20
Installation von Geräten per GPO steuern
Hallo liebe Liebenden 
heute ist nicht Freitag, also kommt hier keine Freitagsfrage. Heute ist Donnerstag, also kommt hier eine Donnerstags-Knobelaufgabe.
Die Situation: Die Produktiv-Umgebung besteht aus Windows 8 und Windows 10 Clients. An diesen Clients sollen die Mitarbeiter keine mitgebrachten Datenträger einlesen. Also sollten alle Zugriffe deaktiviert werden. Dazu habe ich eine GPO konfiguriert und diese sieht wie folgt aus:
Das ganze funktioniert wunderbar. CD/DVD Laufwerke sind gesperrt und USB-Sticks gehen nicht. Diskettenlaufwerk funktioniert und wird an einigen Rechnern auch tatsächlich benötigt um Daten von Produktionsmaschinen (ab Dos 5.0 aufwärts) auf die Rechner zu übertragen und zurück. Außerdem funktioniert in der obigen Einstellung die Kamera, die nicht als USB-Gerät erkannt wird, während (zum Beispiel) der Dymo Labelwriter der per USB angeschlossen wird als Wechseldatenträger erkannt wird und damit nur an einer begrenzten Anzahl an Plätzen funktioniert, nämlich bei denen wo dieses GPO nicht gilt. Soweit alles gut.
Jetzt ist aufgefallen, dass bei den hier gezeigten Einstellungen jeder Mitarbeiter einfach sein Smartphone anschließen kann und schon kann er Daten wieder unkontrolliert an der Firewall vorbei schleusen. Mein erster Impuls: einfach bei der hier gezeigten GPO alle Wechselmedien sperren. Der Effekt: Handys gehen nicht mehr. Der Nebeneffekt: die Firmeninternen Kameras und die Diskettenlaufwerke allerdings auch nicht. Also nicht die Lösung. Einstellung auf das Bild von oben zurück gedreht und weiter gesucht. Dabei eine weitere Option gefunden und konfiguriert. Und zwar diese hier:
Effekt: Der User kann zwar weiterhin sein Handy anschließen. Da aber ein Treiber dafür benötigt wird, den der User nicht installieren kann, hat er keinen Zugriff darauf. Da die GPO erst nach der Installation der Clients erfolgt ist der Treiber des Diskettenlaufwerkes schon installiert, so dass dieses problemlos funktioniert. Die Kamera wird zwar blockiert, aber durch die Sonderrechte des Administrators kann ich die Treiber händisch installieren. Das muss ich zwar an jedem Rechner machen wo die Kamera angeschlossen wird, aber das ist überschaubar, zumal die Installation des Treibers nur einmalig nötig ist. Beim zweiten Anschluss des gleichen Gerätes wird dann kein Treiber mehr benötigt.
Die Administration und die Geschäftsführung war glücklich zumindest für eine Weile. Und hier könnte die Geschichte enden, wenn nicht der Admin einen fatalen Denkfehler gemacht hätte. Folgendes war nämlich passiert:
Heute musste dann bei einem Anwender ein Rechner von Windows 8 auf Windows 10 getauscht werden. Der Rechner wurde wie immer vorbereitet und nach vorgaben installiert und konfiguriert. Es war alles fertig und ich hatte ihn getauscht. Der Rechner fährt hoch, der Anmeldebildschirm kommt und... Maus und Tastatur funktionieren nicht. Mir natürlich sofort klar, dass es an der GPO lag, denn die verhindert ja die Installation von Wechselgeräten, also auch Maus & Tastatur und diese sind beim Anwender anders als bei mir in der Werkstatt. Also schnell an einen anderen Rechner, RDP auf den neuen Rechner, per Admin die Treiber installiert und alles funktioniert. Im Nachgang habe ich mir dann die Optionen in dem Bereich noch einmal angesehen:
Ja ich kann hier (theoretisch) die untere Option wählen und dann die Installation von Geräten zulassen die zu einer bestimmten Geräte-ID bzw. einer Geräteinstanz-ID gehören. Nur kommt hier das nächste Problem: die Geräte-ID gibt ja neben dem Hersteller auch das Modell mit an. Und bei uns darf sich jeder User seine Maus und Tastatur selbst aussuchen, solange es einen finanziellen Rahmen nicht sprengt. Das Ergebnis ist, dass wir gefühlt genau so viele unterschiedliche Maus/Tastatur-Kombinationen haben wie Anwender.
