Installation von Geräten per GPO steuern

doskias
Goto Top
Hallo liebe Liebenden face-smile

heute ist nicht Freitag, also kommt hier keine Freitagsfrage. Heute ist Donnerstag, also kommt hier eine Donnerstags-Knobelaufgabe.

Die Situation: Die Produktiv-Umgebung besteht aus Windows 8 und Windows 10 Clients. An diesen Clients sollen die Mitarbeiter keine mitgebrachten Datenträger einlesen. Also sollten alle Zugriffe deaktiviert werden. Dazu habe ich eine GPO konfiguriert und diese sieht wie folgt aus:

gpo1


Das ganze funktioniert wunderbar. CD/DVD Laufwerke sind gesperrt und USB-Sticks gehen nicht. Diskettenlaufwerk funktioniert und wird an einigen Rechnern auch tatsächlich benötigt um Daten von Produktionsmaschinen (ab Dos 5.0 aufwärts) auf die Rechner zu übertragen und zurück. Außerdem funktioniert in der obigen Einstellung die Kamera, die nicht als USB-Gerät erkannt wird, während (zum Beispiel) der Dymo Labelwriter der per USB angeschlossen wird als Wechseldatenträger erkannt wird und damit nur an einer begrenzten Anzahl an Plätzen funktioniert, nämlich bei denen wo dieses GPO nicht gilt. Soweit alles gut.

Jetzt ist aufgefallen, dass bei den hier gezeigten Einstellungen jeder Mitarbeiter einfach sein Smartphone anschließen kann und schon kann er Daten wieder unkontrolliert an der Firewall vorbei schleusen. Mein erster Impuls: einfach bei der hier gezeigten GPO alle Wechselmedien sperren. Der Effekt: Handys gehen nicht mehr. Der Nebeneffekt: die Firmeninternen Kameras und die Diskettenlaufwerke allerdings auch nicht. Also nicht die Lösung. Einstellung auf das Bild von oben zurück gedreht und weiter gesucht. Dabei eine weitere Option gefunden und konfiguriert. Und zwar diese hier:
gpo2
Effekt: Der User kann zwar weiterhin sein Handy anschließen. Da aber ein Treiber dafür benötigt wird, den der User nicht installieren kann, hat er keinen Zugriff darauf. Da die GPO erst nach der Installation der Clients erfolgt ist der Treiber des Diskettenlaufwerkes schon installiert, so dass dieses problemlos funktioniert. Die Kamera wird zwar blockiert, aber durch die Sonderrechte des Administrators kann ich die Treiber händisch installieren. Das muss ich zwar an jedem Rechner machen wo die Kamera angeschlossen wird, aber das ist überschaubar, zumal die Installation des Treibers nur einmalig nötig ist. Beim zweiten Anschluss des gleichen Gerätes wird dann kein Treiber mehr benötigt.

Die Administration und die Geschäftsführung war glücklich zumindest für eine Weile. Und hier könnte die Geschichte enden, wenn nicht der Admin einen fatalen Denkfehler gemacht hätte. Folgendes war nämlich passiert:

Heute musste dann bei einem Anwender ein Rechner von Windows 8 auf Windows 10 getauscht werden. Der Rechner wurde wie immer vorbereitet und nach vorgaben installiert und konfiguriert. Es war alles fertig und ich hatte ihn getauscht. Der Rechner fährt hoch, der Anmeldebildschirm kommt und... Maus und Tastatur funktionieren nicht. Mir natürlich sofort klar, dass es an der GPO lag, denn die verhindert ja die Installation von Wechselgeräten, also auch Maus & Tastatur und diese sind beim Anwender anders als bei mir in der Werkstatt. Also schnell an einen anderen Rechner, RDP auf den neuen Rechner, per Admin die Treiber installiert und alles funktioniert. Im Nachgang habe ich mir dann die Optionen in dem Bereich noch einmal angesehen:
gpo3
Ja ich kann hier (theoretisch) die untere Option wählen und dann die Installation von Geräten zulassen die zu einer bestimmten Geräte-ID bzw. einer Geräteinstanz-ID gehören. Nur kommt hier das nächste Problem: die Geräte-ID gibt ja neben dem Hersteller auch das Modell mit an. Und bei uns darf sich jeder User seine Maus und Tastatur selbst aussuchen, solange es einen finanziellen Rahmen nicht sprengt. Das Ergebnis ist, dass wir gefühlt genau so viele unterschiedliche Maus/Tastatur-Kombinationen haben wie Anwender.

