Merci pour ton aide précieuse : je suis un "cador', maintenant, sur les stratégies de groupe... presque...
Si cela t'intéresse, j'ai mixé les deux méthode (script + GPO).
Je trouve pratique l'emploi du script car il n'y a qu'un seul point d'entrée (le script lanceur) et plusieurs scripts paramétrables ; j'ai utilisé un VBs pour simuler la saisie du mot de passe "administrateur", pour les scripts qui en ont besoin (je sais, pas très sécurisé, mais pour dépanner...).
Par contre, j'ai interdit la modification de la clé concernée par ce post via un GPO au niveau ordinateur, comme tu me l'as conseillé.
Merci encore, Richard.
"moi" a écrit :
Richard_35 wrote: > Bonjour "moi", > > Les directeurs font partie d'une UO à part entière. > Il existe des utilisateurs non-admin qui possèdent les droits de > modification de cette clé, et d'autres pas (problème à résoudre sans > passer sur tous les PC). > Si je procéde par un net logon ou par une startégie de groupe au > niveau "user", la clé de la BDR des utiisateurs autorisés est bien > modifiée, mais pas celle des autres. > Au niveau "ordinateur", je ne peux pas repérer les directeurs. > J'avais pas tout suivi ...mais c'est en bonne voie :
Sur le serveur °°°°°°°°°°°°°°°° dans l'AD : Les directeurs doivent être dans un "Groupe de sécurité" dédié G_Dir par exemple Créer ce groupe et le peupler s'il n'existe pas.
dans NetLogon tu mets BloqueUsb.bat et DebloqueUsb.bat
Ajouter un GPO sur l'OU des directeurs si il n'y en pas pas encore
Il faudra ajouter cette GPO dans la console de gestion des stratégies... pour pouvoir intervenir sur l'OU en question ...
D'une station avec la console ... °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
dans la stratégie pour toutes les machines -Configuration Ordinateur -> Paramètres windows -> Scripts déclarer bloqueUsb.bat comme script de démarrage
Puis
-Configuration Ordinateur -> Paramètres windows -> paramètres de sécurité -> Registre clic droit à droite -> ajouter une clé
Là il faut choisir la clé visé dans la BdR
Puis donner au groupe MonDomaineG_Dir le droit de modif sur cette clé ...
Enfin avec la console des stratégies toujours mais dans l'OU des Directeurs
pour la partie Utilisateurs
DebloqueUsb.bat comme script d'ouverture de session
tu mets BloqueUsb.bat comme script de fermeture de session
Ainsi, pour les postes où plusieurs personnes se succèdent, celà restera "transparent"...
Voilà ...
ouf ...
HB
Bonjour "moi",
Merci pour ton aide précieuse : je suis un "cador', maintenant, sur les
stratégies de groupe... presque...
Si cela t'intéresse, j'ai mixé les deux méthode (script + GPO).
Je trouve pratique l'emploi du script car il n'y a qu'un seul point d'entrée
(le script lanceur) et plusieurs scripts paramétrables ; j'ai utilisé un VBs
pour simuler la saisie du mot de passe "administrateur", pour les scripts qui
en ont besoin (je sais, pas très sécurisé, mais pour dépanner...).
Par contre, j'ai interdit la modification de la clé concernée par ce post
via un GPO au niveau ordinateur, comme tu me l'as conseillé.
Merci encore,
Richard.
"moi" a écrit :
Richard_35 wrote:
> Bonjour "moi",
>
> Les directeurs font partie d'une UO à part entière.
> Il existe des utilisateurs non-admin qui possèdent les droits de
> modification de cette clé, et d'autres pas (problème à résoudre sans
> passer sur tous les PC).
> Si je procéde par un net logon ou par une startégie de groupe au
> niveau "user", la clé de la BDR des utiisateurs autorisés est bien
> modifiée, mais pas celle des autres.
> Au niveau "ordinateur", je ne peux pas repérer les directeurs.
