Freigeben über

Schritt-By-Step Anleitung zur Steuerung der Geräteinstallation mithilfe von Gruppenrichtlinien

  • Artikel

 

Dave Bischof

Aktualisiert vom Juni 2007

Zusammenfassung: Mithilfe der Betriebssysteme Windows Server 2008 und Windows Vista können Administratoren bestimmen, welche Geräte auf computern installiert werden können, die sie verwalten. Das Handbuch fasst den Geräteinstallationsprozess zusammen und veranschaulicht verschiedene Techniken zum Steuern der Geräteinstallation. (34 gedruckte Seiten.)

Inhalt

Einleitung
   Wer sollte diesen Leitfaden verwenden?
   Vorteile der Geräteinstallation mithilfe von Gruppenrichtlinien
Szenarioübersicht
Technologieüberprüfung
   Geräteinstallation in Windows
   Gruppenrichtlinieneinstellungen für die Geräteinstallation
   Gruppenrichtlinieneinstellungen für Wechselmedienzugriff
Anforderungen für die Durchführung der Szenarien
   Voraussetzungen für Verfahren
Verhindern der Installation aller Geräte
   Voraussetzungen für die Verhinderung der Installation aller Geräte
   Schritte zum Verhindern der Installation aller Geräte
Zulassen, dass Benutzer nur autorisierte Geräte installieren
   Voraussetzungen für das Zulassen, dass Benutzer nur autorisierte Geräte installieren können
   Schritte zum Zulassen, dass Benutzer nur autorisierte Geräte installieren können
Verhindern der Installation verbotener Geräte
   Voraussetzungen für die Verhinderung der Installation verbotener Geräte
   Schritte zum Verhindern der Installation verbotener Geräte
Steuern von Lese- und Schreibberechtigungen für Wechselmedien
   Voraussetzungen für die Steuerung von Lese- und Schreibberechtigungen für Wechselmedien
   Schritte zum Steuern von Lese- und Schreibberechtigungen für Wechselmedien
Schlussfolgerung
Weitere Ressourcen
Protokollieren von Fehlern und Feedback

Einleitung

In dieser schrittweisen Anleitung wird beschrieben, wie Sie die Geräteinstallation auf den von Ihnen verwalteten Computern steuern können, einschließlich der Beschreibung, welche Geräte Benutzer installieren können und nicht installieren können. In Windows Server 2008 und Windows Vista können Sie insbesondere Computerrichtlinien anwenden auf:

  • Benutzer am Installieren eines Geräts hindern.
  • Zulassen, dass Benutzer nur Geräte installieren können, die sich in einer "genehmigten" Liste befinden. Wenn sich ein Gerät nicht in der Liste befindet, kann der Benutzer es nicht installieren.
  • Verhindern, dass Benutzer Geräte installieren, die sich in einer Liste "verboten" befinden. Wenn sich ein Gerät nicht in der Liste befindet, kann der Benutzer es installieren.
  • Verweigern Sie Lese- oder Schreibzugriff auf Benutzer für Geräte, die selbst wechselbar sind oder Wechselmedien verwenden, z. B. CD- und DVD-Brenner, Diskettenlaufwerke, externe Festplatten und tragbare Geräte wie Medienplayer, Smartphones oder Pocket PC-Geräte.

In diesem Handbuch wird der Geräteinstallationsprozess beschrieben und die Identifikationszeichenfolgen eingeführt, die Windows zum Abgleichen eines Geräts mit den auf einem Computer verfügbaren Gerätetreiberpaketen verwendet. In der Anleitung werden auch drei Methoden zum Steuern der Geräteinstallation veranschaulicht. Jedes Szenario zeigt schrittweise eine Methode, mit der Sie die Installation eines bestimmten Geräts oder einer Geräteklasse zulassen oder verhindern können. Das vierte Szenario zeigt, wie Sie den Lese- oder Schreibzugriff auf Benutzer für Geräte verweigern, die wechselbar sind oder Wechselmedien verwenden.

Das in den Szenarien verwendete Beispielgerät ist ein USB-Speichergerät. Sie können die Schritte in diesem Handbuch mit einem anderen Gerät ausführen. Wenn Sie jedoch ein anderes Gerät verwenden, stimmen die Anweisungen in der Anleitung nicht genau mit der Benutzeroberfläche überein, die auf dem Computer angezeigt wird.

Wichtige Die in diesem Handbuch aufgeführten Schritte sind für die Verwendung in einer Testumgebung vorgesehen. Diese schrittweise Anleitung ist nicht für die Bereitstellung von Windows Server-Features ohne Begleitdokumentation gedacht und sollte als eigenständiges Dokument mit Ermessen verwendet werden.

Wer sollte diesen Leitfaden verwenden?

Dieser Leitfaden richtet sich an die folgenden Zielgruppen:

  • Informationstechnologieplaner und Analysten, die Windows Vista und Windows Server 2008 bewerten
  • Enterprise Information Technology Planners und Designer
  • Sicherheitsarchitekten, die für die Implementierung vertrauenswürdiger Computer in ihrer Organisation verantwortlich sind
  • Administratoren, die sich mit der Technologie vertraut machen möchten

Vorteile der Geräteinstallation mithilfe von Gruppenrichtlinien

Das Einschränken der Geräte, die Benutzer installieren können, bietet die folgenden Vorteile:

Verringern des Risikos des Diebstahls von Daten

  • Es ist für Benutzer schwieriger, nicht autorisierte Kopien von Unternehmensdaten zu erstellen, wenn die Computer der Benutzer keine nicht genehmigten Geräte installieren können, die Wechselmedien unterstützen. Wenn Benutzer z. B. kein CD-R Gerät installieren können, können sie keine Kopien von Unternehmensdaten auf eine aufzeichnungsfähige CD brennen. Dieser Vorteil kann datendiebstahl nicht beseitigen, aber es schafft eine weitere Barriere für unbefugte Entfernung von Daten. Sie können auch das Risiko des Datendiebstahls verringern, indem Sie gruppenrichtlinien den Schreibzugriff auf Benutzer für Geräte verweigern, die wechselbar sind oder Wechselmedien verwenden. Sie können zugriff auf Gruppenbasis gewähren, wenn Sie Gruppenrichtlinien verwenden.

Reduzieren der Supportkosten

  • Sie können sicherstellen, dass Benutzer nur die Geräte installieren, die Ihr Helpdesk geschult und unterstützt. Dieser Vorteil reduziert Supportkosten und Benutzerverwechslungen.

Szenarioübersicht

Die in diesem Handbuch vorgestellten Szenarien veranschaulichen, wie Sie die Geräteinstallation und -verwendung auf den computern steuern können, die Sie verwalten. Die Szenarien verwenden Gruppenrichtlinien auf einem lokalen Computer, um die Verwendung der Verfahren in einer Laborumgebung zu vereinfachen. In einer Umgebung, in der Sie mehrere Clientcomputer verwalten, sollten Sie diese Einstellungen mithilfe von Gruppenrichtlinien anwenden, die von Active Directory bereitgestellt werden. Wenn Gruppenrichtlinien von Active Directory bereitgestellt werden, können Sie Einstellungen auf alle Computer anwenden, die Mitglieder einer Domäne oder einer Organisationseinheit in einer Domäne sind. Weitere Informationen zur Verwendung von Gruppenrichtlinien zum Verwalten Ihrer Clientcomputer finden Sie unter Gruppenrichtlinie auf der Microsoft-Website.

Im Folgenden finden Sie Beschreibungen der szenarien, die in diesem Leitfaden vorgestellt werden:

  • Verhindern der Installation aller Geräte

    In diesem Szenario möchte der Administrator verhindern, dass Standardbenutzer geräte installieren, administratoren jedoch geräte installieren oder aktualisieren können. Um dieses Szenario abzuschließen, konfigurieren Sie zwei Computerrichtlinien. Die erste Computerrichtlinie verhindert, dass alle Benutzer Geräte installieren, und die zweite Richtlinie befreit Administratoren von den Einschränkungen.

  • Zulassen, dass Benutzer nur autorisierte Geräte

    In diesem Szenario möchte der Administrator Benutzern erlauben, nur die Geräte zu installieren, die in einer Liste autorisierter Geräte enthalten sind. Dieses Szenario basiert auf dem ersten Szenario und daher müssen Sie das erste Szenario abschließen, bevor Sie dieses Szenario ausprobieren. Um dieses Szenario abzuschließen, erstellen Sie eine Liste autorisierter Geräte, damit Benutzer nur die von Ihnen angegebenen Geräte installieren können.

  • Verhindern der Installation von nur verbotenen Geräten

    In diesem Szenario möchte der Administrator standardbenutzern die Installation der meisten Geräte gestatten, sie jedoch daran hindern, Geräte zu installieren, die in einer Liste der verbotenen Geräte enthalten sind. Um dieses Szenario abzuschließen, müssen Sie die Richtlinien entfernen, die Sie in den ersten beiden Szenarien erstellt haben. Nachdem Sie diese Richtlinien entfernt haben, erstellen Sie eine Liste der verbotenen Geräte, sodass Benutzer alle Geräte mit Ausnahme der von Ihnen angegebenen Geräte installieren können.

  • Steuern der Verwendung von Wechselmedienspeichergeräten

    In diesem Szenario möchte der Administrator verhindern, dass Standardbenutzer Daten auf Wechselmedien schreiben, oder Geräte mit Wechselmedien, z. B. einem USB-Speicherlaufwerk oder einem CD- oder DVD-Burner. Um dieses Szenario abzuschließen, konfigurieren Sie eine Computerrichtlinie, um den Lesezugriff zu ermöglichen, aber den Schreibzugriff auf Ihr Beispielgerät und auf ein beliebiges CD- oder DVD-Burnergerät auf Ihrem Computer zu verweigern.

Technologieüberprüfung

In den folgenden Abschnitten finden Sie eine kurze Übersicht über die in diesem Leitfaden erläuterten Kerntechnologien.

Geräteinstallation in Windows

Ein Gerät ist eine Hardware, mit der Windows interagiert, um einige Funktionen auszuführen. Windows kann nur über eine Software, die als Gerätetreiber bezeichnet wird, mit einem Gerät kommunizieren. Um einen Gerätetreiber zu installieren, erkennt Windows das Gerät, erkennt seinen Typ und findet dann den Gerätetreiber, der diesem Typ entspricht.

