通过

步骤 - 使用组策略控制设备安装的步骤By-Step 指南

  • 项目

 

戴夫·毕晓普

更新时间:2007 年 6 月

摘要: 通过使用 Windows Server 2008 和 Windows Vista 操作系统,管理员可以确定可在他们管理的计算机上安装哪些设备。 本指南总结了设备安装过程,并演示了多种控制设备安装的技术。 (34 页打印页)。

内容

介绍
   谁应该使用本指南?
   使用组策略控制设备安装的好处
方案概述
技术评审
   Windows 中的设备安装
   设备安装的组策略设置
   可移动存储访问的组策略设置
完成方案的要求
   先决条件过程
阻止安装所有设备
   阻止安装所有设备的先决条件
   阻止安装所有设备的步骤
允许用户仅安装经过授权的设备
   允许用户仅安装授权设备的先决条件
   允许用户仅安装授权设备的步骤
防止安装禁止的设备
   阻止安装被禁止设备的先决条件
   阻止安装被禁止设备的步骤
控制可移动媒体的读取和写入权限
   控制可移动媒体的读取和写入权限的先决条件
   控制可移动媒体上的读取和写入权限的步骤
结论
其他资源
日志记录 bug 和反馈

介绍

本分步指南介绍了如何在管理的计算机上控制设备安装,包括指定用户可以和无法安装的设备。 具体而言,在 Windows Server 2008 和 Windows Vista 中,你可以将计算机策略应用到:

  • 阻止用户安装任何设备。
  • 允许用户仅安装“已批准”列表中的设备。 如果设备不在列表中,则用户无法安装它。
  • 阻止用户在“禁止”列表中安装设备。 如果设备不在列表中,则用户可以安装它。
  • 对于自己可移动或使用可移动媒体(如 CD 和 DVD 燃烧器、软盘驱动器、外部硬盘驱动器和便携式设备(如媒体播放器、智能手机或口袋电脑设备)的设备,拒绝对用户进行读取或写入访问。

本指南介绍了设备安装过程,并介绍了 Windows 用于将设备与计算机上可用的设备驱动程序包匹配的标识字符串。 本指南还演示了三种控制设备安装的方法。 每个方案分步显示一种可用于允许或阻止安装特定设备或设备类的方法。 第四种方案演示如何拒绝对可移动或使用可移动媒体的设备的用户的读取或写入访问权限。

方案中使用的示例设备是 USB 存储设备。 可以使用其他设备执行本指南中的步骤。 但是,如果使用其他设备,则指南中的说明不会完全匹配计算机上显示的用户界面。

重要 本指南中提供的步骤适用于测试实验室环境。 本分步指南不用于在不附带文档的情况下部署 Windows Server 功能,应以自由裁量权作为独立文档使用。

谁应该使用本指南?

本指南面向以下受众:

  • 正在评估 Windows Vista 和 Windows Server 2008 的信息技术规划者和分析师
  • 企业信息技术规划师和设计人员
  • 负责在其组织中实现可信计算的安全架构师
  • 想要熟悉该技术的管理员

使用组策略控制设备安装的好处

限制用户可以安装的设备具有以下优势:

降低数据盗窃风险

  • 如果用户的计算机无法安装支持可移动媒体的未经批准的设备,则用户很难对公司数据进行未经授权的复制。 例如,如果用户无法安装 CD-R 设备,则无法将公司数据的副本烧到可记录的 CD 上。 此权益无法消除数据盗窃,但它给未经授权删除数据造成了另一个障碍。 还可以通过使用组策略来拒绝对可移动或使用可移动媒体的设备的用户进行写入访问,从而降低数据被盗的风险。 使用组策略时,可以按组授予访问权限。

降低支持成本

  • 你可以确保用户仅安装支持人员训练并配备的那些设备。 此权益可降低支持成本和用户混淆。

方案概述

本指南中介绍的方案说明了如何在管理的计算机上控制设备安装和使用情况。 这些方案使用本地计算机上的组策略来简化使用实验室环境中的过程。 在管理多个客户端计算机的环境中,应使用 Active Directory 部署的组策略应用这些设置。 通过 Active Directory 部署的组策略,可以将设置应用于属于域或域中组织单位的所有计算机。 有关如何使用组策略管理客户端计算机的详细信息,请参阅Microsoft网站上的 组策略

以下是本指南中介绍的方案的说明:

  • 防止安装所有设备

    在此方案中,管理员希望阻止标准用户安装任何设备,但允许管理员安装或更新设备。 若要完成此方案,请配置两个计算机策略。 第一个计算机策略可防止所有用户安装设备,第二个策略会免除管理员的限制。

  • 允许用户仅安装经过授权的设备

    在此方案中,管理员希望允许用户仅安装已授权设备列表中包含的设备。 此方案基于第一个方案,因此,在尝试此方案之前,必须完成第一个方案。 若要完成此方案,请创建授权设备列表,以便用户只能安装指定的设备。

  • 防止仅安装禁止的设备

    在此方案中,管理员希望允许标准用户安装大多数设备,但阻止其安装被禁止设备列表中包含的设备。 若要完成此方案,必须删除在前两个方案中创建的策略。 删除这些策略后,将创建禁止设备列表,以便用户可以安装除你指定的设备以外的任何设备。

