Partager via

Guide pas à pas pour contrôler l’installation d’un appareil à l’aide de stratégie de groupe

  • Article

 

Dave Bishop

Mise à jour en juin 2007

Résumé: En utilisant les systèmes d’exploitation Windows Server 2008 et Windows Vista, les administrateurs peuvent déterminer quels appareils peuvent être installés sur les ordinateurs qu’ils gèrent. Le guide résume le processus d’installation de l’appareil et présente plusieurs techniques de contrôle de l’installation de l’appareil. (34 pages imprimées.)

Contenu

Introduction
   Qui doit utiliser ce guide ?
   Avantages du contrôle de l’installation des appareils à l’aide de stratégie de groupe
Vue d’ensemble du scénario
Examen de la technologie
   Installation de l’appareil dans Windows
   paramètres stratégie de groupe pour l’installation de l’appareil
   paramètres stratégie de groupe pour l’accès au stockage amovible
Configuration requise pour l’exécution des scénarios
   Procédures requises
Empêcher l’installation de tous les appareils
   Conditions préalables pour empêcher l’installation de tous les appareils
   Étapes pour empêcher l’installation de tous les appareils
Autoriser les utilisateurs à installer uniquement les appareils autorisés
   Conditions préalables pour autoriser les utilisateurs à installer uniquement les appareils autorisés
   Étapes permettant aux utilisateurs d’installer uniquement des appareils autorisés
Empêcher l’installation d’appareils interdits
   Conditions préalables pour empêcher l’installation d’appareils interdits
   Étapes pour empêcher l’installation d’appareils interdits
Contrôler les autorisations de lecture et d’écriture sur un média amovible
   Conditions préalables au contrôle des autorisations de lecture et d’écriture sur les supports amovibles
   Étapes de contrôle des autorisations de lecture et d’écriture sur les supports amovibles
Conclusion
Ressources supplémentaires
Journalisation des bogues et commentaires

Introduction

Ce guide pas à pas décrit comment contrôler l’installation des appareils sur les ordinateurs que vous gérez, notamment en désignant les appareils que les utilisateurs peuvent ou ne peuvent pas installer. Plus précisément, dans Windows Server 2008 et Windows Vista, vous pouvez appliquer une stratégie d’ordinateur à :

  • Empêcher les utilisateurs d’installer un appareil.
  • Autoriser les utilisateurs à installer uniquement les appareils figurant dans une liste des appareils « approuvés ». Si un appareil ne figure pas dans la liste, l’utilisateur ne peut pas l’installer.
  • Empêcher les utilisateurs d’installer des appareils qui figurent sur une liste des appareils « interdits ». Si un appareil ne figure pas dans la liste, l’utilisateur peut l’installer.
  • Refuser l’accès en lecture ou en écriture aux utilisateurs pour les appareils qui sont eux-mêmes amovibles, ou qui utilisent des supports amovibles, tels que des graveurs de CD et de DVD, des lecteurs de disquette, des disques durs externes et des appareils portables tels que des lecteurs multimédias, des téléphones intelligents ou des périphériques PC de poche.

Ce guide décrit le processus d’installation de l’appareil et présente les chaînes d’identification que Windows utilise pour faire correspondre un appareil aux packages de pilotes de périphérique disponibles sur un ordinateur. Le guide illustre également trois méthodes de contrôle de l’installation de l’appareil. Chaque scénario montre, pas à pas, une méthode que vous pouvez utiliser pour autoriser ou empêcher l’installation d’un appareil spécifique ou d’une classe d’appareils. Le quatrième scénario montre comment refuser l’accès en lecture ou en écriture aux utilisateurs pour les appareils amovibles ou qui utilisent un média amovible.

L’exemple d’appareil utilisé dans les scénarios est un périphérique de stockage USB. Vous pouvez effectuer les étapes de ce guide à l’aide d’un autre appareil. Toutefois, si vous utilisez un autre appareil, les instructions du guide ne correspondent pas exactement à l’interface utilisateur qui apparaît sur l’ordinateur.

Important Les étapes fournies dans ce guide sont destinées à être utilisées dans un environnement de laboratoire de test. Ce guide pas à pas n’est pas destiné à être utilisé pour déployer des fonctionnalités Windows Server sans documentation associée et doit être utilisé avec discrétion comme document autonome.

Qui doit utiliser ce guide ?

Ce guide s’adresse aux publics suivants :

  • Planificateurs et analystes des technologies de l’information qui évaluent Windows Vista et Windows Server 2008
  • Planificateurs et concepteurs de technologies de l’information d’entreprise
  • Architectes de sécurité chargés de l’implémentation d’une informatique fiable dans leur organization
  • Administrateurs qui souhaitent se familiariser avec la technologie

Avantages du contrôle de l’installation des appareils à l’aide de stratégie de groupe

La restriction des appareils que les utilisateurs peuvent installer offre les avantages suivants :

Réduire le risque de vol de données

  • Il est plus difficile pour les utilisateurs d’effectuer des copies non autorisées des données d’entreprise si les ordinateurs des utilisateurs ne peuvent pas installer d’appareils non approuvés qui prennent en charge les supports amovibles. Par exemple, si les utilisateurs ne peuvent pas installer un appareil CD-R, ils ne peuvent pas graver des copies de données d’entreprise sur un CD enregistrable. Cet avantage ne peut pas éliminer le vol de données, mais il crée un autre obstacle à la suppression non autorisée des données. Vous pouvez également réduire le risque de vol de données en utilisant stratégie de groupe pour refuser l’accès en écriture aux utilisateurs pour les appareils amovibles ou qui utilisent un média amovible. Vous pouvez accorder l’accès par groupe lorsque vous utilisez stratégie de groupe.

Réduire les coûts de support

  • Vous pouvez vous assurer que les utilisateurs installent uniquement les appareils que votre support technique est formé et équipé pour prendre en charge. Cet avantage réduit les coûts de support et la confusion des utilisateurs.

Vue d’ensemble du scénario

Les scénarios présentés dans ce guide illustrent comment contrôler l’installation et l’utilisation des appareils sur les ordinateurs que vous gérez. Les scénarios utilisent stratégie de groupe sur un ordinateur local pour simplifier l’utilisation des procédures dans un environnement lab. Dans un environnement où vous gérez plusieurs ordinateurs clients, vous devez appliquer ces paramètres à l’aide de stratégie de groupe déployés par Active Directory. Avec stratégie de groupe déployée par Active Directory, vous pouvez appliquer des paramètres à tous les ordinateurs membres d’un domaine ou d’une unité d’organisation dans un domaine. Pour plus d’informations sur l’utilisation de stratégie de groupe pour gérer vos ordinateurs clients, consultez stratégie de groupe sur le site Web microsoft.

Voici les descriptions des scénarios présentés dans ce guide :

  • Empêcher l’installation de tous les appareils

    Dans ce scénario, l’administrateur souhaite empêcher les utilisateurs standard d’installer n’importe quel appareil, mais autoriser les administrateurs à installer ou à mettre à jour des appareils. Pour effectuer ce scénario, vous configurez deux stratégies d’ordinateur. La première stratégie d’ordinateur empêche tous les utilisateurs d’installer des appareils, et la deuxième stratégie exempte les administrateurs des restrictions.

  • Autoriser les utilisateurs à installer uniquement les appareils autorisés

    Dans ce scénario, l’administrateur souhaite autoriser les utilisateurs à installer uniquement les appareils inclus dans une liste d’appareils autorisés. Ce scénario s’appuie sur le premier scénario et vous devez donc terminer le premier scénario avant d’essayer ce scénario. Pour terminer ce scénario, vous créez une liste d’appareils autorisés afin que les utilisateurs puissent installer uniquement les appareils que vous spécifiez.

  • Empêcher l’installation des appareils interdits uniquement

    Dans ce scénario, l’administrateur souhaite autoriser les utilisateurs standard à installer la plupart des appareils, mais les empêcher d’installer des appareils inclus dans une liste d’appareils interdits. Pour effectuer ce scénario, vous devez supprimer les stratégies que vous avez créées dans les deux premiers scénarios. Après avoir supprimé ces stratégies, vous créez une liste d’appareils interdits afin que les utilisateurs puissent installer n’importe quel appareil à l’exception de ceux que vous spécifiez.

  • Contrôler l’utilisation de périphériques de stockage multimédia amovibles

    Dans ce scénario, l’administrateur souhaite empêcher les utilisateurs standard d’écrire des données sur des périphériques de stockage amovibles ou des appareils dotés d’un support amovible, comme un lecteur de mémoire USB ou un graveur CD ou DVD. Pour terminer ce scénario, vous configurez une stratégie d’ordinateur pour autoriser l’accès en lecture, mais refusez l’accès en écriture à votre exemple d’appareil et à tout périphérique graveur de CD ou DE DVD sur votre ordinateur.