Die Kernfrage ist also: Wie muss ich die beiden GPOs (oder vielleicht eine weitere) konfigurieren, dass bei allen Geräten außer Maus und Tastatur ein Armin-Account benötigt wird? Gibt es eine Geräteinstanz-ID, Gerätesetupklasse oder Geräte-ID mit der ich alle Mäuse und Tastaturen (und sei es nur von eine Hersteller) zur Installation freigeben kann?

Gruß
Doskias

Content-Key: 665548

Url: https://administrator.de/contentid/665548

Ausgedruckt am: 13.08.2022 um 16:08 Uhr

Mitglied: DerWoWusste
DerWoWusste 08.04.2021 um 18:16:11 Uhr
Goto Top
Hi.

Wpd devices heißen die Dinger. Dafür gibt es eine einzelne GPO. Google mal.
Mitglied: DerWoWusste
DerWoWusste 08.04.2021 um 19:28:05 Uhr
Goto Top
Mitglied: Doskias
Doskias 08.04.2021 um 19:36:54 Uhr
Goto Top
Danke für deine beiden Posts. Wie du am ersten Bild sehen kannst, habe ich die WPD Geräte schon berücksichtigt. Ich werde es morgen gerne noch einmal testen, aber ich bin mir sicher, dass das Sperren der WPD-Geräte im Januar auch zum Sperren der Kamera geführt hat.
Mitglied: DerWoWusste
DerWoWusste 08.04.2021 um 19:53:34 Uhr
Goto Top
Oh, Verzeihung. Wir haben eh beides gesperrt, da fällt das nicht auf.
Mitglied: mayho33
mayho33 08.04.2021 um 21:53:54 Uhr
Goto Top
Zumindest was die Treiberinstallation angeht kann ich dir den Tipp geben:

Bastel ein kleiner Script das via pnputil -i -a <%~bp0*.inf> deine Treiber installiert.

Packe alles in einen Ordner und starte das Script in einer GPO.

Sobald der User die Kamera ansteckt werden die Treiber bereitgestellt.

Grüße!
Mitglied: DerWoWusste
DerWoWusste 08.04.2021 um 22:52:17 Uhr
Goto Top
Es gibt doch zweit GPOs, eine für Gerätesetupklassen und eine für IDs. Wenn du nun die gesamte Klasse Tastatur und die gesamte Klasse Maus zulāsst, passt das nicht?
Mitglied: mayho33
mayho33 09.04.2021 um 01:33:53 Uhr
Goto Top
Zitat von @DerWoWusste:

Es gibt doch zweit GPOs, eine für Gerätesetupklassen und eine für IDs. Wenn du nun die gesamte Klasse Tastatur und die gesamte Klasse Maus zulāsst, passt das nicht?

Er hat ja noch seine USB Kameras
Mitglied: Doskias
Doskias 09.04.2021 um 08:07:11 Uhr
Goto Top
Zitat von @DerWoWusste:
Es gibt doch zweit GPOs, eine für Gerätesetupklassen und eine für IDs. Wenn du nun die gesamte Klasse Tastatur und die gesamte Klasse Maus zulässt, passt das nicht?

Doch ich glaube das müsste passen. ich glaube auch, es war gestern einfach schon zu kur vor Feierabend face-smile Ich habe keine Geräteklassen-ID für die Tastatur gefunden, die der Beschreibung in der GPO entspricht.
gpo4

Hab grade noch mal geschaut welche Eigenschaften ich bei der Tastatur auslesen kann und bin mir ziemlich sicher, dass es in den Einstellungen nur Klassen-GUID heißt. Zumindest er Wert entspricht vom Format dem in der GPO.
gpo5

Kennst du zufällig eine Auflistung welche Klassen-GUID für welche Geräte stehen? Ich hab bei Google auf die schnelle nichts gefunden. {4d36e96f-e325-11ce-bfc1-08002be10318} müsste meiner Recherche nach dann die Klassen-GUID der Mäuse sein.