  • 控制使用可移动媒体存储设备

    在此方案中,管理员希望防止标准用户将数据写入可移动存储设备或具有可移动媒体的设备,例如 USB 内存驱动器或 CD 或 DVD 燃烧器。 若要完成此方案,请将计算机策略配置为允许读取访问权限,但拒绝对示例设备以及计算机上的任何 CD 或 DVD 燃烧器设备的写入访问。

技术评审

以下部分简要概述了本指南中讨论的核心技术。

Windows 中的设备安装

设备是 Windows 与之交互以执行某些功能的硬件。 Windows 只能通过称为设备驱动程序的软件与设备通信。 若要安装设备驱动程序,Windows 会检测设备、识别其类型,然后查找与该类型匹配的设备驱动程序。

Windows 使用两种类型的标识符来控制设备安装和配置。 可以使用 Windows Vista 和 Windows Server 2008 中的组策略设置来指定要允许或阻止的标识符之一。

这两种类型的标识符包括:

  • 设备标识字符串
  • 设备设置类

设备标识字符串

当 Windows 检测到计算机上从未安装过的设备时,操作系统会查询设备以检索其设备标识字符串列表。 设备通常有多个设备标识字符串,设备制造商会分配这些字符串。 作为设备驱动程序包的一部分的 .inf 文件中包括相同的设备标识字符串。 Windows 通过匹配从设备检索到的设备标识字符串与驱动程序包随附的设备标识字符串来选择要安装的设备驱动程序包。

Windows 可以使用每个字符串将设备与驱动程序包匹配。 这些字符串的范围从非常具体、与设备的单个制作和模型匹配到非常通用的,可能应用于整个设备类。 有两种类型的设备标识字符串:硬件 ID 和兼容的 ID。

硬件 ID

硬件 ID 是提供设备和驱动程序包之间最完全匹配的标识符。 硬件 ID 列表中的第一个字符串称为设备 ID,因为它与设备的确切制作、型号和修订匹配。 列表中的其他硬件 ID 与设备的详细信息完全匹配。 例如,硬件 ID 可能会标识设备的制造和型号,但不能识别特定修订。 如果正确修订的驱动程序不可用,此方案允许 Windows 对设备的不同修订版使用驱动程序。

兼容的 ID

如果操作系统找不到设备 ID 或其他任何硬件 ID 的匹配项,Windows 会使用这些标识符来选择设备驱动程序。 兼容的 ID 按降低适用性的顺序列出。 这些字符串是可选的,提供时,它们非常通用,例如 磁盘。 使用兼容 ID 进行匹配时,通常只能使用设备最基本的功能。

安装设备(如打印机、USB 存储设备或键盘)时,Windows 将搜索与你尝试安装的设备的驱动程序包匹配。 在此搜索期间,Windows 会向它发现的每个驱动程序包分配一个“排名”,该包至少与硬件或兼容的 ID 匹配。 排名指示驱动程序与设备匹配程度。 较低的排名数字表示驱动程序与设备之间的更好匹配。 零的排名表示最佳匹配项。 与驱动程序包中的设备 ID 匹配会导致与另一个硬件 ID 匹配的级别较低(更好)。 同样,与硬件 ID 的匹配会导致比与任何兼容 ID 匹配更好的排名。 在 Windows 对所有驱动程序包进行排名后,它会安装排名最低的驱动程序包。 有关排名和选择驱动程序包的过程的详细信息,请参阅 MSDN 库中 安装程序如何选择驱动程序

注意 有关设备驱动程序安装过程的详细信息,请参阅设备驱动程序签名和暂存分步指南的“技术评审”部分。

某些物理设备在安装时创建一个或多个逻辑设备。 每个逻辑设备都可以处理物理设备的一部分功能。 例如,多功能设备(如一对一扫描程序/传真/打印机)可能为每个函数使用不同的设备标识字符串。

使用 DMI 允许或阻止安装使用逻辑设备的设备时,必须允许或阻止该设备的所有设备标识字符串。 例如,如果用户尝试安装多功能设备,并且你不允许或阻止物理设备和逻辑设备的所有标识字符串,则可能会从安装尝试中获得意外结果。 有关硬件 ID 的更多详细信息,请参阅 MSDN 库中 设备标识字符串

设备设置类

设备设置类是另一种类型的标识字符串。 制造商将设备安装类分配给设备驱动程序包中的设备。 设备安装类以相同的方式对安装和配置的设备进行分组。 例如,所有 CD 驱动器都属于 CDROM 设备安装类,在安装时使用相同的共同安装程序。 称为全局唯一标识符(GUID)的长号表示每个设备设置类。 Windows 启动时,它将使用所有检测到的设备 GUID 生成内存中树结构。 除了设备本身的设备安装类的 GUID,Windows 可能需要将 GUID 插入设备附加到的总线的设备安装类的 GUID 树中。

使用设备安装类来允许或阻止用户安装设备驱动程序时,必须为设备的所有设备设置类指定 GUID,否则可能无法获得所需的结果。 安装可能会失败(如果希望它成功),或者可能会成功(如果希望它失败)。

例如,多功能设备(如一对一扫描程序/传真/打印机)具有通用多功能设备的 GUID、打印机功能的 GUID、扫描仪功能的 GUID 等。 各个函数的 GUID 是多函数设备 GUID 下的“子节点”。 若要安装子节点,Windows 还必须能够安装父节点。 除了打印机和扫描仪功能的任何子 GUID 之外,还必须允许为多功能设备安装父 GUID 的设备安装类。