Windows verwendet zwei Arten von Bezeichnern, um die Geräteinstallation und -konfiguration zu steuern. Sie können die Gruppenrichtlinieneinstellungen in Windows Vista und Windows Server 2008 verwenden, um anzugeben, welche dieser Bezeichner zugelassen oder blockiert werden sollen.

Die beiden Arten von Bezeichnern sind:

  • Geräteidentifikationszeichenfolgen
  • Geräteeinrichtungsklassen

Geräteidentifikationszeichenfolgen

Wenn Windows ein Gerät erkennt, das noch nie auf dem Computer installiert wurde, fragt das Betriebssystem das Gerät ab, um seine Liste der Geräteidentifikationszeichenfolgen abzurufen. Ein Gerät verfügt in der Regel über mehrere Geräteidentifikationszeichenfolgen, die der Gerätehersteller zuweist. Die gleichen Geräteidentifikationszeichenfolgen sind in der INF-Datei enthalten, die Teil des Gerätetreiberpakets ist. Windows wählt aus, welches Gerätetreiberpaket installiert werden soll, indem die vom Gerät abgerufenen Geräteidentifikationszeichenfolgen mit den treiberpaketen übereinstimmen.

Windows kann jede Zeichenfolge verwenden, um einem Gerät ein Treiberpaket zuzuordnen. Die Zeichenfolgen reichen von der sehr spezifischen, abgleichen einer einzelnen Herstellungs- und Modell eines Geräts bis zum sehr allgemeinen, möglicherweise auf eine ganze Geräteklasse. Es gibt zwei Arten von Geräteidentifikationszeichenfolgen: Hardware-IDs und kompatible IDs.

Hardware-IDs

Hardware-IDs sind die Bezeichner, die die genaueste Übereinstimmung zwischen einem Gerät und einem Treiberpaket bereitstellen. Die erste Zeichenfolge in der Liste der Hardware-IDs wird als Geräte-ID bezeichnet, da sie mit der genauen Make-, Model- und Revision des Geräts übereinstimmt. Die anderen Hardware-IDs in der Liste entsprechen den Details des Geräts weniger genau. Eine Hardware-ID kann z. B. die Herstellung und das Modell des Geräts, aber nicht die spezifische Revision identifizieren. Mit diesem Schema kann Windows einen Treiber für eine andere Revision des Geräts verwenden, wenn der Treiber für die richtige Revision nicht verfügbar ist.

kompatible IDs

Windows verwendet diese Bezeichner, um einen Gerätetreiber auszuwählen, wenn das Betriebssystem keine Übereinstimmung mit der Geräte-ID oder einer der anderen Hardware-IDs finden kann. Kompatible IDs werden in der Reihenfolge der abnehmenden Eignung aufgeführt. Diese Zeichenfolgen sind optional, und wenn angegeben, sind sie sehr generisch, z. B. Datenträger-. Wenn eine Übereinstimmung mit einer kompatiblen ID hergestellt wird, können Sie in der Regel nur die grundlegendsten Funktionen des Geräts verwenden.

Wenn Sie ein Gerät installieren, z. B. einen Drucker, ein USB-Speichergerät oder eine Tastatur, sucht Windows nach Treiberpaketen, die mit dem Gerät übereinstimmen, das Sie installieren möchten. Während dieser Suche weist Windows jedem Treiberpaket, das ermittelt wird, einen "Rang" zu, der mindestens eine Übereinstimmung mit einer Hardware oder einer kompatiblen ID aufweist. Der Rang gibt an, wie gut der Treiber dem Gerät entspricht. Niedrigere Rangnummern deuten auf bessere Übereinstimmungen zwischen dem Treiber und dem Gerät hin. Ein Rang von Null stellt die bestmögliche Übereinstimmung dar. Eine Übereinstimmung mit der Geräte-ID zu einer im Treiberpaket führt zu einer niedrigeren (besseren) Rangfolge als eine Übereinstimmung mit einer der anderen Hardware-IDs. Ebenso führt eine Übereinstimmung mit einer Hardware-ID zu einer besseren Rangfolge als eine Übereinstimmung mit einer der kompatiblen IDs. Nachdem Windows alle Treiberpakete bewertet hat, wird das Paket mit dem niedrigsten Gesamtrang installiert. Weitere Informationen zum Rangieren und Auswählen von Treiberpaketen finden Sie unter Auswählen von Treibern in der MSDN Library.

Hinweis Weitere Informationen zum Installationsprozess des Gerätetreibers finden Sie im Abschnitt "Technologieüberprüfung" des Schritt-für-Schritt-Anleitung zum Signieren und Staging von Gerätetreibern.

Einige physische Geräte erstellen ein oder mehrere logische Geräte, wenn sie installiert werden. Jedes logische Gerät kann einen Teil der Funktionalität des physischen Geräts verarbeiten. Beispielsweise kann ein multifunktionsfähiges Gerät, z. B. ein All-in-One-Scanner/Fax-/Drucker, eine andere Geräteidentifikationszeichenfolge für jede Funktion aufweisen.

Wenn Sie DMI verwenden, um die Installation eines Geräts zuzulassen oder zu verhindern, das logische Geräte verwendet, müssen Sie alle Geräteidentifikationszeichenfolgen für dieses Gerät zulassen oder verhindern. Wenn ein Benutzer beispielsweise versucht, ein Multifunktionsgerät zu installieren, und Sie nicht alle Identifikationszeichenfolgen für physische und logische Geräte zugelassen oder verhindert haben, könnten Sie unerwartete Ergebnisse aus dem Installationsversuch erhalten. Ausführlichere Informationen zu Hardware-IDs finden Sie unter Device Identification Strings in der MSDN Library.

Geräteeinrichtungsklassen

Geräteeinrichtungsklassen sind eine andere Art von Identifikationszeichenfolge. Der Hersteller weist die Gerätesetupklasse einem Gerät im Gerätetreiberpaket zu. Die Geräteeinrichtungsklasse gruppiert Geräte, die auf die gleiche Weise installiert und konfiguriert sind. Beispielsweise gehören alle CD-Laufwerke zur CDROM-Geräteeinrichtungsklasse, und sie verwenden bei der Installation dasselbe Co-Installer. Eine lange Zahl, die als GUID (Globally Unique Identifier) bezeichnet wird, stellt jede Geräteeinrichtungsklasse dar. Beim Starten von Windows wird eine In-Memory-Struktur mit den GUIDs für alle erkannten Geräte erstellt. Zusammen mit der GUID für die Geräteeinrichtungsklasse des Geräts selbst muss Windows möglicherweise in die Struktur der GUID für die Geräteeinrichtungsklasse des Busses einfügen, an den das Gerät angeschlossen ist.

Wenn Sie Gerätesetupklassen verwenden, um Benutzern die Installation von Gerätetreibern zu ermöglichen oder zu verhindern, müssen Sie die GUIDs für alle Gerätesetupklassen angeben, oder Sie erzielen möglicherweise nicht die gewünschten Ergebnisse. Die Installation schlägt möglicherweise fehl (wenn sie erfolgreich sein soll) oder erfolgreich (wenn sie fehlschlagen soll).

Beispielsweise verfügt ein multifunktionsfähiges Gerät, z. B. ein All-in-One-Scanner/Fax-/Drucker, über eine GUID für ein generisches mehrfunktionsfähiges Gerät, eine GUID für die Druckerfunktion, eine GUID für die Scannerfunktion usw. Die GUIDs für die einzelnen Funktionen sind "untergeordnete Knoten" unter der GUID für multifunktionsfähige Geräte. Um einen untergeordneten Knoten zu installieren, muss Windows auch in der Lage sein, den übergeordneten Knoten zu installieren. Sie müssen die Installation der Geräteeinrichtungsklasse der übergeordneten GUID für das multifunktionsfähige Gerät zusätzlich zu allen untergeordneten GUIDs für die Drucker- und Scannerfunktionen zulassen.

Weitere Informationen finden Sie unter Gerätesetupklassen in der MSDN Library.

In diesem Handbuch werden keine Szenarien dargestellt, in denen Gerätesetupklassen verwendet werden. Die in diesem Handbuch gezeigten Grundprinzipien gelten jedoch auch für Geräteeinrichtungsklassen. Nachdem Sie die Geräteeinrichtungsklasse für ein bestimmtes Gerät ermittelt haben, können Sie sie in einer Richtlinie verwenden, um die Installation von Gerätetreibern für diese Geräteklasse zuzulassen oder zu verhindern.

Gruppenrichtlinieneinstellungen für die Geräteinstallation

Um die Kontrolle über die Geräteinstallation zu aktivieren, führen Windows Vista und Windows Server 2008 verschiedene Richtlinieneinstellungen ein. Sie können diese Richtlinieneinstellungen auf einem einzelnen Computer einzeln konfigurieren oder auf eine große Anzahl von Computern anwenden, indem Sie Gruppenrichtlinien in einer Active Directory-Domäne verwenden. Weitere Informationen zur Verwendung von Gruppenrichtlinien zum Verwalten Ihrer Clientcomputer finden Sie unter Gruppenrichtlinie.

Unabhängig davon, ob Sie die Einstellungen auf einen eigenständigen Computer oder auf viele Computer in einer Active Directory-Domäne anwenden möchten, verwenden Sie den Gruppenrichtlinienobjekt-Editor, um die Richtlinieneinstellungen zu konfigurieren und anzuwenden. Weitere Informationen finden Sie unter Gruppenrichtlinienobjekt-Editor – technische Referenz.

Nachfolgend finden Sie eine kurze Beschreibung der DMI-Richtlinieneinstellungen, die in diesem Handbuch verwendet werden.

Hinweis Diese Richtlinieneinstellungen wirken sich auf alle Benutzer aus, die sich auf dem Computer anmelden, auf dem die Richtlinieneinstellungen angewendet werden. Sie können diese Richtlinien nicht auf bestimmte Benutzer oder Gruppen anwenden, mit Ausnahme der Richtlinie Administratoren das Außerkraftsetzen der Geräteinstallationsrichtlinieerlauben. Diese Richtlinie befreit Mitglieder der lokalen Administratorgruppe von allen Geräteinstallationseinschränkungen, die Sie auf den Computer anwenden, indem sie andere Richtlinieneinstellungen konfigurieren, wie in diesem Abschnitt beschrieben.