Zitat von @mayho33:
Er hat ja noch seine USB Kameras

Die sind aber (wie oben geschrieben) egal. Die dürfen nur nicht ausgesperrt werden. Wenn ich für die Kameras mich einmalig als Admin anmelden muss um den Treiber zu installieren, dann ist das kein Problem. Die Rechner an denen die Kameras angeschlossen werden kann ich im wahrsten Sinne des Wortes an einer Hand abzählen.

Gruß
Doskias
Mitglied: DerWoWusste
DerWoWusste 09.04.2021 um 09:21:25 Uhr
Goto Top
Mitglied: Tektronix
Tektronix 09.04.2021 um 09:23:47 Uhr
Goto Top
Moin,
versuchs mal mit HID-konforme Maus, Klassen-GUID und HID-Tastatur, Klassen-GUID. Allerdings musste ich Maus und Tastatur deaktivieren, wobei die Bildschirmtastatur funktionieren sollte.
Hat bei mir an All-in Geräten funktioniert. Kamera und Bildschirmtastatur funktionierten trotzdem.
Mitglied: Doskias
Doskias 14.04.2021 um 10:25:58 Uhr
Goto Top
Hallo DWW,

meine GPO sieht jetzt so aus:
gpo6

Die ersten beiden Einträge sind die Geräte-IDs die ich im Gerätemanager für Maus und Tastatur ausfindig machen konnte. Die unteren beiden sind die von der von dir geposteten Website. Heute musste ich wieder Hardware an einem Gerät umbauen (Laufwerk defekt) und habe dafür das Gehäuse geöffnet. Nach dem Umbau wurden die gleichen Geräte bezüglich Maus/Tastatur wieder angeschlossen, aber ohne Installationsgenehmigung eines Admins funktionierten Sie nicht.

Habe es geprüft. Sowohl die Maus als auch die Tastatur sind dort eingetragen. Bei der Suche ist mir jetzt folgendes aufgefallen. In der GPO Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind steht
Wenn Sie diese Richtlinieneinstellung aktivieren, kann Windows Gerätetreiber für Geräte, die nicht in den Richtlinieneinstellungen „Installation von Geräten mit diesen Geräte-IDs verhindern“, „Installation von Geräten mit diesen Geräte-IDs zulassen“ oder „Installation von Geräten zulassen, die mit einer der folgenden Geräteinstanz-IDs übereinstimmen“ beschrieben werden, nicht installieren oder aktualisieren.

Meine Option heißt allerdings Installation von Geräten mit Treibern zulassen, die diesen Gerätesetupklassen entsprechen. Diese ist in der Beschreibung nicht aufgeführt. Allerdings gibt es diese nicht in der Auflistung der Beschreibung. Was mich auch wundert ist in der oben genannten Auflistung der Eintrag „Installation von Geräten mit diesen Geräte-IDs verhindern“. Das heißt wenn ich einen Wert in der Geräte-ID verhindern eintrage, dann kann sie installiert werden. Müsste das hier nicht genau anders herum sein? Von der Beschreibung her ist durchaus richtig, dass die Maus/Tastatur nicht installiert wird, weil meine GPO nicht in der Beschreibung auftaucht. Allerdings finde ich keine andere GPO im Bereich der Geräteinstallation die ein Zulassen von Geräte in dem Format der Geräte-ID erlaubt.

Hab ich einen Denkfehler? Mach ich was falsch oder geht die Kombination die ich vorhabe garnicht?

Gruß
Doskias
Mitglied: DerWoWusste
Lösung DerWoWusste 14.04.2021 um 17:52:48 Uhr
Goto Top
Hi.

