Installation von Geräten per GPO steuern

Mitglied: Doskias

Doskias (Level 2) - Jetzt verbinden

08.04.2021 um 16:34 Uhr, 593 Aufrufe, 10 Kommentare

Hallo liebe Liebenden :-) face-smile

heute ist nicht Freitag, also kommt hier keine Freitagsfrage. Heute ist Donnerstag, also kommt hier eine Donnerstags-Knobelaufgabe.

Die Situation: Die Produktiv-Umgebung besteht aus Windows 8 und Windows 10 Clients. An diesen Clients sollen die Mitarbeiter keine mitgebrachten Datenträger einlesen. Also sollten alle Zugriffe deaktiviert werden. Dazu habe ich eine GPO konfiguriert und diese sieht wie folgt aus:

gpo1 - Klicke auf das Bild, um es zu vergrößern


Das ganze funktioniert wunderbar. CD/DVD Laufwerke sind gesperrt und USB-Sticks gehen nicht. Diskettenlaufwerk funktioniert und wird an einigen Rechnern auch tatsächlich benötigt um Daten von Produktionsmaschinen (ab Dos 5.0 aufwärts) auf die Rechner zu übertragen und zurück. Außerdem funktioniert in der obigen Einstellung die Kamera, die nicht als USB-Gerät erkannt wird, während (zum Beispiel) der Dymo Labelwriter der per USB angeschlossen wird als Wechseldatenträger erkannt wird und damit nur an einer begrenzten Anzahl an Plätzen funktioniert, nämlich bei denen wo dieses GPO nicht gilt. Soweit alles gut.

Jetzt ist aufgefallen, dass bei den hier gezeigten Einstellungen jeder Mitarbeiter einfach sein Smartphone anschließen kann und schon kann er Daten wieder unkontrolliert an der Firewall vorbei schleusen. Mein erster Impuls: einfach bei der hier gezeigten GPO alle Wechselmedien sperren. Der Effekt: Handys gehen nicht mehr. Der Nebeneffekt: die Firmeninternen Kameras und die Diskettenlaufwerke allerdings auch nicht. Also nicht die Lösung. Einstellung auf das Bild von oben zurück gedreht und weiter gesucht. Dabei eine weitere Option gefunden und konfiguriert. Und zwar diese hier:
gpo2 - Klicke auf das Bild, um es zu vergrößern
Effekt: Der User kann zwar weiterhin sein Handy anschließen. Da aber ein Treiber dafür benötigt wird, den der User nicht installieren kann, hat er keinen Zugriff darauf. Da die GPO erst nach der Installation der Clients erfolgt ist der Treiber des Diskettenlaufwerkes schon installiert, so dass dieses problemlos funktioniert. Die Kamera wird zwar blockiert, aber durch die Sonderrechte des Administrators kann ich die Treiber händisch installieren. Das muss ich zwar an jedem Rechner machen wo die Kamera angeschlossen wird, aber das ist überschaubar, zumal die Installation des Treibers nur einmalig nötig ist. Beim zweiten Anschluss des gleichen Gerätes wird dann kein Treiber mehr benötigt.

Die Administration und die Geschäftsführung war glücklich zumindest für eine Weile. Und hier könnte die Geschichte enden, wenn nicht der Admin einen fatalen Denkfehler gemacht hätte. Folgendes war nämlich passiert:

Heute musste dann bei einem Anwender ein Rechner von Windows 8 auf Windows 10 getauscht werden. Der Rechner wurde wie immer vorbereitet und nach vorgaben installiert und konfiguriert. Es war alles fertig und ich hatte ihn getauscht. Der Rechner fährt hoch, der Anmeldebildschirm kommt und... Maus und Tastatur funktionieren nicht. Mir natürlich sofort klar, dass es an der GPO lag, denn die verhindert ja die Installation von Wechselgeräten, also auch Maus & Tastatur und diese sind beim Anwender anders als bei mir in der Werkstatt. Also schnell an einen anderen Rechner, RDP auf den neuen Rechner, per Admin die Treiber installiert und alles funktioniert. Im Nachgang habe ich mir dann die Optionen in dem Bereich noch einmal angesehen:
gpo3 - Klicke auf das Bild, um es zu vergrößern
Ja ich kann hier (theoretisch) die untere Option wählen und dann die Installation von Geräten zulassen die zu einer bestimmten Geräte-ID bzw. einer Geräteinstanz-ID gehören. Nur kommt hier das nächste Problem: die Geräte-ID gibt ja neben dem Hersteller auch das Modell mit an. Und bei uns darf sich jeder User seine Maus und Tastatur selbst aussuchen, solange es einen finanziellen Rahmen nicht sprengt. Das Ergebnis ist, dass wir gefühlt genau so viele unterschiedliche Maus/Tastatur-Kombinationen haben wie Anwender.