有关详细信息,请参阅 MSDN 库中 设备设置类

本指南不描述使用设备设置类的任何方案。 但是,本指南中通过设备标识字符串演示的基本原则也适用于设备设置类。 发现特定设备的设备安装类后,可以在策略中使用它来允许或阻止为此类设备安装设备驱动程序。

设备安装的组策略设置

若要启用对设备安装的控制,Windows Vista 和 Windows Server 2008 引入了多个策略设置。 可以在单个计算机上单独配置这些策略设置,或者通过在 Active Directory 域中使用组策略将这些设置应用于大量计算机。 有关如何使用组策略管理客户端计算机的详细信息,请参阅 组策略

无论是将设置应用于独立计算机还是 Active Directory 域中的许多计算机,都使用组策略对象编辑器来配置和应用策略设置。 有关详细信息,请参阅 组策略对象编辑器技术参考

下面是本指南中使用的 DMI 策略设置的简要说明。

注意 这些策略设置会影响登录到应用策略设置的计算机的所有用户。 除了策略 允许管理员替代设备安装策略之外,不能将这些策略应用于特定用户或组。 此策略通过配置本节中所述的其他策略设置,免除本地 Administrators 组的成员免受应用于计算机的任何设备安装限制。

  • 防止安装其他策略设置未描述的设备。

    此策略设置控制未由任何其他策略设置专门描述的设备安装。 如果启用此策略设置,则用户无法安装或更新设备的驱动程序,除非 允许安装与这些设备 ID 匹配的设备 策略设置或 允许安装这些设备类的设备 策略设置。 如果禁用或未配置此策略设置,用户可以安装和更新 阻止安装与这些设备 ID 策略设置匹配的设备、阻止安装这些设备类 策略设置或 防止安装可移动设备 策略设置。

  • 允许管理员替代设备安装策略。

    此策略设置允许本地管理员组的成员安装和更新任何设备的驱动程序,而不考虑其他策略设置。 如果启用此策略设置,管理员可以使用“添加硬件向导”或“更新驱动程序向导”来安装和更新任何设备的驱动程序。 如果禁用或未配置此策略设置,管理员将受限制设备安装的所有策略设置的约束。

  • 防止安装与这些设备 ID 匹配的设备。

    此策略设置指定用户无法安装的设备的即插即用硬件 ID 和兼容 ID 的列表。 如果启用此策略设置,则如果用户的硬件 ID 或兼容 ID 与此列表中的驱动程序匹配,则无法安装或更新设备的驱动程序。 如果禁用或未配置此策略设置,用户可以安装设备并更新其驱动程序,这是设备安装的其他策略设置允许的。

    注意 此策略设置优先于允许用户安装设备的任何其他策略设置。 此策略设置可防止用户安装设备,即使它与允许安装该设备的另一个策略设置相匹配。

  • 防止安装与这些设备安装类匹配的驱动程序。

    此策略设置指定用户无法安装的设备的即插即用设备安装类 GUID 列表。 如果启用此策略设置,则用户无法安装或更新属于任何列出的设备安装类的设备。 如果禁用或未配置此策略设置,用户可以按照设备安装的其他策略设置允许安装和更新设备。

    注意 此策略设置优先于允许用户安装设备的任何其他策略设置。 此策略设置可防止用户安装设备,即使它与允许安装该设备的另一个策略设置匹配也是如此。

  • 允许安装与其中任何设备 ID 匹配的设备。

    此策略设置指定一系列即插即用硬件 ID 和兼容的 ID,用于描述用户可以安装的设备。 仅当启用其他策略设置 策略设置未描述的设备安装 阻止安装设备时,才会使用此设置,并且不会优先于阻止用户安装设备的任何策略设置。 如果启用此策略设置,则用户可以安装并更新具有与此列表中的 ID 匹配的硬件 ID 或兼容 ID 的任何设备(如果 阻止安装与这些设备 ID 匹配的设备 策略设置)阻止安装这些设备类 策略设置的设备, 或 阻止安装可移动设备 策略设置。 如果另一个策略设置阻止用户安装设备,则即使设备也由此策略设置中的值描述,用户也无法安装该设备。 如果禁用或未配置此策略设置,并且没有其他策略描述设备,阻止安装其他策略设置未描述的设备 策略设置确定用户是否可以安装设备。

  • 允许使用这些设备类的驱动程序安装设备。

    此策略设置指定描述用户可以安装的设备的设备设置类 GUID 的列表。 仅当启用其他策略设置 策略设置未描述的设备安装 阻止安装设备时,才会使用此设置,并且不会优先于阻止用户安装设备的任何策略设置。 如果启用此设置,则用户可以安装并更新具有与此列表中的某个 ID 匹配的硬件 ID 或兼容 ID 的任何设备(如果 阻止安装与这些设备 ID 匹配的设备 策略设置)阻止安装这些设备类 策略设置的设备, 或 阻止安装可移动设备 策略设置。 如果另一个策略设置阻止用户安装设备,则即使设备也由此策略设置中的值描述,用户也无法安装该设备。 如果禁用或未配置此策略设置,并且没有其他策略设置描述设备,阻止安装其他策略设置未描述的设备 策略设置确定用户是否可以安装设备。

