Поделиться через

ПошаговоеBy-Step руководство по управлению установкой устройств с помощью групповой политики

  • Статья

 

Дэйв Бишоп

Обновлено июня 2007 г.

сводка: с помощью операционных систем Windows Server 2008 и Windows Vista администраторы могут определить, какие устройства можно установить на компьютерах, которыми они управляют. В руководстве приводится сводка процесса установки устройства и демонстрируется несколько методов управления установкой устройств. (34 печатных страниц.)

Содержание

Знакомство
   Кто должен использовать это руководство?
   Преимущества управления установкой устройств с помощью групповой политики
Обзор сценария
Проверка технологий
   Установка устройств в Windows
   Параметры групповой политики для установки устройства
   Параметры групповой политики для съемного доступа к хранилищу
Требования к выполнению сценариев
   Предварительные процедуры
Запрет установки всех устройств
   Предварительные требования для предотвращения установки всех устройств
   Действия по предотвращению установки всех устройств
Разрешить пользователям устанавливать только авторизованные устройства
   Предварительные требования для предоставления пользователям возможности устанавливать только авторизованные устройства
   Действия, позволяющие пользователям устанавливать только авторизованные устройства
Запрет установки запрещенных устройств
   Предварительные требования для предотвращения установки запрещенных устройств
   Действия по предотвращению установки запрещенных устройств
Управление разрешениями на чтение и запись на съемных носителях
   Предварительные требования для управления разрешениями на чтение и запись на съемных носителях
   Действия по управлению разрешениями на чтение и запись на съемных носителях
Заключение
Дополнительные ресурсы
Ошибки ведения журнала и отзывы

Знакомство

В этом пошаговом руководстве описывается, как управлять установкой устройств на управляемых компьютерах, включая назначение пользователей устройств и возможность установки. В частности, в Windows Server 2008 и Windows Vista можно применить политику компьютеров к:

  • Запретить пользователям устанавливать любое устройство.
  • Разрешить пользователям устанавливать только устройства, которые находятся в списке "утвержденных". Если устройство не находится в списке, пользователь не может установить его.
  • Запретить пользователям устанавливать устройства, которые находятся в списке "запрещенных". Если устройство не находится в списке, пользователь может установить его.
  • Запретить доступ на чтение или запись пользователям для устройств, которые сами являются съемными или используют съемные носители, такие как cd и DVD-накопители, жесткие диски, внешние жесткие диски и переносные устройства, такие как проигрыватели мультимедиа, смарт-телефоны или устройства с карманным компьютером.

В этом руководстве описывается процесс установки устройства и представлены строки идентификации, которые Windows использует для сопоставления устройства с пакетами драйверов устройств, доступными на компьютере. В руководстве также показаны три метода управления установкой устройств. Каждый сценарий показывает пошаговые инструкции по одному методу, который можно использовать для разрешения или предотвращения установки определенного устройства или класса устройств. Четвертый сценарий показывает, как запретить доступ на чтение или запись пользователям для устройств, которые являются съемными или используют съемные носители.

Пример устройства, используемого в сценариях, — это USB-устройство хранилища. Действия, описанные в этом руководстве, можно выполнить с помощью другого устройства. Однако если вы используете другое устройство, инструкции в руководстве не будут точно соответствовать пользовательскому интерфейсу, который отображается на компьютере.

Важные Действия, описанные в этом руководстве, предназначены для использования в лабораторной среде тестирования. Это пошаговое руководство не предназначено для развертывания функций Windows Server без сопровождающей документации и должно использоваться для использования в качестве автономного документа.

Кто должен использовать это руководство?

Это руководство предназначено для следующих аудиторий:

  • Планировщики и аналитики информационных технологий, которые оценивают Windows Vista и Windows Server 2008
  • Планировщики и конструкторы корпоративных информационных технологий
  • Архитекторы безопасности, ответственные за реализацию надежных вычислений в своей организации
  • Администраторы, которые хотят ознакомиться с технологией

Преимущества управления установкой устройств с помощью групповой политики

Ограничение установленных пользователями устройств обеспечивает следующие преимущества:

Снизить риск кражи данных

  • Пользователям сложнее создавать несанкционированные копии корпоративных данных, если компьютеры пользователей не могут устанавливать неоцененные устройства, поддерживающие съемный носитель. Например, если пользователи не могут установить устройство CD-R, они не могут записывать копии корпоративных данных на записываемый компакт-диск. Это преимущество не может устранить кражу данных, но она создает еще один барьер для несанкционированного удаления данных. Вы также можете снизить риск кражи данных с помощью групповой политики, чтобы запретить доступ на запись пользователям для устройств, которые являются съемными или используют съемный носитель. При использовании групповой политики можно предоставить доступ на основе каждой группы.

сократить затраты на поддержку

  • Вы можете убедиться, что пользователи устанавливают только те устройства, которые служба технической поддержки обучена и оснащена для поддержки. Это преимущество снижает затраты на поддержку и путаницу пользователей.

Обзор сценария

В сценариях, представленных в этом руководстве, показано, как управлять установкой и использованием устройств на компьютерах, которыми вы управляете. Сценарии используют групповую политику на локальном компьютере, чтобы упростить использование процедур в лабораторной среде. В среде, в которой вы управляете несколькими клиентскими компьютерами, следует применить эти параметры с помощью групповой политики, развернутой Active Directory. С помощью групповой политики, развернутой Active Directory, можно применять параметры ко всем компьютерам, которые являются членами домена или подразделения в домене. Дополнительные сведения об использовании групповой политики для управления клиентскими компьютерами см. в групповой политики на веб-сайте Майкрософт.

Ниже приведены описания сценариев, представленных в этом руководстве:

  • запретить установку всех устройств

    В этом сценарии администратор хочет запретить стандартным пользователям устанавливать любое устройство, но разрешать администраторам устанавливать или обновлять устройства. Чтобы завершить этот сценарий, настройте две политики компьютеров. Первая политика компьютеров запрещает всем пользователям устанавливать устройства, а вторая политика исключает администраторов из ограничений.

  • Разрешить пользователям устанавливать только авторизованные устройства

    В этом сценарии администратор хочет разрешить пользователям устанавливать только устройства, включенные в список авторизованных устройств. Этот сценарий основан на первом сценарии, поэтому перед попыткой этого сценария необходимо выполнить первый сценарий. Чтобы завершить этот сценарий, создайте список авторизованных устройств, чтобы пользователи могли устанавливать только указанные вами устройства.

  • Запретить установку только запрещенных устройств

    В этом сценарии администратор хочет разрешить стандартным пользователям устанавливать большинство устройств, но запретить им устанавливать устройства, включенные в список запрещенных устройств. Чтобы завершить этот сценарий, необходимо удалить политики, созданные в первых двух сценариях. После удаления этих политик создайте список запрещенных устройств, чтобы пользователи могли устанавливать любое устройство, кроме указанных вами.

  • Управление использованием съемных носителей

    В этом сценарии администратор хочет запретить стандартным пользователям записывать данные на съемные запоминающие устройства или устройства с съемным носителем, например USB-накопителем или dvd-накопителем. Чтобы завершить этот сценарий, вы настроите политику компьютера, чтобы разрешить доступ на чтение, но запретить доступ на запись к образцу устройства и любому устройству с ожогом CD или DVD-диска на компьютере.

Проверка технологий

В следующих разделах представлен краткий обзор основных технологий, описанных в этом руководстве.