Hab's eben ausgetestet und es läuft wie erwartet. Ich habe dir oben eine falsche Fährte gewiesen, deine Device Setup Classes waren schon richtig.
Hier meine Policies (nur Tastatur und Maus gehen):
capture
Mitglied: Doskias
Doskias 16.04.2021 aktualisiert um 10:39:12 Uhr
Goto Top
Sieht genau so aus wie meine, daher habe ich das ganze jetzt mal getestet und konnte dabei folgendes in Erfahrung bringen:

Ich habe eine Cherry GmbH-Tastaturen (USB) angeschlossen. Diese wurde nicht automatisch installiert. Als anderes Gerät ohne Treiber war keine Klassen-GUID vorhanden. Also habe ich die Tastatur es als Administrator installiert. Ergebnis: Es taucht als "Cherry GmbH-Tastatur (USB) unter Eingabegeräte auf und die Klassen-GUID {745a17a0-74d3-11d0-b6f-00a0c90f57da}. Verständlich, dass es dann nicht installiert wird, weil diese Klassen-GUID habe ich oben ja nicht angegeben. Allerdings taucht das gleiche Gerät auch unter Tastatur auf. Der Name ist Identisch, die Klassen-GUID an der Stelle allerdings {4d36e96b-e325-11ce-bfc1-08002b10318}. Dies Klassen-GUID ist in meiner GPO konfiguriert. Laut GPResult hat sich der Rechner korrekt die GPO gezogen und verarbeitet. Geräteklassen mit der ID {4d36e96b-e325-11ce-bfc1-08002b10318} haben die Erlaubnis zur Treiberinstallation.

An welcher Stelle hab ich einen Denkfehler?

Gruß
Doskias

Nachtrag: Habe die 745er Klassen-GUID jetzt auch hinzugefügt. Keine Änderung. Außerdem muss ich als Administrator die Installation des Treibers für jeden USB-Port einzeln vornehmen. Ist das normal?
Mitglied: Ghent74
Ghent74 16.04.2021 um 11:03:20 Uhr
Goto Top
Zitat von @Doskias:
Außerdem muss ich als Administrator die Installation des Treibers für jeden USB-Port einzeln vornehmen. Ist das normal?

Wenn ich ein Gerät an einen anderen USB-Port anschließe, dann startet er immer die Treiberinstallation.
Durch deine GPO musst du das dann immer als Admin machen, da hilft es auch nichts, wenn der Treiber auf dem System schon vorhanden ist.
Mitglied: DerWoWusste
Lösung DerWoWusste 16.04.2021 aktualisiert um 11:29:34 Uhr
Goto Top
Ich habe die Tests mit nur einer Tastatur, einer Maus und einem SmartCardreader gemacht. Alles war wie erwartet und ließ sich installieren ohne Adminrechte (Maus, Tastatur), oder eben nur mit Adminrechten (SmartCardreader). Ich kann nicht beurteilen, was bei Dir falsch läuft und habe auch zu Hause wenig Geräte zum Testen.
Mitglied: Doskias
Doskias 16.04.2021 aktualisiert um 11:54:17 Uhr
Goto Top
Zitat von @Ghent74:
Zitat von @Doskias:
Außerdem muss ich als Administrator die Installation des Treibers für jeden USB-Port einzeln vornehmen. Ist das normal?
Wenn ich ein Gerät an einen anderen USB-Port anschließe, dann startet er immer die Treiberinstallation.
Durch deine GPO musst du das dann immer als Admin machen, da hilft es auch nichts, wenn der Treiber auf dem System schon vorhanden ist.

Ähm.. wie sag ich das jetzt nett: Die Aussage ist teilweise falsch. Nachdem ich den Treiber (zum Beispiel für den oberen Port am vorderen Anschluss) installiert habe, dann den Port darunter wähle und dort die Treiber installiere, kann ich anschließend munter zwischen den Ports hin und herwechseln. Wenn nach deiner Aussage immer die Treiberinstallation gestartet wird und ich dies immer als Admin machen muss, dürfte der Wechsel hin und her ja gar nicht möglich sein.
Außerdem auch grade noch einmal getestet und an meinem Rechner (einer von dreien im Unternehmen bei denen das geht) einen USB-Stick angeschlossen. Ich musste wie erwartet mich mit dem Administrator authentifizieren um den Treiber zu installieren. Anschließend konnte ich von allen anderen USB-Ports auf den Stick zugreifen ohne dass ich als Administrator die Installation nochmal bestätigen musste.