Die Kernfrage ist also: Wie muss ich die beiden GPOs (oder vielleicht eine weitere) konfigurieren, dass bei allen Geräten außer Maus und Tastatur ein Armin-Account benötigt wird? Gibt es eine Geräteinstanz-ID, Gerätesetupklasse oder Geräte-ID mit der ich alle Mäuse und Tastaturen (und sei es nur von eine Hersteller) zur Installation freigeben kann?
Gruß
Doskias
heute ist nicht Freitag, also kommt hier keine Freitagsfrage. Heute ist Donnerstag, also kommt hier eine Donnerstags-Knobelaufgabe.
Die Situation: Die Produktiv-Umgebung besteht aus Windows 8 und Windows 10 Clients. An diesen Clients sollen die Mitarbeiter keine mitgebrachten Datenträger einlesen. Also sollten alle Zugriffe deaktiviert werden. Dazu habe ich eine GPO konfiguriert und diese sieht wie folgt aus:
Das ganze funktioniert wunderbar. CD/DVD Laufwerke sind gesperrt und USB-Sticks gehen nicht. Diskettenlaufwerk funktioniert und wird an einigen Rechnern auch tatsächlich benötigt um Daten von Produktionsmaschinen (ab Dos 5.0 aufwärts) auf die Rechner zu übertragen und zurück. Außerdem funktioniert in der obigen Einstellung die Kamera, die nicht als USB-Gerät erkannt wird, während (zum Beispiel) der Dymo Labelwriter der per USB angeschlossen wird als Wechseldatenträger erkannt wird und damit nur an einer begrenzten Anzahl an Plätzen funktioniert, nämlich bei denen wo dieses GPO nicht gilt. Soweit alles gut.
Jetzt ist aufgefallen, dass bei den hier gezeigten Einstellungen jeder Mitarbeiter einfach sein Smartphone anschließen kann und schon kann er Daten wieder unkontrolliert an der Firewall vorbei schleusen. Mein erster Impuls: einfach bei der hier gezeigten GPO alle Wechselmedien sperren. Der Effekt: Handys gehen nicht mehr. Der Nebeneffekt: die Firmeninternen Kameras und die Diskettenlaufwerke allerdings auch nicht. Also nicht die Lösung. Einstellung auf das Bild von oben zurück gedreht und weiter gesucht. Dabei eine weitere Option gefunden und konfiguriert. Und zwar diese hier:
Die Administration und die Geschäftsführung war glücklich zumindest für eine Weile. Und hier könnte die Geschichte enden, wenn nicht der Admin einen fatalen Denkfehler gemacht hätte. Folgendes war nämlich passiert:
Heute musste dann bei einem Anwender ein Rechner von Windows 8 auf Windows 10 getauscht werden. Der Rechner wurde wie immer vorbereitet und nach vorgaben installiert und konfiguriert. Es war alles fertig und ich hatte ihn getauscht. Der Rechner fährt hoch, der Anmeldebildschirm kommt und... Maus und Tastatur funktionieren nicht. Mir natürlich sofort klar, dass es an der GPO lag, denn die verhindert ja die Installation von Wechselgeräten, also auch Maus & Tastatur und diese sind beim Anwender anders als bei mir in der Werkstatt. Also schnell an einen anderen Rechner, RDP auf den neuen Rechner, per Admin die Treiber installiert und alles funktioniert. Im Nachgang habe ich mir dann die Optionen in dem Bereich noch einmal angesehen:
Die Kernfrage ist also: Wie muss ich die beiden GPOs (oder vielleicht eine weitere) konfigurieren, dass bei allen Geräten außer Maus und Tastatur ein Armin-Account benötigt wird? Gibt es eine Geräteinstanz-ID, Gerätesetupklasse oder Geräte-ID mit der ich alle Mäuse und Tastaturen (und sei es nur von eine Hersteller) zur Installation freigeben kann?
Gruß
Doskias
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665548
Url: https://administrator.de/contentid/665548
Ausgedruckt am: 21.11.2024 um 14:11 Uhr
20 Kommentare
Neuester Kommentar
Hi.
Wpd devices heißen die Dinger. Dafür gibt es eine einzelne GPO. Google mal.