Установка устройств в Windows

Устройство — это часть оборудования, с помощью которого Windows взаимодействует с какой-то функцией. Windows может взаимодействовать с устройством только с помощью программного обеспечения, называемого драйвером устройства. Чтобы установить драйвер устройства, Windows обнаруживает устройство, распознает его тип, а затем находит драйвер устройства, соответствующий указанному типу.

Windows использует два типа идентификаторов для управления установкой и настройкой устройства. Параметры групповой политики можно использовать в Windows Vista и Windows Server 2008, чтобы указать, какие из этих идентификаторов следует разрешать или блокировать.

Два типа идентификаторов:

  • Строки идентификации устройства
  • Классы установки устройства

Строки идентификации устройства

Когда Windows обнаруживает устройство, которое никогда не было установлено на компьютере, операционная система запрашивает устройство для получения списка строк идентификации устройства. Обычно устройство имеет несколько строк идентификации устройства, которые назначает производитель устройства. Те же строки идентификации устройства включаются в INF-файл, который входит в пакет драйвера устройства. Windows выбирает пакет драйвера устройства для установки, сопоставляя строки идентификации устройства, полученные с устройства, с теми, которые включены в пакеты драйверов.

Windows может использовать каждую строку для сопоставления устройства с пакетом драйвера. Строки варьируются от очень конкретных, совпадающих с одним составом и моделью устройства, с очень общим, возможно, применением ко всему классу устройств. Существует два типа строк идентификации устройства: идентификаторы оборудования и совместимые идентификаторы.

идентификатор ы оборудования

Идентификаторы оборудования — это идентификаторы, которые обеспечивают наиболее точное соответствие между устройством и пакетом драйверов. Первая строка в списке аппаратных идентификаторов называется идентификатором устройства, так как она соответствует точной версии, модели и редакции устройства. Другие идентификаторы оборудования в списке соответствуют сведениям об устройстве менее точно. Например, идентификатор оборудования может определить и модель устройства, но не конкретную редакцию. Эта схема позволяет Windows использовать драйвер для другой редакции устройства, если драйвер для правильной редакции недоступен.

совместимые идентификаторы

Windows использует эти идентификаторы для выбора драйвера устройства, если операционная система не может найти совпадение с идентификатором устройства или другими идентификаторами оборудования. Совместимые идентификаторы перечислены в порядке уменьшения пригодности. Эти строки являются необязательными, и при условии они являются очень универсальными, например диска. Если совпадение выполняется с помощью совместимого идентификатора, обычно можно использовать только самые основные функции устройства.

При установке устройства, например принтера, USB-устройства или клавиатуры, Windows выполняет поиск пакетов драйверов, соответствующих устройству, который пытается установить. В ходе этого поиска Windows назначает каждому пакету драйвера "ранг" по крайней мере один совпадение с аппаратным или совместимым идентификатором. Ранг указывает, насколько хорошо драйвер соответствует устройству. Более низкие номера ранга указывают на лучшие совпадения между драйвером и устройством. Ранг нуля представляет наилучшее возможное совпадение. Совпадение с идентификатором устройства с одним в пакете драйвера приводит к более низкому (лучшему) рангу, чем совпадение с одним из других аппаратных идентификаторов. Аналогичным образом совпадение с идентификатором оборудования приводит к лучшему рангу, чем совпадение с любым совместимым идентификатором. После того как Windows ранжирует все пакеты драйверов, он устанавливает один с наименьшим общим рангом. Дополнительные сведения о процессе ранжирования и выбора пакетов драйверов см. в разделе Как программа установки выбирает драйверы в библиотеке MSDN.

Примечание Дополнительные сведения о процессе установки драйвера устройства см. в разделе "Проверка технологий" пошагового руководства по подписи драйверов устройств и промежуточной.

Некоторые физические устройства создают одно или несколько логических устройств при их установке. Каждое логическое устройство может обрабатывать часть функциональных возможностей физического устройства. Например, устройство с несколькими функциями, например сканер с несколькими функциями, факс или принтер, может иметь другую строку идентификации устройства для каждой функции.

При использовании DMI для разрешения или предотвращения установки устройства, использующего логические устройства, необходимо разрешить или запретить все строки идентификации устройства для этого устройства. Например, если пользователь пытается установить мультифункционное устройство и не разрешает или запрещает все строки идентификации для физических и логических устройств, вы можете получить непредвиденные результаты из попытки установки. Дополнительные сведения об идентификаторах оборудования см. в строках идентификации устройств в библиотеке MSDN.

Классы установки устройства

Классы установки устройства — это другой тип строки идентификации. Производитель назначает класс настройки устройства устройств устройству в пакете драйвера устройства. Класс установки устройства группируют устройства, установленные и настроенные таким же образом. Например, все диски CD принадлежат классу установки устройства CDROM, и они используют один и тот же совместно используемый установщик при установке. Длинное число, называемое глобально уникальным идентификатором (GUID), представляет каждый класс установки устройства. При запуске Windows создается структура дерева в памяти с идентификаторами GUID для всех обнаруженных устройств. Наряду с GUID для класса установки устройства самого устройства Windows может потребоваться вставить в дерево GUID для класса установки устройства шины, к которой подключено устройство.

Если вы используете классы установки устройств для разрешения или предотвращения установки драйверов устройств, необходимо указать идентификаторы GUID для всех классов установки устройства или не достичь нужных результатов. Установка может завершиться ошибкой (если вы хотите, чтобы она была успешной) или может завершиться успешно (если вы хотите, чтобы она завершилась ошибкой).

Например, устройство с несколькими функциями, например все в одном сканере или факсе/принтере, имеет GUID для универсального многофакторного устройства, GUID для функции принтера, GUID для функции сканера и т. д. Идентификаторы GUI для отдельных функций — это дочерние узлы под идентификатором GUID устройства с несколькими функциями. Чтобы установить дочерний узел, Windows также должна иметь возможность установить родительский узел. Необходимо разрешить установку класса установки устройства родительского GUID для устройства с несколькими функциями в дополнение к любым дочерним графическим идентификаторам для функций принтера и сканера.

Дополнительные сведения см. в разделе Классы установки устройств в библиотеке MSDN.

В этом руководстве не показаны сценарии, использующие классы установки устройств. Однако основные принципы, продемонстрированные с помощью строк идентификации устройств в этом руководстве, также применяются к классам установки устройства. После обнаружения класса установки устройства для определенного устройства его можно использовать в политике, чтобы разрешить или запретить установку драйверов устройств для этого класса устройств.

Параметры групповой политики для установки устройства

Чтобы включить контроль над установкой устройств, Windows Vista и Windows Server 2008 вводятся несколько параметров политики. Эти параметры политики можно настроить отдельно на одном компьютере или применить их к большому количеству компьютеров с помощью групповой политики в домене Active Directory. Дополнительные сведения об использовании групповой политики для управления клиентскими компьютерами см. в разделе групповой политики.

Следует ли применять параметры к автономному компьютеру или ко многим компьютерам в домене Active Directory, используйте редактор объектов групповой политики для настройки и применения параметров политики. Дополнительные сведения см. в техническом справочнике по редактору объектов групповой политики .

Ниже приведено краткое описание параметров политики DMI, используемых в этом руководстве.

примечание Эти параметры политики влияют на всех пользователей, которые войдите на компьютер, где применяются параметры политики. Эти политики нельзя применять к определенным пользователям или группам, кроме политики Разрешить администраторам переопределить политику установки устройства. Эта политика исключает членов локальной группы администраторов из каких-либо ограничений установки устройства, применяемых к компьютеру, путем настройки других параметров политики, как описано в этом разделе.

