Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows Vista Администрирование Ограничение использования оборудования через групповые политики RSS

Ограничение использования оборудования через групповые политики

Текущий рейтинг: 3.33 (проголосовало 15)
 Посетителей: 17580 | Просмотров: 25449 (сегодня 0)  Шрифт: - +

Также смотрите статью Пошаговое руководство по осуществлению контроля над установкой и использованием аппаратных устройств с помощью групповых политик

Действительно — эти удобные USB-диски и съемные носители определенно делают повседневную жизнь проще, а профессиональную усложняют. Необходим способ контроля, позволяющий определить,

какие устройства можно использовать, а какие нельзя. К счастью, групповые политики в ОС Windows Vista™ и следующей версии сервера Windows Server® под кодовым именем «Longhorn» позволяют разрешить применение USB-мышей и одновременно запретить USB-накопители флэш-памяти; разрешить чтение CD-ROM, но запретить запись DVD; разрешить Bluetooth и запретить PCMCIA.

Управлением оборудованием заведуют два раздела групповой политики: Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам (рис. 1) и Конфигурация компьютера — Административные шаблоны — Система — Установка устройств — Ограничения на установку устройств (рис. 2).

Рис. 1 Предопределенные ограничения использования оборудования в групповых политиках
Рис. 1 Предопределенные ограничения использования оборудования в групповых политиках

Рис. 2 Настройка ограничения использования отдельных видов устройств
Рис. 2 Настройка ограничения использования отдельных видов устройств

Название первого набора — доступ к съемным запоминающим устройствам — говорит само за себя. Если включить эту политику для некоего вида съемных устройств (CD или DVD, дискеты и т.п.), можно ограничить операции чтения или записи для всего класса устройств. Но у этих политик нет богатства возможностей набора «Ограничения на установку устройств».

В «Доступе к съемным запоминающим устройствам» есть такие группы настроек политики: «Специальные классы: запретить чтение» и «Специальные классы: запретить запись». Выглядит полезно, но политика доступа к съемным устройствам не может предотвратить установку драйверов устройств — к моменту обнаружения оборудования драйвер уже установлен. Запрещается только чтение с устройства или запись на него. В следующем разделе, рассматривая настройки политики «Ограничения на установку устройств», мы увидим, как ограничить использование и драйвера тоже.


Классы и идентификаторы

Самое главное — знать, что именно нужно ограничить. Ограничить широко или ограничить точечно. Можно внести ограничения в целый «класс» из многих устройств, а можно наложить сверхточный запрет только на одно из них. А можно наоборот, разрешить только отдельные устройства, например USB-мыши. Но есть проблема: ограничиваемое оборудование нужно уметь распознавать.

Так что, сказав «Устанавливать драйверы джойстиков нельзя» и «А можно только USB-мыши», следует уметь определять, что начинается установка джойстика или USB-мыши. Можно использовать Интернет для поиска кода устройства (Hardware ID), совместимого кода (Compatible ID) или класса устройства. А можно просто использовать само устройство — подключить его к компьютеру и посмотреть его код, совместимый код и класс. Зная их, запретить или разрешить устройство нетрудно.

Давайте, для примера, ограничим использование семейства звуковых карт Creative AutoPCI ES1371/ES1373. Если нужно запретить что-то другое (конкретные USB-устройства, USB-порты и т.п.), делайте все то же, только заменив коды устройств на свои.

Запустим диспетчер устройств на машине, где искомое оборудование уже установлено. Найдя в нем нужное устройство, щелкаем его правой кнопкой мыши и выбираем пункт «Свойства» а затем вкладку «Сведения». По умолчанию выбран пункт «Описание устройства». Интересно, но не полезно. В раскрывающемся списке свойств выберем пункт «Коды (ID) оборудования» (рис. 3).

Рис. 3 Вкладка «Сведения»
Рис. 3 Вкладка «Сведения»

Появившийся список кодов упорядочен от наиболее точно соответствующих устройству до наименее точно соответствующих. На первой строчке можно увидеть, что конкретно эта звуковая карта — ревизия 2 модели ES1371. Точнее некуда. При движении по списку вниз коды будут все менее точными, вплоть до охватывающих все семейство продуктов.

Но можно еще выбрать пункт «Совместимые коды (ID)». Они тоже описывают устройство, хотя и менее точно, чем предыдущие. С помощью совместимых кодов можно составить список похожего оборудования и запретить его разом — поскольку точность ниже, совпадений будет больше. С другой стороны, так под запретом может оказаться что-то нужное.