Wpd devices heißen die Dinger. Dafür gibt es eine einzelne GPO. Google mal.
Danke für deine beiden Posts. Wie du am ersten Bild sehen kannst, habe ich die WPD Geräte schon berücksichtigt. Ich werde es morgen gerne noch einmal testen, aber ich bin mir sicher, dass das Sperren der WPD-Geräte im Januar auch zum Sperren der Kamera geführt hat.
Oh, Verzeihung. Wir haben eh beides gesperrt, da fällt das nicht auf.
Zumindest was die Treiberinstallation angeht kann ich dir den Tipp geben:
Bastel ein kleiner Script das via pnputil -i -a <%~bp0*.inf> deine Treiber installiert.
Packe alles in einen Ordner und starte das Script in einer GPO.
Sobald der User die Kamera ansteckt werden die Treiber bereitgestellt.
Grüße!
Bastel ein kleiner Script das via pnputil -i -a <%~bp0*.inf> deine Treiber installiert.
Packe alles in einen Ordner und starte das Script in einer GPO.
Sobald der User die Kamera ansteckt werden die Treiber bereitgestellt.
Grüße!
Es gibt doch zweit GPOs, eine für Gerätesetupklassen und eine für IDs. Wenn du nun die gesamte Klasse Tastatur und die gesamte Klasse Maus zulāsst, passt das nicht?
Zitat von @DerWoWusste:
Es gibt doch zweit GPOs, eine für Gerätesetupklassen und eine für IDs. Wenn du nun die gesamte Klasse Tastatur und die gesamte Klasse Maus zulāsst, passt das nicht?
Es gibt doch zweit GPOs, eine für Gerätesetupklassen und eine für IDs. Wenn du nun die gesamte Klasse Tastatur und die gesamte Klasse Maus zulāsst, passt das nicht?
Er hat ja noch seine USB Kameras
Zitat von @DerWoWusste:
Doch ich glaube das müsste passen. ich glaube auch, es war gestern einfach schon zu kur vor Feierabend Ich habe keine Geräteklassen-ID für die Tastatur gefunden, die der Beschreibung in der GPO entspricht.
Hab grade noch mal geschaut welche Eigenschaften ich bei der Tastatur auslesen kann und bin mir ziemlich sicher, dass es in den Einstellungen nur Klassen-GUID heißt. Zumindest er Wert entspricht vom Format dem in der GPO.
Kennst du zufällig eine Auflistung welche Klassen-GUID für welche Geräte stehen? Ich hab bei Google auf die schnelle nichts gefunden. {4d36e96f-e325-11ce-bfc1-08002be10318} müsste meiner Recherche nach dann die Klassen-GUID der Mäuse sein.
Die sind aber (wie oben geschrieben) egal. Die dürfen nur nicht ausgesperrt werden. Wenn ich für die Kameras mich einmalig als Admin anmelden muss um den Treiber zu installieren, dann ist das kein Problem. Die Rechner an denen die Kameras angeschlossen werden kann ich im wahrsten Sinne des Wortes an einer Hand abzählen.
Gruß
Doskias
Es gibt doch zweit GPOs, eine für Gerätesetupklassen und eine für IDs. Wenn du nun die gesamte Klasse Tastatur und die gesamte Klasse Maus zulässt, passt das nicht?
Doch ich glaube das müsste passen. ich glaube auch, es war gestern einfach schon zu kur vor Feierabend
Ich habe keine Geräteklassen-ID für die Tastatur gefunden, die der Beschreibung in der GPO entspricht.Hab grade noch mal geschaut welche Eigenschaften ich bei der Tastatur auslesen kann und bin mir ziemlich sicher, dass es in den Einstellungen nur Klassen-GUID heißt. Zumindest er Wert entspricht vom Format dem in der GPO.
Kennst du zufällig eine Auflistung welche Klassen-GUID für welche Geräte stehen? Ich hab bei Google auf die schnelle nichts gefunden. {4d36e96f-e325-11ce-bfc1-08002be10318} müsste meiner Recherche nach dann die Klassen-GUID der Mäuse sein.
Die sind aber (wie oben geschrieben) egal. Die dürfen nur nicht ausgesperrt werden. Wenn ich für die Kameras mich einmalig als Admin anmelden muss um den Treiber zu installieren, dann ist das kein Problem. Die Rechner an denen die Kameras angeschlossen werden kann ich im wahrsten Sinne des Wortes an einer Hand abzählen.