  • запретить установку устройств, не описанных другими параметрами политики.

    Этот параметр политики управляет установкой устройств, которые не описываются другими параметрами политики. Если этот параметр политики включен, пользователи не могут установить или обновить драйвер для устройств, если они не описаны Разрешить установку устройств, соответствующих этим идентификаторам устройств, параметру политики или Разрешить установку устройств для этих классов устройств параметр политики. Если этот параметр политики отключен или не настроен, пользователи могут установить и обновить драйвер для любого устройства, которое не описано Запретить установку устройств, соответствующих этим идентификаторам устройств параметр политики, Запретить установку устройств для этих классов устройств параметр политики или запретить установку съемных устройств параметр политики.

  • Разрешить администраторам переопределить политику установки устройства.

    Этот параметр политики позволяет членам локальной группы администраторов устанавливать и обновлять драйверы для любого устройства независимо от других параметров политики. Если этот параметр политики включен, администраторы могут использовать мастер добавления оборудования или мастер обновления драйверов для установки и обновления драйверов для любого устройства. Если этот параметр политики отключен или не настроен, администраторы подвергаются всем параметрам политики, ограничивающим установку устройства.

  • Запретить установку устройств, соответствующих этим идентификаторам устройств.

    Этот параметр политики задает список идентификаторов оборудования Plug and Play и совместимых идентификаторов для устройств, которые пользователи не могут установить. Если этот параметр политики включен, пользователи не могут установить или обновить драйвер для устройства, если его идентификатор оборудования или совместимый идентификатор совпадает с одним из них в этом списке. Если этот параметр политики отключен или не настроен, пользователи могут устанавливать устройства и обновлять драйверы, как разрешено другими параметрами политики для установки устройства.

    Примечание. Этот параметр политики имеет приоритет над любыми другими параметрами политики, которые позволяют пользователям устанавливать устройство. Этот параметр политики запрещает пользователям устанавливать устройство, даже если оно соответствует другому параметру политики, разрешающим установку этого устройства.

  • Запретить установку драйверов, соответствующих этим классам установки устройства.

    Этот параметр политики задает список идентификаторов GUID класса установки устройств Plug and Play для устройств, которые пользователи не могут установить. Если этот параметр политики включен, пользователи не могут устанавливать или обновлять устройства, принадлежащие любому из перечисленных классов установки устройств. Если этот параметр политики отключен или не настроен, пользователи могут устанавливать и обновлять устройства, как разрешено другими параметрами политики для установки устройства.

    Примечание. Этот параметр политики имеет приоритет над любыми другими параметрами политики, которые позволяют пользователям устанавливать устройство. Этот параметр политики запрещает пользователям устанавливать устройство, даже если он соответствует другому параметру политики, который позволит установить это устройство.

  • Разрешить установку устройств, соответствующих любому из этих идентификаторов устройств.

    Этот параметр политики задает список идентификаторов оборудования Plug and Play и совместимых идентификаторов, описывающих устройства, которые могут устанавливать пользователи. Этот параметр предназначен для использования только в том случае, если параметр Запретить установку устройств, не описанных другими параметрами политики, параметр политики включен и не имеет приоритета над любым параметром политики, который не позволит пользователям устанавливать устройство. Если этот параметр политики включен, пользователи могут установить и обновить любое устройство с идентификатором оборудования или совместимым идентификатором, соответствующим идентификатору в этом списке, если эта установка не была специально запрещена Запретить установку устройств, соответствующих этим идентификаторам устройств параметр политики, Запретить установку устройств для этих классов устройств параметр политики, или запретить установку съемных устройств параметр политики. Если другой параметр политики запрещает пользователям устанавливать устройство, пользователи не могут установить его, даже если устройство также описано значением в этом параметре политики. Если этот параметр политики отключен или не настроен, а другая политика не описывает устройство, запретить установку устройств, не описанных другими параметрами политики, параметр политики определяет, могут ли пользователи установить устройство.

  • Разрешить установку устройств с помощью драйверов для этих классов устройств.

    Этот параметр политики задает список идентификаторов GUID класса установки устройств, описывающих устройства, которые могут устанавливать пользователи. Этот параметр предназначен для использования только в том случае, если параметр Запретить установку устройств, не описанных другими параметрами политики, параметр политики включен и не имеет приоритета над любым параметром политики, который не позволит пользователям устанавливать устройство. Если этот параметр включен, пользователи могут установить и обновить любое устройство с идентификатором оборудования или совместимым идентификатором, соответствующим одному из идентификаторов в этом списке, если эта установка не была специально запрещена Запретить установку устройств, соответствующих этим идентификаторам устройств параметр политики, запретить установку устройств для этих классов устройств параметр политики, или запретить установку съемных устройств параметр политики. Если другой параметр политики запрещает пользователям устанавливать устройство, пользователи не могут установить его, даже если устройство также описано значением в этом параметре политики. Если этот параметр политики отключен или не настроен, а другой параметр политики не описывает устройство, Запретить установку устройств, не описанных другими параметрами политики, параметр политики определяет, могут ли пользователи установить устройство.

Некоторые из этих политик имеют приоритет над другими политиками. Блок-схема, показанная ниже, показывает, как Windows обрабатывает их, чтобы определить, может ли пользователь установить устройство или нет, как показано на рисунке 1 (ниже).

Bb530324.grouppolicydeviceinstall01(en-us,MSDN.10).gif

Рис. 1. Как Windows обрабатывает политики при определении возможности установки устройства пользователем

Параметры групповой политики для съемного доступа к хранилищу

В Windows Vista и Windows Server 2008 администратор может применить политику компьютера, чтобы контролировать возможность чтения или записи пользователей на любое устройство с съемным носителем. Эти политики можно использовать для предотвращения записи конфиденциальных или конфиденциальных материалов на съемный носитель или на съемные устройства, содержащие хранилище, а затем отвезти из локальной среды.

Эти параметры политики можно применить на уровне компьютера, чтобы они влияли на каждого пользователя, который входит на компьютер. Вы также можете применить их на уровне пользователя и ограничить принудительное применение определенной учетной записи пользователя. Если вы используете групповую политику в среде Active Directory, вы можете применить параметры политики к группам пользователей в дополнение к отдельным учетным записям пользователей. Групповая политика также позволяет эффективно применять эти политики к большому количеству компьютеров. Дополнительные сведения об использовании групповой политики для управления клиентскими компьютерами см. в разделе групповой политики.

Параметры политики доступа к съемным хранилищам также включают параметр, позволяющий администратору принудительно перезагружаться. Если устройство используется при применении политики ограничения, политика может не применяться до перезапуска компьютера.

Параметры политики можно найти в двух расположениях. Параметры политики, найденные в конфигурация компьютера\Административные шаблоны\System\Съемный доступ к хранилищу, влияют на компьютер и каждого пользователя, который входит в него. Параметры политики, найденные в конфигурация пользователя\Административные шаблоны\System\Съемный доступ к хранилищу, влияют только на пользователей, к которым применяется параметр политики, включая группы, если групповая политика применяется с помощью Active Directory.

Ниже приведено краткое описание политик, позволяющих управлять доступом на чтение или запись к съемным дискам хранения. Каждая категория устройства поддерживает две политики: один для запрета доступа на чтение, а один — для запрета доступа на запись:

  • время (в секундах) для принудительной перезагрузки

    Задайте время (в секундах), которое система будет ждать перезапуска, чтобы применить изменение прав доступа к съемным устройствам хранения.