Ну и, наконец, наименее точная категория — пункт «Класс устройства». В случае с нашей звуковой картой это просто «Media». Таким классом обладает масса устройств, так что, повторюсь, чем менее точно вы определяете запрет, тем более предусмотрительным следует быть.

Выбрав, какое значение использовать для указания устройства, щелкнем его правой кнопкой мыши, выберем «Копировать» и сохраним текст в блокноте. Это нужно сделать потому, что на следующих шагах значение потребуется вводить в точности так, как оно представлено. Все буквы верхнего регистра должны остаться в верхнем, а нижнего — в нижнем.

Если для извлечения кодов и классов устройств вам удобнее командная строка, используйте программу Devcon, доступную на узле support.microsoft.com/kb/311272. Обратите также внимание, что корпорация Майкрософт опубликовала список идентификаторов для распространенных классов, который можно использовать, если нет доступа к самому устройству. См. go.microsoft.com/fwlink/?LinkId=52665.


Контроль доступа к устройствам через групповые политики

Хотя дальше мы рассмотрим все настройки политик раздела Конфигурация компьютера — Административные шаблоны — Система — Установка устройств — Ограничения на установку устройств, показанного на рис. 2, только одна из них нужна для завершения нашего первого примера.

Создадим объект групповой политики (GPO) и свяжем его с подразделением (OU) или с доменом и т.д., который включает целевые компьютеры под управлением Windows Vista. Начав редактирование этого объекта, пройдем в «Конфигурация компьютера — Административные шаблоны — Система — Установка устройств — Ограничения на установку устройств — Запретить установку устройств с указанными кодами устройств». В настройках политики выберем «Включено», там же нажмем «Показать» и диалоговом окне «Вывод содержания» нажмем «Добавить». В диалоговое окно «Добавление элемента» скопируем ранее сохраненные данные (рис. 4).

Рис. 4 Вставка точного кода устройства
Рис. 4 Вставка точного кода устройства

Еще момент. Если устройство уже установлено, оно не будет чудесным образом удалено и запрещено. Так что ограничивать доступ к оборудованию нужно на ранних стадиях развертывания Windows Vista. Однако при этом Windows Vista будет проверять политику доступа при каждом удалении и повторной установке устройства. Отличный пример — USB-накопители (их регулярно вставляют и вытаскивают). Поскольку проверка будет произведена только при повторном появлении устройства, ограничения доступа будут наложены тогда же (даже если драйвер устройства на компьютере уже присутствует). Сложнее с устройствами, которые поставляются вместе с компьютером и не удаляются (а потому и не устанавливаются повторно). Выход из подобной ситуации уже требует размышлений.

При включении компьютера, который еще ничего не знает об устанавливаемом устройстве, Windows попытается установить драйвер и будет отображать ход выполнения этой задачи. Если включена политика, ограничивающая такие устройства, будет достигнут результат, показанный на рис. 5.

Рис. 5 Отказ в установке устройства
Рис. 5 Отказ в установке устройства

Другие ограничения оборудования

Выше мы запретили только одно устройство. Если бы мы хотели, мы бы могли пойти обратным путем — по умолчанию запретить все устройства и затем разрешить только нужные. Список нужных настроек групповых политик уже был приведен на рис. 2 — это ветка Конфигурация компьютера — Административные шаблоны — Система — Установка устройств — Ограничения на установку устройств. Доступно несколько вариантов.

Прежде всего это пункт «Разрешить администраторам игнорировать политики ограничения установки устройств». По умолчанию локальные администраторы в Windows Vista подпадают под действие таких ограничений. Если же включить эту политику, они смогут не обращать внимания на ограничения и устанавливать любое оборудование.

Затем — «Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств». Устройства, чьи описания перечислены в этой политике, явно разрешены к установке в системе. Обратите внимание, что вводятся классы установки, а не коды устройств, как в примере выше.

Обратный эффект достигается политикой «Запретить установку устройств с использованием драйверов, соответствующих этим классам установки устройств».

Две настройки — «Отображать специальное сообщение, когда установка запрещена политикой (текст всплывающего уведомления)» и «Отображать специальное сообщение, когда установка запрещена политикой (заголовок всплывающего сообщения)» — позволяют использовать собственное сообщение вместо системного (рис. 5).