>
J'avais pas tout suivi ...mais c'est en bonne voie :
Sur le serveur
°°°°°°°°°°°°°°°°
dans l'AD :
Les directeurs doivent être dans un "Groupe de sécurité" dédié
G_Dir par exemple
Créer ce groupe et le peupler s'il n'existe pas.
dans NetLogon tu mets
BloqueUsb.bat et DebloqueUsb.bat
Ajouter un GPO sur l'OU des directeurs si il n'y en pas pas encore
Il faudra ajouter cette GPO
dans la console de gestion des stratégies...
pour pouvoir intervenir sur l'OU en question ...
D'une station avec la console ...
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
dans la stratégie pour toutes les machines
-Configuration Ordinateur -> Paramètres windows
-> Scripts
déclarer bloqueUsb.bat comme script de démarrage
Puis
-Configuration Ordinateur -> Paramètres windows
-> paramètres de sécurité -> Registre
clic droit à droite -> ajouter une clé
Là il faut choisir la clé visé dans la BdR
Puis donner au groupe MonDomaineG_Dir
le droit de modif sur cette clé ...
Enfin avec la console des stratégies toujours
mais dans l'OU des Directeurs
pour la partie Utilisateurs
DebloqueUsb.bat comme
script d'ouverture de session
tu mets BloqueUsb.bat comme
script de fermeture de session
Ainsi, pour les postes où plusieurs personnes se succèdent,
celà restera "transparent"...
Merci pour ton aide précieuse : je suis un "cador', maintenant, sur les stratégies de groupe... presque...
Si cela t'intéresse, j'ai mixé les deux méthode (script + GPO).
Je trouve pratique l'emploi du script car il n'y a qu'un seul point d'entrée (le script lanceur) et plusieurs scripts paramétrables ; j'ai utilisé un VBs pour simuler la saisie du mot de passe "administrateur", pour les scripts qui en ont besoin (je sais, pas très sécurisé, mais pour dépanner...).
Par contre, j'ai interdit la modification de la clé concernée par ce post via un GPO au niveau ordinateur, comme tu me l'as conseillé.
Merci encore, Richard.
"moi" a écrit :
Richard_35 wrote: > Bonjour "moi", > > Les directeurs font partie d'une UO à part entière. > Il existe des utilisateurs non-admin qui possèdent les droits de > modification de cette clé, et d'autres pas (problème à résoudre sans > passer sur tous les PC). > Si je procéde par un net logon ou par une startégie de groupe au > niveau "user", la clé de la BDR des utiisateurs autorisés est bien > modifiée, mais pas celle des autres. > Au niveau "ordinateur", je ne peux pas repérer les directeurs. > J'avais pas tout suivi ...mais c'est en bonne voie :
Sur le serveur °°°°°°°°°°°°°°°° dans l'AD : Les directeurs doivent être dans un "Groupe de sécurité" dédié G_Dir par exemple Créer ce groupe et le peupler s'il n'existe pas.
dans NetLogon tu mets BloqueUsb.bat et DebloqueUsb.bat
Ajouter un GPO sur l'OU des directeurs si il n'y en pas pas encore
Il faudra ajouter cette GPO dans la console de gestion des stratégies... pour pouvoir intervenir sur l'OU en question ...
D'une station avec la console ... °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
dans la stratégie pour toutes les machines -Configuration Ordinateur -> Paramètres windows -> Scripts déclarer bloqueUsb.bat comme script de démarrage
Puis
-Configuration Ordinateur -> Paramètres windows -> paramètres de sécurité -> Registre clic droit à droite -> ajouter une clé
Là il faut choisir la clé visé dans la BdR
Puis donner au groupe MonDomaineG_Dir le droit de modif sur cette clé ...
