Installation von Geräten per GPO steuern

Mitglied: Doskias

Doskias (Level 2) - Jetzt verbinden

08.04.2021 um 16:34 Uhr, 793 Aufrufe, 18 Kommentare, 1 Danke

Hallo liebe Liebenden :-) face-smile

heute ist nicht Freitag, also kommt hier keine Freitagsfrage. Heute ist Donnerstag, also kommt hier eine Donnerstags-Knobelaufgabe.

Die Situation: Die Produktiv-Umgebung besteht aus Windows 8 und Windows 10 Clients. An diesen Clients sollen die Mitarbeiter keine mitgebrachten Datenträger einlesen. Also sollten alle Zugriffe deaktiviert werden. Dazu habe ich eine GPO konfiguriert und diese sieht wie folgt aus:

gpo1 - Klicke auf das Bild, um es zu vergrößern


Das ganze funktioniert wunderbar. CD/DVD Laufwerke sind gesperrt und USB-Sticks gehen nicht. Diskettenlaufwerk funktioniert und wird an einigen Rechnern auch tatsächlich benötigt um Daten von Produktionsmaschinen (ab Dos 5.0 aufwärts) auf die Rechner zu übertragen und zurück. Außerdem funktioniert in der obigen Einstellung die Kamera, die nicht als USB-Gerät erkannt wird, während (zum Beispiel) der Dymo Labelwriter der per USB angeschlossen wird als Wechseldatenträger erkannt wird und damit nur an einer begrenzten Anzahl an Plätzen funktioniert, nämlich bei denen wo dieses GPO nicht gilt. Soweit alles gut.

Jetzt ist aufgefallen, dass bei den hier gezeigten Einstellungen jeder Mitarbeiter einfach sein Smartphone anschließen kann und schon kann er Daten wieder unkontrolliert an der Firewall vorbei schleusen. Mein erster Impuls: einfach bei der hier gezeigten GPO alle Wechselmedien sperren. Der Effekt: Handys gehen nicht mehr. Der Nebeneffekt: die Firmeninternen Kameras und die Diskettenlaufwerke allerdings auch nicht. Also nicht die Lösung. Einstellung auf das Bild von oben zurück gedreht und weiter gesucht. Dabei eine weitere Option gefunden und konfiguriert. Und zwar diese hier:
gpo2 - Klicke auf das Bild, um es zu vergrößern
Effekt: Der User kann zwar weiterhin sein Handy anschließen. Da aber ein Treiber dafür benötigt wird, den der User nicht installieren kann, hat er keinen Zugriff darauf. Da die GPO erst nach der Installation der Clients erfolgt ist der Treiber des Diskettenlaufwerkes schon installiert, so dass dieses problemlos funktioniert. Die Kamera wird zwar blockiert, aber durch die Sonderrechte des Administrators kann ich die Treiber händisch installieren. Das muss ich zwar an jedem Rechner machen wo die Kamera angeschlossen wird, aber das ist überschaubar, zumal die Installation des Treibers nur einmalig nötig ist. Beim zweiten Anschluss des gleichen Gerätes wird dann kein Treiber mehr benötigt.

Die Administration und die Geschäftsführung war glücklich zumindest für eine Weile. Und hier könnte die Geschichte enden, wenn nicht der Admin einen fatalen Denkfehler gemacht hätte. Folgendes war nämlich passiert:

Heute musste dann bei einem Anwender ein Rechner von Windows 8 auf Windows 10 getauscht werden. Der Rechner wurde wie immer vorbereitet und nach vorgaben installiert und konfiguriert. Es war alles fertig und ich hatte ihn getauscht. Der Rechner fährt hoch, der Anmeldebildschirm kommt und... Maus und Tastatur funktionieren nicht. Mir natürlich sofort klar, dass es an der GPO lag, denn die verhindert ja die Installation von Wechselgeräten, also auch Maus & Tastatur und diese sind beim Anwender anders als bei mir in der Werkstatt. Also schnell an einen anderen Rechner, RDP auf den neuen Rechner, per Admin die Treiber installiert und alles funktioniert. Im Nachgang habe ich mir dann die Optionen in dem Bereich noch einmal angesehen:
gpo3 - Klicke auf das Bild, um es zu vergrößern
Ja ich kann hier (theoretisch) die untere Option wählen und dann die Installation von Geräten zulassen die zu einer bestimmten Geräte-ID bzw. einer Geräteinstanz-ID gehören. Nur kommt hier das nächste Problem: die Geräte-ID gibt ja neben dem Hersteller auch das Modell mit an. Und bei uns darf sich jeder User seine Maus und Tastatur selbst aussuchen, solange es einen finanziellen Rahmen nicht sprengt. Das Ergebnis ist, dass wir gefühlt genau so viele unterschiedliche Maus/Tastatur-Kombinationen haben wie Anwender.