Examen de la technologie

Les sections suivantes fournissent une brève vue d’ensemble des technologies de base abordées dans ce guide.

Installation de l’appareil dans Windows

Un appareil est un élément matériel avec lequel Windows interagit pour effectuer une fonction. Windows ne peut communiquer avec un appareil que par le biais d’un logiciel appelé pilote de périphérique. Pour installer un pilote de périphérique, Windows détecte l’appareil, reconnaît son type, puis recherche le pilote de périphérique correspondant à ce type.

Windows utilise deux types d’identificateurs pour contrôler l’installation et la configuration des appareils. Vous pouvez utiliser les paramètres stratégie de groupe dans Windows Vista et Windows Server 2008 pour spécifier lequel de ces identificateurs autoriser ou bloquer.

Les deux types d’identificateurs sont les suivants :

  • Chaînes d’identification d’appareil
  • Classes de configuration de l’appareil

Chaînes d’identification d’appareil

Lorsque Windows détecte un appareil qui n’a jamais été installé sur l’ordinateur, le système d’exploitation interroge l’appareil pour récupérer sa liste de chaînes d’identification d’appareil. Un appareil a généralement plusieurs chaînes d’identification d’appareil, que le fabricant de l’appareil attribue. Les mêmes chaînes d’identification d’appareil sont incluses dans le fichier .inf qui fait partie du package de pilotes de périphérique. Windows choisit le package de pilotes de périphérique à installer en faisant correspondre les chaînes d’identification de périphérique récupérées à partir de l’appareil à celles incluses dans les packages de pilotes.

Windows peut utiliser chaque chaîne pour faire correspondre un appareil à un package de pilotes. Les chaînes vont du très spécifique, correspondant à une seule fabrique et un modèle d’appareil, au très général, s’appliquant éventuellement à une classe entière d’appareils. Il existe deux types de chaînes d’identification d’appareil : les ID de matériel et les ID compatibles.

ID matériels

Les ID matériels sont les identificateurs qui fournissent la correspondance la plus exacte entre un appareil et un package de pilotes. La première chaîne de la liste des ID matériels est appelée ID d’appareil, car elle correspond à la création, au modèle et à la révision exactes de l’appareil. Les autres ID matériels de la liste correspondent moins exactement aux détails de l’appareil. Par exemple, un ID matériel peut identifier la fabrique et le modèle de l’appareil, mais pas la révision spécifique. Ce schéma permet à Windows d’utiliser un pilote pour une révision différente de l’appareil, si le pilote de la révision correcte n’est pas disponible.

ID compatibles

Windows utilise ces identificateurs pour sélectionner un pilote de périphérique si le système d’exploitation ne trouve pas de correspondance avec l’ID de périphérique ou l’un des autres ID matériels. Les ID compatibles sont répertoriés dans l’ordre décroissant d’adéquation. Ces chaînes sont facultatives et, lorsqu’elles sont fournies, elles sont très génériques, comme Disque. Lorsqu’une correspondance est établie à l’aide d’un ID compatible, vous pouvez généralement utiliser uniquement les fonctions de base de l’appareil.

Lorsque vous installez un appareil, tel qu’une imprimante, un périphérique de stockage USB ou un clavier, Windows recherche les packages de pilotes qui correspondent au périphérique que vous tentez d’installer. Au cours de cette recherche, Windows affecte un « classement » à chaque package de pilotes qu’il découvre avec au moins une correspondance à un ID matériel ou compatible. Le classement indique à quel point le pilote correspond à l’appareil. Les numéros de classement inférieurs indiquent de meilleures correspondances entre le pilote et l’appareil. Un rang de zéro représente la meilleure correspondance possible. Une correspondance avec l’ID d’appareil à un dans le package de pilotes se traduit par un rang inférieur (meilleur) qu’une correspondance à l’un des autres ID matériels. De même, une correspondance à un ID matériel donne un meilleur classement qu’une correspondance à l’un des ID compatibles. Une fois que Windows a classé tous les packages de pilotes, il installe celui qui a le rang global le plus bas. Pour plus d’informations sur le processus de classement et de sélection des packages de pilotes, consultez Comment le programme d’installation sélectionne les pilotes dans MSDN Library.

Note Pour plus d’informations sur le processus d’installation du pilote de périphérique, consultez la section « Révision technologique » du Guide pas à pas de la signature et de la préproduction des pilotes de périphérique.

Certains appareils physiques créent un ou plusieurs appareils logiques lorsqu’ils sont installés. Chaque appareil logique peut gérer une partie des fonctionnalités de l’appareil physique. Par exemple, un appareil multi-fonction, tel qu’un scanneur/télécopie/imprimante tout-en-un, peut avoir une chaîne d’identification d’appareil différente pour chaque fonction.

Lorsque vous utilisez DMI pour autoriser ou empêcher l’installation d’un appareil qui utilise des appareils logiques, vous devez autoriser ou empêcher toutes les chaînes d’identification d’appareil pour cet appareil. Par exemple, si un utilisateur tente d’installer un appareil multifonction et que vous n’avez pas autorisé ou empêché toutes les chaînes d’identification pour les appareils physiques et logiques, vous pouvez obtenir des résultats inattendus de la tentative d’installation. Pour plus d’informations sur les ID matériels, consultez Chaînes d’identification d’appareil dans MSDN Library.

Classes de configuration de l’appareil

Les classes de configuration d’appareil sont un autre type de chaîne d’identification. Le fabricant affecte la classe d’installation de périphérique à un appareil dans le package de pilotes de périphérique. La classe d’installation d’appareil regroupe les appareils qui sont installés et configurés de la même façon. Par exemple, tous les lecteurs DE CD appartiennent à la classe d’installation de périphérique CDROM et utilisent le même co-programme d’installation lors de l’installation. Un nombre long appelé identificateur global unique (GUID) représente chaque classe de configuration d’appareil. Lorsque Windows démarre, il génère une arborescence en mémoire avec les GUID pour tous les appareils détectés. Avec le GUID de la classe de configuration de l’appareil lui-même, Windows peut avoir besoin d’insérer dans l’arborescence le GUID de la classe de configuration de l’appareil du bus auquel l’appareil est attaché.

Lorsque vous utilisez des classes de configuration d’appareil pour autoriser ou empêcher les utilisateurs d’installer des pilotes de périphérique, vous devez spécifier les GUID pour toutes les classes de configuration d’appareil, sinon vous risquez de ne pas obtenir les résultats souhaités. L’installation peut échouer (si vous souhaitez qu’elle réussisse) ou réussir (si vous souhaitez qu’elle échoue).

Par exemple, un appareil multi-fonction, tel qu’un scanneur/télécopie/imprimante tout-en-un, a un GUID pour un appareil multi-fonction générique, un GUID pour la fonction d’imprimante, un GUID pour la fonction scanneur, etc. Les GUID des fonctions individuelles sont des « nœuds enfants » sous le GUID d’appareil multi-fonction. Pour installer un nœud enfant, Windows doit également être en mesure d’installer le nœud parent. Vous devez autoriser l’installation de la classe d’installation de périphérique du GUID parent pour l’appareil multi-fonction en plus des GUID enfants pour les fonctions d’imprimante et de scanneur.

Pour plus d’informations, consultez Classes d’installation d’appareil dans MSDN Library.

Ce guide ne décrit aucun scénario qui utilise des classes de configuration d’appareil. Toutefois, les principes de base présentés avec les chaînes d’identification d’appareil dans ce guide s’appliquent également aux classes de configuration d’appareil. Une fois que vous avez découvert la classe de configuration d’appareil pour un appareil spécifique, vous pouvez l’utiliser dans une stratégie pour autoriser ou empêcher l’installation de pilotes de périphérique pour cette classe d’appareils.

paramètres de stratégie de groupe pour l’installation de l’appareil

Pour activer le contrôle de l’installation de l’appareil, Windows Vista et Windows Server 2008 introduisent plusieurs paramètres de stratégie. Vous pouvez configurer ces paramètres de stratégie individuellement sur un seul ordinateur, ou vous pouvez les appliquer à un grand nombre d’ordinateurs en utilisant des stratégie de groupe dans un domaine Active Directory. Pour plus d’informations sur l’utilisation de stratégie de groupe pour gérer vos ordinateurs clients, consultez stratégie de groupe.

Que vous souhaitiez appliquer les paramètres à un ordinateur autonome ou à de nombreux ordinateurs d’un domaine Active Directory, vous utilisez l’éditeur d’objets stratégie de groupe pour configurer et appliquer les paramètres de stratégie. Pour plus d’informations, consultez stratégie de groupe référence technique de l’éditeur d’objet.

Voici une brève description des paramètres de stratégie DMI utilisés dans ce guide.