Habe es dann direkt an dem Test-Rechner auch nochmal getestet, an dem ich das Verhalten der Tastatur ausprobiert habe. Auch hier das gleiche Ergebnis. Die Installation die USB-Sticks ist nur einmalig für alle Ports erforderlich und nicht für jeden Port separat. Selbst nach einem Neustart und der Anmeldung eines völlig anderen Benutzers wird beim USB-Stick kein zweites mal nach einer Treiberinstallation unter Adminrechten gefragt. Bei der Tastatur weiterhin jedes mal.

Also bisheriges Fazit: steht die Klassen-Guid (wie bei der Tastatur) in der GPO muss ich bei jedem Port die Treiberinstallation als Admin durchführen. Steht die Klassen-GUID nicht in der Liste (wie beim USB-Stick), dann reicht einmal für alle Ports. Ich weiß: Das macht so überhaupt keinen Sinn, ist aber nach bisherigen Test das Ergebnis.

Nachtrag:
So, ich habe das ganze jetzt weiter verifiziert es ist nicht so wie oben vermutet. Ich habe einfach die Installation generell unterbunden und bei jeder Installation die Adminrechte als erforderlich gesetzt, also unabhängig von der Klassen-ID. Das Verhalten ändert sich nicht. USB-Sticks benötigen weiterhin nur eine Installation pro Gerät, Tastatur weiterhin eine Installation je USB-Port.
Mitglied: Ghent74
Ghent74 16.04.2021 um 13:36:55 Uhr
Goto Top
Zitat von @Doskias:

Zitat von @Ghent74:
Zitat von @Doskias:
Außerdem muss ich als Administrator die Installation des Treibers für jeden USB-Port einzeln vornehmen. Ist das normal?
Wenn ich ein Gerät an einen anderen USB-Port anschließe, dann startet er immer die Treiberinstallation.
Durch deine GPO musst du das dann immer als Admin machen, da hilft es auch nichts, wenn der Treiber auf dem System schon vorhanden ist.

Ähm.. wie sag ich das jetzt nett: Die Aussage ist teilweise falsch. Nachdem ich den Treiber (zum Beispiel für den oberen Port am vorderen Anschluss) installiert habe, dann den Port darunter wähle und dort die Treiber installiere, kann ich anschließend munter zwischen den Ports hin und herwechseln. Wenn nach deiner Aussage immer die Treiberinstallation gestartet wird und ich dies immer als Admin machen muss, dürfte der Wechsel hin und her ja gar nicht möglich sein.

Ja ok, dann haben wir uns missverstanden.
Ich meinte nicht, dass bei jedem Wechsel die Treiberinstallation startet, sondern nur wenn ich es zum ersten Mal an diesem Port anstecke.
Das deckt sich ja weitestgehend mit deinen Aussagen, nur das du nun festgestellt hast, dass dies für USB-Sticks scheinbar nicht gilt, diese werden nur einmal installiert.
Hast du Wechseldatenträger USB Sticks genommen oder z.B Schutzstecker?
Ich kenne die Problematik nämlich grundsätzlich nur mit Schutzsteckern (Dongle), die zwingend an den Rechnern funktionieren müssen und das Sperren der USB Ports erschwert.
Wir haben hier USB-Kameras für Videokonerenzen. Die funktionieren ohne Probleme, da sie vom System als Kamera erkannt werden.
Mitglied: Doskias
Doskias 16.04.2021 um 13:45:22 Uhr
Goto Top
Hast du Wechseldatenträger USB Sticks genommen oder z.B Schutzstecker?
Ja normalen USB Stick

Jetzt ist aber erstmal Wochenende. Montag gehts weiter ;)
Mitglied: Doskias
Doskias 20.04.2021 um 15:42:29 Uhr
Goto Top
Ich glaube ich habe die Ursache jetzt ausfindig machen können. Ganz sicher bin ich mir derzeit nicht, denn an meinen Testrechnern geht es jetzt, allerdings sind mir auch die Ports und die USB-Tastaturen ausgegangen face-smile