    Примечание Если перезагрузка не была принудительной, изменение не вступит в силу, пока система не будет перезапущена.

  • cd и DVD-

    Эти параметры политики позволяют запретить доступ на чтение или запись к устройствам в классе съемных носителей CD и DVD, включая usb-подключенные устройства.

  • пользовательских классов

    Эти параметры политики позволяют запретить доступ на чтение или запись на любое устройство, GUID класса установки устройства которого находится в указанных списках.

  • дисков Floppy

    Эти параметры политики позволяют запретить доступ на чтение или запись к устройствам класса Floppy Drive, включая usb-подключенные устройства.

  • съемные диски

    Эти параметры политики позволяют запретить доступ на чтение или запись к съемным устройствам, которые являются или эмулируют жесткие диски, такие как USB-накопители или внешние жесткие диски USB.

  • ленточные диски

    Эти параметры политики позволяют запретить доступ на чтение или запись на ленточные накопители, включая USB-устройства.

  • устройства WPD

    Эти параметры политики позволяют запретить доступ на чтение или запись к устройствам в классе переносимых устройств Windows. К этим устройствам относятся "умные" устройства, такие как проигрыватели мультимедиа, мобильные телефоны, устройства Windows CE и т. д.

  • Все классы съемных хранилищ: запретить доступ всем

    Этот параметр политики имеет приоритет над любым из параметров политики в этом списке и, если он включен, запрещает доступ на чтение и запись к любому устройству, которое определяется как использование съемных носителей. Если этот параметр политики отключен или не настроен, доступ на чтение и запись к съемным классам хранилища разрешен, при условии каких-либо ограничений, введенных другими параметрами политики в этом списке.

Требования к выполнению сценариев

Для выполнения каждого из сценариев необходимо:

  • Клиентский компьютер под управлением Windows Vista. Это руководство относится к этому компьютеру как DMI-Client1.

  • USB-накопитель памяти. В сценариях, описанных в этом руководстве, в качестве примера устройства используется USB-накопитель памяти. Это устройство действует как съемный диск и также называется "большим диском", "флэш-диск" или "диском с ключом". Большинство USB-накопителей не требуют драйверов, предоставляемых производителем, и эти устройства работают с драйверами, предоставляемыми с Windows Vista и Windows Server 2008.

    Примечание Инструкции предполагают, что для устройства не требуются драйверы, отличные от драйверов, включенных в Windows Vista и Windows Server 2008. Если для устройства требуется драйвер от производителя, необходимо указать файл драйвера, когда Windows предложит сделать это. Этот шаг не включен в сценарии.

  • (Необязательно) Cd или DVD-горетель. Последний сценарий демонстрирует, как сделать устройства с съемным носителем только для чтения. Политику компьютеров можно задать без установки устройства cd или DVD-диска. Тем не менее, если вы хотите убедиться, что политика компьютера действительна, необходимо использовать устройство для записи cd или DVD-диска.

  • Доступ к защищенной учетной записи администратора в DMI-Client1. В этом руководстве вызывается эта учетная запись TestAdmin. Процедуры, описанные в этом руководстве, требуют привилегий администратора для большинства шагов. Необходимо войти в DMI-Client1 с помощью этой учетной записи администратора в начале каждой процедуры, если вы не будете перенаправлены в противном случае.

    Примечание Windows Vista и Windows Server 2008 вводятся в понятие защищенной учетной записи администратора. Эта учетная запись является членом группы "Администраторы", но по умолчанию эта привилегия безопасности не используется напрямую. Любая попытка выполнить задачу, требующая повышенных прав администратора, создает диалоговое окно с запросом разрешения на выполнение этой задачи. Это диалоговое окно рассматривается в разделе "Ответ на страницу управления учетными записями пользователей". Корпорация Майкрософт рекомендует использовать защищенную учетную запись администратора, а не встроенную учетную запись администратора по возможности.

  • Доступ к стандартной учетной записи пользователя DMI-Client1. Эта учетная запись пользователя не имеет специальных членства, которые предоставляют какие-либо повышенные разрешения. В этом руководстве вызывается эта учетная запись TestUser. Только войдите на компьютер с помощью этой учетной записи при указании этого. При использовании стандартной учетной записи пользователя любая попытка выполнить задачу, требующую повышенных прав администратора, может вызвать диалоговое окно с запросом учетных данных учетной записи с правами администратора. Это диалоговое окно рассматривается в разделе "Ответ на страницу управления учетными записями пользователей".

Предварительные процедуры

Прежде чем реализовать любую политику для разрешения или предотвращения установки устройства пользователями, необходимо знать строки идентификации устройства для устройства. Кроме того, необходимо знать, как полностью удалить USB-накопитель и связанный с ним драйвер. Следующие процедуры настраивают компьютер для успешного выполнения сценариев в этом руководстве:

  1. Ответ на страницу управления учетными записями пользователей
  2. Определение строк идентификации устройства для USB-накопителя памяти
  3. Удаление USB-накопителя памяти

Ответ на страницу управления учетными записями пользователей

На протяжении всего этого руководства вам предлагается выполнить задачи, которые могут выполняться только членом группы администраторов. В Windows Vista и Windows Server 2008 при попытке выполнить задачу, требующую прав администратора, происходит следующее:

  • Если вы вошли в систему как встроенная учетная запись администратора (не рекомендуется), операция просто продолжается. Встроенная учетная запись администратора отключена по умолчанию.
  • Если вы являетесь членом группы "Администраторы", которая не является встроенной учетной записью администратора, появится диалоговое окноуправления пользователей. Если щелкнуть Продолжить, задача продолжается.
  • Если вы вошли в систему как стандартный пользователь, можно запретить выполнение задачи. В зависимости от задачи можно предоставить страницу управления пользователя учетной записи, чтобы указать имя пользователя и пароль для учетной записи администратора. Если вы предоставляете допустимые учетные данные, задача выполняется в контексте безопасности предоставленной учетной записи администратора. Если вы не можете предоставить эти учетные данные, то вы не сможете выполнить задачу.

Важно: Перед предоставлением учетных данных или разрешений для выполнения любой административной задачи убедитесь, что страница управления учетными записями отображается в ответ на задачу, инициированную вами. Если страница отображается неожиданно, нажмите кнопку сведения и убедитесь, что задача является той, которую вы хотите разрешить.

В этом руководстве не описано каждое вхождение диалогового окна управления учетными записями , которое вы увидите при выполнении этих процедур. Если для выполнения определенных задач от имени администратора требуются специальные шаги, эти действия описаны в руководстве.

Определение строк идентификации устройства для USB-накопителя памяти

Выполнив следующие действия, вы можете определить строки идентификации устройства для устройства. Если идентификаторы оборудования и совместимые идентификаторы для устройства не соответствуют идентификаторам, указанным в этом руководстве, используйте идентификаторы, соответствующие устройству.

Примечание В следующих сценариях необходимо установить и удалить USB-диск памяти. В инструкциях предполагается, что на устройстве не требуются драйверы, отличные от драйверов, включенных в Windows Vista и Windows Server 2008. Если для устройства требуется драйвер от производителя, необходимо указать файл драйвера, когда Windows предложит сделать это. Этот шаг не включен в сценарии.

