Installation von Geräten per GPO steuern
Hallo liebe Liebenden
heute ist nicht Freitag, also kommt hier keine Freitagsfrage. Heute ist Donnerstag, also kommt hier eine Donnerstags-Knobelaufgabe.
Die Situation: Die Produktiv-Umgebung besteht aus Windows 8 und Windows 10 Clients. An diesen Clients sollen die Mitarbeiter keine mitgebrachten Datenträger einlesen. Also sollten alle Zugriffe deaktiviert werden. Dazu habe ich eine GPO konfiguriert und diese sieht wie folgt aus:
Das ganze funktioniert wunderbar. CD/DVD Laufwerke sind gesperrt und USB-Sticks gehen nicht. Diskettenlaufwerk funktioniert und wird an einigen Rechnern auch tatsächlich benötigt um Daten von Produktionsmaschinen (ab Dos 5.0 aufwärts) auf die Rechner zu übertragen und zurück. Außerdem funktioniert in der obigen Einstellung die Kamera, die nicht als USB-Gerät erkannt wird, während (zum Beispiel) der Dymo Labelwriter der per USB angeschlossen wird als Wechseldatenträger erkannt wird und damit nur an einer begrenzten Anzahl an Plätzen funktioniert, nämlich bei denen wo dieses GPO nicht gilt. Soweit alles gut.
Jetzt ist aufgefallen, dass bei den hier gezeigten Einstellungen jeder Mitarbeiter einfach sein Smartphone anschließen kann und schon kann er Daten wieder unkontrolliert an der Firewall vorbei schleusen. Mein erster Impuls: einfach bei der hier gezeigten GPO alle Wechselmedien sperren. Der Effekt: Handys gehen nicht mehr. Der Nebeneffekt: die Firmeninternen Kameras und die Diskettenlaufwerke allerdings auch nicht. Also nicht die Lösung. Einstellung auf das Bild von oben zurück gedreht und weiter gesucht. Dabei eine weitere Option gefunden und konfiguriert. Und zwar diese hier:
Effekt: Der User kann zwar weiterhin sein Handy anschließen. Da aber ein Treiber dafür benötigt wird, den der User nicht installieren kann, hat er keinen Zugriff darauf. Da die GPO erst nach der Installation der Clients erfolgt ist der Treiber des Diskettenlaufwerkes schon installiert, so dass dieses problemlos funktioniert. Die Kamera wird zwar blockiert, aber durch die Sonderrechte des Administrators kann ich die Treiber händisch installieren. Das muss ich zwar an jedem Rechner machen wo die Kamera angeschlossen wird, aber das ist überschaubar, zumal die Installation des Treibers nur einmalig nötig ist. Beim zweiten Anschluss des gleichen Gerätes wird dann kein Treiber mehr benötigt.
Die Administration und die Geschäftsführung war glücklich zumindest für eine Weile. Und hier könnte die Geschichte enden, wenn nicht der Admin einen fatalen Denkfehler gemacht hätte. Folgendes war nämlich passiert:
Heute musste dann bei einem Anwender ein Rechner von Windows 8 auf Windows 10 getauscht werden. Der Rechner wurde wie immer vorbereitet und nach vorgaben installiert und konfiguriert. Es war alles fertig und ich hatte ihn getauscht. Der Rechner fährt hoch, der Anmeldebildschirm kommt und... Maus und Tastatur funktionieren nicht. Mir natürlich sofort klar, dass es an der GPO lag, denn die verhindert ja die Installation von Wechselgeräten, also auch Maus & Tastatur und diese sind beim Anwender anders als bei mir in der Werkstatt. Also schnell an einen anderen Rechner, RDP auf den neuen Rechner, per Admin die Treiber installiert und alles funktioniert. Im Nachgang habe ich mir dann die Optionen in dem Bereich noch einmal angesehen:
Ja ich kann hier (theoretisch) die untere Option wählen und dann die Installation von Geräten zulassen die zu einer bestimmten Geräte-ID bzw. einer Geräteinstanz-ID gehören. Nur kommt hier das nächste Problem: die Geräte-ID gibt ja neben dem Hersteller auch das Modell mit an. Und bei uns darf sich jeder User seine Maus und Tastatur selbst aussuchen, solange es einen finanziellen Rahmen nicht sprengt. Das Ergebnis ist, dass wir gefühlt genau so viele unterschiedliche Maus/Tastatur-Kombinationen haben wie Anwender.
Die Kernfrage ist also: Wie muss ich die beiden GPOs (oder vielleicht eine weitere) konfigurieren, dass bei allen Geräten außer Maus und Tastatur ein Armin-Account benötigt wird? Gibt es eine Geräteinstanz-ID, Gerätesetupklasse oder Geräte-ID mit der ich alle Mäuse und Tastaturen (und sei es nur von eine Hersteller) zur Installation freigeben kann?