Note Ces paramètres de stratégie affectent tous les utilisateurs qui se connectent à l’ordinateur sur lequel les paramètres de stratégie sont appliqués. Vous ne pouvez pas appliquer ces stratégies à des utilisateurs ou groupes spécifiques, à l’exception de la stratégie Autoriser les administrateurs à remplacer la stratégie d’installation des appareils. Cette stratégie exempte les membres du groupe Administrateurs local des restrictions d’installation de l’appareil que vous appliquez à l’ordinateur en configurant d’autres paramètres de stratégie, comme décrit dans cette section.

  • Empêcher l’installation d’appareils non décrits par d’autres paramètres de stratégie.

    Ce paramètre de stratégie contrôle l’installation des appareils qui ne sont pas spécifiquement décrits par d’autres paramètres de stratégie. Si vous activez ce paramètre de stratégie, les utilisateurs ne peuvent pas installer ou mettre à jour le pilote pour les appareils, sauf s’ils sont décrits par le paramètre de stratégie Autoriser l’installation d’appareils qui correspondent à ces ID d’appareil ou autoriser l’installation d’appareils pour ces classes d’appareils . Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent installer et mettre à jour le pilote pour tout appareil qui n’est pas décrit par le paramètre de stratégie Empêcher l’installation des appareils qui correspondent à ces ID d’appareil , le paramètre de stratégie Empêcher l’installation des appareils pour ces classes d’appareils ou empêcher l’installation d’appareils amovibles .

  • Autoriser les administrateurs à remplacer la stratégie d’installation de l’appareil.

    Ce paramètre de stratégie permet aux membres du groupe Administrateurs local d’installer et de mettre à jour les pilotes pour n’importe quel appareil, quels que soient les autres paramètres de stratégie. Si vous activez ce paramètre de stratégie, les administrateurs peuvent utiliser l’Assistant Ajout de matériel ou l’Assistant Mise à jour du pilote pour installer et mettre à jour les pilotes pour n’importe quel appareil. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les administrateurs sont soumis à tous les paramètres de stratégie qui limitent l’installation de l’appareil.

  • Empêchez l’installation d’appareils qui correspondent à ces ID d’appareil.

    Ce paramètre de stratégie spécifie une liste d’ID matériels Plug-and-Play et d’ID compatibles pour les appareils que les utilisateurs ne peuvent pas installer. Si vous activez ce paramètre de stratégie, les utilisateurs ne peuvent pas installer ou mettre à jour le pilote d’un appareil si son ID matériel ou son ID compatible correspond à celui de cette liste. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent installer des appareils et mettre à jour leurs pilotes, comme le permettent d’autres paramètres de stratégie pour l’installation des appareils.

    Note Ce paramètre de stratégie est prioritaire sur tous les autres paramètres de stratégie qui permettent aux utilisateurs d’installer un appareil. Ce paramètre de stratégie empêche les utilisateurs d’installer un appareil même s’il correspond à un autre paramètre de stratégie qui autoriserait l’installation de cet appareil.

  • Empêchez l’installation de pilotes correspondant à ces classes d’installation de périphérique.

    Ce paramètre de stratégie spécifie une liste de GUID de classe de configuration d’appareil Plug-and-Play pour les appareils que les utilisateurs ne peuvent pas installer. Si vous activez ce paramètre de stratégie, les utilisateurs ne peuvent pas installer ou mettre à jour des appareils qui appartiennent à l’une des classes d’installation d’appareil répertoriées. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent installer et mettre à jour des appareils comme autorisé par d’autres paramètres de stratégie pour l’installation de l’appareil.

    Note Ce paramètre de stratégie est prioritaire sur tous les autres paramètres de stratégie qui permettent aux utilisateurs d’installer un appareil. Ce paramètre de stratégie empêche les utilisateurs d’installer un appareil même s’il correspond à un autre paramètre de stratégie qui autoriserait l’installation de cet appareil.

  • Autorisez l’installation d’appareils qui correspondent à l’un de ces ID d’appareil.

    Ce paramètre de stratégie spécifie une liste d’ID matériels Plug-and-Play et d’ID compatibles qui décrivent les appareils que les utilisateurs peuvent installer. Ce paramètre est destiné à être utilisé uniquement lorsque le paramètre de stratégie Empêcher l’installation d’appareils non décrit par d’autres paramètres de stratégie est activé et n’est pas prioritaire sur un paramètre de stratégie qui empêcherait les utilisateurs d’installer un appareil. Si vous activez ce paramètre de stratégie, les utilisateurs peuvent installer et mettre à jour n’importe quel appareil avec un ID matériel ou un ID compatible qui correspond à un ID de cette liste si cette installation n’a pas été spécifiquement empêchée par le paramètre de stratégie Empêcher l’installation des appareils qui correspondent à ces ID d’appareil , le paramètre de stratégie Empêcher l’installation d’appareils pour ces classes d’appareils , ou le paramètre de stratégie Empêcher l’installation d’appareils amovibles . Si un autre paramètre de stratégie empêche les utilisateurs d’installer un appareil, les utilisateurs ne peuvent pas l’installer même si l’appareil est également décrit par une valeur dans ce paramètre de stratégie. Si vous désactivez ou ne configurez pas ce paramètre de stratégie et qu’aucune autre stratégie ne décrit l’appareil, le paramètre de stratégie Empêcher l’installation d’appareils non décrits par d’autres paramètres de stratégie détermine si les utilisateurs peuvent installer l’appareil.

  • Autoriser l’installation d’appareils à l’aide de pilotes pour ces classes de périphériques.

    Ce paramètre de stratégie spécifie une liste de GUID de classe de configuration d’appareil qui décrivent les appareils que les utilisateurs peuvent installer. Ce paramètre est destiné à être utilisé uniquement lorsque le paramètre de stratégie Empêcher l’installation d’appareils non décrit par d’autres paramètres de stratégie est activé et n’est pas prioritaire sur un paramètre de stratégie qui empêcherait les utilisateurs d’installer un appareil. Si vous activez ce paramètre, les utilisateurs peuvent installer et mettre à jour n’importe quel appareil avec un ID matériel ou un ID compatible qui correspond à l’un des ID de cette liste si cette installation n’a pas été spécifiquement empêchée par le paramètre de stratégie Empêcher l’installation des appareils qui correspondent à ces ID d’appareil , le paramètre de stratégie Empêcher l’installation d’appareils pour ces classes d’appareils , ou le paramètre de stratégie Empêcher l’installation d’appareils amovibles . Si un autre paramètre de stratégie empêche les utilisateurs d’installer un appareil, les utilisateurs ne peuvent pas l’installer même si l’appareil est également décrit par une valeur dans ce paramètre de stratégie. Si vous désactivez ou ne configurez pas ce paramètre de stratégie et qu’aucun autre paramètre de stratégie ne décrit l’appareil, le paramètre de stratégie Empêcher l’installation des appareils non décrits par d’autres paramètres de stratégie détermine si les utilisateurs peuvent installer l’appareil.

Certaines de ces stratégies sont prioritaires sur d’autres. L’organigramme ci-dessous illustre la façon dont Windows les traite pour déterminer si un utilisateur peut installer un appareil ou non, comme illustré dans la figure 1 (ci-dessous).

Bb530324.grouppolicydeviceinstall01(en-us,MSDN.10).gif

Figure 1. Comment Windows traite les stratégies pour déterminer si un utilisateur peut installer un appareil

paramètres de stratégie de groupe pour l’accès au stockage amovible

Dans Windows Vista et Windows Server 2008, un administrateur peut appliquer une stratégie d’ordinateur pour contrôler si les utilisateurs peuvent lire ou écrire sur n’importe quel appareil avec un média amovible. Ces stratégies peuvent être utilisées pour empêcher l’écriture de documents sensibles ou confidentiels sur un support amovible ou sur un appareil amovible contenant du stockage, puis emportés hors des locaux.

Vous pouvez appliquer ces paramètres de stratégie au niveau de l’ordinateur afin qu’ils affectent chaque utilisateur qui se connecte à l’ordinateur. Vous pouvez également les appliquer au niveau de l’utilisateur et limiter l’application à un compte d’utilisateur spécifique. Si vous utilisez stratégie de groupe dans un environnement Active Directory, vous pouvez appliquer les paramètres de stratégie aux groupes d’utilisateurs en plus des comptes d’utilisateurs uniques. stratégie de groupe vous permet également d’appliquer efficacement ces stratégies à un grand nombre d’ordinateurs. Pour plus d’informations sur l’utilisation de stratégie de groupe pour gérer vos ordinateurs clients, consultez stratégie de groupe.

Les paramètres de stratégie d’accès au stockage amovible incluent également un paramètre permettant à un administrateur de forcer un redémarrage. Si un appareil est en cours d’utilisation lorsqu’une stratégie de restriction est appliquée, la stratégie peut ne pas être appliquée tant que l’ordinateur n’est pas redémarré.

