OSzone.net
 
s  

Пошаговое руководство по осуществлению контроля над установкой и использованием аппаратных устройств с помощью групповых политик

Windows » Windows Vista » Пошаговые руководства » Пошаговое руководство по осуществлению контроля над установкой и использованием аппаратных устройств с помощью групповых политик
В избранное | Версия для печати | Посетителей: 4549 | Просмотров: 5846 (сегодня 9)   Текущий рейтинг: 3 (проголосовало 2)

Запрещение установки любых устройств

В этом сценарии описаны обычные действия, которые необходимо выполнить для создания конфигурации с максимальными ограничениями, запрещающей установку и обновление драйверов любых устройств. Пользователи не могут устанавливать и использовать устройства без вмешательства администратора. Администраторы могут устанавливать и обновлять любые устройства по мере необходимости.

Предварительные условия, необходимые для успешного выполнения этого сценария

Для успешного выполнения этого сценария Вы должны удалить Ваш USB-накопитель в соответствии с инструкциями, изложенными в разделе «Удаление Вашего USB-накопителя» этого документа.

Для запрещения установки любых устройств необходимо выполнить следующие шаги:

  1. Настройка политики, запрещающей установку любых устройств

  2. Настройка политики, снимающей ограничения на установку устройств для администраторов

  3. Проверка установленых для пользователей ограничений

Шаг 1. Настройка политики, запрещающей установку любых устройств

*     Для настройки политики, запрещающей установку любых устройств, выполните следующие действия:

  1. Войдите в систему под учетной записью DMI-Client1\TestAdmin.

  2. Запустите редактор объектов групповой политики (Group Policy Object Editor). Для этого откройте меню Start, в поле быстрого поиска Start Search наберите команду mmc gpedit.msc и нажмите клавишу ENTER.

  3. Если появится диалоговое окно User Account Control, подтвердите, что Вы действительно хотите выполнить указанное действие, и нажмите кнопку Continue.

  4. В дереве консоли редактора объектов групповой политики раскройте узел Computer Configuration a Administrative Templates a System a Device Installation a Device Installation Restrictions.

*

  1. В области сведений щелкните правой кнопкой мыши на политике Prevent installation of devices not described by other policy settings и в контекстном меню выберите пункт Properties. Откроется диалоговое окно с текущими параметрами политики.

  2. Для включения политики установите переключатель, расположенный на вкладке Setting, в положение Enabled.

  3. Нажмите кнопку OK для сохранения изменений и возврата в редактор объектов групповой политики.

Шаг 2. Настройка политики, снимающей ограничения на установку устройств для администраторов

Следующая политика снимает для администраторов все ограничения на установку устройств, включая ограничения, установленные предыдущей политикой.

*     Для настройки политики, снимающей ограничения на установку устройств для администраторов, выполните следующие действия:

  1. В области сведений щелкните правой кнопкой мыши на политике Allow administrators to override device installation policy Prevent installation of devices not described by other policy settingsи в контекстном меню выберите пункт Properties. Откроется диалоговое окно с текущими параметрами политики.

  2. Для включения политики установите переключатель, расположенный на вкладке Setting, в положение Enabled.

  3. Нажмите кнопку OK для сохранения изменений и возврата в редактор объектов групповой политики.

Обе политики теперь включены (находятся в состоянии Enabled).

*

  1. Закройте редактор объектов групповой политики.

Шаг 3. Проверка установленных для пользователей ограничений

После включения обеих политик Вы можете применить их на Вашем компьютере. Затем Вы можете попытаться установить любое устройство, чтобы проверить действие политик и убедиться, что все установленные ограничения действуют.

*     Для проверки установленных для пользователя ограничений выполните следующие действия:

  1. Если Ваш USB-накопитель установлен на компьютере, Вы должны удалить его в соответствии с инструкциями, изложенными в разделе «Удаление Вашего USB-накопителя» этого документа.

  2. Откройте меню Start, наберите команду gpupdate /force в поле быстрого поиска Start Search и нажмите клавишу ENTER.

  3. После выполнения команды gpupdate /force завершите сеанс работы и войдите в систему под учетной записью DMI-Client1\TestUser.