其中一些策略优先于其他策略。 下面显示的流程图演示了 Windows 如何处理它们以确定用户是否可以安装设备,如图 1(下图所示)。

Bb530324.grouppolicydeviceinstall01(en-us,MSDN.10).gif

图 1. Windows 在确定用户是否可以安装设备时如何处理策略

可移动存储访问的组策略设置

在 Windows Vista 和 Windows Server 2008 中,管理员可以应用计算机策略来控制用户是否可以读取或写入具有可移动媒体的任何设备。 这些策略可用于帮助防止敏感或机密材料写入可移动媒体或包含存储的可移动设备,然后从本地移走。

可以在计算机级别应用这些策略设置,以便它们影响登录到计算机的每个用户。 还可以在用户级别应用它们,并将强制实施限制为特定的用户帐户。 如果在 Active Directory 环境中使用组策略,除了单个用户帐户外,还可以将策略设置应用到用户组。 组策略还允许你有效地将这些策略应用于大量计算机。 有关如何使用组策略管理客户端计算机的详细信息,请参阅 组策略

可移动存储访问策略设置还包括允许管理员强制重启的设置。 如果应用限制策略时设备正在使用中,则在重启计算机之前,可能不会强制实施该策略。

可以在两个位置找到策略设置。 计算机配置\管理模板\系统\可移动存储访问 中找到的策略设置会影响登录到该计算机的计算机和每个用户。 用户配置\管理模板\系统\可移动存储访问 仅影响应用策略设置的用户,包括使用 Active Directory 应用组策略时组。

下面是策略的简要说明,可让你控制对可移动存储驱动器的读取或写入访问权限。 每个设备类别支持两个策略:一个用于拒绝读取访问权限,另一个策略用于拒绝写入访问:

  • 时间(以秒为单位)强制重启

    设置系统等待重启的时间量(以秒为单位),以强制更改可移动存储设备的访问权限。

    注意 如果未强制重启,则在重新启动系统之前,更改才会生效。

  • CD 和 DVD

    通过这些策略设置,你可以拒绝对 CD 和 DVD 可移动存储类(包括 USB 连接的设备)中的设备的读取或写入访问。

  • 自定义类

    这些策略设置允许你拒绝对设备安装程序类 GUID 在提供的列表中找到的任何设备的读取或写入访问权限。

  • 软盘

    这些策略设置允许你拒绝对 Floppy Drive 类中的设备的读取或写入访问,包括 USB 连接的设备。

  • 可移动磁盘

    通过这些策略设置,可以拒绝对作为硬盘或模拟硬盘的可移动设备的读取或写入访问权限,例如 USB 内存驱动器或外部 USB 硬盘驱动器。

  • 磁带驱动器

    这些策略设置允许你拒绝对磁带驱动器(包括 USB 连接的设备)的读取或写入访问。

  • WPD 设备

    这些策略设置允许你拒绝对 Windows 可移植设备类中的设备的读取或写入访问权限。 这些设备包括“智能”设备,例如媒体播放器、手机、Windows CE 设备等。

  • 所有可移动存储类:拒绝所有访问

    此策略设置优先于此列表中的任何策略设置,如果启用,则拒绝对标识为使用可移动存储的任何设备的读取和写入访问。 如果禁用或未配置此策略设置,则允许读取和写入对可移动存储类的访问,但受此列表中其他策略设置施加的任何限制。

完成方案的要求

若要完成每个方案,必须具备:

  • 运行 Windows Vista 的客户端计算机。 本指南将此计算机称为 DMI-Client1

  • USB 内存驱动器。 本指南中所述的方案使用 USB 内存驱动器作为示例设备。 此设备的作用类似于可移动磁盘驱动器,也称为“拇指驱动器”、“闪存驱动器”或“键击驱动器”。大多数 USB 内存驱动器不需要任何制造商提供的驱动程序,这些设备适用于 Windows Vista 和 Windows Server 2008 提供的驱动程序。

    注意 说明假定设备不需要除 Windows Vista 和 Windows Server 2008 附带的驱动程序以外的任何驱动程序。 如果你的设备需要制造商的驱动程序,则必须在 Windows 提示你执行此操作时提供驱动程序文件。 此步骤不包括在方案中。

  • (可选)CD 或 DVD 燃烧器。 最后一个方案演示如何使具有可移动媒体的设备只读。 可以设置计算机策略,而无需实际安装 CD 或 DVD 燃烧器。 但是,如果要验证计算机策略是否有效,则必须具有要使用的 CD 或 DVD 燃烧器设备。

  • 在 DMI-Client1 上访问受保护的管理员帐户。 本指南 TestAdmin调用此帐户。 本指南中的过程需要大多数步骤的管理员权限。 必须在每个过程开始时使用此管理员帐户登录到 DMI-Client1,除非另有指示。

    注意 Windows Vista 和 Windows Server 2008 引入了受保护的管理员帐户的概念。 此帐户是管理员组的成员,但默认情况下不会直接使用安全特权。 任何尝试执行需要提升权限的管理员权限的任务都生成一个对话框,要求授予执行该任务的权限。 “响应用户帐户控制”页部分将讨论此对话框。 Microsoft建议尽可能使用受保护的管理员帐户,而不是内置管理员帐户。

  • DMI-Client1上访问标准用户帐户。 此用户帐户没有授予任何类型的提升权限的特殊成员身份。 本指南 TestUser调用此帐户。 仅当指示使用此帐户登录到计算机时。 使用标准用户帐户时,任何尝试执行需要提升权限的任务都可能导致请求具有管理员权限的帐户凭据的对话框。 “响应用户帐户控制”页部分将讨论此对话框。