Les paramètres de stratégie se trouvent à deux emplacements. Les paramètres de stratégie trouvés dans Configuration ordinateur\Modèles d’administration\Système\Accès au stockage amovible affectent un ordinateur et chaque utilisateur qui s’y connecte. Les paramètres de stratégie trouvés dans Configuration utilisateur\Modèles d’administration\Système\Accès au stockage amovible affectent uniquement les utilisateurs auxquels le paramètre de stratégie est appliqué, y compris les groupes si stratégie de groupe est appliqué à l’aide d’Active Directory.

Voici une brève description des stratégies qui vous permettent de contrôler l’accès en lecture ou en écriture aux lecteurs de stockage amovibles. Chaque catégorie d’appareil prend en charge deux stratégies : l’une pour refuser l’accès en lecture et l’autre pour refuser l’accès en écriture :

  • Temps (en secondes) pour forcer le redémarrage

    Définissez la durée (en secondes) pendant laquelle le système attendra le redémarrage afin d’appliquer une modification des droits d’accès aux périphériques de stockage amovibles.

    Note Si aucun redémarrage n’est forcé, la modification n’entre pas en vigueur tant que le système n’est pas redémarré.

  • CD et DVD

    Ces paramètres de stratégie vous permettent de refuser l’accès en lecture ou en écriture aux appareils de la classe de stockage amovible CD et DVD, y compris les appareils connectés usb.

  • Classes personnalisées

    Ces paramètres de stratégie vous permettent de refuser l’accès en lecture ou en écriture à tout appareil dont le GUID de classe d’installation de l’appareil se trouve dans les listes que vous fournissez.

  • Lecteurs de disquettes

    Ces paramètres de stratégie vous permettent de refuser l’accès en lecture ou en écriture aux appareils de la classe Lecteur de disquette, y compris les appareils connectés usb.

  • Disques amovibles

    Ces paramètres de stratégie vous permettent de refuser l’accès en lecture ou en écriture à des appareils amovibles qui sont ou émulent des disques durs, tels que des lecteurs de mémoire USB ou des lecteurs de disque dur USB externes.

  • Lecteurs de bande

    Ces paramètres de stratégie vous permettent de refuser l’accès en lecture ou en écriture aux lecteurs de bande, y compris aux appareils connectés à USB.

  • Appareils WPD

    Ces paramètres de stratégie vous permettent de refuser l’accès en lecture ou en écriture aux appareils de la classe Appareil portable Windows. Ces appareils incluent les appareils « intelligents », tels que les lecteurs multimédias, les téléphones mobiles, les appareils Windows CE, etc.

  • Toutes les classes de stockage amovible : Refuser tout accès

    Ce paramètre de stratégie est prioritaire sur l’un des paramètres de stratégie de cette liste et, s’il est activé, refuse l’accès en lecture et en écriture à tout appareil identifié comme utilisant le stockage amovible. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’accès en lecture et en écriture aux classes de stockage amovibles est autorisé, sous réserve des restrictions imposées par les autres paramètres de stratégie de cette liste.

Configuration requise pour l’exécution des scénarios

Pour effectuer chacun des scénarios, votre doit avoir :

  • Un ordinateur client exécutant Windows Vista. Ce guide fait référence à cet ordinateur en tant que DMI-Client1.

  • Un lecteur de mémoire USB. Les scénarios décrits dans ce guide utilisent un lecteur de mémoire USB comme exemple de périphérique. Cet appareil agit comme un lecteur de disque amovible et est également appelé « lecteur de pouce », « lecteur flash » ou « lecteur de porte-clés ». La plupart des lecteurs de mémoire USB ne nécessitent aucun pilote fourni par le fabricant, et ces périphériques fonctionnent avec les pilotes fournis avec Windows Vista et Windows Server 2008.

    Note Les instructions supposent que votre appareil ne nécessite aucun pilote autre que les pilotes fournis avec Windows Vista et Windows Server 2008. Si votre appareil nécessite un pilote du fabricant, vous devez fournir le fichier de pilote lorsque Windows vous invite à le faire. Cette étape n’est pas incluse dans les scénarios.

  • (Facultatif) Graveur de CD ou de DVD. Le dernier scénario montre comment rendre les appareils avec un média amovible en lecture seule. Vous pouvez définir la stratégie de l’ordinateur sans avoir réellement installé un graveur de CD ou de DVD. Toutefois, si vous souhaitez vérifier que la stratégie d’ordinateur est efficace, vous devez disposer d’un graveur de CD ou de DVD à utiliser.

  • Accès à un compte d’administrateur protégé sur DMI-Client1. Ce guide appelle ce compte TestAdmin. Les procédures décrites dans ce guide nécessitent des privilèges d’administrateur pour la plupart des étapes. Vous devez être connecté à DMI-Client1 à l’aide de ce compte administrateur au début de chaque procédure, sauf indication contraire.

    Note Windows Vista et Windows Server 2008 introduisent le concept de compte d’administrateur protégé. Ce compte est membre du groupe Administrateurs, mais par défaut, ce privilège de sécurité n’est pas directement utilisé. Toute tentative d’exécution d’une tâche qui nécessite des droits élevés d’un administrateur génère une boîte de dialogue demandant l’autorisation d’effectuer cette tâche. Cette boîte de dialogue est décrite dans la section Réponse à la page Contrôle de compte d’utilisateur. Microsoft vous recommande d’utiliser un compte administrateur protégé, plutôt que le compte Administrateur intégré dans la mesure du possible.

  • Accès à un compte d’utilisateur standard sur DMI-Client1. Ce compte d’utilisateur n’a pas d’appartenances spéciales qui accordent des autorisations élevées. Ce guide appelle ce compte TestUser. Connectez-vous uniquement à votre ordinateur avec ce compte lorsque vous y êtes invité. Avec un compte d’utilisateur standard, toute tentative d’exécution d’une tâche qui nécessite des droits élevés d’un administrateur peut entraîner une boîte de dialogue demandant les informations d’identification d’un compte avec des privilèges d’administrateur. Cette boîte de dialogue est décrite dans la section Réponse à la page Contrôle de compte d’utilisateur.

Procédures requises

Avant de pouvoir implémenter une stratégie permettant d’autoriser ou d’empêcher les utilisateurs d’installer un appareil, vous devez connaître les chaînes d’identification de l’appareil. Vous devez également savoir comment désinstaller complètement votre lecteur de mémoire USB et son pilote associé. Les procédures suivantes configurent votre ordinateur pour exécuter correctement les scénarios de ce guide :

  1. Réponse à la page Contrôle de compte d’utilisateur
  2. Détermination des chaînes d’identification de périphérique pour votre lecteur de mémoire USB
  3. Désinstallation de votre lecteur de mémoire USB

Réponse à la page Contrôle de compte d’utilisateur

Tout au long de ce guide, vous êtes invité à effectuer des tâches qui ne peuvent être effectuées que par un membre du groupe Administrateurs. Dans Windows Vista et Windows Server 2008, lorsque vous tentez d’effectuer une tâche qui nécessite des droits d’administrateur, les opérations suivantes se produisent :

  • Si vous êtes connecté en tant que compte Administrateur intégré (non recommandé), l’opération se poursuit simplement. Le compte administrateur intégré est désactivé par défaut.
  • Si vous êtes membre du groupe Administrateurs qui n’est pas le compte Administrateur intégré, une boîte de dialogue Contrôle decompted’utilisateur s’affiche pour demander l’autorisation de continuer. Si vous cliquez sur Continuer, la tâche continue.
  • Si vous êtes connecté en tant qu’utilisateur standard, vous pouvez être empêché d’effectuer la tâche. Selon la tâche, une page Contrôle de compted’utilisateur peut vous être présentée pour fournir le nom d’utilisateur et le mot de passe d’un compte d’administrateur. Si vous fournissez des informations d’identification valides, la tâche s’exécute dans le contexte de sécurité du compte d’administrateur que vous avez fourni. Si vous ne pouvez pas fournir ces informations d’identification, vous ne pouvez pas effectuer la tâche.

Important: Avant de fournir des informations d’identification ou des autorisations pour exécuter une tâche d’administration, assurez-vous que la page Contrôle de compte d’utilisateur s’affiche en réponse à une tâche que vous avez lancée. Si la page s’affiche de manière inattendue, cliquez sur le bouton Détails et assurez-vous que la tâche que vous souhaitez autoriser.

Ce guide ne documente pas toutes les occurrences de la boîte de dialogue Contrôle de compte d’utilisateur que vous rencontrerez lors de l’exécution de ces procédures. Lorsque des étapes spéciales sont requises pour exécuter des tâches spécifiques en tant qu’administrateur, ces étapes sont documentées dans le guide.

Détermination des chaînes d’identification de périphérique pour votre lecteur de mémoire USB

En suivant ces étapes, vous pouvez déterminer les chaînes d’identification de l’appareil pour votre appareil. Si les ID matériels et les ID compatibles de votre appareil ne correspondent pas à ceux indiqués dans ce guide, utilisez les ID appropriés pour votre appareil.