  4. Запустите диспетчер устройств. Для этого откройте меню Start, наберите команду mmc devmgmt.msc в поле быстрого поиска Start Search и нажмите клавишу ENTER.

Вы должны увидеть окно сообщения с информацией о том, что у Вас недостаточно прав для внесения каких-либо изменений в конфигурацию оборудования при работе с диспетчером устройств.

*

  1. После нажатия кнопки ОК откроется диспетчер устройств, в котором Вы можете просматривать информацию об устройствах, установленных на Вашем компьютере.

  2. Подключите USB-накопитель.

До тех пор, пока установка устройства не будет успешно завершена, устройство будет отображаться в узле Other Devices диспетчера устройств.

*

  1. После подключения USB-накопителя появится окно Found New Hardware. Выполните наиболее распространенное действие пользователя, щелкнув Locate and install driver software (recommended). После этого Вы увидите диалоговое окно User Account Control с запросом на ввод данных учетной записи, имеющей административные полномочия.

  2. Поскольку пользователь не может ввести требуемую информацию, ему остается только нажать кнопку Cancel и таким образом отменить установку драйвера устройства. Устройство будет продолжать отображаться в узле Other Devices диспетчера устройств и оставаться нефункциональным.

*

Наверх страницы

Разрешение установки только определенных устройств

В основе этого сценария лежит предыдущий сценарий («Запрещение установки любых устройств»), в котором была запрещена установка пользователями любых устройств. В этом сценарии Вы создадите список разрешенных устройств, которые будут доступны пользователям для установки, и добавите в него коды оборудования Вашего USB-накопителя. Данные устройства будут являться исключениями из правил, установленных в сценарии «Запрещение установки любых устройств».

Предварительные условия, необходимые для успешного выполнения этого сценария

Для успешного выполнения этого сценария Вы должны выполнить все шаги, описанные в предыдущем сценарии – «Запрещение установки любых устройств».

Для разрешения установки только определенных устройств необходимо выполнить следующие шаги:

  1. Создание списка разрешенных устройств

  2. Проверка работы списка разрешенных устройств

Шаг 1. Создание списка разрешенных устройств

*     Для создания списка разрешенных устройств выполните следующие действия:

  1. Войдите на компьютер под учетной записью DMI-Client1\TestAdmin.

  2. Если Ваш USB-накопитель установлен на компьютере, Вы должны удалить его в соответствии с инструкциями, изложенными в разделе «Удаление Вашего USB-накопителя» этого документа.

  3. Запустите редактор объектов групповой политики (Group Policy Object Editor). Для этого откройте меню Start, в поле быстрого поиска Start Search наберите команду mmc gpedit.msc и нажмите клавишу ENTER.

  4. В дереве консоли редактора объектов групповой политики раскройте узел Computer Configuration - Administrative Templates - System - Device Installation a Device Installation Restrictions.

  5. В области сведений щелкните правой кнопкой мыши на политике Allow installation of devices that match any of these device IDs и в контекстном меню выберите пункт Properties. Откроется диалоговое окно с текущими параметрами политики.

  6. Для включения политики установите переключатель, расположенный на вкладке Setting, в положение Enabled.

*

  1. Нажмите кнопку Show для просмотра списка разрешенных устройств в диалоговом окне Show Contents.

По умолчанию этот список пуст.

  1. Нажмите кнопку Add, чтобы открыть диалоговое окно Add Item.

  2. Введите код устройства (код оборудования, расположенный первым в списке) для Вашего USB-накопителя.

*

  1. Нажмите кнопку OK для возврата в диалоговое окно Show Contents.

Теперь Ваше устройство отображено в списке разрешенных устройств.

*

  1. Нажмите кнопку OK для возврата в диалоговое окно политики.

  2. Нажмите кнопку OK для сохранения новых параметров групповой политики.

Шаг 2. Проверка работы списка разрешенных устройств

После того, как политика включена, Вы можете применить ее на Вашем компьютере и попытаться установить Ваше USB-устройство.