先决条件过程

在实现允许或阻止用户安装设备的任何策略之前,必须知道设备的设备标识字符串。 还必须了解如何完全卸载 USB 内存驱动器及其关联的驱动程序。 以下过程将计算机配置为成功执行本指南中的方案:

  1. 响应“用户帐户控制”页
  2. 确定 USB 内存驱动器的设备标识字符串
  3. 卸载 USB 内存驱动器

响应“用户帐户控制”页

在整个本指南中,系统会要求你执行只能由管理员组成员完成的任务。 在 Windows Vista 和 Windows Server 2008 中,当你尝试执行需要管理员权限的任务时,将发生以下情况:

  • 如果以内置管理员帐户(不建议)登录,则操作只会继续。 默认情况下,内置管理员帐户处于禁用状态。
  • 如果你是非内置管理员帐户的 Administrators 组的成员,则会显示一个 用户帐户控制 对话框,要求继续权限。 如果单击 “继续”,则任务将继续执行。
  • 如果以标准用户身份登录,则可以阻止执行该任务。 根据任务,可以显示一个 用户帐户控制 页,以提供管理员帐户的用户名和密码。 如果提供有效的凭据,则任务将在你提供的管理员帐户的安全上下文中运行。 如果无法提供这些凭据,则无法执行该任务。

重要提示: 在提供凭据或权限运行任何管理任务之前,请确保显示 用户帐户控制 页以响应启动的任务。 如果页面意外出现,请单击 详细信息 按钮,并确保希望允许的任务。

本指南不会记录执行这些过程时遇到的 用户帐户控制 对话框的每个匹配项。 当以管理员身份运行特定任务需要特殊步骤时,本指南中记录了这些步骤。

确定 USB 内存驱动器的设备标识字符串

按照以下步骤,可以确定设备的设备标识字符串。 如果设备的硬件 ID 和兼容 ID 与本指南中显示的 ID 不匹配,请使用适用于设备的 ID。

注意 在以下方案中,必须安装并卸载 USB 内存驱动器。 说明假定你的设备不需要除 Windows Vista 和 Windows Server 2008 附带的驱动程序以外的任何驱动程序。 如果你的设备需要制造商的驱动程序,则必须在 Windows 提示你执行此操作时提供驱动程序文件。 此步骤不包括在方案中。

可以通过两种方式确定设备的硬件 ID 和兼容的 ID。 可以使用设备管理器、操作系统随附的图形工具或 DevCon(作为驱动程序开发工具包(DDK)的一部分下载的命令行工具。 使用以下过程查看 USB 内存驱动器的设备标识字符串。

重要 这些过程特定于 USB 内存驱动器。 如果使用不同类型的设备,则必须相应地调整步骤。 显著差异是设备管理器层次结构中设备的位置。 必须在相应的节点中找到设备,而不是位于 磁盘驱动器 节点中。

使用 Device Manager 查找设备标识字符串

  1. DMI-Client1\TestAdmin身份登录到计算机。

  2. 插入 USB 内存驱动器,然后允许安装完成。

  3. 若要打开设备管理器,请单击 “开始”按钮,在“开始搜索 ”框中键入 mmc devmgmt.msc,然后按 Enter

  4. 如果出现“用户帐户控制”对话框,请确认它显示的操作是所需操作,然后单击“继续”

    设备管理器启动并显示一个树,表示计算机上检测到的所有设备。 树顶部是一个节点,旁边有计算机名称。 较低节点表示计算机设备分组到的硬件类别。

  5. 双击 磁盘驱动器 打开列表。

    Bb530324.grouppolicydeviceinstall02(en-us,MSDN.10).gif

    图 2. 双击打开 USB 磁盘驱动器

  6. 右键单击 USB 内存驱动器的条目,然后单击 属性。 此时将显示“设备属性”对话框。

    Bb530324.grouppolicydeviceinstall03(en-us,MSDN.10).gif

    图 3. 将显示 U 盘的设备属性对话框

  7. 单击 详细信息 选项卡。

  8. 属性 列表中,单击 硬件 ID

  9. 在“值”下,记下显示的字符串。

    Bb530324.grouppolicydeviceinstall04(en-us,MSDN.10).gif

    图 4. 请记住 U 盘的“属性”对话框中“值”下显示的字符串

    注意: 可以通过突出显示文本并按 Ctrl-C 将字符串复制到剪贴板。 由于许多硬件 ID 具有多个下划线字符,因此将其复制到文本文件中非常有用,在必须指定标识符时,可以从中粘贴这些字符。 此方法大大减少了在必须将特定标识符添加到已批准或禁止设备列表时出错的可能性。

  10. 属性 列表中,单击 兼容 ID

  11. 在“值”下,记下显示的字符串。

    Bb530324.grouppolicydeviceinstall05(en-us,MSDN.10).gif

    图 5. 请记住 U 盘的“属性”对话框中“值”下显示的字符串

注意 还可以使用 DevCon 命令行实用工具确定设备标识字符串。 可以从Microsoft帮助和支持站点下载 DevCon。 有关详细信息,请参阅 DevCon 命令行实用工具作为设备管理器的替代方法。