  • Verhindern der Installation von Geräten, die nicht durch andere Richtlinieneinstellungen beschrieben werden.

    Diese Richtlinieneinstellung steuert die Installation von Geräten, die nicht ausdrücklich durch andere Richtlinieneinstellungen beschrieben werden. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer den Treiber nicht für Geräte installieren oder aktualisieren, es sei denn, sie werden durch die Installation von Geräten zulassen, die diesen Geräte-IDs entsprechen, Richtlinieneinstellung oder die Installation von Geräten für diese Geräteklassen zulassen Richtlinieneinstellung beschrieben. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer den Treiber für jedes Gerät installieren und aktualisieren, das nicht durch die Installation von Geräten verhindern, die diesen Geräte-IDs Richtlinieneinstellung entsprechen, die Installation von Geräten für diese Geräteklassen Richtlinieneinstellung verhindern, oder die Installation von Wechselmedien Richtlinieneinstellung verhindern.

  • Administratoren das Außerkraftsetzen der Geräteinstallationsrichtlinie gestatten.

    Mit dieser Richtlinieneinstellung können Mitglieder der lokalen Administratorgruppe die Treiber für jedes Gerät installieren und aktualisieren, unabhängig von anderen Richtlinieneinstellungen. Wenn Sie diese Richtlinieneinstellung aktivieren, können Administratoren den Assistenten zum Hinzufügen von Hardware oder den Updatetreiber-Assistenten verwenden, um die Treiber für jedes Gerät zu installieren und zu aktualisieren. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, unterliegen Administratoren allen Richtlinieneinstellungen, die die Geräteinstallation einschränken.

  • Verhindern der Installation von Geräten, die diesen Geräte-IDs entsprechen.

    Diese Richtlinieneinstellung gibt eine Liste von Plug- und Play-Hardware-IDs und kompatiblen IDs für Geräte an, die Benutzer nicht installieren können. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer den Treiber für ein Gerät nicht installieren oder aktualisieren, wenn seine Hardware-ID oder kompatible ID mit einer dieser Liste übereinstimmt. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer Geräte installieren und ihre Treiber aktualisieren, wie dies durch andere Richtlinieneinstellungen für die Geräteinstallation zulässig ist.

    Hinweis Diese Richtlinieneinstellung hat Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Benutzer ein Gerät installieren können. Diese Richtlinieneinstellung verhindert, dass Benutzer ein Gerät installieren, auch wenn sie mit einer anderen Richtlinieneinstellung übereinstimmt, die die Installation dieses Geräts zulassen würde.

  • Verhindern der Installation von Treibern, die diesen Gerätesetupklassen entsprechen.

    Diese Richtlinieneinstellung gibt eine Liste der Plug- und Play-Geräteeinrichtungsklassen-GUIDs für Geräte an, die Benutzer nicht installieren können. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer keine Geräte installieren oder aktualisieren, die zu einer der aufgeführten Gerätesetupklassen gehören. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer Geräte installieren und aktualisieren, die von anderen Richtlinieneinstellungen für die Geräteinstallation zulässig sind.

    Hinweis Diese Richtlinieneinstellung hat Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Benutzer ein Gerät installieren können. Diese Richtlinieneinstellung verhindert, dass Benutzer ein Gerät installieren, auch wenn sie einer anderen Richtlinieneinstellung entspricht, die die Installation dieses Geräts zulassen würde.

  • Installation von Geräten zulassen, die mit einer dieser Geräte-IDs übereinstimmen.

    Diese Richtlinieneinstellung gibt eine Liste der Plug- und Play-Hardware-IDs und kompatiblen IDs an, die Geräte beschreiben, die Benutzer installieren können. Diese Einstellung soll nur verwendet werden, wenn die Verhindern der Installation von Geräten, die nicht durch andere Richtlinieneinstellungen beschrieben werden, Richtlinieneinstellung aktiviert ist und keine Vorrang vor Richtlinieneinstellungen hat, die Benutzer daran hindern würden, ein Gerät zu installieren. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer jedes Gerät mit einer Hardware-ID oder kompatiblen ID installieren und aktualisieren, die einer ID in dieser Liste entspricht, wenn diese Installation nicht ausdrücklich durch die Verhindern der Installation von Geräten verhindert wurde, die diesen Geräte-IDs Richtlinieneinstellung entsprechen, die Die Installation von Geräten für diese Geräteklassen Richtlinieneinstellung verhindern, oder die Verhindern der Installation von Wechselmedien Richtlinieneinstellung. Wenn eine andere Richtlinieneinstellung verhindert, dass Benutzer ein Gerät installieren, können Benutzer es nicht installieren, auch wenn das Gerät auch durch einen Wert in dieser Richtlinieneinstellung beschrieben wird. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren und keine andere Richtlinie das Gerät beschreibt, bestimmt das Verhindern der Installation von Geräten, die nicht durch andere Richtlinieneinstellungen beschrieben werden, Richtlinieneinstellung bestimmt, ob Benutzer das Gerät installieren können.

  • Installation von Geräten mit Treibern für diese Geräteklassen zulassen.

    Diese Richtlinieneinstellung gibt eine Liste der Gerätesetupklassen-GUIDs an, die Geräte beschreiben, die Benutzer installieren können. Diese Einstellung soll nur verwendet werden, wenn die Verhindern der Installation von Geräten, die nicht durch andere Richtlinieneinstellungen beschrieben werden, Richtlinieneinstellung aktiviert ist und keine Vorrang vor Richtlinieneinstellungen hat, die Benutzer daran hindern würden, ein Gerät zu installieren. Wenn Sie diese Einstellung aktivieren, können Benutzer jedes Gerät mit einer Hardware-ID oder kompatiblen ID installieren und aktualisieren, die mit einer der IDs in dieser Liste übereinstimmt, wenn diese Installation nicht ausdrücklich durch die Verhindern der Installation von Geräten verhindert wurde, die diesen Geräte-IDs Richtlinieneinstellung entsprechen, die Die Installation von Geräten für diese Geräteklassen Richtlinieneinstellung verhindern, oder die Verhindern der Installation von Wechselmedien Richtlinieneinstellung. Wenn eine andere Richtlinieneinstellung verhindert, dass Benutzer ein Gerät installieren, können Benutzer es nicht installieren, auch wenn das Gerät auch durch einen Wert in dieser Richtlinieneinstellung beschrieben wird. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren und keine andere Richtlinieneinstellung das Gerät beschreibt, bestimmt die Verhindern der Installation von Geräten, die nicht durch andere Richtlinieneinstellungen beschrieben werden, Richtlinieneinstellung bestimmt, ob Benutzer das Gerät installieren können.

Einige dieser Richtlinien haben Vorrang vor anderen Richtlinien. Das unten gezeigte Flussdiagramm veranschaulicht, wie Windows sie verarbeitet, um zu bestimmen, ob ein Benutzer ein Gerät installieren kann oder nicht, wie in Abbildung 1 (unten) dargestellt.

Bb530324.grouppolicydeviceinstall01(en-us,MSDN.10).gif

Abbildung 1. Wie Windows Richtlinien verarbeitet, wenn ermittelt wird, ob ein Benutzer ein Gerät installieren kann

Gruppenrichtlinieneinstellungen für Wechselmedienzugriff

In Windows Vista und Windows Server 2008 kann ein Administrator Computerrichtlinien anwenden, um zu steuern, ob Benutzer von jedem Gerät mit Wechselmedien lesen oder schreiben können. Diese Richtlinien können verwendet werden, um zu verhindern, dass vertrauliche oder vertrauliche Materialien in Wechselmedien oder auf ein Wechselmedium mit Speicher geschrieben und dann von den Räumlichkeiten entfernt werden.

Sie können diese Richtlinieneinstellungen auf Computerebene anwenden, sodass sie sich auf jeden Benutzer auswirken, der sich auf dem Computer anmeldet. Sie können sie auch auf Benutzerebene anwenden und die Erzwingung auf ein bestimmtes Benutzerkonto beschränken. Wenn Sie Gruppenrichtlinien in einer Active Directory-Umgebung verwenden, können Sie die Richtlinieneinstellungen zusätzlich zu einzelnen Benutzerkonten auf Benutzergruppen anwenden. Mithilfe von Gruppenrichtlinien können Sie diese Richtlinien auch effektiv auf eine große Anzahl von Computern anwenden. Weitere Informationen zur Verwendung von Gruppenrichtlinien zum Verwalten Ihrer Clientcomputer finden Sie unter Gruppenrichtlinie.

Die Richtlinieneinstellungen für den Wechselspeicherzugriff enthalten auch eine Einstellung, mit der ein Administrator einen Neustart erzwingen kann. Wenn ein Gerät verwendet wird, wenn eine Einschränkungsrichtlinie angewendet wird, wird die Richtlinie möglicherweise erst erzwungen, wenn der Computer neu gestartet wird.

Die Richtlinieneinstellungen finden Sie an zwei Speicherorten. Die Richtlinieneinstellungen in Computerkonfiguration\Administrative Vorlagen\System\Wechselmedienzugriff sich auf einen Computer und jeden Benutzer auswirken, der sich anmeldet. Die Richtlinieneinstellungen in Benutzerkonfiguration\Administrative Vorlagen\System\Wechselmedienzugriff nur die Benutzer betreffen, auf die die Richtlinieneinstellung angewendet wird, einschließlich Gruppen, wenn Gruppen mithilfe von Active Directory angewendet werden.

Im Folgenden finden Sie eine kurze Beschreibung der Richtlinien, mit denen Sie lese- oder schreibzugriff auf Wechseldatenträger steuern können. Jede Gerätekategorie unterstützt zwei Richtlinien: eine zum Verweigern des Lesezugriffs und eine zum Verweigern des Schreibzugriffs:

  • Zeit (in Sekunden) zum Erzwingen des Neustarts

    Legen Sie die Zeitspanne (in Sekunden) fest, die das System neu startet, um eine Änderung der Zugriffsrechte auf Wechselmedien zu erzwingen.