*     Для проверки работы списка разрешенных устройств выполните следующие действия:

  1. Откройте меню Start, наберите команду gpupdate /force в поле быстрого поиска Start Search и нажмите клавишу ENTER.

  2. После выполнения команды gpupdate /force завершите сеанс работы и войдите в систему под учетной записью DMI-Client1\TestUser.

  3. Запустите диспетчер устройств. Для этого откройте меню Start, наберите команду mmc devmgmt.msc в поле быстрого поиска Start Search и нажмите клавишу ENTER.

Вы должны увидеть окно сообщения с информацией о том, что у Вас недостаточно прав для внесения каких-либо изменений в конфигурацию оборудования при работе с диспетчером устройств.

*

  1. После нажатия кнопки ОК откроется диспетчер устройств, в котором Вы можете просматривать информацию об устройствах, установленных на Вашем компьютере.

  2. Подключите USB-накопитель.

До тех пор, пока установка устройства не будет успешно завершена, устройство будет отображаться в узле Other Devices диспетчера устройств.

*

  1. После того, как Windows успешно завершит установку USB-накопителя, устройство будет отображаться в узле Disk Drives диспетчера устройств.

*

Наверх страницы

Запрещение установки определенных устройств

В этом сценарии рассматривается альтернативный способ обеспечения контроля над установкой аппаратных устройств. В предыдущих сценариях Вы запретили установку всех устройств, кроме тех, которые перечислены в списке разрешенных. В этом сценарии Вы разрешите установку всех устройств, кроме тех, которые перечислены в списке запрещенных. Также Вы удалите все исключения для администраторов, созданные в первом сценарии, из-за чего политика будет применяться к ним точно так же, как и к обычным пользователям.

Предварительные условия, необходимые для успешного выполнения этого сценария

Если Вы выполнили все шаги, описанные в сценариях «Запрещение установки любых устройств» и «Разрешение установки только определенных устройств», Вы должны отключить политики, настроенные в этих сценариях. Для этого Вам необходимо:

  • Разрешить установку всех устройств.

  • Удалить определенные для администраторов исключения, разрешающие им установку устройств.

  • Удалить код оборудования USB-накопителя из списка разрешенных устройств.

*     Для разрешения установки всех устройств выполните следующие действия:

  1. Войдите в систему под учетной записью DMI-Client1\TestAdmin.

  2. Запустите редактор объектов групповой политики. Для этого откройте меню Start, в поле быстрого поиска Start Search наберите команду mmc gpedit.msc и нажмите клавишу ENTER.

  3. В дереве консоли редактора объектов групповой политики раскройте узел Computer Configuration - Administrative Templates -  System a Device Installation - Device Installation Restrictions.

  4. В области сведений щелкните правой кнопкой мыши на политике Prevent installation of devices not described by other policy settings и в контекстном меню выберите пункт Properties. Откроется диалоговое окно с текущими параметрами политики.

  5. Для выключения политики установите переключатель, расположенный на вкладке Setting, в положение Disabled.

  6. Нажмите кнопку OK для сохранения изменений и возврата в редактор объектов групповой политики.

Следующим шагом является удаление политики, снимающей ограничения на установку устройств для администраторов.

*     Для удаления исключений для администраторов выполните следующие действия:

  1. В области сведений редактора объектов групповой политики щелкните правой кнопкой мыши на политике Allow administrators to override device installation policy и в контекстном меню выберите пункт Properties. Откроется диалоговое окно с текущими параметрами политики.

  2. Для выключения политики установите переключатель, расположенный на вкладке Setting, в положение Disabled.

  3. Нажмите кнопку OK для сохранения изменений и возврата в редактор объектов групповой политики.

Следующим шагом является удаление кода оборудования Вашего USB-накопителя из списка разрешенных устройств, созданном Вами во втором сценарии.

*     Для удаления кода оборудования выполните следующие действия:

  1. В области сведений редактора объектов групповой политики щелкните правой кнопкой мыши на политике Allow installation of devices that match any of these device IDs и в контекстном меню выберите пункт Properties. Откроется диалоговое окно с текущими параметрами политики.

  2. Нажмите кнопку Show, расположенную на вкладке Setting, для просмотра списка разрешенных устройств в диалоговом окне Show Contents.

