et D interdits et A et E autorisés correspond à 17 (en décimal)
* MAIS .... c'est uniquement si tu as du temps à perdre !
*
Car cette restriction est très facilement CON-TOUR-NA-BLE !
L'aide en ligne dit d'ailleurs :
"Remarque : cette stratégie supprime les icônes de lecteur.
Les utilisateurs peuvent toujours accéder au contenu
du lecteur en utilisant d'autres méthodes, telles qu'en
entrant le chemin d'accès à un répertoire sur le lecteur
dans la boîte de dialogue Connecter un lecteur réseau,
dans la boîte de dialogue Exécuter, ou dans une fenêtre
d'invite de commandes."
Si on veut INTERDIRE TOTALEMENT l'accès à un disque, il faut définir les permissions sur ce disque en conséquence. (NTFS obligatoire, évidemment !)
Donc si le disque est un lecteur de CD/DVD, vu que les partitions sont de type CDFS/UDF, sans définition possible de permissions, on ne peut rien faire !
======================================================================
PAR CONTRE, quand tu parles de "ports USB", je présumes que tu veux faire allusion aux clefs USB, que tu désires interdire ?
Si c'est cela, oui, il est possible d'interdire l'ÉCRITURE sur des clefs USB, en ajoutant la clef suivante dans la BDR (elle n'existe pas par défaut - elle a été introduite avec le SP2 de XP) :
HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies
et en ajoutant l'entrée de type REG_DWORD suivante :
WriteProtect
et en lui attribuant la valeur 1
(redémarrage de WIndows obligatoire)
http://technet.microsoft.com/en-us/library/dd349797(WS.10).aspx#BKMK_17
Elle transforme tous les disques amovibles USB en "lecture seule".
NB: sur certains forums (NON MICROSOFT!!!) certains ont pris leurs désirs pour des réalités et ont INVENTÉ une entrée analogue "ReadProtect" qui interdirait l'accès en lecture à ces disques USB.
J'ai recherché dans tout le Technet : cette entrée N'EXISTE PAS!
Donc c'est UNIQUEMENT l'accès en ÉCRITURE que l'on peut interdire.
De plus cette clef est opérationnelle UNIQUEMENT sur les OS STATIONS DE TRAVAIL (XP, Vista, Win7), et non pas les OS SERVEURS ( W2k3, W2K8)
Enfin, les effets de cette clefs s'appliquent à TOUS LES COMPTES, sans distinction!
Si un administrateur ne veut pas la subir, il doit donc la désactiver (WriteProtect=0) le temps de sa session, puis la réactiver (WriteProtect=1) juste avant de se déconnecter. On ne peut pas dire que ce soit très pratique !
--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP Expert IT Pro]
http://www.bellamyjc.org ou
http://jc.bellamy.free.fr
Interdire l'accès à certains utilisateurs au lecteur DVD et aux ports USB sous Windows7
Votez! Appel à la contribution