Как было упомянуто выше, самый неточный способ указать нужное оборудование — использование классов. Следует отметить, что политика «Разрешить установку устройств, соответствующих какому-либо из этих кодов устройств» не воспринимает коды классов. Чтобы использовать их, надо обратиться либо к политике «Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств», либо к обратной «Запретить установку устройств с использованием драйверов, соответствующих этим классам установки устройств». Последнюю лучше всего использовать вместе с «Запретить установку устройств, не описанных другими параметрами политики». Запретив все по умолчанию, мы используем эту настройку, чтобы выборочно разрешить нужные устройства.

В нашем случае я использовал политику «Запретить установку устройств с указанными кодами устройств», чтобы запретить отдельные виды оборудования, основываясь на кодах устройств. Если бы мы хотели использовать для этой цели классы устройств, пришлось бы уточнять другие параметры, например «Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств» или «Запретить установку устройств с использованием драйверов, соответствующих этим классам установки устройств».

«Запретить установку съемных устройств» — готовый способ быстрого запрещения любых устройств, являющихся съемными, включая USB-устройства. Эта настройка имеет довольно общий характер, так что лучше не полагаться на нее слишком сильно. Вместо этого составьте список достаточно ограничивающих кодов устройств и используйте способы, описанные выше, для их запрещения.

Наконец, «Запретить установку устройств, не описанных другими параметрами политики» — всеобъемлющая политика, запрещающая все, что не разрешено к установке явно. Ее связка с различными разрешающими политиками (например «Разрешить установку устройств, соответствующих какому-либо из этих кодов устройств») — мощный инструмент для разрешения только нужного оборудования.


Заключение

Групповые политики в Windows Vista обладают рядом исключительных преимуществ, очень полезных для разрешения использования только того оборудования, которое необходимо. Просто настройте их на ранней стадии развертывания, и нежелательные устройства в вашей рабочей среде не появятся.

Интервью с Майклом Деннисом (Michael Dennis), главным менеджером программы групповых политик в Майкрософт

Недавно мне выпала возможность взять интервью у Майкла Денниса, который в Майкрософт стоял у штурвала групповых политик с самого их появления. Сейчас он покидает группу разработчиков групповых политик в поисках новых возможностей в Майкрософт. Мы с Майклом решили освежить в памяти то, что произошло в этой области за последние 9 лет, с чего все начиналось и куда движется.


Джереми Московитц Майкл, я уверен, что многим было бы интересно узнать, что вы считаете своим главным достижением за время работы в группе разработчиков групповых политик в Майкрософт.


Майкл Деннис Главные достижения принадлежат тем временам, когда мы сфокусировались на разработке того, что впоследствии получило название групповой политики. Уже существовали системные политики в Win­dows NT® 4.0, так что мы оглядывались на них и их недостатки. Поскольку это был период разработки Active Directory®, можно было сразу смотреть, где управляемость серверов и клиентов требовала улучшения.

Идея, что групповые политики нужно сделать иерархичными и что этого раньше никто не делал, стала для нас главной. И мы сосредоточились на базовой инфраструктуре, клиентских процессах и интеграции с Active Directory.

Побочным продуктом нашего лучшего достижения стало наше худшее достижение. Интерфейс, включенный в Windows 2000, был непростым. Для его эффективного использования надо было иметь кандидатскую степень по групповым политикам. Администратор должен был четко представлять структуру всего механизма. Было бы здорово, если бы мы уже тогда смогли создать консоль управления групповой политикой (GPMC) и результирующую политику (RSoP) — это было в спецификациях.


ДМ  Что, по вашему мнению, в групповых политиках могло бы быть лучше?


МД  Отрадно, что все, что я хотел добавить со времен выпуска Windows 2000, присутствует в Windows Vista — RSoP, GPMC, расширенные настройки и т.д. Хотелось бы, чтобы все это было реализовано гораздо раньше.

Кроме того, хочется, чтобы инфраструктура групповых политик была легко расширяемой. Использование нашей модели расширений для клиента и сервера требует значительных усилий со стороны разработчиков. Можно возразить, что структура шаблонов ADM/ADMX и так обеспечивает достаточную расширяемость. Но было бы определенно лучше, если бы и со стороны групповых политик это наблюдалось.

Еще хочется большей гибкости для партнеров и разработчиков сторонних инструментов в отчетах GPMC. В этой области громко заявили о себе средства сторонних разработчиков.


ДМ  Какие сведения о вашей группе малоизвестны?


МД  Иногда люди не очень представляют, где место нашей группы в общей картине. Мы создаем инфраструктуру, транспорт, серверную и клиентскую части. Но только в работе над Windows Vista мы держали связь со 120 разными группами в Майкрософт, чтобы к финальному выпуску все политики были на местах.

