Bonjour,
 
j'ai créé 3 stratégies de sécurité, qu'on appelera pour simplifier:
A
B
C
 
qui s'appliquent dans cette ordre.
 
La stratégie A positionne un certain nombre de truc, en particulier un parametre qui bloque l'utilisation des clés usb, elle s'applique a tout le monde et a toutes les machines.
La stratégie C doit permettre de réactiver l'utilisation des clés USB, elle a donc un seul parametre, qui est l'inverse de celui positionné dans A, et ne s'appliquent qu'aux machines autorisés (via un groupe).
 
Probleme, si la stratégie A marche, la C n'a pas l'air de s'appliquer.
Pourtant si C s'appliquent apres A, les parametres de A devrait s'appliquer puis celui de C devrait venir remplacer celui de A non?
 
Question, est il possible d'annuler un parametre en appliquant l'inverse? Pourquoi cela ne marche pas

en terme de stratégie c'est toujours celle qui INTERDIT qui à la priorité.
 
Donc il faut : autoriser les clé usb en A et les interdit pour certaines personnes en C ....
 

 
Dans mon cas c'est un .ADM perso, rajouté, qui vient changer un clé du registre, comment peut il savoir laquelle bloque et laquelle debloque?

en testant.

Je viens d'inverser, la A debloque et la C bloque, et apres test il semble qu'en fait la C ne s'applique pas.
 
La C est parametrée pour s'appliquer au membre du groupe USB, auquel appartient la machine, je ne vois pas pourquoi elle ne s'applique pas.

Question à la c..
Le paramètres "Appliquer la stratégie de sécurité" est bien coché pour le groupe concerné ?

Oui, pour le groupe, il y'a lire et appliquer qui sont cochés

Je crois que les paramètres des GPO pour les ordinateurs priment sur les GPO utilisateurs en cas de conflits.
De plus, lors d'un conflits entre 2 GPO, c'est celle du haut de la liste qui est appliqué.

Active l'inscription dans le journal de diagnostic

 
Si ce que tu dis est vrai, alors effectivement il y a conflit, et donc la premiere strategie est appliqué.
 
Je vais essayé de remonter en haut la stratégie C

 
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\
tu rajoute la clé Diagnostic
Dans celle-ci tu cré une valeur DWORD RunDiagnosticLoggingGlobal à 1
Ensuite tu active l'inscription commentée
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
tu rajoute la valeur DWORD UserEnvDebugLevel que tu met à 30002

Ok c'est good, j'ai placé la stratégie C en haut et ca marche.
 
Merci a toi.

Pourquoi faire deux stratégies quand une seule suffit. Fait une stratégie pour bloquer l'accès aux clés USB. Ensuite, dans les propriétés de sécurité de la stratégie, tu ajoute le groupe USB, et tu coches la case Refuser de la ligne Appliquer la stratégie. Résultat, ta stratégie de blocage s'appliquera uniquement aux utilisateurs qui ne sont pas dans le groupe USB.

cqfd
 
edit: pourquoi n'y ais-je pas pensé plus tôt  

Pas bete du tout

Sauf que ca ne marche pas
 
Parceque je n'ai pas de stratégie de retour a la normal (cette stratégie s'applique malheureusement a la machine, puisque c'est une clé machine, il faut donc pouvoir remettre la machine à l'etat normal si l'utilisateur change de poste de travail).

Ah d'accord. Dans ce cas-là, forcément...

D'ailleurs je trouve cette gestion partie machine, partie user un peu a chier.
 
En réalité l'utilisation de clé usb, on voudrait le bloquer aux utilisateurs, pas au machine. Un utilisateur qui a le droit d'utiliser des clés devrait pouvoir les utiliser partout, ce qui n'est du coup pas le cas.