    Hinweis Wenn kein Neustart erzwungen wird, wird die Änderung erst wirksam, wenn das System neu gestartet wird.

  • CD- und DVD-

    Mit diesen Richtlinieneinstellungen können Sie den Lese- oder Schreibzugriff auf Geräte in der CD- und DVD-Wechselmedienklasse verweigern, einschließlich USB-angeschlossener Geräte.

  • benutzerdefinierte Klassen

    Mit diesen Richtlinieneinstellungen können Sie den Lese- oder Schreibzugriff auf jedes Gerät verweigern, dessen Geräteeinrichtungsklassen-GUID in den von Ihnen bereitgestellten Listen gefunden wird.

  • Diskettenlaufwerke

    Mit diesen Richtlinieneinstellungen können Sie den Lese- oder Schreibzugriff auf Geräte in der Diskettenlaufwerkklasse, einschließlich usb-angeschlossener Geräte, verweigern.

  • Wechseldatenträger

    Diese Richtlinieneinstellungen ermöglichen es Ihnen, den Lese- oder Schreibzugriff auf Wechselmedien zu verweigern, die entweder Festplatten sind oder emulieren, z. B. USB-Speicherlaufwerke oder externe USB-Festplatten.

  • Bandlaufwerke

    Diese Richtlinieneinstellungen ermöglichen es Ihnen, den Lese- oder Schreibzugriff auf Bandlaufwerke, einschließlich USB-angeschlossener Geräte, zu verweigern.

  • WPD-Geräte

    Mit diesen Richtlinieneinstellungen können Sie den Lese- oder Schreibzugriff auf Geräte in der Windows Portable Device-Klasse verweigern. Zu diesen Geräten gehören "intelligente" Geräte, z. B. Media Player, Mobiltelefone, Windows CE-Geräte usw.

  • Alle Wechselmedienklassen: Allen Zugriff verweigern

    Diese Richtlinieneinstellung hat Vorrang vor einer der Richtlinieneinstellungen in dieser Liste und verweigert, falls aktiviert, Lese- und Schreibzugriff auf jedes Gerät, das als Wechselmedien identifiziert wird. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, sind Lese- und Schreibzugriff auf Wechselmedienklassen zulässig, vorbehaltlich aller Einschränkungen, die von den anderen Richtlinieneinstellungen in dieser Liste auferlegt werden.

Anforderungen für die Durchführung der Szenarien

Um die einzelnen Szenarien abzuschließen, müssen Sie folgendes haben:

  • Ein Clientcomputer unter Windows Vista. Diese Anleitung bezieht sich auf diesen Computer als DMI-Client1.

  • Ein USB-Speicherlaufwerk. Die in diesem Handbuch beschriebenen Szenarien verwenden ein USB-Speicherlaufwerk als Beispielgerät. Dieses Gerät fungiert wie ein Wechseldatenträger und wird auch als "Usb-Laufwerk" bezeichnet, ein "Flashlaufwerk" oder ein "Keyringlaufwerk". Die meisten USB-Speicherlaufwerke erfordern keine vom Hersteller bereitgestellten Treiber, und diese Geräte funktionieren mit den Treibern, die mit Windows Vista und Windows Server 2008 bereitgestellt werden.

    Hinweis Die Anweisungen gehen davon aus, dass Ihr Gerät keine anderen Treiber als die Treiber erfordert, die in Windows Vista und Windows Server 2008 enthalten sind. Wenn Ihr Gerät einen Treiber vom Hersteller benötigt, müssen Sie die Treiberdatei angeben, wenn Sie von Windows dazu aufgefordert werden. Dieser Schritt ist in den Szenarien nicht enthalten.

  • (Optional) Ein CD- oder DVD-Burner. Im letzten Szenario wird veranschaulicht, wie Geräte mit Wechselmedien schreibgeschützt werden. Sie können die Computerrichtlinie festlegen, ohne dass tatsächlich ein CD- oder DVD-Burner installiert ist. Wenn Sie jedoch überprüfen möchten, ob die Computerrichtlinie wirksam ist, müssen Sie über ein CD- oder DVD-Burnergerät verfügen.

  • Zugriff auf ein geschütztes Administratorkonto auf DMI-Client1. In diesem Handbuch wird dieses Konto TestAdminaufgerufen. Die Verfahren in diesem Handbuch erfordern Administratorrechte für die meisten Schritte. Sie müssen am Anfang jeder Prozedur bei DMI-Client1 mit diesem Administratorkonto angemeldet sein, es sei denn, Sie werden anderweitig weitergeleitet.

    Hinweis Windows Vista und Windows Server 2008 führen Sie das Konzept eines geschützten Administratorkontos ein. Dieses Konto ist Mitglied der Gruppe "Administratoren", aber standardmäßig wird dieses Sicherheitsrecht nicht direkt verwendet. Jeder Versuch, eine Aufgabe auszuführen, die die erhöhten Rechte eines Administrators erfordert, generiert ein Dialogfeld, in dem die Berechtigung zum Ausführen dieser Aufgabe angefordert wird. Dieses Dialogfeld wird im Abschnitt "Antworten auf die Benutzerkontensteuerung" erläutert. Microsoft empfiehlt, nach Möglichkeit ein geschütztes Administratorkonto anstelle des integrierten Administratorkontos zu verwenden.

  • Zugriff auf ein Standardbenutzerkonto auf DMI-Client1. Dieses Benutzerkonto verfügt über keine speziellen Mitgliedschaften, die irgendeine Art von erhöhten Berechtigungen gewähren. In diesem Handbuch wird dieses Konto TestUser-aufgerufen. Melden Sie sich nur bei Ihrem Computer mit diesem Konto an, wenn Sie dazu angewiesen werden. Bei einem Standardbenutzerkonto kann jeder Versuch, eine Aufgabe auszuführen, die die erhöhten Rechte eines Administrators erfordert, dazu führen, dass ein Dialogfeld die Anmeldeinformationen eines Kontos mit Administratorrechten anfordert. Dieses Dialogfeld wird im Abschnitt "Antworten auf die Benutzerkontensteuerung" erläutert.

Voraussetzungen für Verfahren

Bevor Sie eine Richtlinie zum Zulassen oder Verhindern der Installation eines Geräts implementieren können, müssen Sie die Geräteidentifikationszeichenfolgen für das Gerät kennen. Außerdem müssen Sie wissen, wie Sie Ihr USB-Speicherlaufwerk und den zugehörigen Treiber vollständig deinstallieren. Die folgenden Verfahren konfigurieren Ihren Computer so, dass die Szenarien in diesem Handbuch erfolgreich ausgeführt werden:

  1. Reagieren auf die Seite "Benutzerkontensteuerung"
  2. Ermitteln der Geräteidentifikationszeichenfolgen für Ihr USB-Speicherlaufwerk
  3. Deinstallieren des USB-Speicherlaufwerks

Reagieren auf die Seite "Benutzerkontensteuerung"

In diesem Leitfaden werden Sie aufgefordert, Aufgaben auszuführen, die nur von einem Mitglied der Gruppe "Administratoren" ausgeführt werden können. Wenn Sie versuchen, eine Aufgabe auszuführen, die Administratorrechte erfordert, tritt in Windows Vista und Windows Server 2008 Folgendes auf:

  • Wenn Sie als integriertes Administratorkonto angemeldet sind (nicht empfohlen), wird der Vorgang einfach fortgesetzt. Das integrierte Administratorkonto ist standardmäßig deaktiviert.
  • Wenn Sie Mitglied der Gruppe "Administratoren" sind, die nicht das integrierte Administratorkonto ist, wird ein dialogfeld BenutzerKontoSteuerelement angezeigt, in dem Angezeigt wird, in dem Sie aufgefordert werden, den Vorgang fortzusetzen. Wenn Sie auf Weiterklicken, wird die Aufgabe fortgesetzt.
  • Wenn Sie als Standardbenutzer angemeldet sind, können Sie daran gehindert werden, die Aufgabe zu erledigen. Je nach Aufgabe können Sie ein BenutzerkontoKontoSteuern Seite anzeigen, um den Benutzernamen und das Kennwort für ein Administratorkonto anzugeben. Wenn Sie gültige Anmeldeinformationen angeben, wird die Aufgabe im Sicherheitskontext des von Ihnen bereitgestellten Administratorkontos ausgeführt. Wenn Sie diese Anmeldeinformationen nicht angeben können, werden Sie daran gehindert, die Aufgabe auszuführen.

Wichtig: Bevor Sie Anmeldeinformationen oder Berechtigungen zum Ausführen einer verwaltungstechnischen Aufgabe angeben, stellen Sie sicher, dass die Benutzerkontensteuerung Seite als Reaktion auf eine von Ihnen initiierte Aufgabe angezeigt wird. Wenn die Seite unerwartet angezeigt wird, klicken Sie auf die Schaltfläche Details, und stellen Sie sicher, dass die aufgabe, die Sie zulassen möchten.

In diesem Handbuch wird nicht jedes Vorkommen der Benutzerkontensteuerung Dialogfelds dokumentiert, das bei der Ausführung dieser Verfahren auftritt. Wenn spezielle Schritte erforderlich sind, um bestimmte Aufgaben als Administrator auszuführen, werden diese Schritte im Handbuch dokumentiert.

Ermitteln der Geräteidentifikationszeichenfolgen für Ihr USB-Speicherlaufwerk

Anhand dieser Schritte können Sie die Geräteidentifikationszeichenfolgen für Ihr Gerät ermitteln. Wenn die Hardware-IDs und kompatiblen IDs für Ihr Gerät nicht mit den in diesem Handbuch aufgeführten IDs übereinstimmen, verwenden Sie die IDs, die für Ihr Gerät geeignet sind.

Hinweis In den folgenden Szenarien müssen Sie das USB-Speicherlaufwerk installieren und dann deinstallieren. In den Anweisungen wird davon ausgegangen, dass für Ihr Gerät keine treiber außer den Treibern erforderlich sind, die in Windows Vista und Windows Server 2008 enthalten sind. Wenn Ihr Gerät einen Treiber vom Hersteller benötigt, müssen Sie die Treiberdatei angeben, wenn Sie von Windows dazu aufgefordert werden. Dieser Schritt ist in den Szenarien nicht enthalten.