Enfin avec la console des stratégies toujours mais dans l'OU des Directeurs
pour la partie Utilisateurs
DebloqueUsb.bat comme script d'ouverture de session
tu mets BloqueUsb.bat comme script de fermeture de session
Ainsi, pour les postes où plusieurs personnes se succèdent, celà restera "transparent"...
Voilà ...
ouf ...
HB
moi
Richard_35 wrote:
Bonjour "moi",
Merci pour ton aide précieuse : je suis un "cador', maintenant, sur les stratégies de groupe... presque...
Si cela t'intéresse, j'ai mixé les deux méthode (script + GPO).
Je trouve pratique l'emploi du script car il n'y a qu'un seul point d'entrée (le script lanceur) et plusieurs scripts paramétrables ; j'ai utilisé un VBs pour simuler la saisie du mot de passe "administrateur", pour les scripts qui en ont besoin (je sais, pas très sécurisé, mais pour dépanner...).
En quoi cela était-ce utile ? Les script lancés par GPO sur une OU "Machines" s'exécutent sous l'autorité du compte "system local" et peuvent donc modifier la BdR "machine" (HKLM) sans pb ...
... enfin, l'important est que cela fonctionne ;o)
Par contre, j'ai interdit la modification de la clé concernée par ce post via un GPO au niveau ordinateur, comme tu me l'as conseillé.
Merci encore,
Y'a pas d'quoi ;o)
Bonne continuation
HB
Richard_35 wrote:
Bonjour "moi",
Merci pour ton aide précieuse : je suis un "cador', maintenant, sur
les stratégies de groupe... presque...
Si cela t'intéresse, j'ai mixé les deux méthode (script + GPO).
Je trouve pratique l'emploi du script car il n'y a qu'un seul point
d'entrée (le script lanceur) et plusieurs scripts paramétrables ;
j'ai utilisé un VBs pour simuler la saisie du mot de passe
"administrateur", pour les scripts qui en ont besoin (je sais, pas
très sécurisé, mais pour dépanner...).
En quoi cela était-ce utile ?
Les script lancés par GPO sur une OU "Machines"
s'exécutent sous l'autorité du compte "system local"
et peuvent donc modifier la BdR "machine" (HKLM)
sans pb ...
... enfin, l'important est que cela fonctionne ;o)
Par contre, j'ai interdit la modification de la clé concernée par ce
post via un GPO au niveau ordinateur, comme tu me l'as conseillé.
Merci pour ton aide précieuse : je suis un "cador', maintenant, sur les stratégies de groupe... presque...
Si cela t'intéresse, j'ai mixé les deux méthode (script + GPO).
Je trouve pratique l'emploi du script car il n'y a qu'un seul point d'entrée (le script lanceur) et plusieurs scripts paramétrables ; j'ai utilisé un VBs pour simuler la saisie du mot de passe "administrateur", pour les scripts qui en ont besoin (je sais, pas très sécurisé, mais pour dépanner...).
En quoi cela était-ce utile ? Les script lancés par GPO sur une OU "Machines" s'exécutent sous l'autorité du compte "system local" et peuvent donc modifier la BdR "machine" (HKLM) sans pb ...
... enfin, l'important est que cela fonctionne ;o)
Par contre, j'ai interdit la modification de la clé concernée par ce post via un GPO au niveau ordinateur, comme tu me l'as conseillé.
Merci encore,
Y'a pas d'quoi ;o)
Bonne continuation
HB
Richard_35
Bonjour "moi",
Je croyais en avoir fini... pas si cador que ça, finalement... J'ai créé une GPO, mais cela ne fonctionne pas.
GPO en question : http://cjoint.com/?koj0QXZ20o Propriété user : http://cjoint.com/?koj1mfHUU2
Sur le profil du user concerné, la modification de "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR" est possible. Je ne comprends pas trop... mais, c'est certainement de ma faute.
Si tu as un début de solution, je suis preneur. Merci d'avance, Richard.