  3. В диалоговом окне Show Contents выберите название Вашего USB-накопителя и нажмите кнопку Remove.

Устройство будет удалено из списка.

  1. Нажмите кнопку OK для закрытия диалогового окна Show Contents и возврата в диалоговое окно политики.

  2. Для выключения политики установите переключатель, расположенный на вкладке Setting, в положение Disabled.

  3. Нажмите кнопку OK для сохранения изменений и возврата в редактор объектов групповой политики.

Следующим шагом является создание списка устройств, запрещенных для установки пользователями.

Для запрещения установки определенных устройств необходимо выполнить следующие шаги:

  1. Создание списка запрещенных устройств

  2. Проверка работы списка запрещенных устройств

Шаг 1. Создание списка запрещенных устройств

*     Для создания списка запрещенных устройств выполните следующие действия:

  1. Если Ваш USB-накопитель установлен на компьютере, Вы должны удалить его в соответствии с инструкциями, изложенными в разделе «Удаление Вашего USB-накопителя» этого документа.

  2. Войдите в систему под учетной записью DMI-Client1\TestAdmin.

  3. Запустите редактор объектов групповой политики (Group Policy Object Editor). Для этого откройте меню Start, в поле быстрого поиска Start Search наберите команду mmc gpedit.msc и нажмите клавишу ENTER.

  4. В дереве консоли редактора объектов групповой политики раскройте узел Computer Configuration a Administrative Templates a System a Device Installation a Device Installation Restrictions.

  5. В области сведений щелкните правой кнопкой мыши на политике Prevent installation of devices that match these device IDs и в контекстном меню выберите пункт Properties. Откроется диалоговое окно с текущими параметрами политики.

  6. Для включения политики установите переключатель, расположенный на вкладке Setting, в положение Enabled.

*

  1. Нажмите кнопку Show для просмотра списка запрещенных устройств.

  2. В диалоговом окне Show Contents нажмите кнопку Add.

  3. В диалоговом окне Add Item введите код устройства (код оборудования, расположенный первым в списке) для Вашего USB-накопителя.

  4. Нажмите кнопку OK для возврата в диалоговое окно Show Contents.

Теперь Ваше устройство отображено в списке запрещенных устройств.

*

  1. Нажмите кнопку OK для возврата в диалоговое окно политики.

  2. Нажмите кнопку OK для сохранения новых параметров групповой политики.

Шаг 2. Проверка работы списка запрещенных устройств

Теперь Вы можете попытаться установить Ваше USB-устройство. Вы можете устанавливать другие устройства, поскольку политика больше не запрещает их установку, но Вы не сможете установить Ваш USB-накопитель, даже войдя в систему под административной учетной записью.

*      Для проверки работы списка запрещенных устройств выполните следующие действия:

  1. Откройте меню Start, наберите команду gpupdate /force в поле быстрого поиска Start Search и нажмите клавишу ENTER.

  2. После выполнения команды gpupdate /force закройте окно командной строки.

  3. Запустите диспетчер устройств. Для этого откройте меню Start, наберите команду mmc devmgmt.msc в поле быстрого поиска Start Search и нажмите клавишу ENTER.

  4. Подключите USB-накопитель.

Установка устройства не сможет успешно завершиться, и устройство будет отображаться в узле Other Devices диспетчера устройств.

*

  1. Вы увидите сообщение операционной системы с информацией о причине неудачной установки устройства:

*

  1. Вы можете попытаться обойти это ограничение и установить драйвер устройства вручную. Для этого правой кнопкой мыши щелкните на названии Вашего USB-накопителя и в контекстном меню выберите команду Update Driver Software.

  2. Операционная система предложит Вам указать драйвер устройства.

*

  1. Выполните наиболее распространенное действие пользователя, щелкнув Search automatically for updated driver software. После этого Вы увидите сообщение о том, что драйвер устройства найден, но не может быть установлен, поскольку установка этого устройства запрещена политикой, которую Вы только что создали.

*

  1. Нажмите кнопку Close.