Gruß
Doskias
1
Keyboard: https://docs.microsoft.com/en-us/windows-hardware/drivers/install/guid-d ...
Maus findest du dort auch.
Maus findest du dort auch.
Moin,
versuchs mal mit HID-konforme Maus, Klassen-GUID und HID-Tastatur, Klassen-GUID. Allerdings musste ich Maus und Tastatur deaktivieren, wobei die Bildschirmtastatur funktionieren sollte.
Hat bei mir an All-in Geräten funktioniert. Kamera und Bildschirmtastatur funktionierten trotzdem.
versuchs mal mit HID-konforme Maus, Klassen-GUID und HID-Tastatur, Klassen-GUID. Allerdings musste ich Maus und Tastatur deaktivieren, wobei die Bildschirmtastatur funktionieren sollte.
Hat bei mir an All-in Geräten funktioniert. Kamera und Bildschirmtastatur funktionierten trotzdem.
Hallo DWW,
meine GPO sieht jetzt so aus:
Die ersten beiden Einträge sind die Geräte-IDs die ich im Gerätemanager für Maus und Tastatur ausfindig machen konnte. Die unteren beiden sind die von der von dir geposteten Website. Heute musste ich wieder Hardware an einem Gerät umbauen (Laufwerk defekt) und habe dafür das Gehäuse geöffnet. Nach dem Umbau wurden die gleichen Geräte bezüglich Maus/Tastatur wieder angeschlossen, aber ohne Installationsgenehmigung eines Admins funktionierten Sie nicht.
Habe es geprüft. Sowohl die Maus als auch die Tastatur sind dort eingetragen. Bei der Suche ist mir jetzt folgendes aufgefallen. In der GPO Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind steht
Meine Option heißt allerdings Installation von Geräten mit Treibern zulassen, die diesen Gerätesetupklassen entsprechen. Diese ist in der Beschreibung nicht aufgeführt. Allerdings gibt es diese nicht in der Auflistung der Beschreibung. Was mich auch wundert ist in der oben genannten Auflistung der Eintrag „Installation von Geräten mit diesen Geräte-IDs verhindern“. Das heißt wenn ich einen Wert in der Geräte-ID verhindern eintrage, dann kann sie installiert werden. Müsste das hier nicht genau anders herum sein? Von der Beschreibung her ist durchaus richtig, dass die Maus/Tastatur nicht installiert wird, weil meine GPO nicht in der Beschreibung auftaucht. Allerdings finde ich keine andere GPO im Bereich der Geräteinstallation die ein Zulassen von Geräte in dem Format der Geräte-ID erlaubt.
Hab ich einen Denkfehler? Mach ich was falsch oder geht die Kombination die ich vorhabe garnicht?
Gruß
Doskias
meine GPO sieht jetzt so aus:
Die ersten beiden Einträge sind die Geräte-IDs die ich im Gerätemanager für Maus und Tastatur ausfindig machen konnte. Die unteren beiden sind die von der von dir geposteten Website. Heute musste ich wieder Hardware an einem Gerät umbauen (Laufwerk defekt) und habe dafür das Gehäuse geöffnet. Nach dem Umbau wurden die gleichen Geräte bezüglich Maus/Tastatur wieder angeschlossen, aber ohne Installationsgenehmigung eines Admins funktionierten Sie nicht.
Habe es geprüft. Sowohl die Maus als auch die Tastatur sind dort eingetragen. Bei der Suche ist mir jetzt folgendes aufgefallen. In der GPO Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind steht
Wenn Sie diese Richtlinieneinstellung aktivieren, kann Windows Gerätetreiber für Geräte, die nicht in den Richtlinieneinstellungen „Installation von Geräten mit diesen Geräte-IDs verhindern“, „Installation von Geräten mit diesen Geräte-IDs zulassen“ oder „Installation von Geräten zulassen, die mit einer der folgenden Geräteinstanz-IDs übereinstimmen“ beschrieben werden, nicht installieren oder aktualisieren.