"moi" a écrit :
Richard_35 wrote: > Bonjour "moi", > > Merci pour ton aide précieuse : je suis un "cador', maintenant, sur > les stratégies de groupe... presque... > > Si cela t'intéresse, j'ai mixé les deux méthode (script + GPO). > > Je trouve pratique l'emploi du script car il n'y a qu'un seul point > d'entrée (le script lanceur) et plusieurs scripts paramétrables ; > j'ai utilisé un VBs pour simuler la saisie du mot de passe > "administrateur", pour les scripts qui en ont besoin (je sais, pas > très sécurisé, mais pour dépanner...). >
En quoi cela était-ce utile ? Les script lancés par GPO sur une OU "Machines" s'exécutent sous l'autorité du compte "system local" et peuvent donc modifier la BdR "machine" (HKLM) sans pb ...
.... enfin, l'important est que cela fonctionne ;o)
> Par contre, j'ai interdit la modification de la clé concernée par ce > post via un GPO au niveau ordinateur, comme tu me l'as conseillé. > > Merci encore,
Y'a pas d'quoi ;o)
Bonne continuation
HB
Bonjour "moi",
Je croyais en avoir fini... pas si cador que ça, finalement...
J'ai créé une GPO, mais cela ne fonctionne pas.
GPO en question :
http://cjoint.com/?koj0QXZ20o
Propriété user :
http://cjoint.com/?koj1mfHUU2
Sur le profil du user concerné, la modification de
"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR" est possible.
Je ne comprends pas trop... mais, c'est certainement de ma faute.
Si tu as un début de solution, je suis preneur.
Merci d'avance,
Richard.
"moi" a écrit :
Richard_35 wrote:
> Bonjour "moi",
>
> Merci pour ton aide précieuse : je suis un "cador', maintenant, sur
> les stratégies de groupe... presque...
>
> Si cela t'intéresse, j'ai mixé les deux méthode (script + GPO).
>
> Je trouve pratique l'emploi du script car il n'y a qu'un seul point
> d'entrée (le script lanceur) et plusieurs scripts paramétrables ;
> j'ai utilisé un VBs pour simuler la saisie du mot de passe
> "administrateur", pour les scripts qui en ont besoin (je sais, pas
> très sécurisé, mais pour dépanner...).
>
En quoi cela était-ce utile ?
Les script lancés par GPO sur une OU "Machines"
s'exécutent sous l'autorité du compte "system local"
et peuvent donc modifier la BdR "machine" (HKLM)
sans pb ...
.... enfin, l'important est que cela fonctionne ;o)
> Par contre, j'ai interdit la modification de la clé concernée par ce
> post via un GPO au niveau ordinateur, comme tu me l'as conseillé.
>
> Merci encore,
Je croyais en avoir fini... pas si cador que ça, finalement... J'ai créé une GPO, mais cela ne fonctionne pas.
GPO en question : http://cjoint.com/?koj0QXZ20o Propriété user : http://cjoint.com/?koj1mfHUU2
Sur le profil du user concerné, la modification de "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR" est possible. Je ne comprends pas trop... mais, c'est certainement de ma faute.
Si tu as un début de solution, je suis preneur. Merci d'avance, Richard.
"moi" a écrit :
Richard_35 wrote: > Bonjour "moi", > > Merci pour ton aide précieuse : je suis un "cador', maintenant, sur > les stratégies de groupe... presque... > > Si cela t'intéresse, j'ai mixé les deux méthode (script + GPO). > > Je trouve pratique l'emploi du script car il n'y a qu'un seul point > d'entrée (le script lanceur) et plusieurs scripts paramétrables ; > j'ai utilisé un VBs pour simuler la saisie du mot de passe > "administrateur", pour les scripts qui en ont besoin (je sais, pas > très sécurisé, mais pour dépanner...). >
En quoi cela était-ce utile ? Les script lancés par GPO sur une OU "Machines" s'exécutent sous l'autorité du compte "system local" et peuvent donc modifier la BdR "machine" (HKLM) sans pb ...