Читателям хотелось бы сказать, что не стоит винить групповые политики в задержках во время загрузки или входа в систему. Вините те полезные действия, которые эти политики выполняют. Если вы указываете сделать что-то тяжелое, это будет делаться. Например, вы указали установить Microsoft Office на каждую машину. Прекрасно. Только помните, что это будет выполнено. Весь Office будет установлен до появления приглашения входа в систему. Задержка ли это? Вы скажете «да», а я, как администратор, который это применял, скажу — это именно то, что вы потребовали от компьютера.


ДМ  Какова ваша любимая часть групповых политик?


МД  Сейчас это ряд новых настроек, появившихся в Windows Vista. Настройки съемных устройств (запрещение USB-устройств флэш-памяти и т.п.) — это то, о чем нас давно и настойчиво просили. В Windows Vista порядка 2400 настроек, что дает администраторам значительный уровень контроля. Люблю спрашивать клиентов, чем нужно управлять, и потом показывать, как это делать.


ДМ  Почему был сделан переход с файлов ADM на ADMX?


МД  Технически, для организации новой возможности централизованного хранилища в Windows Vista мы могли обойтись и без перехода. Он был сделан ради полноценной поддержки разных языков.

Ранее в многоязычных средах можно было попасть в ситуацию, когда содержимое ADM-файлов в GPO по ошибке записывалось на другом языке. Формат ADM был позаимствован у Windows NT 4.0, которая получила его от Windows 98, которая унаследовала его от Windows 95. Если бы в то время существовал XML, он был бы хорошим кандидатом на роль формата наших файлов.

Но теперь XML есть, поддерживать несколько языков с ним проще, и, кроме того, с этим схематизированным языком в будущем будет можно легко вносить улучшения в область реестра и настроек.


ДМ  Что стало самым трудным в вашей работе над групповыми политиками?


МД  Самая большая и постоянная проблема — добиться управляемости остальных компонентов Windows через политики.

Группа N может заявить что-то вроде «Мы создали отличную функцию. Кому придет в голову ее отключать?». И их легко понять. Но нам пришлось пройти через немало таких возражений.

Еще есть технические трудности, связанные с включением политикой некоторых функций, например нового брандмауэра Windows в режиме повышенной безопасности (WFAS). С ним мы намучились. Корректно включить его политикой — задача совсем не тривиальная. Интерфейс, который группа WFAS создала для Windows Vista, просто отличный, но его реализация стоила многих трудов.

Во время работы над версиями Windows до Windows Vista отдельные группы не особо задумывались об интеграции компонентов, за которые они отвечали, с политиками. Но во время разработки Windows Vista значительное количество групп обращались к нам с вопросом, как этого добиться. Большой прогресс!

ДМ  Чем вы теперь думаете заниматься?


МД Перехожу в группу «Mobile Information Worker», отвечающую за смартфоны, КПК и т.п. Буду заниматься переносом технологий управления Windows Server System на устройства Windows Mobile®.

Попытаюсь приложить в новой области свои устоявшиеся представления и страсть к управляемости. А у группы разработчиков групповых политик сейчас есть все, чтобы развивать направление самостоятельно.


ДМ  Что вы еще хотели бы сказать нашим читателям?


МД  Самое главное во всей разработке групповых политик было понять, что на самом деле нужно пользователям. Если у пользователей есть четкое видение ситуаций, в которых не помешала бы поддержка со стороны групповых политик, и если имеется реальная потребность в этой поддержке, стоит сказать о своих соображениях нам.

У нас есть подходящий механизм обратной связи, доступный для всех по адресу WindowsServerFeedback.com. Ищите кнопку «Group Policy».

Если кто-то говорит: «Вот описание проблемы, вот чего надо достичь, и вот почему я хочу, чтобы система умела делать вот что», — это очень ценная для нас информация. Ответственные за выработку решений в области групповых политик читают каждую запись, получаемую с этого узла.

Еще раз скажу — если вы хотите помочь в развитии групповых политик, расскажите нам о своих нуждах. Но, пожалуйста, не говорите просто «Мне нужна политика, которая делает вот что». Обязательно объясните, почему. Мы должны знать, «почему». А «как» — мы определим и сами.

ДМ Спасибо, что уделили нам время и рассказали о своем опыте работы в группе разработчиков групповых политик в Майкрософт. Всего хорошего!

МД Спасибо вам, Джереми.


Автор: Джереми Московитц (Jeremy Moskowitz)  •  Иcточник: TechNet Magazine  •  Опубликована: 30.05.2007
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.