Gruß
Doskias
heute ist nicht Freitag, also kommt hier keine Freitagsfrage. Heute ist Donnerstag, also kommt hier eine Donnerstags-Knobelaufgabe.
Die Situation: Die Produktiv-Umgebung besteht aus Windows 8 und Windows 10 Clients. An diesen Clients sollen die Mitarbeiter keine mitgebrachten Datenträger einlesen. Also sollten alle Zugriffe deaktiviert werden. Dazu habe ich eine GPO konfiguriert und diese sieht wie folgt aus:
Das ganze funktioniert wunderbar. CD/DVD Laufwerke sind gesperrt und USB-Sticks gehen nicht. Diskettenlaufwerk funktioniert und wird an einigen Rechnern auch tatsächlich benötigt um Daten von Produktionsmaschinen (ab Dos 5.0 aufwärts) auf die Rechner zu übertragen und zurück. Außerdem funktioniert in der obigen Einstellung die Kamera, die nicht als USB-Gerät erkannt wird, während (zum Beispiel) der Dymo Labelwriter der per USB angeschlossen wird als Wechseldatenträger erkannt wird und damit nur an einer begrenzten Anzahl an Plätzen funktioniert, nämlich bei denen wo dieses GPO nicht gilt. Soweit alles gut.
Jetzt ist aufgefallen, dass bei den hier gezeigten Einstellungen jeder Mitarbeiter einfach sein Smartphone anschließen kann und schon kann er Daten wieder unkontrolliert an der Firewall vorbei schleusen. Mein erster Impuls: einfach bei der hier gezeigten GPO alle Wechselmedien sperren. Der Effekt: Handys gehen nicht mehr. Der Nebeneffekt: die Firmeninternen Kameras und die Diskettenlaufwerke allerdings auch nicht. Also nicht die Lösung. Einstellung auf das Bild von oben zurück gedreht und weiter gesucht. Dabei eine weitere Option gefunden und konfiguriert. Und zwar diese hier:
Effekt: Der User kann zwar weiterhin sein Handy anschließen. Da aber ein Treiber dafür benötigt wird, den der User nicht installieren kann, hat er keinen Zugriff darauf. Da die GPO erst nach der Installation der Clients erfolgt ist der Treiber des Diskettenlaufwerkes schon installiert, so dass dieses problemlos funktioniert. Die Kamera wird zwar blockiert, aber durch die Sonderrechte des Administrators kann ich die Treiber händisch installieren. Das muss ich zwar an jedem Rechner machen wo die Kamera angeschlossen wird, aber das ist überschaubar, zumal die Installation des Treibers nur einmalig nötig ist. Beim zweiten Anschluss des gleichen Gerätes wird dann kein Treiber mehr benötigt.
Die Administration und die Geschäftsführung war glücklich zumindest für eine Weile. Und hier könnte die Geschichte enden, wenn nicht der Admin einen fatalen Denkfehler gemacht hätte. Folgendes war nämlich passiert:
Heute musste dann bei einem Anwender ein Rechner von Windows 8 auf Windows 10 getauscht werden. Der Rechner wurde wie immer vorbereitet und nach vorgaben installiert und konfiguriert. Es war alles fertig und ich hatte ihn getauscht. Der Rechner fährt hoch, der Anmeldebildschirm kommt und... Maus und Tastatur funktionieren nicht. Mir natürlich sofort klar, dass es an der GPO lag, denn die verhindert ja die Installation von Wechselgeräten, also auch Maus & Tastatur und diese sind beim Anwender anders als bei mir in der Werkstatt. Also schnell an einen anderen Rechner, RDP auf den neuen Rechner, per Admin die Treiber installiert und alles funktioniert. Im Nachgang habe ich mir dann die Optionen in dem Bereich noch einmal angesehen:
Ja ich kann hier (theoretisch) die untere Option wählen und dann die Installation von Geräten zulassen die zu einer bestimmten Geräte-ID bzw. einer Geräteinstanz-ID gehören. Nur kommt hier das nächste Problem: die Geräte-ID gibt ja neben dem Hersteller auch das Modell mit an. Und bei uns darf sich jeder User seine Maus und Tastatur selbst aussuchen, solange es einen finanziellen Rahmen nicht sprengt. Das Ergebnis ist, dass wir gefühlt genau so viele unterschiedliche Maus/Tastatur-Kombinationen haben wie Anwender.