Die Kernfrage ist also: Wie muss ich die beiden GPOs (oder vielleicht eine weitere) konfigurieren, dass bei allen Geräten außer Maus und Tastatur ein Armin-Account benötigt wird? Gibt es eine Geräteinstanz-ID, Gerätesetupklasse oder Geräte-ID mit der ich alle Mäuse und Tastaturen (und sei es nur von eine Hersteller) zur Installation freigeben kann?

Gruß
Doskias
Mitglied: DerWoWusste
08.04.2021 um 18:16 Uhr
Hi.

Wpd devices heißen die Dinger. Dafür gibt es eine einzelne GPO. Google mal.
Bitte warten ..
Mitglied: Doskias
08.04.2021 um 19:36 Uhr
Danke für deine beiden Posts. Wie du am ersten Bild sehen kannst, habe ich die WPD Geräte schon berücksichtigt. Ich werde es morgen gerne noch einmal testen, aber ich bin mir sicher, dass das Sperren der WPD-Geräte im Januar auch zum Sperren der Kamera geführt hat.
Bitte warten ..
Mitglied: DerWoWusste
08.04.2021 um 19:53 Uhr
Oh, Verzeihung. Wir haben eh beides gesperrt, da fällt das nicht auf.
Bitte warten ..
Mitglied: mayho33
08.04.2021 um 21:53 Uhr
Zumindest was die Treiberinstallation angeht kann ich dir den Tipp geben:

Bastel ein kleiner Script das via pnputil -i -a <%~bp0*.inf> deine Treiber installiert.

Packe alles in einen Ordner und starte das Script in einer GPO.

Sobald der User die Kamera ansteckt werden die Treiber bereitgestellt.

Grüße!
Bitte warten ..
Mitglied: DerWoWusste
08.04.2021 um 22:52 Uhr
Es gibt doch zweit GPOs, eine für Gerätesetupklassen und eine für IDs. Wenn du nun die gesamte Klasse Tastatur und die gesamte Klasse Maus zulāsst, passt das nicht?
Bitte warten ..
Mitglied: mayho33
09.04.2021 um 01:33 Uhr
Zitat von @DerWoWusste:

Es gibt doch zweit GPOs, eine für Gerätesetupklassen und eine für IDs. Wenn du nun die gesamte Klasse Tastatur und die gesamte Klasse Maus zulāsst, passt das nicht?

Er hat ja noch seine USB Kameras
Bitte warten ..
Mitglied: Doskias
09.04.2021 um 08:07 Uhr
Zitat von @DerWoWusste:
Es gibt doch zweit GPOs, eine für Gerätesetupklassen und eine für IDs. Wenn du nun die gesamte Klasse Tastatur und die gesamte Klasse Maus zulässt, passt das nicht?

Doch ich glaube das müsste passen. ich glaube auch, es war gestern einfach schon zu kur vor Feierabend :-) face-smile Ich habe keine Geräteklassen-ID für die Tastatur gefunden, die der Beschreibung in der GPO entspricht.
gpo4 - Klicke auf das Bild, um es zu vergrößern

Hab grade noch mal geschaut welche Eigenschaften ich bei der Tastatur auslesen kann und bin mir ziemlich sicher, dass es in den Einstellungen nur Klassen-GUID heißt. Zumindest er Wert entspricht vom Format dem in der GPO.
gpo5 - Klicke auf das Bild, um es zu vergrößern

Kennst du zufällig eine Auflistung welche Klassen-GUID für welche Geräte stehen? Ich hab bei Google auf die schnelle nichts gefunden. {4d36e96f-e325-11ce-bfc1-08002be10318} müsste meiner Recherche nach dann die Klassen-GUID der Mäuse sein.

Zitat von @mayho33:
Er hat ja noch seine USB Kameras

Die sind aber (wie oben geschrieben) egal. Die dürfen nur nicht ausgesperrt werden. Wenn ich für die Kameras mich einmalig als Admin anmelden muss um den Treiber zu installieren, dann ist das kein Problem. Die Rechner an denen die Kameras angeschlossen werden kann ich im wahrsten Sinne des Wortes an einer Hand abzählen.