Наверх страницы

Управление разрешениями на чтение и запись информации на съемные носители

В этом сценарии описывается, каким образом Вы можете управлять разрешениями на чтение или запись информации на съемные запоминающие устройства или на устройства со съемными носителями на компьютерах, работающих под управлением операционных систем Windows Vista и Windows Server «Longhorn». В этом сценарии Вы настраиваете групповую политику таким образом, чтобы обеспечить работу Вашего USB-накопителя, а также любых устройств записи компакт- или DVD-дисков только в режиме чтения.

Предварительные условия, необходимые для успешного выполнения этого сценария

Прежде чем приступить к выполнению этого сценария, Вам необходимо отключить политику, запрещающую установку USB-накопителя.

*     Для отключения политики, запрещающей установку USB-накопителей, выполните следующие действия:

  1. Если Ваш USB-накопитель установлен на компьютере, Вы должны удалить его в соответствии с инструкциями, изложенными в разделе «Удаление Вашего USB-накопителя» этого документа.

  2. В области сведений редактора объектов групповой политики щелкните правой кнопкой мыши на политике Prevent installation of devices that match these device IDs и в контекстном меню выберите пункт Properties. Откроется диалоговое окно с текущими параметрами политики.

  3. Нажмите кнопку Show, расположенную на вкладке Setting, для просмотра списка запрещенных устройств.

  4. В диалоговом окне Show Contents выберите Ваш USB-накопитель, нажмите кнопку Remove и затем нажмите кнопку OK.

  5. Для выключения политики установите переключатель, расположенный на вкладке Setting, в положение Disabled.

  6. Нажмите кнопку OK для сохранения изменений.

Для управления разрешениями на чтение и запись информации на съемные носители необходимо выполнить следующие шаги:

  1. Настройка групповых политик, запрещающих запись информации на устройства определенных классов

  2. Проверка работы настроенных групповых политик

Шаг 1. Настройка групповых политик, запрещающих запись информации на устройства определенных классов

Политики, которые Вы настроите в этом сценарии, запрещают запись информации на большинство устройств со съемными носителями. Однако, конкретная политика, ограничивающая использование именно Вашего устройства, может зависеть от определенной сборки или модели этого устройства. Вы также можете использовать политику Custom Classes, но для этого потребуется определить код GUID класса настройки устройств для Вашего устройства.

*     Для запрещения записи информации на съемные устройства определенных классов выполните следующие шаги:

  1. В дереве консоли редактора объектов групповой политики раскройте узел Computer Configuration a Administrative Templates a System a Removable Storage Access.

  2. В области сведений щелкните правой кнопкой мыши на политике CD and DVD: Deny write access и в контекстном меню выберите пункт Properties.

  3. Для включения политики установите переключатель, расположенный в диалоговом окне Properties, в положение Enabled и нажмите кнопку OK.

  4. Повторите шаги 2 и 3 для следующих политик компьютера:

  • Removable Disks: Deny write access

  • Floppy Drives: Deny write access

  • WPD Devices: Deny write access

  1. Закройте редактор объектов групповой политики.

Шаг 2. Проверка работы настроенных групповых политик

Если в момент применения политики устройство используется системой, политика, запрещающая запись на это устройство, не вступит в силу до перезагрузки компьютера. Поэтому для применения этой политики Вам будет необходимо перезагрузить компьютер.

*     Для проверки работы настроенных групповых политик выполните следующие шаги:

  1. Откройте меню Start, наберите команду gpupdate /force в поле быстрого поиска Start Search и нажмите клавишу ENTER.

  2. После выполнения команды gpupdate выполните перезагрузку компьютера.

  3. Войдите в систему под учетной записью DMI-Client1\TestAdmin.

  4. Подключите USB-накопитель и подождите, пока операционная система сообщит Вам о том, что устройство готово к использованию.

  5. В меню Start щелкните на значке Computer, а затем дважды щелкните на значке Вашего USB-накопителя.

  6. Попытайтесь создать папку на диске Вашего USB-накопителя. Для этого щелкните правой кнопкой мыши в области сведений проводника Windows, в контекстном меню перейдите в подменю New и выберите команду Folder.

Вы должны увидеть окно сообщения с информацией о причине, по которой попытка создания папки окончилась неудачей.