Die Kernfrage ist also: Wie muss ich die beiden GPOs (oder vielleicht eine weitere) konfigurieren, dass bei allen Geräten außer Maus und Tastatur ein Armin-Account benötigt wird? Gibt es eine Geräteinstanz-ID, Gerätesetupklasse oder Geräte-ID mit der ich alle Mäuse und Tastaturen (und sei es nur von eine Hersteller) zur Installation freigeben kann?

Gruß
Doskias
Mitglied: DerWoWusste
08.04.2021 um 18:16 Uhr
Hi.

Wpd devices heißen die Dinger. Dafür gibt es eine einzelne GPO. Google mal.
Bitte warten ..
Mitglied: Doskias
08.04.2021 um 19:36 Uhr
Danke für deine beiden Posts. Wie du am ersten Bild sehen kannst, habe ich die WPD Geräte schon berücksichtigt. Ich werde es morgen gerne noch einmal testen, aber ich bin mir sicher, dass das Sperren der WPD-Geräte im Januar auch zum Sperren der Kamera geführt hat.
Bitte warten ..
Mitglied: DerWoWusste
08.04.2021 um 19:53 Uhr
Oh, Verzeihung. Wir haben eh beides gesperrt, da fällt das nicht auf.
Bitte warten ..
Mitglied: mayho33
08.04.2021 um 21:53 Uhr
Zumindest was die Treiberinstallation angeht kann ich dir den Tipp geben:

Bastel ein kleiner Script das via pnputil -i -a <%~bp0*.inf> deine Treiber installiert.

Packe alles in einen Ordner und starte das Script in einer GPO.

Sobald der User die Kamera ansteckt werden die Treiber bereitgestellt.

Grüße!
Bitte warten ..
Mitglied: DerWoWusste
08.04.2021 um 22:52 Uhr
Es gibt doch zweit GPOs, eine für Gerätesetupklassen und eine für IDs. Wenn du nun die gesamte Klasse Tastatur und die gesamte Klasse Maus zulāsst, passt das nicht?
Bitte warten ..
Mitglied: mayho33
09.04.2021 um 01:33 Uhr
Zitat von @DerWoWusste:

Es gibt doch zweit GPOs, eine für Gerätesetupklassen und eine für IDs. Wenn du nun die gesamte Klasse Tastatur und die gesamte Klasse Maus zulāsst, passt das nicht?

Er hat ja noch seine USB Kameras
Bitte warten ..
Mitglied: Doskias
09.04.2021 um 08:07 Uhr
Zitat von @DerWoWusste:
Es gibt doch zweit GPOs, eine für Gerätesetupklassen und eine für IDs. Wenn du nun die gesamte Klasse Tastatur und die gesamte Klasse Maus zulässt, passt das nicht?

Doch ich glaube das müsste passen. ich glaube auch, es war gestern einfach schon zu kur vor Feierabend :-) face-smile Ich habe keine Geräteklassen-ID für die Tastatur gefunden, die der Beschreibung in der GPO entspricht.
gpo4 - Klicke auf das Bild, um es zu vergrößern

Hab grade noch mal geschaut welche Eigenschaften ich bei der Tastatur auslesen kann und bin mir ziemlich sicher, dass es in den Einstellungen nur Klassen-GUID heißt. Zumindest er Wert entspricht vom Format dem in der GPO.
gpo5 - Klicke auf das Bild, um es zu vergrößern

Kennst du zufällig eine Auflistung welche Klassen-GUID für welche Geräte stehen? Ich hab bei Google auf die schnelle nichts gefunden. {4d36e96f-e325-11ce-bfc1-08002be10318} müsste meiner Recherche nach dann die Klassen-GUID der Mäuse sein.