Note Dans les scénarios suivants, vous devez installer puis désinstaller votre lecteur de mémoire USB. Les instructions supposent que votre appareil ne nécessite aucun pilote autre que les pilotes fournis avec Windows Vista et Windows Server 2008. Si votre appareil nécessite un pilote du fabricant, vous devez fournir le fichier de pilote lorsque Windows vous invite à le faire. Cette étape n’est pas incluse dans les scénarios.

Vous pouvez déterminer les ID matériels et les ID compatibles pour votre appareil de deux façons. Vous pouvez utiliser Gestionnaire de périphériques, un outil graphique inclus avec le système d’exploitation, ou DevCon, un outil en ligne de commande disponible en téléchargement dans le cadre du Kit de développement de pilotes (DDK). Utilisez la procédure suivante pour afficher les chaînes d’identification de périphérique pour votre lecteur de mémoire USB.

Important Ces procédures sont spécifiques à un lecteur de mémoire USB. Si vous utilisez un autre type d’appareil, vous devez ajuster les étapes en conséquence. La différence significative est l’emplacement de l’appareil dans la hiérarchie Gestionnaire de périphériques. Au lieu d’être situé dans le nœud Lecteurs de disque , vous devez localiser votre appareil dans le nœud approprié.

Pour rechercher des chaînes d’identification d’appareil à l’aide de Gestionnaire de périphériques

  1. Connectez-vous à votre ordinateur en tant que DMI-Client1\TestAdmin.

  2. Branchez votre lecteur de mémoire USB, puis autorisez l’installation.

  3. Pour ouvrir Gestionnaire de périphériques, cliquez sur le bouton Démarrer, tapez mmc devmgmt.msc dans la zone Démarrer la recherche, puis appuyez sur Entrée.

  4. Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous souhaitez, puis cliquez sur Continuer.

    Gestionnaire de périphériques démarre et affiche une arborescence représentant tous les appareils détectés sur votre ordinateur. En haut de l’arborescence se trouve un nœud avec le nom de vos ordinateurs en regard. Les nœuds inférieurs représentent les différentes catégories de matériel dans lesquelles les appareils de vos ordinateurs sont regroupés.

  5. Double-cliquez sur Lecteurs de disque pour ouvrir la liste.

    Bb530324.grouppolicydeviceinstall02(en-us,MSDN.10).gif

    Figure 2 : Ouvrez le lecteur de disque USB en double-cliquant sur

  6. Cliquez avec le bouton droit sur l’entrée de votre lecteur de mémoire USB, puis cliquez sur Propriétés. La boîte de dialogue Propriétés de l’appareil s’affiche.

    Bb530324.grouppolicydeviceinstall03(en-us,MSDN.10).gif

    Figure 3. La boîte de dialogue Propriétés du périphérique pour votre lecteur USB s’affiche.

  7. Cliquez sur l'onglet Détails.

  8. Dans la liste Propriété , cliquez sur ID matériels.

  9. Sous Valeur, notez les chaînes affichées.

    Bb530324.grouppolicydeviceinstall04(en-us,MSDN.10).gif

    Figure 4. Mémoriser les chaînes affichées sous Valeur dans la boîte de dialogue Propriétés de votre lecteur USB

    Note: Vous pouvez copier les chaînes dans le Presse-papiers en mettant en surbrillance le texte et en appuyant sur Ctrl+C. Étant donné que de nombreux ID matériels ont plusieurs caractères de soulignement, il est utile de les copier dans un fichier texte à partir duquel vous pouvez les coller lorsque vous devez spécifier un identificateur. Cette approche réduit considérablement le risque d’erreur lorsque vous devez ajouter un identificateur spécifique à une liste d’appareils approuvés ou interdits.

  10. Dans la liste Propriété , cliquez sur Id compatibles.

  11. Sous Valeur, notez les chaînes affichées.

    Bb530324.grouppolicydeviceinstall05(en-us,MSDN.10).gif

    Figure 5. Mémoriser les chaînes affichées sous Valeur dans la boîte de dialogue Propriétés de votre lecteur USB

Note Vous pouvez également déterminer vos chaînes d’identification d’appareil à l’aide de l’utilitaire de ligne de commande DevCon. Vous pouvez télécharger DevCon à partir du site d’aide et de support Microsoft. Pour plus d’informations, consultez Les fonctions de l’utilitaire de ligne de commande DevCon comme alternative à Gestionnaire de périphériques.

Devcon

DevCon HwIDs

Désinstallation de votre lecteur de mémoire USB

Dans le cas d’une utilisation quotidienne normale d’un lecteur de mémoire USB, vous pouvez généralement simplement extraire le lecteur du port USB. Toutefois, pour ce guide, vous devez également désinstaller le pilote de périphérique pour vous assurer que chaque scénario est démarré avec l’ordinateur dans un état approprié. Si vous ne parvenez pas à désinstaller et à supprimer l’appareil lorsqu’il est dirigé, les stratégies testées dans les scénarios ci-dessous n’auront aucun effet et vous ne verrez pas les résultats attendus. Suivez ces mêmes étapes tout au long de ce guide lorsque vous êtes dirigé vers la désinstallation et la suppression de votre appareil.

Important Ne déconnectez pas physiquement votre appareil du port USB tant que vous n’êtes pas à la dernière étape.

Pour désinstaller votre lecteur de mémoire USB

  1. Connectez-vous à votre ordinateur DMI-Client1\TestAdmin.

  2. Pour ouvrir Gestionnaire de périphériques, cliquez sur le bouton Démarrer, tapez mmc devmgmt.msc dans la zone Démarrer la recherche, puis appuyez sur Entrée.

  3. Si la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, vérifiez que l’action qu’elle affiche correspond à ce que vous voulez, puis cliquez sur Continuer.

  4. Cliquez avec le bouton droit sur l’entrée de votre lecteur de mémoire USB, puis cliquez sur Désinstaller.

    Bb530324.grouppolicydeviceinstall06(en-us,MSDN.10).gif

    Figure 6. Cliquez avec le bouton droit pour désinstaller votre lecteur de mémoire USB

  5. Dans la boîte de dialogue Confirmer la suppression de l’appareil , cliquez sur OK pour permettre la fin du processus de désinstallation.

  6. Lorsque Windows termine le processus de désinstallation, il supprime l’entrée de l’appareil de l’arborescence Gestionnaire de périphériques.

  7. Débranchez votre lecteur de mémoire USB du port USB.

Empêcher l’installation de tous les appareils

Ce scénario documente les étapes classiques requises pour implémenter la configuration la plus restrictive, où toutes les installations d’appareils sont empêchées et où les appareils existants ne peuvent pas être mis à jour avec de nouveaux pilotes de périphérique. Les utilisateurs ne pourront pas installer un appareil et l’utiliser sans intervention d’un administrateur. Les administrateurs peuvent toujours installer ou mettre à jour n’importe quel appareil en fonction des besoins.

Conditions préalables pour empêcher l’installation de tous les appareils

Pour effectuer les procédures de ce scénario, vous devez désinstaller votre lecteur de mémoire USB, comme décrit dans la section Désinstallation de votre lecteur de mémoire USB plus haut dans ce document.

Étapes pour empêcher l’installation de tous les appareils

  1. Configurer la stratégie pour empêcher l’installation d’un appareil
  2. Configurer la stratégie pour permettre aux administrateurs de remplacer les restrictions d’installation des appareils
  3. Tester les effets de vos paramètres de restriction en tant qu’utilisateur

Configurer la stratégie pour empêcher l’installation d’un appareil

Pour configurer une stratégie qui empêche l’installation ou la mise à jour d’un appareil

  1. Connectez-vous à votre ordinateur en tant que DMI-Client1\TestAdmin.

  2. Pour ouvrir stratégie de groupe’Éditeur d’objets, cliquez sur le bouton Démarrer, tapez mmc gpedit.msc dans la zone Démarrer la recherche, puis appuyez sur Entrée.

  3. Si la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, vérifiez que l’action qu’elle affiche correspond à ce que vous voulez, puis cliquez sur Continuer.

  4. Dans le volet de navigation stratégie de groupe Éditeur d’objets, double-cliquez sur Configuration ordinateur pour l’ouvrir. Ensuite, ouvrez Modèles d’administration, Système, Installation de l’appareil, puis Restrictions d’installation de l’appareil.

    Bb530324.grouppolicydeviceinstall07(en-us,MSDN.10).gif

    Figure 7. stratégie de groupe volet de navigation de l’éditeur d’objets

  5. Dans le volet d’informations, cliquez avec le bouton droit sur Empêcher l’installation des appareils non décrits par d’autres paramètres de stratégie, puis cliquez sur Propriétés.