Sie können die Hardware-IDs und kompatible iDs für Ihr Gerät auf zwei Arten ermitteln. Sie können Geräte-Manager, ein grafisches Tool, das im Betriebssystem enthalten ist, oder DevCon verwenden, ein Befehlszeilentool, das als Teil des Driver Development Kit (DDK) heruntergeladen werden kann. Verwenden Sie das folgende Verfahren, um die Geräteidentifikationszeichenfolgen für Ihr USB-Speicherlaufwerk anzuzeigen.

Wichtige Diese Verfahren gelten speziell für ein USB-Speicherlaufwerk. Wenn Sie einen anderen Gerätetyp verwenden, müssen Sie die Schritte entsprechend anpassen. Der wesentliche Unterschied ist die Position des Geräts in der Geräte-Manager-Hierarchie. Anstatt sich in den Datenträgerlaufwerken Knoten zu befinden, müssen Sie Ihr Gerät im entsprechenden Knoten suchen.

So suchen Sie Geräteidentifikationszeichenfolgen mithilfe von Device Manager-

  1. Melden Sie sich bei Ihrem Computer als DMI-Client1\TestAdminan.

  2. Schließen Sie das USB-Speicherlaufwerk an, und lassen Sie die Installation dann zu.

  3. Klicken Sie zum Öffnen des Geräte-Managers auf die Schaltfläche Start, geben Sie mmc devmgmt.msc in das Feld Suche starten ein, und drücken Sie dann EINGABETASTE.

  4. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, vergewissern Sie sich, dass die gewünschte Aktion angezeigt wird, und klicken Sie dann auf Weiter.

    Der Geräte-Manager startet und zeigt eine Struktur an, die alle auf Ihrem Computer erkannten Geräte darstellt. Am oberen Rand der Struktur befindet sich ein Knoten mit Dem Computernamen daneben. Untere Knoten stellen die verschiedenen Hardwarekategorien dar, in die Ihre Computergeräte gruppiert sind.

  5. Doppelklicken Sie auf Datenträgerlaufwerke, um die Liste zu öffnen.

    Bb530324.grouppolicydeviceinstall02(en-us,MSDN.10).gif

    Abbildung 2. Öffnen Des USB-Laufwerks durch Doppelklicken

  6. Klicken Sie mit der rechten Maustaste auf den Eintrag für Ihr USB-Speicherlaufwerk, und klicken Sie dann auf Eigenschaften. Das Dialogfeld Geräteeigenschaften wird angezeigt.

    Bb530324.grouppolicydeviceinstall03(en-us,MSDN.10).gif

    Abbildung 3. Das Dialogfeld "Geräteeigenschaften" für Ihr USB-Laufwerk wird angezeigt.

  7. Klicken Sie auf die Registerkarte Details.

  8. Klicken Sie in der Liste Eigenschaft auf Hardware-IDs.

  9. Notieren Sie sich unter Wertdie angezeigten Zeichenfolgen.

    Bb530324.grouppolicydeviceinstall04(en-us,MSDN.10).gif

    Abbildung 4. Speichern Sie die Zeichenfolgen, die im Dialogfeld "Eigenschaften" für Ihr USB-Laufwerk unter "Wert" angezeigt werden.

    Hinweis: Sie können die Zeichenfolgen in die Zwischenablage kopieren, indem Sie den Text hervorheben und STRG-C drücken. Da viele Hardware-IDs mehrere Unterstriche enthalten, ist es hilfreich, sie in eine Textdatei zu kopieren, aus der Sie einfügen können, wenn Sie einen Bezeichner angeben müssen. Dieser Ansatz reduziert die Wahrscheinlichkeit eines Fehlers erheblich, wenn Sie einer Liste genehmigter oder verbotener Geräte einen bestimmten Bezeichner hinzufügen müssen.

  10. Klicken Sie in der Liste Eigenschaften- auf kompatible IDs.

  11. Notieren Sie sich unter Wertdie angezeigten Zeichenfolgen.

    Bb530324.grouppolicydeviceinstall05(en-us,MSDN.10).gif

    Abbildung 5. Speichern Sie die Zeichenfolgen, die im Dialogfeld "Eigenschaften" für Ihr USB-Laufwerk unter "Wert" angezeigt werden.

Hinweis Sie können ihre Geräteidentifikationszeichenfolgen auch mithilfe des Befehlszeilenprogramms DevCon ermitteln. Sie können DevCon von der Microsoft-Hilfe- und Supportwebsite herunterladen. Weitere Informationen finden Sie unter Die DevCon-Befehlszeilenprogrammfunktionen als Alternative zu Device Manager.

DevCon-

DevCon HwIDs

Deinstallieren des USB-Speicherlaufwerks

Bei der normalen täglichen Verwendung eines USB-Speicherlaufwerks können Sie das Laufwerk in der Regel einfach aus dem USB-Anschluss ziehen. Für dieses Handbuch müssen Sie jedoch auch den Gerätetreiber deinstallieren, um sicherzustellen, dass jedes Szenario mit dem Computer in einem geeigneten Zustand gestartet wird. Wenn Sie das Gerät nicht deinstallieren und entfernen, wenn sie angewiesen werden, haben die in den folgenden Szenarien getesteten Richtlinien keine Auswirkungen, und Die erwarteten Ergebnisse werden nicht angezeigt. Führen Sie in diesem Handbuch dieselben Schritte aus, wenn Sie aufgefordert werden, Ihr Gerät zu deinstallieren und zu entfernen.

Wichtig Trennen Sie Ihr Gerät nicht physisch vom USB-Anschluss, bis Sie zum letzten Schritt gelangen.

So deinstallieren Sie ihr USB-Speicherlaufwerk

  1. Melden Sie sich bei Ihrem Computer DMI-Client1\TestAdmin an.

  2. Klicken Sie zum Öffnen des Geräte-Managers auf die Schaltfläche Start, geben Sie mmc devmgmt.msc in das Feld "Suche starten" ein, und drücken Sie dann EINGABETASTE.

  3. Wenn das Dialogfeld "Benutzerkontensteuerung" angezeigt wird, vergewissern Sie sich, dass die angezeigte Aktion ihren Vorstellungen entspricht, und klicken Sie dann auf Weiter.

  4. Klicken Sie mit der rechten Maustaste auf den Eintrag für Ihr USB-Speicherlaufwerk, und klicken Sie dann auf Deinstallieren.

    Bb530324.grouppolicydeviceinstall06(en-us,MSDN.10).gif

    Abbildung 6. Klicken Sie mit der rechten Maustaste, um Ihr USB-Speicherlaufwerk zu deinstallieren.

  5. Klicken Sie im Dialogfeld Geräteentfernung bestätigen auf OK, damit der Deinstallationsprozess abgeschlossen werden kann.

  6. Wenn Windows den Deinstallationsprozess abgeschlossen hat, wird der Geräteeintrag aus der Geräte-Manager-Struktur entfernt.

  7. Trennen Sie das USB-Speicherlaufwerk vom USB-Anschluss.

Verhindern der Installation aller Geräte

In diesem Szenario werden die typischen Schritte dokumentiert, die erforderlich sind, um die restriktivste Konfiguration zu implementieren, bei der alle Geräteinstallationen verhindert werden und vorhandene Geräte nicht mit neuen Gerätetreibern aktualisiert werden können. Benutzer können ein Gerät nicht installieren und ohne Eingreifen eines Administrators verwenden. Administratoren können jedes Gerät nach Bedarf weiterhin installieren oder aktualisieren.

Voraussetzungen für die Verhinderung der Installation aller Geräte

Um die Verfahren in diesem Szenario abzuschließen, müssen Sie ihr USB-Speicherlaufwerk deinstallieren, wie im Abschnitt "Deinstallieren des USB-Speicherlaufwerks" weiter oben in diesem Dokument beschrieben.

Schritte zum Verhindern der Installation aller Geräte

  1. Konfigurieren der Richtlinie, um die Installation eines Geräts zu verhindern
  2. Konfigurieren der Richtlinie, damit Administratoren Geräteinstallationseinschränkungen außer Kraft setzen können
  3. Testen der Auswirkungen Ihrer Einschränkungseinstellungen als Benutzer

Konfigurieren der Richtlinie, um die Installation eines Geräts zu verhindern

So konfigurieren Sie eine Richtlinie, die die Installation oder Aktualisierung eines Geräts

  1. Melden Sie sich bei Ihrem Computer als DMI-Client1\TestAdminan.

  2. Um den Gruppenrichtlinienobjekt-Editor zu öffnen, klicken Sie auf die Schaltfläche Start, geben Sie mmc gpedit.msc in das Feld "Suche starten" ein, und drücken Sie dann EINGABETASTE.

  3. Wenn das Dialogfeld "Benutzerkontensteuerung" angezeigt wird, vergewissern Sie sich, dass die angezeigte Aktion ihren Vorstellungen entspricht, und klicken Sie dann auf Weiter.

  4. Doppelklicken Sie im Navigationsbereich des Gruppenrichtlinienobjekt-Editors auf Computerkonfiguration, um sie zu öffnen. Öffnen Sie dann administrative Vorlagen, öffnen Sie System-, öffnen Sie Geräteinstallation, und öffnen Sie dann Einschränkungen für die Geräteinstallation.

    Bb530324.grouppolicydeviceinstall07(en-us,MSDN.10).gif

    Abbildung 7. Navigationsbereich des Gruppenrichtlinienobjekt-Editors

  5. Klicken Sie im Detailbereich mit der rechten Maustaste auf Installation von Geräten verhindern, die nicht durch andere Richtlinieneinstellungenbeschrieben werden, und klicken Sie auf Eigenschaften.

  6. Das Dialogfeld "Richtlinie" wird mit den aktuellen Einstellungen angezeigt.

  7. Klicken Sie auf der Registerkarte Einstellung auf Aktivierte, um die Richtlinie zu aktivieren.

  8. Klicken Sie auf OK, um Ihre Einstellungen zu speichern und zum Gruppenrichtlinienobjekt-Editor zurückzukehren.

Konfigurieren der Richtlinie, damit Administratoren Geräteinstallationseinschränkungen außer Kraft setzen können

Mit der nächsten Richtlinie können Administratoren Einschränkungen außer Kraft setzen, die von den anderen Richtlinieneinstellungen für die Geräteinstallation auferlegt werden, einschließlich der Richtlinie, die Sie gerade aktiviert haben.

