Stratégie de sécurité inverse? - Windows & Software
Marsh Posté le 17-09-2004 à 10:55:08
en terme de stratégie c'est toujours celle qui INTERDIT qui à la priorité.
Donc il faut : autoriser les clé usb en A et les interdit pour certaines personnes en C ....
Marsh Posté le 17-09-2004 à 10:59:50
com21 a écrit : en terme de stratégie c'est toujours celle qui INTERDIT qui à la priorité. |
Dans mon cas c'est un .ADM perso, rajouté, qui vient changer un clé du registre, comment peut il savoir laquelle bloque et laquelle debloque?
Marsh Posté le 17-09-2004 à 11:00:43
en testant.
Marsh Posté le 17-09-2004 à 11:12:30
Je viens d'inverser, la A debloque et la C bloque, et apres test il semble qu'en fait la C ne s'applique pas.
La C est parametrée pour s'appliquer au membre du groupe USB, auquel appartient la machine, je ne vois pas pourquoi elle ne s'applique pas.
Marsh Posté le 17-09-2004 à 11:14:27
Question à la c..
Le paramètres "Appliquer la stratégie de sécurité" est bien coché pour le groupe concerné ?
Marsh Posté le 17-09-2004 à 11:17:42
Oui, pour le groupe, il y'a lire et appliquer qui sont cochés
Marsh Posté le 17-09-2004 à 11:25:53
Je crois que les paramètres des GPO pour les ordinateurs priment sur les GPO utilisateurs en cas de conflits.
De plus, lors d'un conflits entre 2 GPO, c'est celle du haut de la liste qui est appliqué.
Marsh Posté le 17-09-2004 à 11:30:27
kill9 a écrit : Je crois que les paramètres des GPO pour les ordinateurs priment sur les GPO utilisateurs en cas de conflits. |
Si ce que tu dis est vrai, alors effectivement il y a conflit, et donc la premiere strategie est appliqué.
Je vais essayé de remonter en haut la stratégie C
Marsh Posté le 17-09-2004 à 11:34:21
kill9 a écrit : Active l'inscription dans le journal de diagnostic |
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\
tu rajoute la clé Diagnostic
Dans celle-ci tu cré une valeur DWORD RunDiagnosticLoggingGlobal à 1
Ensuite tu active l'inscription commentée
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
tu rajoute la valeur DWORD UserEnvDebugLevel que tu met à 30002
Marsh Posté le 17-09-2004 à 11:37:18
Ok c'est good, j'ai placé la stratégie C en haut et ca marche.
Merci a toi.
Marsh Posté le 17-09-2004 à 11:43:45
Pourquoi faire deux stratégies quand une seule suffit. Fait une stratégie pour bloquer l'accès aux clés USB. Ensuite, dans les propriétés de sécurité de la stratégie, tu ajoute le groupe USB, et tu coches la case Refuser de la ligne Appliquer la stratégie. Résultat, ta stratégie de blocage s'appliquera uniquement aux utilisateurs qui ne sont pas dans le groupe USB.
Marsh Posté le 17-09-2004 à 11:45:31
cqfd
edit: pourquoi n'y ais-je pas pensé plus tôt
Marsh Posté le 17-09-2004 à 12:05:49
Sauf que ca ne marche pas
Parceque je n'ai pas de stratégie de retour a la normal (cette stratégie s'applique malheureusement a la machine, puisque c'est une clé machine, il faut donc pouvoir remettre la machine à l'etat normal si l'utilisateur change de poste de travail).
Marsh Posté le 17-09-2004 à 12:09:33
D'ailleurs je trouve cette gestion partie machine, partie user un peu a chier.
En réalité l'utilisation de clé usb, on voudrait le bloquer aux utilisateurs, pas au machine. Un utilisateur qui a le droit d'utiliser des clés devrait pouvoir les utiliser partout, ce qui n'est du coup pas le cas.
Marsh Posté le 17-09-2004 à 10:51:13
Bonjour,
j'ai créé 3 stratégies de sécurité, qu'on appelera pour simplifier:
A
B
C
qui s'appliquent dans cette ordre.
La stratégie A positionne un certain nombre de truc, en particulier un parametre qui bloque l'utilisation des clés usb, elle s'applique a tout le monde et a toutes les machines.
La stratégie C doit permettre de réactiver l'utilisation des clés USB, elle a donc un seul parametre, qui est l'inverse de celui positionné dans A, et ne s'appliquent qu'aux machines autorisés (via un groupe).
Probleme, si la stratégie A marche, la C n'a pas l'air de s'appliquer.
Pourtant si C s'appliquent apres A, les parametres de A devrait s'appliquer puis celui de C devrait venir remplacer celui de A non?
Question, est il possible d'annuler un parametre en appliquant l'inverse? Pourquoi cela ne marche pas