  6. La boîte de dialogue stratégie s’affiche avec les paramètres actuels.

  7. Sous l’onglet Paramètre , cliquez sur Activé pour activer la stratégie.

  8. Cliquez sur OK pour enregistrer vos paramètres et revenir à stratégie de groupe’Éditeur d’objets.

Configurer la stratégie pour permettre aux administrateurs de remplacer les restrictions d’installation des appareils

La stratégie suivante permet aux administrateurs de remplacer les restrictions imposées par les autres paramètres de stratégie d’installation de l’appareil, y compris la stratégie que vous venez d’activer.

Pour configurer la stratégie pour permettre aux administrateurs de remplacer les restrictions d’installation des appareils

  1. Dans le volet d’informations, cliquez avec le bouton droit sur Autoriser les administrateurs à remplacer la stratégie d’installation de l’appareil, puis cliquez sur Propriétés.

  2. La boîte de dialogue stratégie s’affiche avec les paramètres actuels.

  3. Sous l’onglet Paramètre , cliquez sur Activé pour activer le paramètre de stratégie.

  4. Cliquez sur OK pour enregistrer votre paramètre et revenir à stratégie de groupe’Éditeur d’objets.

  5. Les deux stratégies affichent désormais leur état comme activé.

    Bb530324.grouppolicydeviceinstall08s(en-us,MSDN.10).gif

    Figure 8. Les deux stratégies affichent leur état comme activé

Tester les effets de vos paramètres de restriction en tant qu’utilisateur

Une fois les deux stratégies activées, vous pouvez les appliquer à l’ordinateur et tenter d’installer l’appareil pour voir les restrictions fonctionner.

Pour tester les effets de vos paramètres de restriction en tant qu’utilisateur

  1. Si votre appareil est installé, désinstallez-le et supprimez-le en suivant les étapes décrites dans la section Désinstallation de votre lecteur de mémoire USB plus haut dans ce document.

  2. Cliquez sur le bouton Démarrer , tapez gpupdate /force dans la zone Démarrer la recherche, puis appuyez sur Entrée.

  3. Une fois la commande GPUdate terminée, déconnectez-vous de votre ordinateur, puis connectez-vous en tant que DMI-Client1\TestUser.

  4. Pour ouvrir Gestionnaire de périphériques, cliquez sur le bouton Démarrer, tapez mmc devmgmt.msc dans la zone Démarrer la recherche, puis appuyez sur Entrée.

  5. Le message suivant s’affiche, indiquant que vous ne disposez pas des autorisations nécessaires pour apporter des modifications à Gestionnaire de périphériques.

    Bb530324.grouppolicydeviceinstall09(en-us,MSDN.10).gif

    Figure 9. Un message s’affiche pour indiquer que vous n’avez pas d’autorisations

  6. Cliquez sur OK pour accuser réception du message. (Gestionnaire de périphériques démarre et vous pouvez afficher les appareils sur l’ordinateur.)

  7. Branchez votre lecteur de mémoire USB.

  8. Tant que l’installation n’est pas terminée, l’appareil apparaît dans Gestionnaire de périphériques sous le nœud Autres appareils.

    Bb530324.grouppolicydeviceinstall10(en-us,MSDN.10).gif

    Figure 10. L’appareil s’affiche sous Autres appareils jusqu’à ce que l’installation soit terminée

  9. Étant donné que vous êtes connecté en tant qu’utilisateur standard sans droits d’administration et que l’installation de l’appareil est maintenant restreinte, la boîte de dialogue suivante s’affiche :

    Bb530324.grouppolicydeviceinstall11(en-us,MSDN.10).gif

    Figure 11. Boîte de dialogue qui s’affiche lorsque vous êtes connecté en tant qu’utilisateur standard sans droits d’administration

  10. Pour simuler une réponse utilisateur classique, cliquez sur Localiser et installer le logiciel pilote (recommandé).

  11. Une variante de la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, vous demandant un nom d’utilisateur et un mot de passe pour un compte disposant de droits d’administrateur.

  12. Étant donné qu’un utilisateur n’a pas d’informations d’identification d’administrateur à fournir, cliquez sur Annuler pour abandonner la tentative comme l’utilisateur le ferait.

  13. L’installation du pilote de périphérique échoue et l’appareil reste sous le nœud Autres périphériques et n’est pas fonctionnel.

    Bb530324.grouppolicydeviceinstall12(en-us,MSDN.10).gif

    Figure 12 : L’installation de l’appareil échoue et l’appareil n’est pas fonctionnel

Autoriser les utilisateurs à installer uniquement les appareils autorisés

Ce scénario s’appuie sur le premier scénario, Empêcher l’installation de tous les appareils, où vous avez empêché l’installation d’un appareil. Dans ce scénario, vous ajoutez une liste d’appareils autorisés à la stratégie et incluez l’ID matériel de votre lecteur de mémoire USB.

Conditions préalables pour permettre aux utilisateurs d’installer uniquement des appareils autorisés

Pour effectuer cette tâche, vous devez d’abord effectuer toutes les étapes du premier scénario, Empêcher l’installation de tous les appareils.

Étapes permettant aux utilisateurs d’installer uniquement des appareils autorisés

Dans cette section, vous ajoutez les appareils autorisés aux restrictions imposées dans Empêcher l’installation de tous les appareils, en créant une liste d’appareils autorisés.

  1. Créer une liste d’appareils autorisés
  2. Tester les effets des appareils autorisés

Créer une liste d’appareils autorisés

Pour créer une liste d’appareils approuvés

  1. Connectez-vous à votre ordinateur en tant que DMI-Client1\TestAdmin.

  2. Si votre appareil est actuellement installé, désinstallez-le et supprimez-le en suivant les étapes décrites dans la section Désinstallation de votre lecteur de mémoire USB plus haut dans ce document.

  3. Pour ouvrir stratégie de groupe’Éditeur d’objets, cliquez sur le bouton Démarrer, tapez mmc gpedit.msc dans la zone Démarrer la recherche, puis appuyez sur Entrée.

  4. Dans le volet de navigation stratégie de groupe Éditeur d’objets, double-cliquez sur Configuration ordinateur pour l’ouvrir. Ensuite, ouvrez Modèles d’administration, Système, Installation de l’appareil, puis Restrictions d’installation de l’appareil.

  5. Dans le volet d’informations, cliquez avec le bouton droit sur Autoriser l’installation des appareils qui correspondent à l’un de ces ID d’appareil, puis cliquez sur Propriétés.

  6. La boîte de dialogue stratégie s’affiche avec les paramètres actuels.

  7. Sous l’onglet Paramètre, cliquez sur Activé pour activer cette stratégie.

    Bb530324.grouppolicydeviceinstall13(en-us,MSDN.10).gif

    Figure 13 : Cliquez sur Activé pour activer la stratégie.

  8. Cliquez sur Afficher pour afficher la liste des appareils autorisés dans la boîte de dialogue Afficher le contenu. (Par défaut, la liste est vide.)

  9. Cliquez sur Ajouter pour ouvrir la boîte de dialogue Ajouter un élément.

  10. Entrez l’ID d’appareil (le premier ID matériel) de votre appareil.

    Bb530324.grouppolicydeviceinstall14(en-us,MSDN.10).gif

    Figure 14. Entrez l’ID de votre périphérique USB

  11. Cliquez sur OK pour revenir à la boîte de dialogue Afficher le contenu. Votre appareil apparaît maintenant dans la liste.

    Bb530324.grouppolicydeviceinstall15(en-us,MSDN.10).gif

    Figure 15. L’installation de l’appareil est maintenant approuvée

  12. Cliquez sur OK pour revenir à la boîte de dialogue de stratégie, puis cliquez sur OK pour enregistrer votre nouveau paramètre de stratégie.

Tester la liste des appareils autorisés

Une fois le paramètre de stratégie activé, vous pouvez l’appliquer à l’ordinateur et tenter d’installer l’appareil.

Pour tester la liste des appareils autorisés

  1. Cliquez sur le bouton Démarrer , tapez gpupdate/force dans la zone Démarrer la recherche, puis appuyez sur Entrée.

  2. Une fois la commande gpudate terminée, déconnectez-vous de votre ordinateur, puis connectez-vous en tant que DMI-Client1\TestUser.

  3. Pour ouvrir Gestionnaire de périphériques, cliquez sur le bouton Démarrer, tapez mmc devmgmt.msc dans la zone Démarrer la recherche, puis appuyez sur Entrée.

  4. Le message suivant s’affiche, indiquant que vous ne disposez pas des autorisations nécessaires pour apporter des modifications à Gestionnaire de périphériques.

    Bb530324.grouppolicydeviceinstall16s(en-us,MSDN.10).gif

    Figure 16. Un message s’affiche pour indiquer que vous n’avez pas d’autorisations

  5. Cliquez sur OK pour fermer le message. Gestionnaire de périphériques démarre et vous pouvez afficher les appareils sur l’ordinateur.