Die Kernfrage ist also: Wie muss ich die beiden GPOs (oder vielleicht eine weitere) konfigurieren, dass bei allen Geräten außer Maus und Tastatur ein Armin-Account benötigt wird? Gibt es eine Geräteinstanz-ID, Gerätesetupklasse oder Geräte-ID mit der ich alle Mäuse und Tastaturen (und sei es nur von eine Hersteller) zur Installation freigeben kann?
Gruß
Doskias
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665548
Url: https://administrator.de/forum/installation-von-geraeten-per-gpo-steuern-665548.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
20 Kommentare
Neuester Kommentar
Zitat von @DerWoWusste:
Es gibt doch zweit GPOs, eine für Gerätesetupklassen und eine für IDs. Wenn du nun die gesamte Klasse Tastatur und die gesamte Klasse Maus zulāsst, passt das nicht?
Es gibt doch zweit GPOs, eine für Gerätesetupklassen und eine für IDs. Wenn du nun die gesamte Klasse Tastatur und die gesamte Klasse Maus zulāsst, passt das nicht?
Er hat ja noch seine USB Kameras
Keyboard: https://docs.microsoft.com/en-us/windows-hardware/drivers/install/guid-d ...
Maus findest du dort auch.
Maus findest du dort auch.
Zitat von @Doskias:
Außerdem muss ich als Administrator die Installation des Treibers für jeden USB-Port einzeln vornehmen. Ist das normal?
Außerdem muss ich als Administrator die Installation des Treibers für jeden USB-Port einzeln vornehmen. Ist das normal?
Wenn ich ein Gerät an einen anderen USB-Port anschließe, dann startet er immer die Treiberinstallation.
Durch deine GPO musst du das dann immer als Admin machen, da hilft es auch nichts, wenn der Treiber auf dem System schon vorhanden ist.
Ich habe die Tests mit nur einer Tastatur, einer Maus und einem SmartCardreader gemacht. Alles war wie erwartet und ließ sich installieren ohne Adminrechte (Maus, Tastatur), oder eben nur mit Adminrechten (SmartCardreader). Ich kann nicht beurteilen, was bei Dir falsch läuft und habe auch zu Hause wenig Geräte zum Testen.
Zitat von @Doskias:
Ähm.. wie sag ich das jetzt nett: Die Aussage ist teilweise falsch. Nachdem ich den Treiber (zum Beispiel für den oberen Port am vorderen Anschluss) installiert habe, dann den Port darunter wähle und dort die Treiber installiere, kann ich anschließend munter zwischen den Ports hin und herwechseln. Wenn nach deiner Aussage immer die Treiberinstallation gestartet wird und ich dies immer als Admin machen muss, dürfte der Wechsel hin und her ja gar nicht möglich sein.
Zitat von @Ghent74:
Durch deine GPO musst du das dann immer als Admin machen, da hilft es auch nichts, wenn der Treiber auf dem System schon vorhanden ist.
Zitat von @Doskias:
Außerdem muss ich als Administrator die Installation des Treibers für jeden USB-Port einzeln vornehmen. Ist das normal?
Wenn ich ein Gerät an einen anderen USB-Port anschließe, dann startet er immer die Treiberinstallation.Außerdem muss ich als Administrator die Installation des Treibers für jeden USB-Port einzeln vornehmen. Ist das normal?
Durch deine GPO musst du das dann immer als Admin machen, da hilft es auch nichts, wenn der Treiber auf dem System schon vorhanden ist.
Ähm.. wie sag ich das jetzt nett: Die Aussage ist teilweise falsch. Nachdem ich den Treiber (zum Beispiel für den oberen Port am vorderen Anschluss) installiert habe, dann den Port darunter wähle und dort die Treiber installiere, kann ich anschließend munter zwischen den Ports hin und herwechseln. Wenn nach deiner Aussage immer die Treiberinstallation gestartet wird und ich dies immer als Admin machen muss, dürfte der Wechsel hin und her ja gar nicht möglich sein.
Ja ok, dann haben wir uns missverstanden.
Ich meinte nicht, dass bei jedem Wechsel die Treiberinstallation startet, sondern nur wenn ich es zum ersten Mal an diesem Port anstecke.
Das deckt sich ja weitestgehend mit deinen Aussagen, nur das du nun festgestellt hast, dass dies für USB-Sticks scheinbar nicht gilt, diese werden nur einmal installiert.
Hast du Wechseldatenträger USB Sticks genommen oder z.B Schutzstecker?
Ich kenne die Problematik nämlich grundsätzlich nur mit Schutzsteckern (Dongle), die zwingend an den Rechnern funktionieren müssen und das Sperren der USB Ports erschwert.
Wir haben hier USB-Kameras für Videokonerenzen. Die funktionieren ohne Probleme, da sie vom System als Kamera erkannt werden.