Идентификаторы оборудования и совместимые идентификаторы для устройства можно определить двумя способами. Вы можете использовать диспетчер устройств, графический инструмент, включенный в операционную систему или DevCon, средство командной строки, доступное для скачивания в составе пакета средств разработки драйверов (DDK). Используйте следующую процедуру для просмотра строк идентификации устройства для USB-накопителя.

Важные Эти процедуры относятся к USB-накопителю памяти. При использовании другого типа устройства необходимо соответствующим образом настроить шаги. Существенное различие будет в расположении устройства в иерархии диспетчера устройств. Вместо того чтобы находиться в узле дисков, необходимо найти устройство в соответствующем узле.

Поиск строк идентификации устройства с помощью диспетчера устройств

  1. Войдите на компьютер как DMI-Client1\TestAdmin.

  2. Подключите USB-накопитель и разрешите установку.

  3. Чтобы открыть диспетчер устройств, нажмите кнопку "Пуск ", введите mmc devmgmt.msc в поле Запустить поиск, а затем нажмите клавишу ВВОД ВВОД.

  4. Если появится диалоговое окно контроля учетных записей, убедитесь, что отображается действие, которое вы хотите, и нажмите кнопку Продолжить.

    Диспетчер устройств запускается и отображает дерево, представляющее все устройства, обнаруженные на компьютере. В верхней части дерева находится узел с именем компьютера рядом с ним. Нижние узлы представляют различные категории оборудования, в которые группируются устройства компьютеров.

  5. Дважды щелкните дисков, чтобы открыть список.

    Bb530324.grouppolicydeviceinstall02(en-us,MSDN.10).gif

    Рис. 2. Откройте USB-диск, дважды щелкнув

  6. Щелкните правой кнопкой мыши запись для USB-накопителя памяти и выберите пункт Свойства. Откроется диалоговое окно свойств устройства .

    Bb530324.grouppolicydeviceinstall03(en-us,MSDN.10).gif

    Рис. 3. Откроется диалоговое окно "Свойства устройства" для USB-диска

  7. Перейдите на вкладку сведений.

  8. В списке свойств щелкните идентификаторы оборудования.

  9. В разделе значениезапишите отображаемые строки.

    Bb530324.grouppolicydeviceinstall04(en-us,MSDN.10).gif

    Рис. 4. Помните строки, отображаемые в разделе "Значение" в диалоговом окне "Свойства" для USB-диска

    Примечание. Можно скопировать строки в буфер обмена, выделите текст и нажав клавиши CTRL-C. Так как многие идентификаторы оборудования имеют несколько символов подчеркивания, полезно скопировать их в текстовый файл, из которого можно вставить, когда необходимо указать идентификатор. Этот подход значительно снижает вероятность ошибки при добавлении определенного идентификатора в список утвержденных или запрещенных устройств.

  10. В списке свойств щелкните совместимые идентификаторы.

  11. В разделе значениезапишите отображаемые строки.

    Bb530324.grouppolicydeviceinstall05(en-us,MSDN.10).gif

    Рис. 5. Помните строки, отображаемые в разделе "Значение" в диалоговом окне "Свойства" для USB-диска

Примечание Вы также можете определить строки идентификации устройства с помощью служебной программы командной строки DevCon. Вы можете скачать DevCon на сайте справки и поддержки Майкрософт. Дополнительные сведения см. в статье служебная программа командной строки DevCon является альтернативойдиспетчера устройств.

DevCon

DevCon HwIDs

Удаление USB-накопителя памяти

В обычном повседневном использовании USB-накопителя можно просто извлечь диск из USB-порта. Однако для этого руководства необходимо также удалить драйвер устройства, чтобы убедиться, что каждый сценарий запущен с компьютером в подходящем состоянии. Если вы не сможете удалить и удалить устройство при перенаправлении, политики, проверенные в приведенных ниже сценариях, не будут иметь никакого эффекта, и вы не увидите ожидаемые результаты. Используйте эти же действия в этом руководстве, когда вы направляетесь на удаление и удаление устройства.

Важные физически не отключайте устройство от USB-порта, пока не дойдете до последнего шага.

Удаление USB-накопителя памяти

  1. Войдите на компьютер DMI-Client1\TestAdmin.

  2. Чтобы открыть диспетчер устройств, нажмите кнопку "Пуск", введите mmc devmgmt.msc в поле "Пуск поиска", а затем нажмите клавишу ВВОД .

  3. Если появится диалоговое окно "Контроль учетных записей пользователей", убедитесь, что отображаемое действие является нужным, а затем нажмите кнопку "Продолжить".

  4. Щелкните правой кнопкой мыши запись для USB-накопителя памяти, а затем щелкните Удалить.

    Bb530324.grouppolicydeviceinstall06(en-us,MSDN.10).gif

    Рис. 6. Щелкните правой кнопкой мыши, чтобы удалить USB-накопитель памяти

  5. В диалоговом окне Подтверждение удаления устройства нажмите кнопку ОК, чтобы разрешить процесс удаления.

  6. После завершения процесса удаления Windows удаляет запись устройства из дерева диспетчера устройств.

  7. Отключите USB-диск памяти из USB-порта.

Запрет установки всех устройств

В этом сценарии описаны типичные шаги, необходимые для реализации самой строгой конфигурации, при которой все установки устройств запрещены и существующие устройства не могут быть обновлены с помощью новых драйверов устройств. Пользователи не смогут установить устройство и использовать его без вмешательства администратора. Администраторы по-прежнему могут устанавливать или обновлять любое устройство по мере необходимости.

Предварительные требования для предотвращения установки всех устройств

Чтобы выполнить процедуры в этом сценарии, необходимо удалить USB-диск памяти, как описано в разделе "Удаление USB-накопителя памяти" ранее в этом документе.

Действия по предотвращению установки всех устройств

  1. Настройка политики для предотвращения установки любого устройства
  2. Настройка политики для разрешения администраторам переопределения ограничений на установку устройства
  3. Тестирование последствий параметров ограничений в качестве пользователя

Настройка политики для предотвращения установки любого устройства

Настройка политики, которая предотвращает установку или обновление любого устройства

  1. Войдите на компьютер как DMI-Client1\TestAdmin.

  2. Чтобы открыть редактор объектов групповой политики, нажмите кнопку "Пуск ", введите mmc gpedit.msc в поле "Пуск поиска", а затем нажмите клавишу ВВОД .

  3. Если появится диалоговое окно "Контроль учетных записей пользователей", убедитесь, что отображаемое действие является нужным, а затем нажмите кнопку "Продолжить".

  4. В области навигации редактора объектов групповой политики дважды щелкните конфигурации компьютера, чтобы открыть его. Затем откройтеадминистративные шаблоны , откройтесистемы , откройте установку устройств, а затем откройтеограничений установки устройств.

    Bb530324.grouppolicydeviceinstall07(en-us,MSDN.10).gif

    Рис. 7. Область навигации редактора объектов групповой политики

  5. В области сведений щелкните правой кнопкой мыши Запретить установку устройств, не описанных другими параметрами политики, и щелкните Свойства.

  6. Откроется диалоговое окно политики с текущими параметрами.

  7. На вкладке "Настройка" щелкните включено, чтобы включить политику.

  8. Нажмите кнопку ОК, чтобы сохранить параметры и вернуться в редактор объектов групповой политики.

Настройка политики для разрешения администраторам переопределения ограничений на установку устройства

Следующая политика позволяет администраторам переопределять ограничения, введенные другими параметрами политики установки устройства, включая только что включенную политику.