  6. Branchez votre lecteur de mémoire USB.

  7. L’appareil apparaît dans Gestionnaire de périphériques sous le nœud Autres appareils jusqu’à ce que Windows termine l’installation.

    Bb530324.grouppolicydeviceinstall17(en-us,MSDN.10).gif

    Figure 17. L’appareil s’affiche sous Autres appareils jusqu’à ce que l’installation soit terminée

  8. Une fois l’installation terminée par Windows, l’appareil se déplace vers le nœud Lecteurs de disque dans Gestionnaire de périphériques et est entièrement fonctionnel.

    Bb530324.grouppolicydeviceinstall18(en-us,MSDN.10).gif

    Figure 18. Une fois l’installation terminée, l’appareil sera entièrement fonctionnel

Empêcher l’installation d’appareils interdits

Ce scénario présente une autre façon de contrôler l’installation de l’appareil. Dans les deux premiers scénarios, vous avez empêché l’installation de tous les appareils, à l’exception de ceux autorisés par une liste d’appareils autorisés. Dans ce scénario, vous autorisez l’installation de tous les appareils à l’exception de ceux figurant sur une liste d’appareils interdits. Vous supprimez également l’exception pour les administrateurs que vous avez créée dans le premier scénario afin que même un administrateur soit affecté par la stratégie.

Conditions préalables pour empêcher l’installation d’appareils interdits

Si vous avez effectué les étapes décrites dans Empêcher l’installation de tous les appareils et Autoriser les utilisateurs à installer uniquement des appareils autorisés, vous devez désactiver ces stratégies en procédant comme suit :

  • Activez l’installation de tous les appareils.
  • Supprimez l’exception pour les membres du groupe Administrateurs afin d’autoriser l’installation de l’appareil.
  • Supprimez l’ID matériel de la liste des appareils approuvés.

Pour activer l’installation de tous les appareils

  1. Connectez-vous à votre ordinateur en tant que DMI-Client1\TestAdmin.
  2. Pour ouvrir stratégie de groupe’Éditeur d’objets, cliquez sur le bouton Démarrer, tapez mmc gpedit.msc dans la zone Démarrer la recherche, puis appuyez sur Entrée.
  3. Dans le volet de navigation stratégie de groupe Éditeur d’objets, double-cliquez sur Configuration ordinateur pour l’ouvrir. Ensuite, ouvrez Modèles d’administration, Système, Installation de l’appareil, puis Restrictions d’installation de l’appareil.
  4. Dans le volet d’informations, cliquez avec le bouton droit sur le nœud Empêcher l’installation des appareils non décrits par d’autres paramètres de stratégie, puis cliquez sur Propriétés.
  5. La boîte de dialogue stratégie s’affiche avec les paramètres actuels.
  6. Cliquez sur Désactivé pour désactiver le paramètre de stratégie.
  7. Cliquez sur OK pour enregistrer votre paramètre et revenir à stratégie de groupe’Éditeur d’objets.

L’étape suivante consiste à supprimer la stratégie qui a accordé une exception aux membres du groupe Administrateurs.

Pour supprimer l’exception permettant aux administrateurs de stratégie de groupe restrictions

  1. Dans stratégie de groupe’Éditeur d’objets, cliquez avec le bouton droit sur Autoriser les administrateurs à remplacer la stratégie d’installation de l’appareil, puis cliquez sur Propriétés.
  2. La boîte de dialogue stratégie s’affiche avec les paramètres actuels.
  3. Sous l’onglet Paramètre, cliquez sur Désactivé pour désactiver le paramètre de stratégie.
  4. Cliquez sur OK pour enregistrer votre paramètre et revenir à stratégie de groupe’Éditeur d’objets.

L’étape suivante consiste à supprimer l’ID matériel de la liste des appareils autorisés que vous avez créés dans le deuxième scénario.

Pour supprimer l’ID matériel de la liste des appareils autorisés

  1. Dans stratégie de groupe’Éditeur d’objets, cliquez avec le bouton droit sur Autoriser l’installation des appareils qui correspondent à l’un de ces ID d’appareil, puis cliquez sur Propriétés. La boîte de dialogue stratégie s’affiche avec les paramètres actuels.
  2. Sous l’onglet Paramètre, cliquez sur Afficher pour afficher la liste des appareils autorisés.
  3. Dans la boîte de dialogue Afficher le contenu, sélectionnez le nom de votre lecteur mémoire USB, puis cliquez sur Supprimer. Windows supprime votre appareil de la liste.
  4. Cliquez sur OK pour fermer la boîte de dialogue Afficher le contenu et revenir à la boîte de dialogue de stratégie.
  5. Cliquez sur Désactivé pour désactiver le paramètre de stratégie.
  6. Cliquez sur OK pour enregistrer vos modifications et revenir à stratégie de groupe’Éditeur d’objets.

Étapes pour empêcher l’installation d’appareils interdits

Pour empêcher les utilisateurs d’installer des appareils spécifiques, vous créez une liste d’appareils interdits. Dans cette section, vous allez :

  1. Créer une liste d’appareils interdits
  2. Tester la liste des appareils interdits

Créer une liste d’appareils interdits

Pour créer une liste d’appareils interdits

  1. Si votre appareil est actuellement installé, désinstallez-le et supprimez-le en suivant les étapes décrites dans la section Désinstallation de votre lecteur de mémoire USB plus haut dans ce document.

  2. Connectez-vous à votre ordinateur en tant que DMI-Client1\TestAdmin.

  3. S’il n’est pas déjà en cours d’exécution, démarrez stratégie de groupe’Éditeur d’objets. Pour ce faire, cliquez sur le bouton Démarrer, tapez mmc gpedit.msc dans la zone Démarrer la recherche, puis appuyez sur Entrée.

  4. Dans l’arborescence, double-cliquez sur Configuration de l’ordinateur pour l’ouvrir. Ensuite, ouvrez Modèles d’administration, Système, Installation de l’appareil, puis Restrictions d’installation de l’appareil.

  5. Dans le volet d’informations, cliquez avec le bouton droit sur Empêcher l’installation des appareils qui correspondent à ces ID d’appareil, puis cliquez sur Propriétés. La boîte de dialogue stratégie s’affiche avec les paramètres actuels.

  6. Sous l’onglet Paramètre, cliquez sur Activé pour activer cette stratégie.

    Bb530324.grouppolicydeviceinstall19(en-us,MSDN.10).gif

    Figure 19. Cliquez sur Activé pour activer la stratégie.

  7. Cliquez sur Afficher pour afficher la liste des appareils interdits.

  8. Dans la boîte de dialogue Afficher le contenu, cliquez sur Ajouter.

  9. Dans la boîte de dialogue Ajouter un élément , tapez l’ID d’appareil (le premier ID matériel) que vous avez trouvé pour votre appareil.

  10. Cliquez sur OK pour revenir à la boîte de dialogue Afficher le contenu.

  11. Votre appareil apparaît maintenant dans la liste.

    Bb530324.grouppolicydeviceinstall20(en-us,MSDN.10).gif

    Figure 20. L’installation de cet appareil sera désormais interdite

  12. Cliquez sur OK pour revenir à la boîte de dialogue de stratégie, puis cliquez sur OK pour enregistrer votre nouveau paramètre de stratégie.

Tester la liste des appareils interdits

Vous pouvez maintenant essayer d’installer l’appareil. Vous pouvez installer d’autres appareils, car la stratégie n’empêche plus leur installation, mais vous ne pouvez pas installer cet appareil spécifique, même lorsque vous êtes connecté en tant que membre du groupe Administrateurs.

Pour tester la liste des appareils interdits

  1. Cliquez sur le bouton Démarrer , tapez gpupdate /force dans la zone Démarrer la recherche, puis appuyez sur Entrée.

  2. Une fois la commande gpudate terminée, fermez l’invite de commandes.

  3. Pour ouvrir Gestionnaire de périphériques, cliquez sur le bouton Démarrer, tapez mmc devmgmt.msc dans la zone Démarrer la recherche, puis appuyez sur Entrée.

  4. Branchez votre lecteur de mémoire USB.

  5. L’appareil apparaît dans Gestionnaire de périphériques sous le nœud Autres appareils.

  6. L’installation ne se termine pas et l’appareil ne fonctionne pas.

    Bb530324.grouppolicydeviceinstall21(en-us,MSDN.10).gif

    Figure 21. L’installation ne sera pas terminée et l’appareil ne fonctionnera pas

  7. Windows affiche un message dans la zone de notification indiquant la raison de l’échec de l’installation :

    Bb530324.grouppolicydeviceinstall22(en-us,MSDN.10).gif

    Figure 22. Un message s’affiche pour indiquer la raison de l’échec de l’installation

  8. Vous pouvez tenter de contourner les restrictions en installant manuellement le pilote pour l’appareil. Cliquez avec le bouton droit sur l’appareil, puis cliquez sur Mettre à jour le logiciel du pilote.

