locked
Interdire l'accès à certains utilisateurs au lecteur DVD et aux ports USB sous Windows7 RRS feed

  • Question

  • Bonjour,

    Pour l'interdiction de l'accès au lecteur DVD, il y a une stratégie "autoriser l’accès au CD-ROM uniquement aux utilisateurs ayant ouvert une session localement". Mais ça ne me convient pas : je souhaite autoriser certains utilisateurs et pas d'autres.

    Merci pour toute info

    jeudi 24 novembre 2011 10:07

Réponses

Toutes les réponses

  • S'agissant d'une GPO, il est possible de l'assigner à un groupe d'utilisateurs. Personnellement, je créerai un groupe utilisé uniquement par cette GPO et y mettrai les users concernés. Elle s'appliquezra ainsi à tous les membres de ce groupe.
    • Proposé comme réponse Quartzkyte jeudi 24 novembre 2011 12:04
    jeudi 24 novembre 2011 11:05
  • C'est un poste autonome, pas dans un domaine
    jeudi 24 novembre 2011 15:49
  • Bonjour,

    Pour l'interdiction de l'accès au lecteur DVD, il y a une stratégie "autoriser l’accès au CD-ROM uniquement aux utilisateurs ayant ouvert une session localement". Mais ça ne me convient pas : je souhaite autoriser certains utilisateurs et pas d'autres.

    Merci pour toute info


    Bonsoir  Albertoth

     ?  .... c'est à dire ? Pouvez -vous être plus précis  ? Qu'entendez-vous donc par  "certains utilisateurs et pas d'autres " ?

       Combien de comptes - restreints- avez-vous préalablement créés pour ces utilisateurs  de ce poste autonome ?

    Bonne soirée.

     

     

     


    A plus..... Cordialement. Hummmm... Seven .. un goût, un parfum, un ..OS venu d'ailleurs ..... Seven !
    jeudi 24 novembre 2011 22:26
  • Bonjour,

    Oui je précise : Sur cette machine il y a 2 comptes :

    1 compte avec les droits d'administrateur (=> c'est LE compte qui n'a pas de limitation).

    Et 1 compte utilisateur non administrateur, avec en plus la limitation : Pas d'accès au lecteur DVD et aux ports USB

    C'est une machine que je dois préparer => Il n'y a pas de "comptes  préalablement créés"

    Suis-je assez clair ?


    • Modifié albertoh vendredi 25 novembre 2011 08:38
    vendredi 25 novembre 2011 08:34
  • Bonjour Albertoh,

    Vous pouvez créer un GPO seulement pour les utilisateurs non-admin ou guest.

    Ouvrez la console. Allez vers Configuration utilisateur, Modelés d’administration, System, Accès au stockage amovible, Toutes les classes de stockage amovible : refuser tous les accès.

     

    Click droit -> modifier-> activé.

     

    Si vous activez ce paramètre de stratégie, aucun accès n'est autorisé aux classes de stockage amovible.

    Fermez la console.

    Merci de nous tenir au courant.

    Cordialement,

    Florin

    Florin CIUCA, MSFT       Join TechNetFr on Viadeo   Votez! Appel à la contribution
    Nous vous prions de considérer que dans le cadre de ce forum on n’offre pas de support technique et aucune garantie de la part de Microsoft ne peut être offerte.

    vendredi 25 novembre 2011 10:04
  • Le vendredi 25/11/2011 09:34:17, albertoh a écrit dans le message <news:79fdc65e-6854-42d8-8a35-2e33f942825a@communitybridge.codeplex.com> ce qui suit :

    Bonjour,

    Oui je précise : Sur cette machine il y a 2 comptes :

    1 compte avec les droits d'administrateur (=> c'est LE compte qui n'a pas de limitation).

    Et 1 compte utilisateur non administrateur, avec en plus la limitation : Pas d'accès au lecteur DVD et aux ports USB

    Suis-je assez clair ?

    Oui, et je réponds : ce que tu veux est :

    - impossible en ce qui concerne les lecteurs de CD/DVD
    - possible en ce qui concerne les lecteurs amovibles USB, mais sans possibilité de distinction de compte.

    Au passage, le fait que l'ordinateur appartienne à un workgroup et non pas un domaine ne change rien.

    ======================================================================
     En ce qui concerne ton problème, la clef qui permet le masquage de certains lecteurs est :
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive
    (de type REG_DWORD)
     Elle est définie dans GPEDIT (non utilisable dans les version Familiales) par la stratégie :
     Utilisateur
       Modèles d'administration
           Composants Windows
               Explorateur Windows
                   Empêcher l'accès aux lecteurs à partir du Poste de travail
     La valeur numérique associée correspond à la combinaison des lecteurs :
    A : bit 0 (1)
    B : bit 1 (2)
    C : bit 2 (4)
    D : bit 3 (8)
    E : bit 4 (16)
    F : bit 5 (32)
    G : bit 6 (64)
    H : bit 7 (128)
    I : bit  8 (256)
    J : bit  9 (512)
    K : bit  10 (1024)
    L : bit  11 (2048)
    M : bit 12 (4096)
    N : bit 13 (8192)
    O : bit 14 (16384)
    P : bit 15 (32768)
    Q : bit 16 (65536)
    R : bit 17 (131072)
    S : bit 18 (262144)
    T : bit 19 (524288)
    U : bit 20 (1048576)
    V : bit 21 (2097152)
    W : bit 22 (4194304)
    X : bit 23 (8388608)
    Y : bit 24 (16777216)
    Z : bit 25 (33554432)
     Donc si on veut AUTORISER UNIQUEMENT "C","D" et "X", on codera :
       4 + 8 + 8388608 = 8388620