.... enfin, l'important est que cela fonctionne ;o)
> Par contre, j'ai interdit la modification de la clé concernée par ce > post via un GPO au niveau ordinateur, comme tu me l'as conseillé. > > Merci encore,
Y'a pas d'quoi ;o)
Bonne continuation
HB
moi
Richard_35 wrote:
Bonjour "moi",
Je croyais en avoir fini... pas si cador que ça, finalement... J'ai créé une GPO, mais cela ne fonctionne pas.
GPO en question : http://cjoint.com/?koj0QXZ20o Propriété user : http://cjoint.com/?koj1mfHUU2
Sur le profil du user concerné, la modification de "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR" est possible. Je ne comprends pas trop... mais, c'est certainement de ma faute.
Cela provient peut-être des bricolages intermédiaires ???
Est-ce le seul user ayant ce droit ? Est-ce le cas sur toutes les machines concernées ? N'y a -t-il pas dans une sous-OU le contenant, une stratégie qui annule la stratégie posée sur l'OU des utilisateurs ?
... difficile de dire d'où ça vient ...
il faudrait avoir un résumé structuré : - des OU "matérielles" avec celles où existe une stratégie portant sur cette clé. ( script et/ou registre ) - des OU "utilisateurs" avec celles où une stratégie (script) existe etc ...
et puis voir quels autres scripts éventuels ( script de profil ) interviennent dans cette affaire.
Ce n'est peut-être aussi qu'un pb de "rafraichissement" des stratégies ...
HB
Richard_35 wrote:
Bonjour "moi",
Je croyais en avoir fini... pas si cador que ça, finalement...
J'ai créé une GPO, mais cela ne fonctionne pas.
GPO en question :
http://cjoint.com/?koj0QXZ20o
Propriété user :
http://cjoint.com/?koj1mfHUU2
Sur le profil du user concerné, la modification de
"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR" est
possible. Je ne comprends pas trop... mais, c'est certainement de ma
faute.
Cela provient peut-être des bricolages intermédiaires ???
Est-ce le seul user ayant ce droit ?
Est-ce le cas sur toutes les machines concernées ?
N'y a -t-il pas dans une sous-OU le contenant, une stratégie qui
annule la stratégie posée sur l'OU des utilisateurs ?
... difficile de dire d'où ça vient ...
il faudrait avoir un résumé structuré :
- des OU "matérielles" avec celles où existe
une stratégie portant sur cette clé.
( script et/ou registre )
- des OU "utilisateurs" avec celles où une stratégie (script)
existe etc ...
et puis voir quels autres scripts éventuels ( script de profil )
interviennent dans cette affaire.
Ce n'est peut-être aussi
qu'un pb de "rafraichissement" des stratégies ...
Je croyais en avoir fini... pas si cador que ça, finalement... J'ai créé une GPO, mais cela ne fonctionne pas.
GPO en question : http://cjoint.com/?koj0QXZ20o Propriété user : http://cjoint.com/?koj1mfHUU2
Sur le profil du user concerné, la modification de "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR" est possible. Je ne comprends pas trop... mais, c'est certainement de ma faute.
Cela provient peut-être des bricolages intermédiaires ???
Est-ce le seul user ayant ce droit ? Est-ce le cas sur toutes les machines concernées ? N'y a -t-il pas dans une sous-OU le contenant, une stratégie qui annule la stratégie posée sur l'OU des utilisateurs ?
... difficile de dire d'où ça vient ...
il faudrait avoir un résumé structuré : - des OU "matérielles" avec celles où existe une stratégie portant sur cette clé. ( script et/ou registre ) - des OU "utilisateurs" avec celles où une stratégie (script) existe etc ...
et puis voir quels autres scripts éventuels ( script de profil ) interviennent dans cette affaire.
Ce n'est peut-être aussi qu'un pb de "rafraichissement" des stratégies ...