Meine Option heißt allerdings Installation von Geräten mit Treibern zulassen, die diesen Gerätesetupklassen entsprechen. Diese ist in der Beschreibung nicht aufgeführt. Allerdings gibt es diese nicht in der Auflistung der Beschreibung. Was mich auch wundert ist in der oben genannten Auflistung der Eintrag „Installation von Geräten mit diesen Geräte-IDs verhindern“. Das heißt wenn ich einen Wert in der Geräte-ID verhindern eintrage, dann kann sie installiert werden. Müsste das hier nicht genau anders herum sein? Von der Beschreibung her ist durchaus richtig, dass die Maus/Tastatur nicht installiert wird, weil meine GPO nicht in der Beschreibung auftaucht. Allerdings finde ich keine andere GPO im Bereich der Geräteinstallation die ein Zulassen von Geräte in dem Format der Geräte-ID erlaubt.
Hab ich einen Denkfehler? Mach ich was falsch oder geht die Kombination die ich vorhabe garnicht?
Gruß
Doskias
Hi.
Hab's eben ausgetestet und es läuft wie erwartet. Ich habe dir oben eine falsche Fährte gewiesen, deine Device Setup Classes waren schon richtig.
Hier meine Policies (nur Tastatur und Maus gehen):
Hab's eben ausgetestet und es läuft wie erwartet. Ich habe dir oben eine falsche Fährte gewiesen, deine Device Setup Classes waren schon richtig.
Hier meine Policies (nur Tastatur und Maus gehen):
Sieht genau so aus wie meine, daher habe ich das ganze jetzt mal getestet und konnte dabei folgendes in Erfahrung bringen:
Ich habe eine Cherry GmbH-Tastaturen (USB) angeschlossen. Diese wurde nicht automatisch installiert. Als anderes Gerät ohne Treiber war keine Klassen-GUID vorhanden. Also habe ich die Tastatur es als Administrator installiert. Ergebnis: Es taucht als "Cherry GmbH-Tastatur (USB) unter Eingabegeräte auf und die Klassen-GUID {745a17a0-74d3-11d0-b6f-00a0c90f57da}. Verständlich, dass es dann nicht installiert wird, weil diese Klassen-GUID habe ich oben ja nicht angegeben. Allerdings taucht das gleiche Gerät auch unter Tastatur auf. Der Name ist Identisch, die Klassen-GUID an der Stelle allerdings {4d36e96b-e325-11ce-bfc1-08002b10318}. Dies Klassen-GUID ist in meiner GPO konfiguriert. Laut GPResult hat sich der Rechner korrekt die GPO gezogen und verarbeitet. Geräteklassen mit der ID {4d36e96b-e325-11ce-bfc1-08002b10318} haben die Erlaubnis zur Treiberinstallation.
An welcher Stelle hab ich einen Denkfehler?
Gruß
Doskias
Nachtrag: Habe die 745er Klassen-GUID jetzt auch hinzugefügt. Keine Änderung. Außerdem muss ich als Administrator die Installation des Treibers für jeden USB-Port einzeln vornehmen. Ist das normal?
Ich habe eine Cherry GmbH-Tastaturen (USB) angeschlossen. Diese wurde nicht automatisch installiert. Als anderes Gerät ohne Treiber war keine Klassen-GUID vorhanden. Also habe ich die Tastatur es als Administrator installiert. Ergebnis: Es taucht als "Cherry GmbH-Tastatur (USB) unter Eingabegeräte auf und die Klassen-GUID {745a17a0-74d3-11d0-b6f-00a0c90f57da}. Verständlich, dass es dann nicht installiert wird, weil diese Klassen-GUID habe ich oben ja nicht angegeben. Allerdings taucht das gleiche Gerät auch unter Tastatur auf. Der Name ist Identisch, die Klassen-GUID an der Stelle allerdings {4d36e96b-e325-11ce-bfc1-08002b10318}. Dies Klassen-GUID ist in meiner GPO konfiguriert. Laut GPResult hat sich der Rechner korrekt die GPO gezogen und verarbeitet. Geräteklassen mit der ID {4d36e96b-e325-11ce-bfc1-08002b10318} haben die Erlaubnis zur Treiberinstallation.
An welcher Stelle hab ich einen Denkfehler?
Gruß
Doskias
Nachtrag: Habe die 745er Klassen-GUID jetzt auch hinzugefügt. Keine Änderung. Außerdem muss ich als Administrator die Installation des Treibers für jeden USB-Port einzeln vornehmen. Ist das normal?