    Si on veut autoriser TOUS les disques possibles (de A à Z) :
       1 + 2 + 4 +...+ 33554432 =  2^26 -1  = 67108863

    Si un PC comporte
       Disquette A:
       Partition C:
       Partition D:
       CDROM  E:
    et si on veut autoriser A:(1) , E:(16) mais interdire le reste (C: et D:)
       -> 1 + 16 = 17
    ...
    Donc C et D interdits et A et E autorisés correspond à 17 (en décimal)
     * MAIS .... c'est uniquement si tu as du temps à perdre ! *
     Car cette restriction est très facilement CON-TOUR-NA-BLE !
     L'aide en ligne dit d'ailleurs :
       "Remarque : cette stratégie supprime les icônes de lecteur.
        Les utilisateurs peuvent toujours accéder au contenu
        du lecteur en utilisant d'autres méthodes, telles qu'en
        entrant le chemin d'accès à un répertoire sur le lecteur
        dans la boîte de dialogue Connecter un lecteur réseau,
        dans la boîte de dialogue Exécuter, ou dans une fenêtre
        d'invite de commandes."
     Si on veut INTERDIRE TOTALEMENT l'accès à un disque, il faut définir les permissions sur ce disque en conséquence. (NTFS obligatoire, évidemment !)
    Donc si le disque est un lecteur de CD/DVD, vu que les partitions sont de type CDFS/UDF, sans définition possible de permissions, on ne peut rien faire !
     ======================================================================

    PAR CONTRE, quand tu parles de "ports USB", je présumes que tu veux faire allusion aux clefs USB, que tu désires interdire ?

    Si c'est cela, oui, il est possible d'interdire l'ÉCRITURE sur des clefs USB, en ajoutant la clef suivante dans la BDR (elle n'existe pas par défaut - elle a été introduite avec le SP2 de XP) :
      HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies

    et en ajoutant l'entrée de type REG_DWORD suivante :
     WriteProtect
    et en lui attribuant la valeur 1

    (redémarrage de WIndows obligatoire)
     http://technet.microsoft.com/en-us/library/dd349797(WS.10).aspx#BKMK_17

    Elle transforme tous les disques amovibles USB en "lecture seule".
     NB: sur certains forums (NON MICROSOFT!!!) certains ont pris leurs désirs pour des réalités et ont INVENTÉ une entrée analogue "ReadProtect" qui interdirait l'accès en lecture à ces disques USB.

    J'ai recherché dans tout le Technet : cette entrée N'EXISTE PAS!

    Donc c'est UNIQUEMENT l'accès en ÉCRITURE que l'on peut interdire.

    De plus cette clef est opérationnelle UNIQUEMENT sur les OS STATIONS DE TRAVAIL (XP, Vista, Win7), et non pas les OS SERVEURS ( W2k3, W2K8)

    Enfin, les effets de cette clefs s'appliquent à TOUS LES COMPTES, sans distinction!

    Si un administrateur ne veut pas la subir, il doit donc la désactiver (WriteProtect=0) le temps de sa session, puis la réactiver (WriteProtect=1) juste avant de se déconnecter. On ne peut pas dire que ce soit très pratique !
       --
    May the Force be with You!
    La Connaissance s'accroît quand on la partage
    ----------------------------------------------------------
    Jean-Claude BELLAMY [MVP Expert IT Pro]
    http://www.bellamyjc.org  ou http://jc.bellamy.free.fr

    vendredi 25 novembre 2011 10:24
  • Le vendredi 25/11/2011 11:04:32, Florin Ciuca a écrit dans le message <news:decb0c25-9ec7-4409-8d4f-d45c54653fe3@communitybridge.codeplex.com> ce qui suit :

    Bonjour Albertoh,

    Vous pouvez créer unGPO seulement pour les utilisateurs non-admin ou guest <http://www.sevenforums.com/tutorials/151415-group-policy-apply-specific-user-group.html>.

    Cette manip n'est possible que si on dispose d'une version PRO ou au delà, car sous les versions Familiales la MMC GPEDIT.MSC est interdite!
    (je n'ai jamais compris pourquoi cette restriction, vu que GPEDIT n'est qu'une INTERFACE rendant plus aisée les modifications de la BDR!)

    Ouvrez la console. Allez vers*Configuration utilisateur*, *Modelés d’administration*,*System*, *Accès au stockage amovible*,*Toutes les classes de stockage amovible : refuser tous les accès*.

    Sauf que comme je l'ai déjà indiqué dans mon message précédent, ce genre de stratégie ne sert strictement à rien, car pouvant être très facilement contournée, et sans aucune astuce!
     Amicalement ...



    May the Force be with You!
    La Connaissance s'accroît quand on la partage
    ----------------------------------------------------------
    Jean-Claude BELLAMY [MVP Expert IT Pro]
    http://www.bellamyjc.org  ou http://jc.bellamy.free.fr

    vendredi 25 novembre 2011 10:47
  • Oui cela fonctionne (Sur une Version WIN 7 Pro)

    Seul l'utilisateur "administrateur" n'est pas impacté : il a toujours accès aux lecteur DVD et ports USB

    Tous les autres utilisateurs (même ceux faisant partie du groupe "Administrateurs") ont u message "Accès interdit" lorsqu'ils mettent un CD/DVD ou une clé USB

    Merci Bcp

    vendredi 25 novembre 2011 13:48
  • Merci aussi JC pour toutes tes infos
    • Marqué comme réponse albertoh vendredi 25 novembre 2011 14:09
    vendredi 25 novembre 2011 14:09