Чтобы настроить политику, чтобы администраторы могли переопределить ограничения установки устройства

  1. В области сведений щелкните правой кнопкой мыши Разрешить администраторам переопределить политику установки устройства, а затем щелкните Свойства.

  2. Откроется диалоговое окно политики с текущими параметрами.

  3. На вкладке "Настройка" щелкните включено, чтобы включить параметр политики.

  4. Нажмите кнопку ОК, чтобы сохранить параметры и вернуться в редактор объектов групповой политики.

  5. Обе политики теперь отображают состояние как включено.

    Bb530324.grouppolicydeviceinstall08s(en-us,MSDN.10).gif

    Рис. 8. Обе политики будут отображать состояние как включено

Тестирование последствий параметров ограничений в качестве пользователя

С включенными политиками вы можете применить их к компьютеру и попытаться установить устройство, чтобы увидеть ограничения.

Проверка влияния параметров ограничений в качестве пользователя

  1. Если устройство установлено, удалите и удалите его, выполнив действия, описанные в разделе "Удаление USB-диска памяти" ранее в этом документе.

  2. Нажмите кнопку "Пуск", введите gpupdate /force в поле "Пуск поиска", а затем нажмите клавишу ВВОД ВВОД.

  3. После завершения команды GPUdate выйдите из компьютера, а затем войдите в систему как DMI-Client1\TestUser.

  4. Чтобы открыть диспетчер устройств, нажмите кнопку "Пуск", введите mmc devmgmt.msc в поле "Пуск поиска", а затем нажмите клавишу ВВОД .

  5. Появится следующее сообщение, указывающее, что у вас нет разрешений на внесение изменений в диспетчер устройств.

    Bb530324.grouppolicydeviceinstall09(en-us,MSDN.10).gif

    Рис. 9. Появится сообщение, указывающее, что у вас нет разрешений

  6. Нажмите кнопку ОК, чтобы подтвердить сообщение. (Диспетчер устройств запустится, и вы можете просматривать устройства на компьютере.)

  7. Подключите USB-накопитель памяти.

  8. Пока установка не завершится успешно, устройство появится в диспетчере устройств в других устройствах узле.

    Bb530324.grouppolicydeviceinstall10(en-us,MSDN.10).gif

    Рис. 10. Устройство появится в разделе "Другие устройства" до завершения установки

  9. Так как вы вошли в систему как стандартный пользователь без прав администратора, а установка устройства теперь ограничена, появится следующее диалоговое окно:

    Bb530324.grouppolicydeviceinstall11(en-us,MSDN.10).gif

    Рис. 11. Диалоговое окно, которое отображается при входе в систему в качестве стандартного пользователя без прав администратора

  10. Чтобы имитировать типичный ответ пользователя, щелкните Найдите и установите программное обеспечение драйвера (рекомендуется).

  11. Откроется диалоговое окно управления учетными записями с запросом имени пользователя и пароля для учетной записи с правами администратора.

  12. Так как у пользователя нет учетных данных администратора, щелкните Отмена, чтобы отменить попытку по мере выполнения пользователем.

  13. Установка драйвера устройства завершается сбоем, и устройство остается под Другие устройства узле и не работают.

    Bb530324.grouppolicydeviceinstall12(en-us,MSDN.10).gif

    Рис. 12. Сбой установки устройства, и устройство не работает

Разрешить пользователям устанавливать только авторизованные устройства

Этот сценарий основан на первом сценарии, запретите установку всех устройств, где не удалось установить любое устройство. В этом сценарии вы добавите список разрешенных устройств в политику и включите идентификатор оборудования для USB-накопителя.

Предварительные требования для предоставления пользователям возможности устанавливать только авторизованные устройства

Чтобы выполнить эту задачу, сначала необходимо выполнить все действия, описанные в первом сценарии, запретить установку всех устройств.

Действия, позволяющие пользователям устанавливать только авторизованные устройства

В этом разделе описано, как добавить разрешенные устройства в ограничения, введенные в разделе "Запрет установки всех устройств", создав список авторизованных устройств.

  1. Создание списка авторизованных устройств
  2. Проверка эффектов авторизованных устройств

Создание списка авторизованных устройств

Создание утвержденного списка устройств

  1. Войдите на компьютер как DMI-Client1\TestAdmin.

  2. Если устройство установлено, удалите и удалите его, выполнив действия, описанные в разделе "Удаление USB-накопителя памяти" выше в этом документе.

  3. Чтобы открыть редактор объектов групповой политики, нажмите кнопку "Пуск ", введите mmc gpedit.msc в поле "Пуск поиска", а затем нажмите клавишу ВВОД .

  4. В области навигации редактора объектов групповой политики дважды щелкните конфигурации компьютера, чтобы открыть его. Затем откройтеадминистративные шаблоны , откройтесистемы , откройте установку устройств, а затем откройтеограничений установки устройств.

  5. В области сведений щелкните правой кнопкой мыши Разрешить установку устройств, которые соответствуют любому из этих идентификаторов устройств, а затем щелкните Свойства.

  6. Откроется диалоговое окно политики с текущими параметрами.

  7. На вкладке "Настройка" щелкните включено, чтобы включить эту политику.

    Bb530324.grouppolicydeviceinstall13(en-us,MSDN.10).gif

    Рис. 13. Нажмите кнопку "Включено", чтобы включить политику

  8. Щелкните Показать, чтобы просмотреть список разрешенных устройств в диалоговом окне "Показать содержимое". (По умолчанию список пуст.)

  9. Щелкните Добавить, чтобы открыть диалоговое окно "Добавить элемент".

  10. Введите идентификатор устройства (первый идентификатор оборудования) для устройства.

    Bb530324.grouppolicydeviceinstall14(en-us,MSDN.10).gif

    Рис. 14. Введите идентификатор устройства для USB-устройства

  11. Нажмите кнопку ОК, чтобы вернуться в диалоговое окно "Показать содержимое". Теперь устройство появится в списке.

    Bb530324.grouppolicydeviceinstall15(en-us,MSDN.10).gif

    Рис. 15. Устройство теперь утверждено для установки

  12. Нажмите кнопку ОК, чтобы вернуться в диалоговое окно политики, а затем нажмите кнопку ОК, чтобы сохранить новый параметр политики.

Проверка списка авторизованных устройств

Если параметр политики включен, его можно применить к компьютеру и попытаться установить устройство.

Тестирование списка авторизованных устройств

  1. Нажмите кнопку "Пуск", введите gpupdate/force в поле "Пуск поиска", а затем нажмите клавишу ВВОД .

  2. По завершении команды gpudate выйдите из компьютера и войдите в систему как DMI-Client1\TestUser.

  3. Чтобы открыть диспетчер устройств, нажмите кнопку "Пуск", введите mmc devmgmt.msc в поле "Пуск поиска", а затем нажмите клавишу ВВОД .

  4. Появится следующее сообщение, указывающее, что у вас нет разрешений на внесение изменений в диспетчер устройств.

    Bb530324.grouppolicydeviceinstall16s(en-us,MSDN.10).gif

    Рис. 16. Появится сообщение, указывающее, что у вас нет разрешений

  5. Нажмите кнопку ОК, чтобы закрыть сообщение. Диспетчер устройств запустится, и вы можете просмотреть устройства на компьютере.

  6. Подключите USB-накопитель памяти.

  7. Устройство отображается в диспетчере устройств под узлом "Другие устройства", пока Windows не завершит установку.