Gruß
Doskias
Bitte warten ..
Mitglied: Tektronix
09.04.2021 um 09:23 Uhr
Moin,
versuchs mal mit HID-konforme Maus, Klassen-GUID und HID-Tastatur, Klassen-GUID. Allerdings musste ich Maus und Tastatur deaktivieren, wobei die Bildschirmtastatur funktionieren sollte.
Hat bei mir an All-in Geräten funktioniert. Kamera und Bildschirmtastatur funktionierten trotzdem.
Bitte warten ..
Mitglied: Doskias
14.04.2021 um 10:25 Uhr
Hallo DWW,

meine GPO sieht jetzt so aus:
gpo6 - Klicke auf das Bild, um es zu vergrößern

Die ersten beiden Einträge sind die Geräte-IDs die ich im Gerätemanager für Maus und Tastatur ausfindig machen konnte. Die unteren beiden sind die von der von dir geposteten Website. Heute musste ich wieder Hardware an einem Gerät umbauen (Laufwerk defekt) und habe dafür das Gehäuse geöffnet. Nach dem Umbau wurden die gleichen Geräte bezüglich Maus/Tastatur wieder angeschlossen, aber ohne Installationsgenehmigung eines Admins funktionierten Sie nicht.

Habe es geprüft. Sowohl die Maus als auch die Tastatur sind dort eingetragen. Bei der Suche ist mir jetzt folgendes aufgefallen. In der GPO Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind steht
Wenn Sie diese Richtlinieneinstellung aktivieren, kann Windows Gerätetreiber für Geräte, die nicht in den Richtlinieneinstellungen „Installation von Geräten mit diesen Geräte-IDs verhindern“, „Installation von Geräten mit diesen Geräte-IDs zulassen“ oder „Installation von Geräten zulassen, die mit einer der folgenden Geräteinstanz-IDs übereinstimmen“ beschrieben werden, nicht installieren oder aktualisieren.

Meine Option heißt allerdings Installation von Geräten mit Treibern zulassen, die diesen Gerätesetupklassen entsprechen. Diese ist in der Beschreibung nicht aufgeführt. Allerdings gibt es diese nicht in der Auflistung der Beschreibung. Was mich auch wundert ist in der oben genannten Auflistung der Eintrag „Installation von Geräten mit diesen Geräte-IDs verhindern“. Das heißt wenn ich einen Wert in der Geräte-ID verhindern eintrage, dann kann sie installiert werden. Müsste das hier nicht genau anders herum sein? Von der Beschreibung her ist durchaus richtig, dass die Maus/Tastatur nicht installiert wird, weil meine GPO nicht in der Beschreibung auftaucht. Allerdings finde ich keine andere GPO im Bereich der Geräteinstallation die ein Zulassen von Geräte in dem Format der Geräte-ID erlaubt.

Hab ich einen Denkfehler? Mach ich was falsch oder geht die Kombination die ich vorhabe garnicht?

Gruß
Doskias
Bitte warten ..
Mitglied: DerWoWusste
14.04.2021 um 17:52 Uhr
Hi.

Hab's eben ausgetestet und es läuft wie erwartet. Ich habe dir oben eine falsche Fährte gewiesen, deine Device Setup Classes waren schon richtig.
Hier meine Policies (nur Tastatur und Maus gehen):
capture - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Doskias
16.04.2021, aktualisiert um 10:39 Uhr
Sieht genau so aus wie meine, daher habe ich das ganze jetzt mal getestet und konnte dabei folgendes in Erfahrung bringen:

Ich habe eine Cherry GmbH-Tastaturen (USB) angeschlossen. Diese wurde nicht automatisch installiert. Als anderes Gerät ohne Treiber war keine Klassen-GUID vorhanden. Also habe ich die Tastatur es als Administrator installiert. Ergebnis: Es taucht als "Cherry GmbH-Tastatur (USB) unter Eingabegeräte auf und die Klassen-GUID {745a17a0-74d3-11d0-b6f-00a0c90f57da}. Verständlich, dass es dann nicht installiert wird, weil diese Klassen-GUID habe ich oben ja nicht angegeben. Allerdings taucht das gleiche Gerät auch unter Tastatur auf. Der Name ist Identisch, die Klassen-GUID an der Stelle allerdings {4d36e96b-e325-11ce-bfc1-08002b10318}. Dies Klassen-GUID ist in meiner GPO konfiguriert. Laut GPResult hat sich der Rechner korrekt die GPO gezogen und verarbeitet. Geräteklassen mit der ID {4d36e96b-e325-11ce-bfc1-08002b10318} haben die Erlaubnis zur Treiberinstallation.

An welcher Stelle hab ich einen Denkfehler?

