Comment appliquer des paramètres de stratégie de groupe à des comptes locaux spécifiques dans Windows

17

J'ai créé un compte utilisateur limité et je souhaite restreindre l'accès aux lecteurs USB et CD à l'aide des paramètres de stratégie de groupe. Par conséquent, je veux utiliser gpedit.msc pour appliquer des restrictions sur le compte limité et désactiver l'accès au lecteur USB et CD, et empêcher le compte limité de modifier ces changements. Comment puis-je y parvenir sans restreindre les autres comptes?

windows-7 user-accounts group-policy limited-access rzlines
la source

Réponses:

18

Dans Windows Vista et versions ultérieures, vous ne pouvez appliquer des stratégies qu'à un compte spécifique, mais vous devez charger l'éditeur d'objet de stratégie de groupe à partir de la console de gestion Microsoft, pas en ouvrant directement le composant logiciel enfichable.

  1. Ouvrez mmc.exe
  2. Lorsque la console MMC s'ouvre, cliquez sur "Fichier" -> "Ajouter / supprimer un composant logiciel enfichable"
  3. Sélectionnez "Éditeur d'objets de stratégie de groupe" et cliquez sur le bouton "Ajouter>"
  4. Dans la boîte de dialogue qui apparaît, cliquez sur "Parcourir".

  5. Cliquez sur l'onglet "utilisateurs" et sélectionnez un utilisateur.

  6. Cliquez sur "OK", puis sur "Terminer", puis sur "OK" à nouveau

Vous aurez maintenant un objet utilisateur de stratégie de groupe pour l'utilisateur sélectionné. Appliquez les restrictions que vous souhaitez. Vous pouvez être intéressé par la vérification de "Masquer ces lecteurs spécifiés dans Poste de travail" dans User Configuration > Administrative Templates > Windows Components > Windows Explorer.

nhinkle
la source
1
+1 - C'est vraiment incroyable! Je me demande pourquoi MS n'éduque pas les utilisateurs sur ces fonctionnalités. D'autant plus que Windows prend le plus grand soin à tout compliquer :) Où apprenez-vous de telles choses? Livres?
Robinicks
@nhinkle Et si je voulais appliquer les mêmes politiques à plus d'un utilisateur sur un Win7 hors domaine? Existe-t-il un moyen de les copier?
AJaM
@AJaM Je ne connais pas de moyen de les copier. Malheureusement, vous devrez le faire pour chaque ordinateur individuel.
nhinkle
2
Me rend triste à quel point c'est caché. Il m'a fallu un certain temps pour trouver une solution et j'ai finalement trouvé votre réponse. C'est super, merci!
Brave Newbie
+1: C'est exactement ce dont j'avais besoin aussi! Je ne peux pas croire à quel point c'est caché non plus.
John H
2

Vous devrez apporter ces modifications de stratégie de groupe à partir d'un compte administrateur, et non à partir du compte limité.

th3dude
la source
J'ai essayé cela, mais cela s'applique à tous les comptes, comment puis-je modifier uniquement le compte limité?
rzlines
Corrigez-moi si je me trompe, mais l'élément de stratégie de groupe n'est-il pas pour désactiver l'accès USB dans la configuration de la machine? Si tel est le cas, peu importe le compte sous lequel vous effectuez la modification, cela affectera tous les utilisateurs de l'ordinateur.
dsolimano
Oh! si tel est le cas, comment restreindre un compte utilisateur limité. Je ne veux pas limiter le compte administrateur, juste le compte utilisateur est tout ce que je veux restreindre
rzlines
@Rogue, j'ai posté ci-dessous sur les périphériques USB. Je penserai un peu plus aux lecteurs de CD et les éditerai quand je trouverai quelque chose. J'ai l'impression de manquer quelque chose d'évident ici.
dsolimano
1

Pour restreindre l'accès aux périphériques USB, Microsft a un article de la base de connaissances sur le refus de l'autorisation de certains fichiers - http://support.microsoft.com/kb/823732 . Vous devrez peut-être laisser SYSTEM avec accès aux fichiers des autres comptes, certains essais et erreurs s'imposent.

ÉDITER-

Il semble y avoir un logiciel tiers assez abordable qui fait ce que vous recherchez, mais je ne l'ai pas testé moi-même. http://www.devicelock.com/

dsolimano
la source
0

(Je poste "une réponse" car je n'ai pas assez de réputation pour commenter ci-dessus. Cependant, cette information est importante.)

Testé: Windows 8.1

La réponse donnée par nhinkle ci-dessus fonctionne bien. Cependant, cela ne vous empêche pas d'ouvrir une invite de commande et d'accéder aux lecteurs manuellement. Le démarrage d'un fichier JPG sur l'autre lecteur ouvre la visionneuse d'images.

Vous pouvez désactiver l'invite de commande via "Configuration utilisateur \ Modèles d'administration \ Système", mais je n'ai trouvé aucun moyen d'utiliser la console MMC pour autoriser l'invite de commande tout en l'empêchant de naviguer.

Il existe une solution de contournement , en accédant aux "Propriétés" "Sécurité" (clic droit) du ou des dossiers racine / lecteur (comme D :), en ajoutant une ligne dédiée pour le compte d'utilisateur en question et en cochant "Refus" "[ x] Total Control "(peut être étiqueté différemment, j'utilise une version Windows non EN).

Imifos
la source
C'est vraiment un commentaire et non une réponse à la question d'origine. Pour critiquer ou demander des éclaircissements à un auteur, laissez un commentaire en dessous de son article - vous pouvez toujours commenter vos propres articles, et une fois que vous aurez une réputation suffisante, vous pourrez commenter n'importe quel article .
DavidPostill
Comme je l'ai dit, j'en suis conscient. Et ce n'est pas une critique ni une demande. C'est une information supplémentaire que j'ai jugée importante à connaître. Mes systèmes fonctionnent bien, mais il serait dommage que les personnes utilisant la méthode ci-dessus pensent qu'elles sont en sécurité alors qu'elles ne le sont pas. Si vous jugez que ces informations ne valent pas la peine d'être conservées au «mauvais endroit», n'hésitez pas à les supprimer.
Imifos