GPO greift nicht / Externe Geräte / Hardware IDs

[PEASANT KING]

Moin moin,

wir haben in der AD eine GPO die den Gebrauch von externen Geräten wie USB etc. verhindert
(Installation von Geräten verhindern, die nicht in anderen Richtlinien beschrieben sind).

Vereinzelt wird FSLogix genutzt, da wir keine Windows 10 Enterprise Editionen haben und nicht auf die nativen Mittel zurück greifen können was User Profile angeht.

Es gibt eine weitere GPO, die für alle FSLogix User mittels Hardware ID das Mounten der VHDX ermöglichen soll
(Installation von Geräten mit diesen Geräte-IDs zulassen), doch leider, sobald die GPO mit dem Verbot von externen Medien greift, kann die VHDX nicht mehr gemountet werden.

Derzeit gibt es keine Deligierung bzw. einfach Authentifizierter Benutzer, woran kann es liegen?
Ich beiße mir seit einer Ewigkeit die Zähne aus. Komisch ist, das wir noch eine weitere GPO haben die einen bestimmten Stick zulässt, hier funktioniert es einwandfrei.

Ich habe mittlerweile das Gefühl, die Hardware IDs sind nicht die richtigen, obwohl aus dem Gerätemanager ausgelesen.

Grüße

EDIT:

gpresult /r /scope Computer zeigt das die GPO geladen ist

 

[Departet]

Moin!

Steht alles in der Computer Config? Scheint laut MS nicht über die User GPOs zu funktionieren.

gpresult /r /scope Computer zeigt das die GPO geladen ist

Laut dem hier ist es ja die Computer Config. Wird hier denn auch die korrekte Ausnahme für die VHDX angezeigt?

 

[PEASANT KING]

Was meinst du genau mit Ausnahme VHDX? In der GPO habe ich die Geräte ID, bzw. Hardware IDs eingetragen. Es handelt sich ja um eine Microsoft Virtual Disk. Nur anscheinend werden die IDs völlig ignoriert.

 

[Departet]

Die MS Virtual Disk meine ich. Eventuell zusätzlich die kompatible ID eingetragen?
https://learn.microsoft.com/en-us/w.../manage-device-installation-with-group-policy - das hier scheint recht hilfreich zu sein.

EDIT: Könntest du einen Screenshot von der MS Virtual Disk im Gerätemanager anhängen?
Laut MS Seite muss alles was übergeordnet ist mit zur Ausnahme hinzugefügt werden.

 

[arktom]

Davon ab eine Frage: was meinst du mit nativen Mitteln, die mangels Enterprise nicht in Frage kommen?
FSLogix muss lizenziert sein. Es braucht keinen Key, man braucht aber RDS-CALs, VDI oder aber - so mein Stand - Enterprise Windows.

Roamingprofile sind der alte Standard, den FSLogix aber überall ablöst, auf Terminalservern, VDI usw.

 

[PEASANT KING]

Laut MS darf FSLogix genutzt werden, wenn man MS365 Business Lizenzen besitzt.

Mit Alternative meine ich unter Windows 10 Enterprise UE-V

EDiT:

Ich habe jetzt alle IDs durch inkl. Geräteklassen IDs und dessen GPO und nichts funktioniert.
Finde ich sehr sehr eigenartig das Ganze. Vor allem bei einem popeligen USB Stick funktioniert das Ganze.

Ich füge mal drei Bilder an.

 

[arktom]

UE-V wird meines Wissens sterben. 2025 oder 2026. Ist jedenfalls aus dem generellen Support raus, also keine Option für eine Neueinführung.

 

[PEASANT KING]

Ich habe mir mal im Geräte Manager angeschaut welche Geräte nicht installiert werden, wenn die GPO greift.
Daraufhin habe ich herausgefunden, dass wenn ich in der zweiten GPO die Geräte ID STORAGE\Volume eintrage funktioniert es, allerdings können dann auch USB Medien etc. wieder benutzt werden, das ist doch nicht der Sinn der Sache...