Die USB-Tastaturen, die ich genutzt habe, wurde doppelt angezeigt nach der Installation. Einmal als Tastatur und einmal als USB Device. Das hat die GUID 745A17A0-74D3-11D0-B6FE-00A0C90F57DA. danach ging es immer noch nicht. Bei der Recherche und Analyse habe ich die Test-Rechner in eine eigene OU verschoben und die GPO Vererbung ausgeschaltet. Da hat es dann funktioniert. Zurück geschoben in die "normale" OU. Wieder nicht funktioniert. Also habe ich mir die verschiedenen GPOs angeschaut und dabei eine gefunden, die folgendes macht:

Computerkonfiguration -> Administrative Vorlagen -> System -> Treiberinstallation -> Installation von Treibern für diese Gerätesetupklassen ohne Administratorrechte zulassen. Hier ist die GUID 4658ee7e-f050-11d1-b6bd-00c04fa372a7 hinterlegt. Und zwar ausschließlich. Die wird benötigt um Drucker zu installieren, ohne dass die User nach Adminrechten gefragt werden. Ich habe dann in meiner neuen GPO die Treiberinstallation für Maus, Tastatur und oben genanntes USB Device einmal hinzugefügt und siehe da. Tastatur funktioniert auf Anhieb auch unter der Ursprungs-OU.
Leider sind die beiden GPOs nun nicht additiv sondern exklusiv. Also entweder funktioniert die Maus-Tastatur-Installation oder die Drucker-Installation. Ich bin mir zwar noch nicht 100% sicher, dass es die Lösung ist, aber ich werde jetzt erstmal eine Runde GPO-Konsolidierung betreiben und bis ich damit fertig bin, werde ich bestimmt wieder einen Rechner getauscht haben und sehen ob es daran lag face-smile

Gruß
Doskias
Mitglied: Doskias
Doskias 28.04.2021 aktualisiert um 11:48:50 Uhr
Goto Top
Zitat von @DerWoWusste:

Ich habe die Tests mit nur einer Tastatur, einer Maus und einem SmartCardreader gemacht. Alles war wie erwartet und ließ sich installieren ohne Adminrechte (Maus, Tastatur), oder eben nur mit Adminrechten (SmartCardreader). Ich kann nicht beurteilen, was bei Dir falsch läuft und habe auch zu Hause wenig Geräte zum Testen.

Offenbar haben wir ganz spezielle Tastaturen face-smile

Ist ja schon fast peinlich, dass ich fast drei Wochen an dem Problem rumgedoktert habe, aber zum Glück nicht ausschließlich. Wir haben heute neue Tastaturen bekommen (Logitech K120) und ich hab die Gelegenheit genutzt und hab damit gleich mal getestet. Raus aus der Verpackung angeschlossen und ging wieder nicht. Dann nochmal die Hardware angeschaut und wieder ein unbekanntes Gerät mit dabei, welches eindeutig der Tastatur zugeordnet werden konnte (die keinerlei extra Ports oder Kartenleser hat). Das unbekannte Gerät war ein USB-Verbundgerät mit der Klassen-GUID {36fc9e60-c465-11cf-8056-444553540000} .Dieser in der GPO hinzugefügt, Rechner neu gestartet und Tastatur geht. Gleiches Prinzip mit einer Cherry RS 6000. Ebenfalls kein Kartenleser oder ähnliches. Hier wurde noch ein "generic USB Hub" mit installiert.

Mein Fazit: Das reine hinzufügen der Klassen-GUID reicht offenbar nicht aus, da viele/einige (bei mir offenbar alle) Tastaturen noch ein USB-Controller mitbringen oder zumindest eine Treiberaktualisierung verlangen. USB-Controller können von mir aus soviel installiert werden wie da sind, wichtig sind die daran angeschlossenen Geräte und das funktioniert wie geplant, nämlich nicht außer bei Maus/Tastatur.

Gruß
Doskias