  9. Le système d’exploitation vous invite à fournir le pilote de périphérique pour l’appareil.

    Bb530324.grouppolicydeviceinstall23(en-us,MSDN.10).gif

    Figure 23. Une invite pour le pilote de périphérique s’affiche

  10. Pour simuler ce qu’un utilisateur peut tenter, cliquez sur Rechercher automatiquement le logiciel pilote mis à jour.

  11. Un message s’affiche indiquant que Windows a trouvé mais n’a pas pu installer le pilote. Le dernier paragraphe explique que la tentative d’installation a échoué, car elle est interdite par la stratégie que vous avez créée.

    Bb530324.grouppolicydeviceinstall24(en-us,MSDN.10).gif

    Figure 24. La boîte de dialogue explique pourquoi l’installation a échoué

Contrôler les autorisations de lecture et d’écriture sur les supports amovibles

Ce scénario montre comment contrôler l’accès en lecture ou en écriture à des appareils amovibles ou des appareils qui utilisent des supports amovibles, sur des ordinateurs exécutant Windows Vista et Windows Server 2008. Dans ce scénario, vous définissez la stratégie de l’ordinateur pour que votre lecteur de mémoire USB soit en lecture seule. Vous définissez également la stratégie de l’ordinateur pour que n’importe quel graveur de CD ou de DVD attaché à votre ordinateur soit en lecture seule, désactivant ainsi la fonctionnalité de gravure.

Conditions préalables au contrôle des autorisations de lecture et d’écriture sur les supports amovibles

Avant de pouvoir essayer les procédures décrites dans cette section, vous devez désactiver la stratégie qui empêche l’installation de lecteurs mémoire USB.

Pour désactiver la stratégie qui empêche l’installation de lecteurs de mémoire USB

  1. Si votre appareil est actuellement installé, désinstallez-le et supprimez-le en suivant les étapes décrites dans la section Désinstallation de votre lecteur de mémoire USB plus haut dans ce document.
  2. Dans le volet d’informations de l’éditeur d’objets stratégie de groupe, cliquez avec le bouton droit sur Empêcher l’installation des appareils qui correspondent à ces ID d’appareil, puis cliquez sur Propriétés.
  3. La boîte de dialogue de stratégie s’affiche avec le paramètre actuel.
  4. Sous l’onglet Paramètres, cliquez sur Afficher pour afficher la liste des appareils interdits.
  5. Dans la boîte de dialogue Afficher le contenu, cliquez sur votre lecteur de mémoire USB, sur Supprimer, puis sur OK.
  6. Sous l’onglet Paramètre, cliquez sur Désactivé pour désactiver ce paramètre de stratégie.
  7. Cliquez sur OK pour enregistrer votre modification.

Étapes de contrôle des autorisations de lecture et d’écriture sur les supports amovibles

  1. Définir une stratégie d’ordinateur pour refuser l’accès en écriture à des classes d’appareils amovibles spécifiques
  2. Tester les paramètres de stratégie de votre ordinateur

Définir une stratégie d’ordinateur pour refuser l’accès en écriture à des classes d’appareils amovibles spécifiques

Les stratégies que vous définissez dans cette procédure bloquent l’accès en écriture à de nombreux périphériques de stockage amovibles. Toutefois, la stratégie exacte de l’ordinateur qui bloque l’accès en écriture à votre appareil peut varier en fonction de l’appareil de fabrique et de modèle spécifique. Vous pouvez également utiliser la stratégie Classes personnalisées , mais vous devez identifier le GUID de la classe de configuration de l’appareil pour l’appareil spécifique.

Pour refuser l’accès en écriture à des classes d’appareils amovibles spécifiques

  1. Dans le volet de navigation stratégie de groupe Éditeur d’objet, ouvrez Configuration ordinateur, puis modèles d’administration, système, puis accès au stockage amovible.
  2. Cliquez avec le bouton droit sur CD et DVD : refusez l’accès en écriture, puis cliquez sur Propriétés.
  3. Dans la boîte de dialogue Propriétés, cliquez sur Activé pour activer la restriction, puis cliquez sur OK.
  4. Répétez les étapes 2 et 3 pour les stratégies d’ordinateur suivantes :
    • Disques amovibles : refuser l’accès en écriture
    • Lecteurs de disquettes : refuser l’accès en écriture
    • Appareils WPD : Refuser l’accès en écriture
  5. Fermez stratégie de groupe Éditeur d’objets.

Tester les paramètres de stratégie de votre ordinateur

Si un appareil est en cours d’utilisation, la stratégie de restriction d’accès en écriture ne peut pas être appliquée immédiatement. Pour appliquer la stratégie d’ordinateur, redémarrez l’ordinateur.

Pour tester les paramètres de stratégie de votre ordinateur

  1. Cliquez sur le bouton Démarrer , tapez gpupdate /force dans la zone Démarrer la recherche, puis appuyez sur Entrée.

  2. Une fois la commande gpudate terminée, redémarrez votre ordinateur.

  3. Connectez-vous à votre ordinateur en tant que DMI-Client1\TestAdmin.

  4. Branchez votre lecteur de mémoire USB, puis attendez que Windows vous avertit qu’il est opérationnel.

  5. Cliquez sur Démarrer, sur Ordinateur, puis double-cliquez sur votre lecteur de mémoire USB.

  6. Dans Windows Explorer, cliquez avec le bouton droit sur une zone ouverte du volet d’informations, cliquez sur Nouveau, puis sur Dossier.

  7. Windows affiche un message d’erreur expliquant pourquoi la tentative de création d’un dossier a échoué.

    Bb530324.grouppolicydeviceinstall25(en-us,MSDN.10).gif

    Figure 25. Le message d’erreur explique pourquoi une tentative de création d’un dossier a échoué

  8. Cliquez sur Continuer pour essayer de contourner la restriction.

  9. Si la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, vérifiez que l’action qu’elle affiche correspond à ce que vous voulez, puis cliquez sur Continuer.

  10. Windows affiche un deuxième message indiquant la raison pour laquelle il ne peut pas écrire dans le dossier.

    Bb530324.grouppolicydeviceinstall26(en-us,MSDN.10).gif

    Figure 26. Un deuxième message d’erreur indique la raison pour laquelle les autorisations d’écriture ne sont pas autorisées

Conclusion

Dans ce guide, vous avez utilisé un exemple d’appareil dans un environnement lab pour apprendre à contrôler si vos utilisateurs peuvent installer un appareil ou non. Vous avez également appris à restreindre l’accès aux périphériques de stockage amovibles ou aux appareils qui utilisent des supports amovibles. Contrôler l’installation et l’utilisation des appareils de cette façon améliore votre sécurité et améliore l’efficacité de votre support technique en limitant les appareils que les utilisateurs peuvent installer à ceux que votre organization approuve et prend en charge. Les scénarios utilisés pour illustrer ces configurations sont les suivants :

  • Empêcher l’installation de tous les appareils.

    Dans ce scénario, vous avez empêché les utilisateurs standard d’installer n’importe quel appareil, mais vous avez autorisé les administrateurs à installer ou à mettre à jour des appareils.

  • Autoriser les utilisateurs à installer uniquement les appareils autorisés.

    Dans ce scénario, vous avez autorisé les utilisateurs standard à installer uniquement les appareils inclus dans une liste d’appareils autorisés.

  • Empêcher l’installation d’appareils interdits uniquement.

    Dans ce scénario, vous avez autorisé les utilisateurs standard à installer la plupart des appareils, mais vous les avez empêchés d’installer des appareils inclus dans une liste d’appareils interdits.

  • Contrôler l’utilisation des périphériques de stockage multimédia amovibles.

    Dans ce scénario, vous avez empêché les utilisateurs standard d’écrire des données sur des périphériques de stockage amovibles ou des appareils avec un support amovible, comme un lecteur de mémoire USB ou un graveur de CD ou de DVD.

Ressources supplémentaires

Pour plus d’informations sur l’installation de l’appareil :

Pour plus d’informations sur l’outil DevCon :

Pour plus d’informations sur le contrôle de compte d’utilisateur dans Windows Vista :

Pour plus d’informations sur stratégie de groupe :

Journalisation des bogues et des commentaires

Votre feedback est le bienvenu. Si les scénarios inclus ne fonctionnent pas comme décrit ou s’ils ne parviennent pas à capturer la façon dont vous souhaitez utiliser la technologie, veuillez nous le faire savoir. Nous utiliserons les commentaires que vous fournissez pour améliorer la qualité de cette documentation. Envoyez vos commentaires sur cette documentation à Vista Feedback (vistafb@microsoft.com).

Pour obtenir des commentaires sur Windows Vista, utilisez le lien « Contactez-nous » en bas de la page Web de Windows Vista à l’adresse https://www.microsoft.com/windowsvista.