Zitat von @Doskias:
Außerdem muss ich als Administrator die Installation des Treibers für jeden USB-Port einzeln vornehmen. Ist das normal?
Außerdem muss ich als Administrator die Installation des Treibers für jeden USB-Port einzeln vornehmen. Ist das normal?
Wenn ich ein Gerät an einen anderen USB-Port anschließe, dann startet er immer die Treiberinstallation.
Durch deine GPO musst du das dann immer als Admin machen, da hilft es auch nichts, wenn der Treiber auf dem System schon vorhanden ist.
Ich habe die Tests mit nur einer Tastatur, einer Maus und einem SmartCardreader gemacht. Alles war wie erwartet und ließ sich installieren ohne Adminrechte (Maus, Tastatur), oder eben nur mit Adminrechten (SmartCardreader). Ich kann nicht beurteilen, was bei Dir falsch läuft und habe auch zu Hause wenig Geräte zum Testen.
Zitat von @Ghent74:
Durch deine GPO musst du das dann immer als Admin machen, da hilft es auch nichts, wenn der Treiber auf dem System schon vorhanden ist.
Zitat von @Doskias:
Außerdem muss ich als Administrator die Installation des Treibers für jeden USB-Port einzeln vornehmen. Ist das normal?
Wenn ich ein Gerät an einen anderen USB-Port anschließe, dann startet er immer die Treiberinstallation.Außerdem muss ich als Administrator die Installation des Treibers für jeden USB-Port einzeln vornehmen. Ist das normal?
Durch deine GPO musst du das dann immer als Admin machen, da hilft es auch nichts, wenn der Treiber auf dem System schon vorhanden ist.
Ähm.. wie sag ich das jetzt nett: Die Aussage ist teilweise falsch. Nachdem ich den Treiber (zum Beispiel für den oberen Port am vorderen Anschluss) installiert habe, dann den Port darunter wähle und dort die Treiber installiere, kann ich anschließend munter zwischen den Ports hin und herwechseln. Wenn nach deiner Aussage immer die Treiberinstallation gestartet wird und ich dies immer als Admin machen muss, dürfte der Wechsel hin und her ja gar nicht möglich sein.
Außerdem auch grade noch einmal getestet und an meinem Rechner (einer von dreien im Unternehmen bei denen das geht) einen USB-Stick angeschlossen. Ich musste wie erwartet mich mit dem Administrator authentifizieren um den Treiber zu installieren. Anschließend konnte ich von allen anderen USB-Ports auf den Stick zugreifen ohne dass ich als Administrator die Installation nochmal bestätigen musste.
Habe es dann direkt an dem Test-Rechner auch nochmal getestet, an dem ich das Verhalten der Tastatur ausprobiert habe. Auch hier das gleiche Ergebnis. Die Installation die USB-Sticks ist nur einmalig für alle Ports erforderlich und nicht für jeden Port separat. Selbst nach einem Neustart und der Anmeldung eines völlig anderen Benutzers wird beim USB-Stick kein zweites mal nach einer Treiberinstallation unter Adminrechten gefragt. Bei der Tastatur weiterhin jedes mal.
Also bisheriges Fazit: steht die Klassen-Guid (wie bei der Tastatur) in der GPO muss ich bei jedem Port die Treiberinstallation als Admin durchführen. Steht die Klassen-GUID nicht in der Liste (wie beim USB-Stick), dann reicht einmal für alle Ports. Ich weiß: Das macht so überhaupt keinen Sinn, ist aber nach bisherigen Test das Ergebnis.
Nachtrag:
So, ich habe das ganze jetzt weiter verifiziert es ist nicht so wie oben vermutet. Ich habe einfach die Installation generell unterbunden und bei jeder Installation die Adminrechte als erforderlich gesetzt, also unabhängig von der Klassen-ID. Das Verhalten ändert sich nicht. USB-Sticks benötigen weiterhin nur eine Installation pro Gerät, Tastatur weiterhin eine Installation je USB-Port.
Zitat von @Doskias:
Ähm.. wie sag ich das jetzt nett: Die Aussage ist teilweise falsch. Nachdem ich den Treiber (zum Beispiel für den oberen Port am vorderen Anschluss) installiert habe, dann den Port darunter wähle und dort die Treiber installiere, kann ich anschließend munter zwischen den Ports hin und herwechseln. Wenn nach deiner Aussage immer die Treiberinstallation gestartet wird und ich dies immer als Admin machen muss, dürfte der Wechsel hin und her ja gar nicht möglich sein.