DevCon

DevCon HwIDs

卸载 USB 内存驱动器

在日常使用 USB 内存驱动器时,通常只需将驱动器从 USB 端口拉出。 但是,对于本指南,还必须卸载设备驱动程序,以确保每个方案都以合适的状态启动计算机。 如果在定向时无法卸载和删除设备,则以下方案中测试的策略不会有任何影响,并且不会看到预期的结果。 当定向到卸载和删除设备时,请在整个本指南中使用相同的步骤。

重要 在到达最后一步之前,不要以物理方式断开设备与 USB 端口的连接。

卸载 USB 内存驱动器

  1. 登录到计算机 DMI-Client1\TestAdmin。

  2. 若要打开设备管理器,请单击 “开始”按钮,在“开始搜索”框中键入 mmc devmgmt.msc,然后按 Enter

  3. 如果出现“用户帐户控制”对话框,请确认它显示的操作是所需操作,然后单击 “继续”

  4. 右键单击 USB 内存驱动器的条目,然后单击 卸载

    Bb530324.grouppolicydeviceinstall06(en-us,MSDN.10).gif

    图 6. 右键单击以卸载 USB 内存驱动器

  5. 确认设备删除 对话框中,单击“确定” 以允许卸载过程完成。

  6. 当 Windows 完成卸载过程时,它会从 Device Manager 树中删除设备条目。

  7. 从 USB 端口拔下 USB 内存驱动器。

阻止安装所有设备

此方案记录了实施限制性最高的配置所需的典型步骤,其中阻止了所有设备安装,并且现有设备无法使用新的设备驱动程序进行更新。 用户将无法安装设备,并且无需管理员干预即可使用它。 管理员仍可根据需要安装或更新任何设备。

阻止安装所有设备的先决条件

若要完成此方案中的过程,必须按照本文档前面的“卸载 USB 内存驱动器”部分中所述卸载 USB 内存驱动器。

阻止安装所有设备的步骤

  1. 配置策略以防止安装任何设备
  2. 配置策略以允许管理员替代设备安装限制
  3. 以用户身份测试限制设置的效果

配置策略以防止安装任何设备

配置阻止安装或更新任何设备 的策略

  1. DMI-Client1\TestAdmin身份登录到计算机。

  2. 若要打开组策略对象编辑器,请单击 “开始”按钮,在“开始搜索”框中键入 mmc gpedit.msc,然后按 Enter

  3. 如果出现“用户帐户控制”对话框,请确认它显示的操作是所需操作,然后单击 “继续”

  4. 在组策略对象编辑器导航窗格中,双击 计算机配置 将其打开。 然后打开 管理模板,打开 系统,打开 设备安装,然后打开 设备安装限制

    Bb530324.grouppolicydeviceinstall07(en-us,MSDN.10).gif

    图 7. 组策略对象编辑器导航窗格

  5. 在详细信息窗格中,右键单击 防止其他策略设置描述的设备安装,然后单击 属性

  6. 此时会显示“策略”对话框,其中包含当前设置。

  7. 设置 选项卡上,单击 启用 打开策略。

  8. 单击“确定” 保存设置并返回到组策略对象编辑器。

配置策略以允许管理员替代设备安装限制

下一个策略使管理员能够替代其他设备安装策略设置施加的限制,包括刚刚启用的策略。

配置策略以允许管理员替代设备安装限制

  1. 在详细信息窗格中,右键单击 允许管理员替代设备安装策略,然后单击 属性

  2. 此时会显示“策略”对话框,其中包含当前设置。

  3. 设置 选项卡上,单击 启用 打开策略设置。

  4. 单击“确定” 保存设置并返回到组策略对象编辑器。

  5. 这两个策略现在都将其状态显示为已启用。

    Bb530324.grouppolicydeviceinstall08s(en-us,MSDN.10).gif

    图 8. 这两个策略都会将其状态显示为已启用

以用户身份测试限制设置的效果

启用这两个策略后,可以将它们应用到计算机,并尝试安装设备以查看限制工作。

测试限制设置作为用户 的影响

  1. 如果设备已安装,请按照本文档前面的“卸载 USB 内存驱动器”部分中的步骤卸载并删除该设备。

  2. 单击 “开始”按钮,在“开始搜索”框中键入 gpupdate /force,然后按 enter

  3. GPUdate 命令完成后,注销计算机,然后以 DMI-Client1\TestUser身份登录。

  4. 若要打开设备管理器,请单击 “开始”按钮,在“开始搜索”框中键入 mmc devmgmt.msc,然后按 Enter

  5. 将显示以下消息,指示你无权在 Device Manager 中进行任何更改。

    Bb530324.grouppolicydeviceinstall09(en-us,MSDN.10).gif

    图 9. 将显示一条消息,指示您没有权限

  6. 单击 “确定” 确认消息。 (设备管理器将启动,你可以在计算机中查看设备。

  7. 插入 USB 内存驱动器。

  8. 在安装成功完成之前,设备将显示在“其他设备 节点下的设备管理器中。

    Bb530324.grouppolicydeviceinstall10(en-us,MSDN.10).gif

    图 10. 设备将显示在“其他设备”下,直到安装完成

  9. 由于你以没有管理权限的标准用户身份登录,并且设备安装现已受到限制,因此将显示以下对话框:

    Bb530324.grouppolicydeviceinstall11(en-us,MSDN.10).gif

    图 11. 以没有管理权限的标准用户登录时出现的对话框

  10. 若要模拟典型的用户响应,请单击 查找 并安装驱动程序软件(建议)。

  11. 将显示“用户帐户控制”对话框的变体,要求你提供具有管理员权限的帐户的用户名和密码。

  12. 由于用户不会提供管理员凭据,请单击 取消 以中止用户所做的尝试。

  13. 设备驱动程序安装失败,设备保留在 其他设备 节点下,并且不起作用。

    Bb530324.grouppolicydeviceinstall12(en-us,MSDN.10).gif

    图 12. 设备安装失败,设备无法正常工作

允许用户仅安装经过授权的设备

此方案基于第一种方案,防止安装所有设备,其中阻止安装任何设备。 在此方案中,将允许的设备列表添加到策略中,并包括 USB 内存驱动器的硬件 ID。

允许用户仅安装授权设备的先决条件

若要完成此任务,必须先完成第一个方案中的所有步骤,防止安装所有设备。

允许用户仅安装授权设备的步骤

在本部分中,通过创建授权设备列表,将允许的设备添加到“阻止安装所有设备”中施加的限制。

  1. 创建授权设备列表
  2. 测试授权设备的效果

创建授权设备列表

创建已批准的设备列表

  1. DMI-Client1\TestAdmin身份登录到计算机。

  2. 如果设备当前已安装,请按照本文档前面的“卸载 USB 内存驱动器”部分中的步骤卸载并删除该设备。

  3. 若要打开组策略对象编辑器,请单击 “开始”按钮,在“开始搜索”框中键入 mmc gpedit.msc,然后按 Enter

  4. 在组策略对象编辑器导航窗格中,双击 计算机配置 将其打开。 然后打开 管理模板,打开 系统,打开 设备安装,然后打开 设备安装限制

  5. 在详细信息窗格中,右键单击 允许安装与其中任何设备 ID匹配的设备,然后单击 属性

  6. 此时会显示“策略”对话框,其中包含当前设置。

  7. 在“设置”选项卡上,单击 “已启用” 打开此策略。

    Bb530324.grouppolicydeviceinstall13(en-us,MSDN.10).gif

    图 13. 单击“启用”以打开策略

  8. 单击 显示 以查看“显示内容”对话框中允许的设备列表。 (默认情况下,列表为空。

  9. 单击 添加 打开“添加项”对话框。

  10. 输入设备的设备 ID(第一个硬件 ID)。

    Bb530324.grouppolicydeviceinstall14(en-us,MSDN.10).gif

    图 14. 输入 USB 设备的设备 ID

  11. 单击“确定” 返回到“显示内容”对话框。 你的设备现在会显示在列表中。

    Bb530324.grouppolicydeviceinstall15(en-us,MSDN.10).gif

    图 15. 设备现已获得安装批准

  12. 单击 “确定” 返回到策略对话框,然后单击 “确定” 保存新策略设置。

测试授权设备列表

启用策略设置后,可以将其应用到计算机并尝试安装设备。

测试授权设备列表

  1. 单击 “开始”按钮,在“开始搜索”框中键入 gpupdate/force,然后按 Enter

  2. gpudate 命令完成后,注销计算机,然后以 DMI-Client1\TestUser登录。

  3. 若要打开设备管理器,请单击 “开始”按钮,在“开始搜索”框中键入 mmc devmgmt.msc,然后按 Enter

  4. 将显示以下消息,指示你无权在 Device Manager 中进行任何更改。

    Bb530324.grouppolicydeviceinstall16s(en-us,MSDN.10).gif

    图 16. 将显示一条消息,指示您没有权限

  5. 单击“确定” 关闭消息。 设备管理器将启动,你可以查看计算机中的设备。

  6. 插入 USB 内存驱动器。

  7. 设备显示在“其他设备”节点下的设备管理器中,直到 Windows 完成安装。

    Bb530324.grouppolicydeviceinstall17(en-us,MSDN.10).gif

    图 17. 设备将显示在“其他设备”下,直到安装完成

  8. Windows 完成安装后,设备将移动到 Device Manager 中的“磁盘驱动器”节点,并且功能完全正常。

    Bb530324.grouppolicydeviceinstall18(en-us,MSDN.10).gif

    图 18. 安装完成后,设备将完全正常运行

防止安装禁止的设备

此方案提供了控制设备安装的替代方法。 在前两种情况下,你阻止安装除授权设备列表允许的设备以外的所有设备。 在此方案中,允许安装除禁止设备列表中的设备以外的所有设备。 此外,还可以删除在第一个方案中创建的管理员的例外,以便即使是管理员也会受到策略的影响。

阻止安装被禁止设备的先决条件

如果已完成“阻止安装所有设备”和“允许用户仅安装已授权设备”中的步骤,则必须使用以下步骤禁用这些策略:

  • 启用所有设备的安装。
  • 删除管理员组成员允许设备安装的例外。
  • 从批准的设备列表中删除硬件 ID。

启用所有设备安装

  1. DMI-Client1\TestAdmin身份登录到计算机。
  2. 若要打开组策略对象编辑器,请单击 “开始”按钮,在“开始搜索”框中键入 mmc gpedit.msc,然后按 Enter
  3. 在组策略对象编辑器导航窗格中,双击 计算机配置 将其打开。 然后打开 管理模板,打开 系统,打开 设备安装,然后打开 设备安装限制
  4. 在详细信息窗格中,右键单击节点 阻止安装其他策略设置未描述的设备,然后单击 属性
  5. 此时会显示“策略”对话框,其中包含当前设置。
  6. 单击 禁用 关闭策略设置。
  7. 单击“确定” 保存设置并返回到组策略对象编辑器。