    Bb530324.grouppolicydeviceinstall17(en-us,MSDN.10).gif

    Рис. 17. Устройство будет отображаться в разделе "Другие устройства" до завершения установки

  8. После завершения установки Windows устройство переходит на узел дисковых дисков в диспетчере устройств и полностью работает.

    Bb530324.grouppolicydeviceinstall18(en-us,MSDN.10).gif

    Рис. 18. После завершения установки устройство будет полностью функциональным

Запрет установки запрещенных устройств

Этот сценарий представляет альтернативный способ управления установкой устройства. В первых двух сценариях вы предотвратили установку всех устройств, кроме разрешенных списком авторизованных устройств. В этом сценарии можно разрешить установку всех устройств, за исключением тех, которые указаны в списке запрещенных устройств. Вы также удалите исключение для администраторов, созданных в первом сценарии, чтобы даже администратор пострадал от политики.

Предварительные требования для предотвращения установки запрещенных устройств

Если вы выполнили действия, описанные в разделе "Запрет установки всех устройств" и "Разрешить пользователям устанавливать только авторизованные устройства", необходимо отключить эти политики, выполнив следующие действия.

  • Включите установку всех устройств.
  • Удалите исключение для членов группы "Администраторы", чтобы разрешить установку устройства.
  • Удалите идентификатор оборудования из утвержденного списка устройств.

Включение установки всех устройств

  1. Войдите на компьютер как DMI-Client1\TestAdmin.
  2. Чтобы открыть редактор объектов групповой политики, нажмите кнопку "Пуск ", введите mmc gpedit.msc в поле "Пуск поиска", а затем нажмите клавишу ВВОД .
  3. В области навигации редактора объектов групповой политики дважды щелкните конфигурации компьютера, чтобы открыть его. Затем откройтеадминистративные шаблоны , откройтесистемы , откройте установку устройств, а затем откройтеограничений установки устройств.
  4. В области сведений щелкните правой кнопкой мыши узел Запретить установку устройств, не описанных другими параметрами политики, а затем щелкните Свойства.
  5. Откроется диалоговое окно политики с текущими параметрами.
  6. Щелкните Отключено, чтобы отключить параметр политики.
  7. Нажмите кнопку ОК, чтобы сохранить параметры и вернуться в редактор объектов групповой политики.

Следующий шаг — удалить политику, которая предоставила исключение членам группы "Администраторы".

Удаление исключения для администраторов ограничений групповой политики

  1. В редакторе объектов групповой политики щелкните правой кнопкой мыши Разрешить администраторам переопределить политику установки устройства, а затем щелкните Свойства.
  2. Откроется диалоговое окно политики с текущими параметрами.
  3. На вкладке "Параметры" щелкните Отключены, чтобы отключить параметр политики.
  4. Нажмите кнопку ОК, чтобы сохранить параметры и вернуться в редактор объектов групповой политики.

Следующим шагом является удаление идентификатора оборудования из списка авторизованных устройств, созданных во втором сценарии.

Удаление идентификатора оборудования из списка авторизованных устройств

  1. В редакторе объектов групповой политики щелкните правой кнопкой мыши Разрешить установку устройств, соответствующих любому из этих идентификаторов устройств, а затем щелкните Свойства. Откроется диалоговое окно политики с текущими параметрами.
  2. На вкладке "Параметры" щелкните Показать, чтобы просмотреть список авторизованных устройств.
  3. В диалоговом окне "Показать содержимое" выберите имя USB-диска памяти, а затем щелкните Удалить. Windows удаляет устройство из списка.
  4. Нажмите кнопку ОК, чтобы закрыть диалоговое окно "Показать содержимое" и вернуться в диалоговое окно политики.
  5. Щелкните Отключенные, чтобы отключить параметр политики.
  6. Нажмите кнопку ОК, чтобы сохранить изменения и вернуться в редактор объектов групповой политики.

Действия по предотвращению установки запрещенных устройств

Чтобы запретить пользователям устанавливать определенные устройства, создайте список запрещенных устройств. В этом разделе описано следующее:

  1. Создание списка запрещенных устройств
  2. Проверка списка запрещенных устройств

Создание списка запрещенных устройств

Создание списка запрещенных устройств

  1. Если устройство установлено, удалите и удалите его, выполнив действия, описанные в разделе "Удаление USB-накопителя памяти" выше в этом документе.

  2. Войдите на компьютер как DMI-Client1\TestAdmin.

  3. Если он еще не запущен, запустите редактор объектов групповой политики. Для этого нажмите кнопку "Пуск", введите mmc gpedit.msc в поле "Пуск поиска" и нажмите клавишу ВВОД.

  4. В дереве дважды щелкните "Конфигурация компьютера", чтобы открыть его. Затем откройте административные шаблоны, откройте систему, откройте программу установки устройств, а затем откройте ограничения на установку устройств.

  5. В области сведений щелкните правой кнопкой мыши запрет установки устройств, соответствующих этим идентификаторам устройств, а затем щелкните "Свойства". Откроется диалоговое окно политики с текущими параметрами.

  6. На вкладке "Параметры" нажмите кнопку "Включить", чтобы включить эту политику.

    Bb530324.grouppolicydeviceinstall19(en-us,MSDN.10).gif

    Рис. 19. Нажмите кнопку "Включено", чтобы активировать политику

  7. Щелкните Показать, чтобы просмотреть список запрещенных устройств.

  8. В диалоговом окне "Показать содержимое" щелкните Добавить.

  9. В диалоговом окне Добавление элемента введите идентификатор устройства (первый идентификатор оборудования), который вы нашли для устройства.

  10. Нажмите кнопку ОК, чтобы вернуться в диалоговое окно "Показать содержимое".

  11. Теперь устройство появится в списке.

    Bb530324.grouppolicydeviceinstall20(en-us,MSDN.10).gif

    Рис. 20. Установка для этого устройства теперь будет запрещена

  12. Нажмите кнопку ОК, чтобы вернуться в диалоговое окно политики, а затем нажмите кнопку ОК, чтобы сохранить новый параметр политики.

Проверка списка запрещенных устройств

Теперь можно попытаться установить устройство. Вы можете установить другие устройства, так как политика больше не предотвращает их установку, но вы не можете установить это конкретное устройство, даже если вы вошли в систему в качестве члена группы администраторов.

Проверка списка запрещенных устройств

  1. Нажмите кнопку "Пуск", введите gpupdate /force в поле "Пуск поиска", а затем нажмите клавишу ВВОД ВВОД.

  2. По завершении команды gpudate закройте командную строку.

  3. Чтобы открыть диспетчер устройств, нажмите кнопку "Пуск", введите mmc devmgmt.msc в поле "Пуск поиска", а затем нажмите клавишу ВВОД .

  4. Подключите USB-накопитель памяти.

  5. Устройство отображается в диспетчере устройств под узлом Другие устройства.

  6. Установка не завершена, и устройство не работает.

    Bb530324.grouppolicydeviceinstall21(en-us,MSDN.10).gif

    Рис. 21. Установка не завершится, и устройство не будет работать

  7. Windows отображает сообщение в области уведомлений, указывающее причину сбоя установки:

    Bb530324.grouppolicydeviceinstall22(en-us,MSDN.10).gif

    Рис. 22. Появится сообщение о причине сбоя установки.

  8. Вы можете попытаться обойти ограничения, вручную установив драйвер для устройства. Щелкните правой кнопкой мыши устройство и щелкните Обновить программное обеспечение драйвера.