Gruß
Doskias

Nachtrag: Habe die 745er Klassen-GUID jetzt auch hinzugefügt. Keine Änderung. Außerdem muss ich als Administrator die Installation des Treibers für jeden USB-Port einzeln vornehmen. Ist das normal?
Bitte warten ..
Mitglied: Ghent74
16.04.2021 um 11:03 Uhr
Zitat von @Doskias:
Außerdem muss ich als Administrator die Installation des Treibers für jeden USB-Port einzeln vornehmen. Ist das normal?

Wenn ich ein Gerät an einen anderen USB-Port anschließe, dann startet er immer die Treiberinstallation.
Durch deine GPO musst du das dann immer als Admin machen, da hilft es auch nichts, wenn der Treiber auf dem System schon vorhanden ist.
Bitte warten ..
Mitglied: DerWoWusste
16.04.2021, aktualisiert um 11:29 Uhr
Ich habe die Tests mit nur einer Tastatur, einer Maus und einem SmartCardreader gemacht. Alles war wie erwartet und ließ sich installieren ohne Adminrechte (Maus, Tastatur), oder eben nur mit Adminrechten (SmartCardreader). Ich kann nicht beurteilen, was bei Dir falsch läuft und habe auch zu Hause wenig Geräte zum Testen.
Bitte warten ..
Mitglied: Doskias
16.04.2021, aktualisiert um 11:54 Uhr
Zitat von @Ghent74:
Zitat von @Doskias:
Außerdem muss ich als Administrator die Installation des Treibers für jeden USB-Port einzeln vornehmen. Ist das normal?
Wenn ich ein Gerät an einen anderen USB-Port anschließe, dann startet er immer die Treiberinstallation.
Durch deine GPO musst du das dann immer als Admin machen, da hilft es auch nichts, wenn der Treiber auf dem System schon vorhanden ist.

Ähm.. wie sag ich das jetzt nett: Die Aussage ist teilweise falsch. Nachdem ich den Treiber (zum Beispiel für den oberen Port am vorderen Anschluss) installiert habe, dann den Port darunter wähle und dort die Treiber installiere, kann ich anschließend munter zwischen den Ports hin und herwechseln. Wenn nach deiner Aussage immer die Treiberinstallation gestartet wird und ich dies immer als Admin machen muss, dürfte der Wechsel hin und her ja gar nicht möglich sein.
Außerdem auch grade noch einmal getestet und an meinem Rechner (einer von dreien im Unternehmen bei denen das geht) einen USB-Stick angeschlossen. Ich musste wie erwartet mich mit dem Administrator authentifizieren um den Treiber zu installieren. Anschließend konnte ich von allen anderen USB-Ports auf den Stick zugreifen ohne dass ich als Administrator die Installation nochmal bestätigen musste.

Habe es dann direkt an dem Test-Rechner auch nochmal getestet, an dem ich das Verhalten der Tastatur ausprobiert habe. Auch hier das gleiche Ergebnis. Die Installation die USB-Sticks ist nur einmalig für alle Ports erforderlich und nicht für jeden Port separat. Selbst nach einem Neustart und der Anmeldung eines völlig anderen Benutzers wird beim USB-Stick kein zweites mal nach einer Treiberinstallation unter Adminrechten gefragt. Bei der Tastatur weiterhin jedes mal.

Also bisheriges Fazit: steht die Klassen-Guid (wie bei der Tastatur) in der GPO muss ich bei jedem Port die Treiberinstallation als Admin durchführen. Steht die Klassen-GUID nicht in der Liste (wie beim USB-Stick), dann reicht einmal für alle Ports. Ich weiß: Das macht so überhaupt keinen Sinn, ist aber nach bisherigen Test das Ergebnis.

Nachtrag:
So, ich habe das ganze jetzt weiter verifiziert es ist nicht so wie oben vermutet. Ich habe einfach die Installation generell unterbunden und bei jeder Installation die Adminrechte als erforderlich gesetzt, also unabhängig von der Klassen-ID. Das Verhalten ändert sich nicht. USB-Sticks benötigen weiterhin nur eine Installation pro Gerät, Tastatur weiterhin eine Installation je USB-Port.
Bitte warten ..
Mitglied: Ghent74
16.04.2021 um 13:36 Uhr
Zitat von @Doskias:

Zitat von @Ghent74:
Zitat von @Doskias:
Außerdem muss ich als Administrator die Installation des Treibers für jeden USB-Port einzeln vornehmen. Ist das normal?
Wenn ich ein Gerät an einen anderen USB-Port anschließe, dann startet er immer die Treiberinstallation.
Durch deine GPO musst du das dann immer als Admin machen, da hilft es auch nichts, wenn der Treiber auf dem System schon vorhanden ist.