Zitat von @mayho33:
Er hat ja noch seine USB Kameras

Die sind aber (wie oben geschrieben) egal. Die dürfen nur nicht ausgesperrt werden. Wenn ich für die Kameras mich einmalig als Admin anmelden muss um den Treiber zu installieren, dann ist das kein Problem. Die Rechner an denen die Kameras angeschlossen werden kann ich im wahrsten Sinne des Wortes an einer Hand abzählen.

Gruß
Doskias
Bitte warten ..
Mitglied: Tektronix
09.04.2021 um 09:23 Uhr
Moin,
versuchs mal mit HID-konforme Maus, Klassen-GUID und HID-Tastatur, Klassen-GUID. Allerdings musste ich Maus und Tastatur deaktivieren, wobei die Bildschirmtastatur funktionieren sollte.
Hat bei mir an All-in Geräten funktioniert. Kamera und Bildschirmtastatur funktionierten trotzdem.
Bitte warten ..
Heiß diskutierte Inhalte
Sicherheit
Verpackter Laptop entwendet
r0x3llVor 1 TagFrageSicherheit11 Kommentare

Hallo. Mir wurde aus dem Büro ein noch verpackter Dell XPS Laptop mit einem Wert von ca 3.500€ gestohlen. Kann man da was orten? ...

Off Topic
Wie sieht eine korrekte IT-Organisation aus?
imebroVor 16 StundenFrageOff Topic17 Kommentare

Hallo, da unser IT-Verantwortlicher ja vor einem Jahr gehen musste, stelle ich mir die Frage, wie denn eine korrekte IT-Organisation überhaupt aussehen muss. Zur ...

LAN, WAN, Wireless
2x Fritzbox 7590 mit separatem DSL über WAN verbinden
gelöst FailixVor 1 TagFrageLAN, WAN, Wireless19 Kommentare

Liebes Administrator Forum, Ich bin schon länger passiver Lese und habe mich jetzt entschlossen mit einer Frage den ersten Post hier zu schreiben. Über ...

LAN, WAN, Wireless
Cat 7 Patchkabel mit nur 11MBits im Download
gelöst RickHHVor 1 TagFrageLAN, WAN, Wireless7 Kommentare

Moin zusammen, ich habe mir soeben ein paar Patchkabel (aus einem Cat 7 Kabel) fertig gemacht. Die Belegung ist: 1 weiß/grün 2 grün 3 weiß/orange 4 blau 5 weiß/blau ...

DNS
Network Scanner zeigt falschen Hostname an
gelöst vafk18Vor 1 TagFrageDNS10 Kommentare

Ich habe in meinem Netzwerk 3 Fritzboxen im Betrieb. Die Fritzboxen haben in den Einstellungen als Namen "fb7270", "fb7369" und "fb7412". Jede Fritzbox hat ...

Windows 10
Windows 10 keine Eingabegeräte mehr erkannt - Anmelden nicht möglich
akira2012Vor 1 TagFrageWindows 108 Kommentare

Hallo Zusammen! Ich habe hier einen Windows 10 Rechner. Er bootet ganz normal aber nach dem hochfahren, werden die Eingabegeräte nicht mehr erkannt. Weder ...

Notebook & Zubehör
Funktionieren keine USB-DVD-RW an Surfaces?
StefanKittelVor 18 StundenFrageNotebook & Zubehör14 Kommentare

Hallo, ein Kunde von mir hat ein Surface Pro. Wenn er ein USB-DVD-RW-Laufwerk an die Dockingstation anschliesst funktioniert es nicht. - Es bekommt Strom ...

LAN, WAN, Wireless
Router der mehrere VLANs per WLAN empfangen kann?
gelöst Rainer117Vor 1 TagFrageLAN, WAN, Wireless4 Kommentare

Hallo zusammen, ich bin auf der Suche nach einem Router, der mehrere SSIDs (ursprünglich getrennte VLANs) über WLAN empfangen kann und dann per LAN ...