*

  1. Нажмите кнопку Continue, чтобы попытаться обойти ограничение и продолжить работу.

  2. Если появится диалоговое окно User Account Control, подтвердите, что Вы действительно хотите выполнить указанное действие, и нажмите кнопку Continue.

  3. Вы увидите второе окно сообщения с информацией о причине, по которой не удалось создать папку.

*

  1. Нажмите кнопку Cancel для закрытия диалогового окна.

Наверх страницы

Заключение

В этом руководстве Вы использовали USB-накопитель в качестве тестового экземпляра устройства для работы в лабораторной среде и научились управлять установкой аппаратных устройств. Также Вы узнали, каким образом можно ограничить доступ к устройствам со съемными носителями. Управление установкой и использованием аппаратных устройств при помощи описанных методов повышает безопасность работы пользователей, а также эффективность работы службы технической поддержки. Это достигается благодаря ограничениям, определяющим, какие устройства могут быть установлены пользователями, а какие – нет. Вы можете разрешить пользователям устанавливать только те устройства, которые разрешены для использования в Вашей организации. В этом руководстве были рассмотрены следующие сценарии:

  • Запрещение установки любых устройств.

В этом сценарии Вы запретили установку любых устройств обычным пользователям, но разрешили установку или обновление устройств администраторам.

  • Разрешение установки только определенных устройств.

В этом сценарии Вы разрешили пользователям установку только тех устройств, которые перечислены в списке разрешенных.

  • Запрещение установки определенных устройств.

В этом сценарии Вы разрешили пользователям установку большинства устройств, но запретили установку тех устройств, которые перечислены в списке запрещенных.

  • Осуществление контроля над использованием устройств со съемными носителями.

В этом сценарии Вы запретили обычным пользователям запись информации на съемные запоминающие устройства или на устройства со съемными носителями, такие как устройство записи компакт- и DVD-дисков или USB-накопитель.

Наверх страницы

Замечания и отзывы

Корпорация Microsoft будет рада получить Ваши отзывы об этом документе. Если сценарии работают не так, как описано в данном руководстве, или не отвечают Вашим потребностям, пожалуйста сообщите об этом. Корпорация Microsoft будет использовать полученную от Вас информацию для улучшения данного документа. Присылайте Ваши замечания по адресу электронной почты Vista Feedback (vistafb@microsoft.com).

Чтобы оставить свой отзыв, перейдите по ссылке Контактные сведения, расположенной на веб-странице операционной системы Windows Vista.

Наверх страницы

Дополнительные ресурсы

Дополнительная информация по установке устройств:

Дополнительная информация об утилите командной строки DevCon:

Дополнительная информация о функции User Account Control в Windows Vista:

Дополнительная информация о групповой политике:

  • Раздел Групповая политика на веб-узле Microsoft
    Group Policy (EN)


Наверх страницы




Обсуждение статьи на форуме


Автор: Артем Жауров aka Borodunter
Иcточник: (переведено с англ.) Microsoft Technet
Опубликована - 23.01.2007

Оценить статью

{1} {2}

Вверх

Популярные статьи раздела «Windows»Лучшие статьи раздела «Windows»
  1. Установка Windows XP на компьютер с Windows Vista
  2. Создание загрузочного ISO/CD
  3. Интеграция SATA/RAID драйверов
  4. Конфигурация Lite
  5. Интернет конфигурация
  1. Выбор устанавливаемых приложений
  2. Ограничение прав пользователя
  3. HKEY_CURRENT_USER
  4. Подробная информация по всем службам
  5. Установка Windows XP на компьютер с Windows Vista

Популярные темы форума OSzone.net

Последние добавления в каталог программ
s



Блоги Microsoft для ИТ-специалистов: RSS

Рассылка на Mail.ru

Windows All. Вопросы и ответы
Windows Vista. Вопросы и ответы

Карта сайта | Реклама на сайте | RSS

© OSzone.net 2001-2008

По вопросам работы сайта обращайтесь к веб-мастеру.
С вопросами по содержанию сайта обращайтесь к администратору.

 [AD] Rambler's Top100