Zitat von @Ghent74:
Durch deine GPO musst du das dann immer als Admin machen, da hilft es auch nichts, wenn der Treiber auf dem System schon vorhanden ist.
Zitat von @Doskias:
Außerdem muss ich als Administrator die Installation des Treibers für jeden USB-Port einzeln vornehmen. Ist das normal?
Wenn ich ein Gerät an einen anderen USB-Port anschließe, dann startet er immer die Treiberinstallation.Außerdem muss ich als Administrator die Installation des Treibers für jeden USB-Port einzeln vornehmen. Ist das normal?
Durch deine GPO musst du das dann immer als Admin machen, da hilft es auch nichts, wenn der Treiber auf dem System schon vorhanden ist.
Ähm.. wie sag ich das jetzt nett: Die Aussage ist teilweise falsch. Nachdem ich den Treiber (zum Beispiel für den oberen Port am vorderen Anschluss) installiert habe, dann den Port darunter wähle und dort die Treiber installiere, kann ich anschließend munter zwischen den Ports hin und herwechseln. Wenn nach deiner Aussage immer die Treiberinstallation gestartet wird und ich dies immer als Admin machen muss, dürfte der Wechsel hin und her ja gar nicht möglich sein.
Ja ok, dann haben wir uns missverstanden.
Ich meinte nicht, dass bei jedem Wechsel die Treiberinstallation startet, sondern nur wenn ich es zum ersten Mal an diesem Port anstecke.
Das deckt sich ja weitestgehend mit deinen Aussagen, nur das du nun festgestellt hast, dass dies für USB-Sticks scheinbar nicht gilt, diese werden nur einmal installiert.
Hast du Wechseldatenträger USB Sticks genommen oder z.B Schutzstecker?
Ich kenne die Problematik nämlich grundsätzlich nur mit Schutzsteckern (Dongle), die zwingend an den Rechnern funktionieren müssen und das Sperren der USB Ports erschwert.
Wir haben hier USB-Kameras für Videokonerenzen. Die funktionieren ohne Probleme, da sie vom System als Kamera erkannt werden.
Hast du Wechseldatenträger USB Sticks genommen oder z.B Schutzstecker?
Ja normalen USB StickJetzt ist aber erstmal Wochenende. Montag gehts weiter ;)
Ich glaube ich habe die Ursache jetzt ausfindig machen können. Ganz sicher bin ich mir derzeit nicht, denn an meinen Testrechnern geht es jetzt, allerdings sind mir auch die Ports und die USB-Tastaturen ausgegangen
Die USB-Tastaturen, die ich genutzt habe, wurde doppelt angezeigt nach der Installation. Einmal als Tastatur und einmal als USB Device. Das hat die GUID 745A17A0-74D3-11D0-B6FE-00A0C90F57DA. danach ging es immer noch nicht. Bei der Recherche und Analyse habe ich die Test-Rechner in eine eigene OU verschoben und die GPO Vererbung ausgeschaltet. Da hat es dann funktioniert. Zurück geschoben in die "normale" OU. Wieder nicht funktioniert. Also habe ich mir die verschiedenen GPOs angeschaut und dabei eine gefunden, die folgendes macht:
Computerkonfiguration -> Administrative Vorlagen -> System -> Treiberinstallation -> Installation von Treibern für diese Gerätesetupklassen ohne Administratorrechte zulassen. Hier ist die GUID 4658ee7e-f050-11d1-b6bd-00c04fa372a7 hinterlegt. Und zwar ausschließlich. Die wird benötigt um Drucker zu installieren, ohne dass die User nach Adminrechten gefragt werden. Ich habe dann in meiner neuen GPO die Treiberinstallation für Maus, Tastatur und oben genanntes USB Device einmal hinzugefügt und siehe da. Tastatur funktioniert auf Anhieb auch unter der Ursprungs-OU.