So konfigurieren Sie die Richtlinie, um Administratoren das Außerkraftsetzen von Einschränkungen für die Geräteinstallation

  1. Klicken Sie im Detailbereich mit der rechten Maustaste auf Administratoren das Außerkraftsetzen der Geräteinstallationsrichtlinieerlauben, und klicken Sie dann auf Eigenschaften.

  2. Das Dialogfeld "Richtlinie" wird mit den aktuellen Einstellungen angezeigt.

  3. Klicken Sie auf der Registerkarte Einstellung auf Aktivierte, um die Richtlinieneinstellung zu aktivieren.

  4. Klicken Sie auf OK, um Ihre Einstellung zu speichern und zum Gruppenrichtlinienobjekt-Editor zurückzukehren.

  5. Beide Richtlinien zeigen nun ihren Status als aktiviert an.

    Bb530324.grouppolicydeviceinstall08s(en-us,MSDN.10).gif

    Abbildung 8. Beide Richtlinien zeigen ihren Status als aktiviert an.

Testen der Auswirkungen Ihrer Einschränkungseinstellungen als Benutzer

Wenn beide Richtlinien aktiviert sind, können Sie sie auf den Computer anwenden und versuchen, das Gerät zu installieren, um die Einschränkungen anzuzeigen.

So testen Sie die Auswirkungen Ihrer Einschränkungseinstellungen als Benutzer

  1. Wenn Ihr Gerät installiert ist, deinstallieren Sie es, und entfernen Sie es, indem Sie die Schritte im Abschnitt "Deinstallieren Des USB-Speicherlaufwerks" weiter oben in diesem Dokument ausführen.

  2. Klicken Sie auf die Schaltfläche Start, geben Sie gpupdate /force in das Feld "Suche starten" ein, und drücken Sie dann EINGABETASTE.

  3. Melden Sie sich nach Abschluss des GPUdate-Befehls von Ihrem Computer ab, und melden Sie sich dann als DMI-Client1\TestUseran.

  4. Klicken Sie zum Öffnen des Geräte-Managers auf die Schaltfläche Start, geben Sie mmc devmgmt.msc in das Feld "Suche starten" ein, und drücken Sie dann EINGABETASTE.

  5. Die folgende Meldung wird angezeigt, die angibt, dass Sie keine Berechtigungen zum Vornehmen von Änderungen im Geräte-Manager haben.

    Bb530324.grouppolicydeviceinstall09(en-us,MSDN.10).gif

    Abbildung 9. Eine Meldung wird angezeigt, um anzugeben, dass Sie nicht über Berechtigungen verfügen.

  6. Klicken Sie auf OK, um die Nachricht zu bestätigen. (Der Geräte-Manager wird gestartet, und Sie können die Geräte auf dem Computer anzeigen.)

  7. Schließen Sie das USB-Speicherlaufwerk an.

  8. Bis die Installation erfolgreich abgeschlossen ist, wird das Gerät im Geräte-Manager unter dem Knoten Andere Geräte Knoten angezeigt.

    Bb530324.grouppolicydeviceinstall10(en-us,MSDN.10).gif

    Abbildung 10. Gerät wird unter "Andere Geräte" angezeigt, bis die Installation abgeschlossen ist.

  9. Da Sie als Standardbenutzer ohne Administratorrechte angemeldet sind und die Geräteinstallation jetzt eingeschränkt ist, wird das folgende Dialogfeld angezeigt:

    Bb530324.grouppolicydeviceinstall11(en-us,MSDN.10).gif

    Abbildung 11. Dialogfeld, das angezeigt wird, wenn sie als Standardbenutzer ohne Administratorrechte angemeldet sind

  10. Um eine typische Benutzerantwort zu simulieren, klicken Sie auf Suchen nach, und installieren Sie Treibersoftware (empfohlen).

  11. Es wird eine Variante des Dialogfelds Benutzerkontensteuerung angezeigt, in dem Sie aufgefordert werden, einen Benutzernamen und ein Kennwort für ein Konto mit Administratorrechten einzugeben.

  12. Da ein Benutzer keine Administratoranmeldeinformationen zum Bereitstellen hat, klicken Sie auf Abbrechen, um den Versuch abzubrechen, wie ein Benutzer dies tun würde.

  13. Die Installation des Gerätetreibers schlägt fehl, und das Gerät verbleibt unter dem Andere Geräte Knoten und ist nicht funktionsfähig.

    Bb530324.grouppolicydeviceinstall12(en-us,MSDN.10).gif

    Abbildung 12. Fehler bei der Geräteinstallation, und das Gerät ist nicht funktionsfähig.

Zulassen, dass Benutzer nur autorisierte Geräte installieren

Dieses Szenario baut auf dem ersten Szenario auf: Verhindern der Installation aller Geräte, bei denen Sie die Installation eines Geräts verhindert haben. In diesem Szenario fügen Sie der Richtlinie eine Liste der zulässigen Geräte hinzu und fügen die Hardware-ID für Ihr USB-Speicherlaufwerk hinzu.

Voraussetzungen für das Zulassen, dass Benutzer nur autorisierte Geräte installieren können

Um diese Aufgabe abzuschließen, müssen Sie zunächst alle Schritte im ersten Szenario ausführen, um die Installation aller Geräte zu verhindern.

Schritte zum Zulassen, dass Benutzer nur autorisierte Geräte installieren können

In diesem Abschnitt fügen Sie zulässige Geräte zu den Einschränkungen hinzu, die bei der Installation aller Geräte auferlegt werden, indem Sie eine Liste autorisierter Geräte erstellen.

  1. Erstellen einer Liste autorisierter Geräte
  2. Testen der Auswirkungen autorisierter Geräte

Erstellen einer Liste autorisierter Geräte

So erstellen Sie eine genehmigte Geräteliste

  1. Melden Sie sich bei Ihrem Computer als DMI-Client1\TestAdminan.

  2. Wenn Ihr Gerät derzeit installiert ist, deinstallieren Sie es, und entfernen Sie es, indem Sie die Schritte im Abschnitt "Deinstallieren Des USB-Speicherlaufwerks" weiter oben in diesem Dokument ausführen.

  3. Um den Gruppenrichtlinienobjekt-Editor zu öffnen, klicken Sie auf die Schaltfläche Start, geben Sie mmc gpedit.msc in das Feld "Suche starten" ein, und drücken Sie dann EINGABETASTE.

  4. Doppelklicken Sie im Navigationsbereich des Gruppenrichtlinienobjekt-Editors auf Computerkonfiguration, um sie zu öffnen. Öffnen Sie dann administrative Vorlagen, öffnen Sie System-, öffnen Sie Geräteinstallation, und öffnen Sie dann Einschränkungen für die Geräteinstallation.

  5. Klicken Sie im Detailbereich mit der rechten Maustaste auf Installation von Geräten zulassen, die mit einer dieser Geräte-IDsübereinstimmen, und klicken Sie dann auf Eigenschaften.

  6. Das Dialogfeld "Richtlinie" wird mit den aktuellen Einstellungen angezeigt.

  7. Klicken Sie auf der Registerkarte "Einstellung" auf " aktiviert", um diese Richtlinie zu aktivieren.

    Bb530324.grouppolicydeviceinstall13(en-us,MSDN.10).gif

    Abbildung 13. Klicken Sie auf "Aktiviert", um die Richtlinie zu aktivieren.

  8. Klicken Sie auf Anzeigen, um die Liste der zulässigen Geräte im Dialogfeld "Inhalt anzeigen" anzuzeigen. (Standardmäßig ist die Liste leer.)

  9. Klicken Sie auf Hinzufügen, um das Dialogfeld "Element hinzufügen" zu öffnen.

  10. Geben Sie die Geräte-ID (die erste Hardware-ID) für Ihr Gerät ein.

    Bb530324.grouppolicydeviceinstall14(en-us,MSDN.10).gif

    Abbildung 14. Geben Sie die Geräte-ID für Ihr USB-Gerät ein.

  11. Klicken Sie auf OK, um zum Dialogfeld "Inhalt anzeigen" zurückzukehren. Ihr Gerät wird jetzt in der Liste angezeigt.

    Bb530324.grouppolicydeviceinstall15(en-us,MSDN.10).gif

    Abbildung 15. Das Gerät ist jetzt für die Installation genehmigt.

  12. Klicken Sie auf OK, um zum Richtliniendialogfeld zurückzukehren, und klicken Sie dann auf OK, um Die neue Richtlinieneinstellung zu speichern.

Testen der Liste der autorisierten Geräte

Wenn die Richtlinieneinstellung aktiviert ist, können Sie sie auf den Computer anwenden und versuchen, das Gerät zu installieren.

So testen Sie die Liste der autorisierten Geräte

  1. Klicken Sie auf die Schaltfläche Start, geben Sie gpupdate/force- in das Feld "Suche starten" ein, und drücken Sie dann EINGABETASTE.

  2. Melden Sie sich nach Abschluss des Gpudate-Befehls von Ihrem Computer ab, und melden Sie sich dann als DMI-Client1\TestUseran.

  3. Klicken Sie zum Öffnen des Geräte-Managers auf die Schaltfläche Start, geben Sie mmc devmgmt.msc in das Feld "Suche starten" ein, und drücken Sie dann EINGABETASTE.

  4. Die folgende Meldung wird angezeigt, die angibt, dass Sie keine Berechtigungen zum Vornehmen von Änderungen im Geräte-Manager haben.

    Bb530324.grouppolicydeviceinstall16s(en-us,MSDN.10).gif

    Abbildung 16. Eine Meldung wird angezeigt, um anzugeben, dass Sie nicht über Berechtigungen verfügen.

  5. Klicken Sie auf OK, um die Nachricht zu schließen. Der Geräte-Manager wird gestartet, und Sie können die Geräte auf dem Computer anzeigen.