Ähm.. wie sag ich das jetzt nett: Die Aussage ist teilweise falsch. Nachdem ich den Treiber (zum Beispiel für den oberen Port am vorderen Anschluss) installiert habe, dann den Port darunter wähle und dort die Treiber installiere, kann ich anschließend munter zwischen den Ports hin und herwechseln. Wenn nach deiner Aussage immer die Treiberinstallation gestartet wird und ich dies immer als Admin machen muss, dürfte der Wechsel hin und her ja gar nicht möglich sein.

Ja ok, dann haben wir uns missverstanden.
Ich meinte nicht, dass bei jedem Wechsel die Treiberinstallation startet, sondern nur wenn ich es zum ersten Mal an diesem Port anstecke.
Das deckt sich ja weitestgehend mit deinen Aussagen, nur das du nun festgestellt hast, dass dies für USB-Sticks scheinbar nicht gilt, diese werden nur einmal installiert.
Hast du Wechseldatenträger USB Sticks genommen oder z.B Schutzstecker?
Ich kenne die Problematik nämlich grundsätzlich nur mit Schutzsteckern (Dongle), die zwingend an den Rechnern funktionieren müssen und das Sperren der USB Ports erschwert.
Wir haben hier USB-Kameras für Videokonerenzen. Die funktionieren ohne Probleme, da sie vom System als Kamera erkannt werden.
Bitte warten ..
Mitglied: Doskias
16.04.2021 um 13:45 Uhr
Hast du Wechseldatenträger USB Sticks genommen oder z.B Schutzstecker?
Ja normalen USB Stick

Jetzt ist aber erstmal Wochenende. Montag gehts weiter ;)
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerkgrundlagen
Frage der anderen Art
NeuerleVor 1 TagFrageNetzwerkgrundlagen16 Kommentare

Hi an alle, Ich bin InformatikStudi. Habe Ende des Monats Klausur im Fach Netzwerke zu schreiben und komme gar nicht klar. Entweder ich bin ...

Ubuntu
Cups-Server mit SMB lehnt Verbindungen ab (smb.conf)?
ErikHeinemannVor 1 TagFrageUbuntu17 Kommentare

Guten Morgen, ich habe einen Ubuntu 20.04 Server mit Cups als Printspooler. Nun Soll noch Samba hinzugefügt werden für eine einfache Verwendung unter Windows. ...

Exchange Server
Kaspersky for Exchange Meldungen
gelöst wieoderwasVor 1 TagFrageExchange Server11 Kommentare

Guten Morgen, wir haben bei uns einen Exchange 2013 mit Kaspersky for Exchange und Sophos auf Dateiebene. Heute Morgen habe ich einige von diesen ...

Groupware
Lokale Mini-Groupware für Mail, Adressbuch und Kalender gesucht
AndreasKasselVor 1 TagFrageGroupware10 Kommentare

Hallo zusammen, ich habe insgesamt 2 PCs, 1 Notebook, 1 Android-Tablet und ein Android-Smartphone. Weiterhin habe ich 2 Mail-Adressen bei 1&1 mit einer eigenen ...

Grafikkarten & Monitore
Unerklärliche Aussetzer Bildschirm und Maus
nixwissenderVor 1 TagFrageGrafikkarten & Monitore11 Kommentare

hallo! wir haben aktuell das unerklärliche phänomen, dass sich am arbeitsplatz vom mitarbeiter eines der beiden bildschirme kurzzeitig ausschaltet (und zwar der, der per ...

CPU, RAM, Mainboards
CPU Lüfter ausbauen
gelöst ben1300Vor 1 TagFrageCPU, RAM, Mainboards9 Kommentare

Hallo zusammen, ich habe mir damals einen Fertig PC gekauft. Ich würde gerne den Arbeitsspeichern austauschen, allerdings muss ich dafür - so wie es ...

Backup
Backup Datei
gelöst KanrishaVor 1 TagFrageBackup5 Kommentare

Hallo Zusammen, ich habe eine Frage ich will eine Backup bat Datei schreiben habe jedoch ein kleines Problem. Ich möchte ein Laufwerk in das ...

DNS
Android 10 und mein DNS Server
gelöst CyborgWeaselVor 1 TagFrageDNS7 Kommentare

Hallo allesamt, ich spiele gerade etwas mit einer Synology herum, habe unter Anderem einen eigenen DNS jetzt aufgesetzt. Die lokale Domäne ist HomeDomain.local und ...