  9. Операционная система предложит указать драйвер устройства для устройства.

    Bb530324.grouppolicydeviceinstall23(en-us,MSDN.10).gif

    Рис. 23. Появится запрос драйвера устройства

  10. Чтобы имитировать попытку пользователя, щелкните Поиск автоматически для обновленного программного обеспечения драйвера.

  11. Появится сообщение о том, что Windows найдена, но не удалось установить драйвер. Последний абзац объясняет, что попытка установки завершилась ошибкой, так как она запрещена созданной политикой.

    Bb530324.grouppolicydeviceinstall24(en-us,MSDN.10).gif

    Рис. 24. В диалоговом окне объясняется, почему сбой установки

Управление разрешениями на чтение и запись на съемных носителях

В этом сценарии показано, как управлять доступом на чтение или запись к съемным устройствам или устройствам, используюющим съемные носители, на компьютерах под управлением Windows Vista и Windows Server 2008. В этом сценарии вы устанавливаете политику компьютера, чтобы сделать USB-диск доступной только для чтения. Вы также устанавливаете политику компьютера, чтобы сделать любой cd-диск или DVD-устройство, подключенный только для чтения компьютера, в результате отключив функцию сжигания.

Предварительные требования для управления разрешениями на чтение и запись на съемных носителях

Прежде чем попробовать процедуры в этом разделе, необходимо отключить политику, которая предотвращает установку USB-накопителей.

Отключение политики, которая предотвращает установку usb-дисков памяти

  1. Если устройство установлено, удалите и удалите его, выполнив действия, описанные в разделе "Удаление USB-накопителя памяти" выше в этом документе.
  2. В области сведений редактора объектов групповой политики щелкните правой кнопкой мыши Запретить установку устройств, соответствующих этим идентификаторам устройств, а затем щелкните Свойства.
  3. Откроется диалоговое окно политики с текущим параметром.
  4. На вкладке "Параметры" щелкните Показать, чтобы просмотреть список запрещенных устройств.
  5. В диалоговом окне "Показать содержимое" щелкните USB-накопителе, щелкните Удалитьи нажмите кнопку ОК.
  6. На вкладке "Параметры" щелкните Отключены, чтобы отключить этот параметр политики.
  7. Нажмите кнопку ОК, чтобы сохранить изменения.

Действия по управлению разрешениями на чтение и запись на съемных носителях

  1. Настройка политики компьютера для запрета доступа на запись к определенным классам съемных устройств
  2. Проверка параметров политики компьютера

Настройка политики компьютера для запрета доступа на запись к определенным классам съемных устройств

Политики, заданные в этой процедуре, блокируют доступ на запись ко многим съемным устройствам хранения. Однако точную политику компьютера, которая блокирует доступ на запись к устройству, может отличаться в зависимости от конкретного устройства создания и модели. Вы также можете использовать политику пользовательских классов , но требуется определить GUID класса установки устройства для конкретного устройства.

Запрет доступа на запись к определенным классам съемных устройств

  1. В области навигации редактора объектов групповой политики откройтеконфигурации компьютера, а затем откройтеадминистративные шаблоны , откройте системные, а затем откройте доступ к съемным хранилищам.
  2. Щелкните правой кнопкой мыши компакт-диск и DVD-диск: запретить доступ на запись, а затем щелкните Свойства.
  3. В диалоговом окне "Свойства" щелкните Включено, чтобы включить ограничение, а затем нажмите кнопку ОК.
  4. Повторите шаги 2 и 3 для следующих политик компьютеров:
    • Съемные диски: запрет доступа на запись
    • Floppy Drive: запрет доступа на запись
    • Устройства WPD: запрет доступа на запись
  5. Закройте редактор объектов групповой политики.

Проверка параметров политики компьютера

Если устройство используется, политика ограничения доступа на запись не может быть немедленно применена. Чтобы применить политику компьютера, перезапустите компьютер.

Проверка параметров политики компьютера

  1. Нажмите кнопку "Пуск", введите gpupdate /force в поле "Пуск поиска", а затем нажмите клавишу ВВОД ВВОД.

  2. По завершении команды gpudate перезапустите компьютер.

  3. Войдите на компьютер как DMI-Client1\TestAdmin.

  4. Подключите USB-накопитель и дождитесь, пока Windows не уведомит вас о том, что он работает.

  5. Щелкните Пуск, щелкните компьютер, а затем дважды щелкните USB-диск памяти.

  6. В обозревателе Windows щелкните правой кнопкой мыши открытую область области сведений, щелкните Создать, а затем щелкните папку.

  7. В Windows отображается сообщение об ошибке, объясняющее, почему попытка создать папку завершилась ошибкой.

    Bb530324.grouppolicydeviceinstall25(en-us,MSDN.10).gif

    Рис. 25. Сообщение об ошибке объяснит, почему попытка создать папку завершилась сбоем

  8. Нажмите кнопку Продолжить, чтобы попытаться обойти ограничение.

  9. Если появится диалоговое окно "Контроль учетных записей пользователей", убедитесь, что отображаемое действие является нужным, а затем нажмите кнопку "Продолжить".

  10. В Windows отображается второе сообщение, указывающее причину, по которой она не может записать в папку.

    Bb530324.grouppolicydeviceinstall26(en-us,MSDN.10).gif

    Рис. 26. Второе сообщение об ошибке указывает причину, по которой разрешения на запись не разрешены

Заключение

В этом руководстве вы использовали пример устройства в лабораторной среде, чтобы узнать, может ли пользователь установить устройство. Вы также узнали, как ограничить доступ к съемным устройствам или устройствам, используюющим съемные носители. Управление установкой и использованием устройств таким образом улучшает безопасность и повышает эффективность службы технической поддержки, ограничивая устройства, которые пользователи могут устанавливать для тех, кто утверждает и поддерживает вашу организацию. Ниже приведены сценарии, используемые для демонстрации этих конфигураций:

  • Запретить установку всех устройств.

    В этом сценарии вы не позволили стандартным пользователям устанавливать любое устройство, но разрешать администраторам устанавливать или обновлять устройства.

  • Разрешить пользователям устанавливать только авторизованные устройства.

    В этом сценарии можно разрешить стандартным пользователям устанавливать только те устройства, которые включены в список авторизованных устройств.

  • Запретить установку только запрещенных устройств.

    В этом сценарии вы разрешили стандартным пользователям устанавливать большинство устройств, но не позволили им устанавливать устройства, включенные в список запрещенных устройств.

  • Управление использованием съемных носителей.

    В этом сценарии стандартные пользователи не могут записывать данные на съемные запоминающие устройства или устройства с съемным носителем, например USB-накопителем или dvd-накопителем.

Дополнительные ресурсы

Дополнительные сведения об установке устройства:

Дополнительные сведения о средстве DevCon:

Дополнительные сведения об управлении учетными записями пользователей в Windows Vista:

Дополнительные сведения о групповой политике:

  • групповой политики

Ошибки ведения журнала и отзывы

Ваш отзыв приветствуется. Если включенные сценарии не работают, как описано, или если они не смогут захватить способ использования технологии, пожалуйста, сообщите нам. Мы будем использовать отзывы, предоставляемые для улучшения качества этой документации. Отправьте комментарии по этой документации в Vista Feedback (vistafb@microsoft.com).

Для получения отзывов о Windows Vista используйте ссылку "Связаться с нами" в нижней части веб-страницы Windows Vista в https://www.microsoft.com/windowsvista.