  6. Schließen Sie das USB-Speicherlaufwerk an.

  7. Das Gerät wird im Geräte-Manager unter dem Knoten "Andere Geräte" angezeigt, bis Windows die Installation abgeschlossen hat.

    Bb530324.grouppolicydeviceinstall17(en-us,MSDN.10).gif

    Abbildung 17. Das Gerät wird unter "Andere Geräte" angezeigt, bis die Installation abgeschlossen ist.

  8. Nachdem Windows die Installation abgeschlossen hat, wechselt das Gerät zum Knoten "Datenträgerlaufwerke" im Geräte-Manager und ist voll funktionsfähig.

    Bb530324.grouppolicydeviceinstall18(en-us,MSDN.10).gif

    Abbildung 18. Nach Abschluss der Installation ist das Gerät voll funktionsfähig.

Verhindern der Installation verbotener Geräte

Dieses Szenario bietet eine alternative Möglichkeit zum Steuern der Geräteinstallation. In den ersten beiden Szenarien haben Sie die Installation aller Geräte verhindert, mit Ausnahme derjenigen, die von einer Liste autorisierter Geräte zugelassen sind. In diesem Szenario erlauben Sie die Installation aller Geräte mit Ausnahme der Geräte auf einer Liste verbotener Geräte. Außerdem entfernen Sie die Ausnahme für Administratoren, die Sie im ersten Szenario erstellt haben, sodass sogar ein Administrator von der Richtlinie betroffen ist.

Voraussetzungen für die Verhinderung der Installation verbotener Geräte

Wenn Sie die Schritte unter "Installation aller Geräte verhindern" abgeschlossen haben und Benutzern die Installation nur autorisierter Geräte gestatten, müssen Sie diese Richtlinien mit den folgenden Schritten deaktivieren:

  • Aktivieren Sie die Installation aller Geräte.
  • Entfernen Sie die Ausnahme für Mitglieder der Gruppe "Administratoren", um die Geräteinstallation zuzulassen.
  • Entfernen Sie die Hardware-ID aus der Liste der genehmigten Geräte.

So aktivieren Sie die Installation aller Geräte

  1. Melden Sie sich bei Ihrem Computer als DMI-Client1\TestAdminan.
  2. Um den Gruppenrichtlinienobjekt-Editor zu öffnen, klicken Sie auf die Schaltfläche Start, geben Sie mmc gpedit.msc in das Feld "Suche starten" ein, und drücken Sie dann EINGABETASTE.
  3. Doppelklicken Sie im Navigationsbereich des Gruppenrichtlinienobjekt-Editors auf Computerkonfiguration, um sie zu öffnen. Öffnen Sie dann administrative Vorlagen, öffnen Sie System-, öffnen Sie Geräteinstallation, und öffnen Sie dann Einschränkungen für die Geräteinstallation.
  4. Klicken Sie im Detailbereich mit der rechten Maustaste auf den Knoten Verhindern der Installation von Geräten, die nicht durch andere Richtlinieneinstellungenbeschrieben werden, und klicken Sie dann auf Eigenschaften.
  5. Das Dialogfeld "Richtlinie" wird mit den aktuellen Einstellungen angezeigt.
  6. Klicken Sie auf Deaktiviert, um die Richtlinieneinstellung zu deaktivieren.
  7. Klicken Sie auf OK, um Ihre Einstellung zu speichern und zum Gruppenrichtlinienobjekt-Editor zurückzukehren.

Der nächste Schritt besteht darin, die Richtlinie zu entfernen, die Mitgliedern der Gruppe "Administratoren" eine Ausnahme gewährt hat.

Entfernen der Ausnahme für Administratoren zu Gruppenrichtlinieneinschränkungen

  1. Klicken Sie im Gruppenrichtlinienobjekt-Editor mit der rechten Maustaste auf Administratoren das Außerkraftsetzen der Geräteinstallationsrichtlinieerlauben, und klicken Sie dann auf Eigenschaften.
  2. Das Dialogfeld "Richtlinie" wird mit den aktuellen Einstellungen angezeigt.
  3. Klicken Sie auf der Registerkarte "Einstellung" auf deaktiviert, um die Richtlinieneinstellung zu deaktivieren.
  4. Klicken Sie auf OK, um Ihre Einstellung zu speichern und zum Gruppenrichtlinienobjekt-Editor zurückzukehren.

Der nächste Schritt besteht darin, die Hardware-ID aus der Liste der autorisierten Geräte zu entfernen, die Sie im zweiten Szenario erstellt haben.

So entfernen Sie die Hardware-ID aus der Liste der autorisierten Geräte

  1. Klicken Sie im Gruppenrichtlinienobjekt-Editor mit der rechten Maustaste auf Installation von Geräten zulassen, die mit einer dieser Geräte-IDsübereinstimmen, und klicken Sie dann auf Eigenschaften. Das Dialogfeld "Richtlinie" wird mit den aktuellen Einstellungen angezeigt.
  2. Klicken Sie auf der Registerkarte "Einstellung" auf " anzeigen", um die Liste der autorisierten Geräte anzuzeigen.
  3. Wählen Sie im Dialogfeld "Inhalt anzeigen" den Namen des USB-Speicherlaufwerks aus, und klicken Sie dann auf Entfernen. Windows entfernt Ihr Gerät aus der Liste.
  4. Klicken Sie auf OK, um das Dialogfeld "Inhalt anzeigen" zu schließen und zum Richtliniendialogfeld zurückzukehren.
  5. Klicken Sie auf Deaktiviert, um die Richtlinieneinstellung zu deaktivieren.
  6. Klicken Sie auf OK, um Ihre Änderungen zu speichern und zum Gruppenrichtlinienobjekt-Editor zurückzukehren.

Schritte zum Verhindern der Installation verbotener Geräte

Um zu verhindern, dass Benutzer bestimmte Geräte installieren, erstellen Sie eine Liste verbotener Geräte. In diesem Abschnitt werden Sie folgende Aktionen ausführen:

  1. Erstellen einer Liste verbotener Geräte
  2. Testen der Liste der verbotenen Geräte

Erstellen einer Liste verbotener Geräte

So erstellen Sie eine Liste der verbotenen Geräte

  1. Wenn Ihr Gerät derzeit installiert ist, deinstallieren Sie es, und entfernen Sie es, indem Sie die Schritte im Abschnitt "Deinstallieren Des USB-Speicherlaufwerks" weiter oben in diesem Dokument ausführen.

  2. Melden Sie sich bei Ihrem Computer als DMI-Client1\TestAdmin an.

  3. Wenn sie noch nicht ausgeführt wird, starten Sie den Gruppenrichtlinienobjekt-Editor. Klicken Sie dazu auf die Schaltfläche "Start", geben Sie "mmc gpedit.msc" in das Feld "Suche starten" ein, und drücken Sie dann die EINGABETASTE.

  4. Doppelklicken Sie in der Struktur auf "Computerkonfiguration", um sie zu öffnen. Öffnen Sie dann administrative Vorlagen, öffnen Sie System, öffnen Sie die Geräteinstallation, und öffnen Sie dann Geräteinstallationseinschränkungen.

  5. Klicken Sie im Detailbereich mit der rechten Maustaste auf "Installation von Geräten verhindern", die diesen Geräte-IDs entsprechen, und klicken Sie dann auf "Eigenschaften". Das Dialogfeld "Richtlinie" wird mit den aktuellen Einstellungen angezeigt.

  6. Klicken Sie auf der Registerkarte "Einstellung" auf "Aktiviert", um diese Richtlinie zu aktivieren.

    Bb530324.grouppolicydeviceinstall19(en-us,MSDN.10).gif

    Abbildung 19. Klicken Sie auf "Aktiviert", um die Richtlinie zu aktivieren.

  7. Klicken Sie auf Anzeigen, um die Liste der verbotenen Geräte anzuzeigen.

  8. Klicken Sie im Dialogfeld "Inhalt anzeigen" auf "hinzufügen".

  9. Geben Sie im Dialogfeld Element hinzufügen die Geräte-ID (die erste Hardware-ID) ein, die Sie für Ihr Gerät gefunden haben.

  10. Klicken Sie auf OK, um zum Dialogfeld "Inhalt anzeigen" zurückzukehren.

  11. Ihr Gerät wird jetzt in der Liste angezeigt.

    Bb530324.grouppolicydeviceinstall20(en-us,MSDN.10).gif

    Abbildung 20. Die Installation für dieses Gerät ist jetzt verboten.

  12. Klicken Sie auf OK, um zum Richtliniendialogfeld zurückzukehren, und klicken Sie dann auf OK, um Die neue Richtlinieneinstellung zu speichern.

Testen der Liste der verbotenen Geräte

Jetzt können Sie versuchen, das Gerät zu installieren. Sie können andere Geräte installieren, da die Richtlinie ihre Installation nicht mehr verhindert, aber Sie können dieses bestimmte Gerät nicht installieren, auch wenn Sie als Mitglied der Gruppe "Administratoren" angemeldet sind.

So testen Sie die Liste der verbotenen Geräte

  1. Klicken Sie auf die Schaltfläche Start, geben Sie gpupdate /force in das Feld "Suche starten" ein, und drücken Sie dann EINGABETASTE.

  2. Wenn der Gpudate-Befehl abgeschlossen ist, schließen Sie die Eingabeaufforderung.

  3. Klicken Sie zum Öffnen des Geräte-Managers auf die Schaltfläche Start, geben Sie mmc devmgmt.msc in das Feld "Suche starten" ein, und drücken Sie dann EINGABETASTE.

  4. Schließen Sie das USB-Speicherlaufwerk an.

  5. Das Gerät wird im Geräte-Manager unter Anderen Geräten Knoten angezeigt.

  6. Die Installation ist nicht abgeschlossen, und das Gerät funktioniert nicht.

    Bb530324.grouppolicydeviceinstall21(en-us,MSDN.10).gif

    Abbildung 21. Die Installation wird nicht abgeschlossen, und das Gerät funktioniert nicht.

  7. Windows zeigt eine Meldung im Infobereich an, in der angegeben wird, warum die Installation fehlgeschlagen ist:

    Bb530324.grouppolicydeviceinstall22(en-us,MSDN.10).gif

    Abbildung 22. Eine Meldung wird angezeigt, um den Grund anzugeben, warum die Installation fehlgeschlagen ist.