Leider sind die beiden GPOs nun nicht additiv sondern exklusiv. Also entweder funktioniert die Maus-Tastatur-Installation oder die Drucker-Installation. Ich bin mir zwar noch nicht 100% sicher, dass es die Lösung ist, aber ich werde jetzt erstmal eine Runde GPO-Konsolidierung betreiben und bis ich damit fertig bin, werde ich bestimmt wieder einen Rechner getauscht haben und sehen ob es daran lag
Gruß
Doskias
Die USB-Tastaturen, die ich genutzt habe, wurde doppelt angezeigt nach der Installation. Einmal als Tastatur und einmal als USB Device. Das hat die GUID 745A17A0-74D3-11D0-B6FE-00A0C90F57DA. danach ging es immer noch nicht. Bei der Recherche und Analyse habe ich die Test-Rechner in eine eigene OU verschoben und die GPO Vererbung ausgeschaltet. Da hat es dann funktioniert. Zurück geschoben in die "normale" OU. Wieder nicht funktioniert. Also habe ich mir die verschiedenen GPOs angeschaut und dabei eine gefunden, die folgendes macht:
Computerkonfiguration -> Administrative Vorlagen -> System -> Treiberinstallation -> Installation von Treibern für diese Gerätesetupklassen ohne Administratorrechte zulassen. Hier ist die GUID 4658ee7e-f050-11d1-b6bd-00c04fa372a7 hinterlegt. Und zwar ausschließlich. Die wird benötigt um Drucker zu installieren, ohne dass die User nach Adminrechten gefragt werden. Ich habe dann in meiner neuen GPO die Treiberinstallation für Maus, Tastatur und oben genanntes USB Device einmal hinzugefügt und siehe da. Tastatur funktioniert auf Anhieb auch unter der Ursprungs-OU.
Leider sind die beiden GPOs nun nicht additiv sondern exklusiv. Also entweder funktioniert die Maus-Tastatur-Installation oder die Drucker-Installation. Ich bin mir zwar noch nicht 100% sicher, dass es die Lösung ist, aber ich werde jetzt erstmal eine Runde GPO-Konsolidierung betreiben und bis ich damit fertig bin, werde ich bestimmt wieder einen Rechner getauscht haben und sehen ob es daran lag
Gruß
Doskias
Zitat von @DerWoWusste:
Ich habe die Tests mit nur einer Tastatur, einer Maus und einem SmartCardreader gemacht. Alles war wie erwartet und ließ sich installieren ohne Adminrechte (Maus, Tastatur), oder eben nur mit Adminrechten (SmartCardreader). Ich kann nicht beurteilen, was bei Dir falsch läuft und habe auch zu Hause wenig Geräte zum Testen.
Ich habe die Tests mit nur einer Tastatur, einer Maus und einem SmartCardreader gemacht. Alles war wie erwartet und ließ sich installieren ohne Adminrechte (Maus, Tastatur), oder eben nur mit Adminrechten (SmartCardreader). Ich kann nicht beurteilen, was bei Dir falsch läuft und habe auch zu Hause wenig Geräte zum Testen.
Offenbar haben wir ganz spezielle Tastaturen
Ist ja schon fast peinlich, dass ich fast drei Wochen an dem Problem rumgedoktert habe, aber zum Glück nicht ausschließlich. Wir haben heute neue Tastaturen bekommen (Logitech K120) und ich hab die Gelegenheit genutzt und hab damit gleich mal getestet. Raus aus der Verpackung angeschlossen und ging wieder nicht. Dann nochmal die Hardware angeschaut und wieder ein unbekanntes Gerät mit dabei, welches eindeutig der Tastatur zugeordnet werden konnte (die keinerlei extra Ports oder Kartenleser hat). Das unbekannte Gerät war ein USB-Verbundgerät mit der Klassen-GUID {36fc9e60-c465-11cf-8056-444553540000} .Dieser in der GPO hinzugefügt, Rechner neu gestartet und Tastatur geht. Gleiches Prinzip mit einer Cherry RS 6000. Ebenfalls kein Kartenleser oder ähnliches. Hier wurde noch ein "generic USB Hub" mit installiert.
Mein Fazit: Das reine hinzufügen der Klassen-GUID reicht offenbar nicht aus, da viele/einige (bei mir offenbar alle) Tastaturen noch ein USB-Controller mitbringen oder zumindest eine Treiberaktualisierung verlangen. USB-Controller können von mir aus soviel installiert werden wie da sind, wichtig sind die daran angeschlossenen Geräte und das funktioniert wie geplant, nämlich nicht außer bei Maus/Tastatur.
Gruß
Doskias
1
