Restreindre les lecteurs dans un environnement TSE


Remote Desktop Services / jeudi, décembre 18th, 2008

Avec Terminal Serveur, il convient de blinder la configuration afin se prémunir des utilisateurs et des éventuelles mauvaises manipulations qu’ils pourraient effectuer sur le serveur. Le plus souvent, on cherche en premier lieux à rendre inaccessible les lecteurs locaux du serveur. De base, la GPO permet de resteindre l’accès aux lecteurs C et D. Mais si nous disposons d’autres lecteurs ?…

La clé de registre à modifier est NoDrives (DWORD) située dans HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Drives.jpg

Pour calculer la valeur, voici la règle: A=1, B=2, C=4, D=8, E=16, F=32, G=64

Pour restreindre la lettre D et E, cela nous donne 6 +16 = 24.

Vous pouvez télécharger ici un Excel, avec toutes les valeurs. Mettez un 1 dans la colonne D pour bloquer les lecteurs désirés. La valeur D27 est le résultat. (Dans le fichier Excel, par exemple, on bloque les lecteurs A B C D E F et M)

Ou alors, il existe un utilitaire qui calcule facilement les valeurs à modifier, si vous n’avez pas Excel sur le serveur de votre client 🙂 . Télécharger ici.

koxod.jpg

Voici un exemple de template ADM, si vous désirez avoir le choix concernant plusieurs lecteurs.

POLICY !!NoDrives 

EXPLAIN !!NoDrives_Help

PART !!NoDrivesDropdown	DROPDOWNLIST NOSORT REQUIRED

VALUENAME "NoDrives"

ITEMLIST

NAME !!ABOnly           VALUE NUMERIC	3

NAME !!COnly            VALUE NUMERIC	4

NAME !!DOnly            VALUE NUMERIC 	8

NAME !!ABConly          VALUE NUMERIC 	7

NAME !!ABCDOnly         VALUE NUMERIC	15

NAME Client             VALUE NUMERIC	4159

NAME !!ALLDrives        VALUE NUMERIC	67108863 DEFAULT 

; low 26 bits on (1 bit per drive)

 NAME !!RestNoDrives     VALUE NUMERIC	0

END ITEMLIST

END PART	

END POLICY

Ne pas oubliez des renseigner dans la section STRING, la traduction de la valeur ! Exemple: « Client »= »Lecteur restreints du client »

Ou alors, il existe un autre logiciel qui permet de créer et/ou d’adapter un template existant.

gpdo.jpg

A télécharger ici

Une réponse à « Restreindre les lecteurs dans un environnement TSE »

Les commentaires sont fermés.