  8. Sie können versuchen, die Einschränkungen zu umgehen, indem Sie den Treiber für das Gerät manuell installieren. Klicken Sie mit der rechten Maustaste auf das Gerät, und klicken Sie dann auf Updatetreibersoftware.

  9. Das Betriebssystem fordert Sie auf, den Gerätetreiber für das Gerät bereitzustellen.

    Bb530324.grouppolicydeviceinstall23(en-us,MSDN.10).gif

    Abbildung 23. Eine Eingabeaufforderung für den Gerätetreiber wird angezeigt.

  10. Um zu simulieren, was ein Benutzer möglicherweise versucht, klicken Sie auf Suche automatisch nach aktualisierter Treibersoftware.

  11. Es wird eine Meldung angezeigt, die besagt, dass Windows gefunden, aber den Treiber nicht installieren konnte. Im letzten Absatz wird erläutert, dass der Installationsversuch fehlgeschlagen ist, da er von der von Ihnen erstellten Richtlinie verboten ist.

    Bb530324.grouppolicydeviceinstall24(en-us,MSDN.10).gif

    Abbildung 24. Im Dialogfeld wird erläutert, warum die Installation fehlgeschlagen ist.

Steuern von Lese- und Schreibberechtigungen für Wechselmedien

In diesem Szenario wird veranschaulicht, wie Sie den Lese- oder Schreibzugriff auf Wechselmedien oder Geräte steuern können, die Wechselmedien verwenden, auf Computern unter Windows Vista und Windows Server 2008. In diesem Szenario legen Sie die Computerrichtlinie so fest, dass Ihr USB-Speicherlaufwerk schreibgeschützt ist. Sie legen außerdem eine Computerrichtlinie fest, um alle CD- oder DVD-Burner an Ihren Computer schreibgeschützt zu machen, und deaktivieren die Brennensfunktion.

Voraussetzungen für die Steuerung von Lese- und Schreibberechtigungen für Wechselmedien

Bevor Sie die Verfahren in diesem Abschnitt ausprobieren können, müssen Sie die Richtlinie deaktivieren, die die Installation von USB-Speicherlaufwerken verhindert.

So deaktivieren Sie die Richtlinie, die die Installation von USB-Speicherlaufwerken

  1. Wenn Ihr Gerät derzeit installiert ist, deinstallieren Sie es, und entfernen Sie es, indem Sie die Schritte im Abschnitt "Deinstallieren Des USB-Speicherlaufwerks" weiter oben in diesem Dokument ausführen.
  2. Klicken Sie im Detailbereich des Gruppenrichtlinienobjekt-Editors mit der rechten Maustaste auf Installation von Geräten verhindern, die diesen Geräte-IDsentsprechen, und klicken Sie dann auf Eigenschaften.
  3. Das Dialogfeld "Richtlinie" wird mit der aktuellen Einstellung angezeigt.
  4. Klicken Sie auf der Registerkarte "Einstellungen" auf " anzeigen", um die Liste der verbotenen Geräte anzuzeigen.
  5. Klicken Sie im Dialogfeld "Inhalt anzeigen" auf das USB-Speicherlaufwerk, klicken Sie auf Entfernen, und klicken Sie dann auf OK.
  6. Klicken Sie auf der Registerkarte "Einstellung" auf Deaktiviert, um diese Richtlinieneinstellung zu deaktivieren.
  7. Klicken Sie auf OK, um Ihre Änderung zu speichern.

Schritte zum Steuern von Lese- und Schreibberechtigungen für Wechselmedien

  1. Festlegen der Computerrichtlinie zum Verweigern des Schreibzugriffs auf bestimmte Wechselgeräteklassen
  2. Testen der Computerrichtlinieneinstellungen

Festlegen der Computerrichtlinie zum Verweigern des Schreibzugriffs auf bestimmte Wechselgeräteklassen

Die in diesem Verfahren festgelegten Richtlinien blockieren den Schreibzugriff auf viele Wechselmedien. Die genaue Computerrichtlinie, die schreibgeschützten Zugriff auf Ihr Gerät blockiert, kann jedoch je nach spezifischem Make- und Modellgerät variieren. Sie können auch die Richtlinie für benutzerdefinierte Klassen verwenden. Sie müssen jedoch die Geräteeinrichtungsklassen-GUID für das jeweilige Gerät identifizieren.

Schreibzugriff auf bestimmte Wechselgeräteklassen

  1. Öffnen Sie im Navigationsbereich des Gruppenrichtlinienobjekt-Editors Computerkonfiguration, öffnen Sie dann Administrative Vorlagen, öffnen Sie System-, und öffnen Sie dann Wechselmedienzugriff.
  2. Klicken Sie mit der rechten Maustaste auf CD und DVD: Schreibzugriffverweigern, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie im Dialogfeld Eigenschaften auf Aktivierte, um die Einschränkung zu aktivieren, und klicken Sie dann auf OK.
  4. Wiederholen Sie die Schritte 2 und 3 für die folgenden Computerrichtlinien:
    • Wechseldatenträger: Schreibzugriff verweigern
    • Diskettenlaufwerke: Schreibzugriff verweigern
    • WPD-Geräte: Schreibzugriff verweigern
  5. Schließen Sie den Gruppenrichtlinienobjekt-Editor.

Testen der Computerrichtlinieneinstellungen

Wenn ein Gerät verwendet wird, kann die Richtlinie zur Schreibzugriffseinschränkung nicht sofort erzwungen werden. Starten Sie den Computer neu, um die Computerrichtlinie anzuwenden.

So testen Sie ihre Computerrichtlinieneinstellungen

  1. Klicken Sie auf die Schaltfläche Start, geben Sie gpupdate /force in das Feld "Suche starten" ein, und drücken Sie dann EINGABETASTE.

  2. Wenn der Gpudate-Befehl abgeschlossen ist, starten Sie den Computer neu.

  3. Melden Sie sich bei Ihrem Computer als DMI-Client1\TestAdminan.

  4. Schließen Sie das USB-Speicherlaufwerk an, und warten Sie dann, bis Windows Sie benachrichtigt, dass es betriebsbereit ist.

  5. Klicken Sie auf Start, klicken Sie auf Computer, und doppelklicken Sie dann auf das USB-Speicherlaufwerk.

  6. Klicken Sie im Windows-Explorer mit der rechten Maustaste auf einen geöffneten Bereich des Detailbereichs, klicken Sie auf Neue, und klicken Sie dann auf Ordner.

  7. Windows zeigt eine Fehlermeldung an, in der erläutert wird, warum der Versuch, einen Ordner zu erstellen, fehlgeschlagen ist.

    Bb530324.grouppolicydeviceinstall25(en-us,MSDN.10).gif

    Abbildung 25. Fehlermeldung erklärt, warum ein Versuch zum Erstellen eines Ordners fehlgeschlagen ist.

  8. Klicken Sie auf Weiter, um zu versuchen, die Einschränkung zu umgehen.

  9. Wenn das Dialogfeld "Benutzerkontensteuerung" angezeigt wird, vergewissern Sie sich, dass die angezeigte Aktion ihren Vorstellungen entspricht, und klicken Sie dann auf Weiter.

  10. Windows zeigt eine zweite Meldung an, die angibt, warum sie nicht in den Ordner schreiben kann.

    Bb530324.grouppolicydeviceinstall26(en-us,MSDN.10).gif

    Abbildung 26. Eine zweite Fehlermeldung gibt an, warum Schreibberechtigungen nicht zulässig sind.

Schlussfolgerung

In diesem Leitfaden haben Sie ein Beispielgerät in einer Laborumgebung verwendet, um zu erfahren, wie Sie steuern können, ob Ihre Benutzer ein Gerät installieren können. Außerdem haben Sie erfahren, wie Sie den Zugriff auf Wechselmedien oder Geräte einschränken, die Wechselmedien verwenden. Die Steuerung der Installations- und Gerätenutzung verbessert Ihre Sicherheit und verbessert die Effektivität Ihres Helpdesks, indem die Geräte eingeschränkt werden, die Benutzer für die Von Ihrer Organisation genehmigten und unterstützten Geräte installieren können. Die Szenarien, die verwendet werden, um diese Konfigurationen zu veranschaulichen:

  • Die Installation aller Geräte verhindern.

    In diesem Szenario haben Sie verhindert, dass Standardbenutzer ein Gerät installieren, administratoren jedoch Geräte installieren oder aktualisieren können.

  • Zulassen, dass Benutzer nur autorisierte Geräte installieren können.

    In diesem Szenario haben Sie Standardbenutzern gestattet, nur die Geräte zu installieren, die in einer Liste autorisierter Geräte enthalten sind.

  • Verhindern der Installation von nur verbotenen Geräten.

    In diesem Szenario haben Sie Standardbenutzern die Installation der meisten Geräte gestattet, sie jedoch daran gehindert, Geräte zu installieren, die in einer Liste der verbotenen Geräte enthalten sind.

  • Steuern der Verwendung von Wechselmedienspeichergeräten.

    In diesem Szenario haben Sie verhindert, dass Standardbenutzer Daten in Wechselmedien oder Geräte mit Wechselmedien schreiben, z. B. ein USB-Speicherlaufwerk oder ein CD- oder DVD-Burner.

Weitere Ressourcen

Weitere Informationen zur Geräteinstallation:

Weitere Informationen zum DevCon-Tool:

Weitere Informationen zur Benutzerkontensteuerung in Windows Vista:

Weitere Informationen zu Gruppenrichtlinien:

Protokollieren von Fehlern und Feedback

Ihr Feedback ist willkommen. Wenn die enthaltenen Szenarien nicht wie beschrieben funktionieren oder die Art und Weise, wie Sie die Technologie verwenden möchten, nicht erfassen, teilen Sie uns mit. Wir verwenden das Feedback, das Sie zur Verbesserung der Qualität dieser Dokumentation bereitstellen. Senden Sie Ihre Kommentare zu dieser Dokumentation an Vista Feedback (vistafb@microsoft.com).

Für Feedback zu Windows Vista verwenden Sie bitte den Link "Kontaktieren Sie uns" unten auf der Windows Vista-Webseite unter https://www.microsoft.com/windowsvista.