下一步是删除授予管理员组成员例外的策略。

删除管理员对组策略限制的例外

  1. 在组策略对象编辑器中,右键单击 允许管理员替代设备安装策略,然后单击 属性
  2. 此时会显示“策略”对话框,其中包含当前设置。
  3. 在“设置”选项卡上,单击 禁用 关闭策略设置。
  4. 单击“确定” 保存设置并返回到组策略对象编辑器。

下一步是从第二个方案中创建的授权设备列表中删除硬件 ID。

从授权设备列表中删除硬件 ID

  1. 在组策略对象编辑器中,右键单击 允许安装与这些设备 ID匹配的设备,然后单击 属性。 此时会显示“策略”对话框,其中包含当前设置。
  2. 在“设置”选项卡上,单击 “显示”以查看授权设备列表。
  3. 在“显示内容”对话框中,选择 USB 内存驱动器的名称,然后单击“删除。 Windows 从列表中删除设备。
  4. 单击 “确定” 关闭“显示内容”对话框并返回到策略对话框。
  5. 单击 禁用 关闭策略设置。
  6. 单击 “确定” 保存更改并返回到组策略对象编辑器。

阻止安装被禁止设备的步骤

若要防止用户安装特定设备,请创建禁止的设备列表。 在本部分中,你将:

  1. 创建禁止设备的列表
  2. 测试禁止设备的列表

创建禁止设备的列表

创建禁止设备列表

  1. 如果设备当前已安装,请按照本文档前面的“卸载 USB 内存驱动器”部分中的步骤卸载并删除该设备。

  2. 以 DMI-Client1\TestAdmin 身份登录到计算机。

  3. 如果尚未运行,请启动组策略对象编辑器。 为此,请单击“开始”按钮,在“开始搜索”框中键入 mmc gpedit.msc,然后按 Enter。

  4. 在树中,双击“计算机配置”将其打开。 然后打开管理模板,打开系统,打开设备安装,然后打开设备安装限制。

  5. 在详细信息窗格中,右键单击“阻止安装与这些设备 ID 匹配的设备”,然后单击“属性”。 此时会显示“策略”对话框,其中包含当前设置。

  6. 在“设置”选项卡上,单击“已启用”以打开此策略。

    Bb530324.grouppolicydeviceinstall19(en-us,MSDN.10).gif

    图 19. 单击“启用”以激活策略

  7. 单击“显示 以查看禁止设备列表。

  8. 在“显示内容”对话框中,单击“添加

  9. 在“添加项 对话框中,键入为设备找到的设备 ID(第一个硬件 ID)。

  10. 单击“确定” 返回到“显示内容”对话框。

  11. 你的设备现在会显示在列表中。

    Bb530324.grouppolicydeviceinstall20(en-us,MSDN.10).gif

    图 20. 现在禁止安装此设备

  12. 单击 “确定” 返回到策略对话框,然后单击 “确定” 保存新策略设置。

测试禁止设备的列表

现在可以尝试安装设备。 你可以安装其他设备,因为策略不再阻止其安装,但即使以管理员组成员身份登录,也无法安装此特定设备。

测试禁止设备列表

  1. 单击 “开始”按钮,在“开始搜索”框中键入 gpupdate /force,然后按 enter

  2. gpudate 命令完成后,关闭命令提示符。

  3. 若要打开设备管理器,请单击 “开始”按钮,在“开始搜索”框中键入 mmc devmgmt.msc,然后按 Enter

  4. 插入 USB 内存驱动器。

  5. 设备显示在“其他设备 节点下的设备管理器中。

  6. 安装未完成,设备不起作用。

    Bb530324.grouppolicydeviceinstall21(en-us,MSDN.10).gif

    图 21. 安装不会完成,设备将无法正常运行

  7. Windows 在通知区域中显示一条消息,指出安装失败的原因:

    Bb530324.grouppolicydeviceinstall22(en-us,MSDN.10).gif

    图 22. 将显示一条消息,指出安装失败的原因

  8. 可以通过手动安装设备的驱动程序来尝试绕过限制。 右键单击设备,然后单击 更新驱动程序软件

  9. 操作系统会提示你为设备提供设备驱动程序。

    Bb530324.grouppolicydeviceinstall23(en-us,MSDN.10).gif

    图 23. 将显示设备驱动程序的提示

  10. 若要模拟用户可能尝试的内容,请单击 自动搜索更新的驱动程序软件。

  11. 此时会显示一条消息,指出 Windows 已找到但无法安装驱动程序。 最后一段说明安装尝试失败,因为创建的策略禁止安装尝试。

    Bb530324.grouppolicydeviceinstall24(en-us,MSDN.10).gif

    图 24. 该对话框将解释安装失败的原因

控制可移动媒体的读取和写入权限

此方案演示了如何在运行 Windows Vista 和 Windows Server 2008 的计算机上控制对使用可移动媒体的可移动设备或设备的读取或写入访问权限。 在此方案中,设置计算机策略以使 USB 内存驱动器只读。 还可以设置计算机策略,使附加到计算机只读的任何 CD 或 DVD 燃烧器,实际上禁用燃烧功能。

控制可移动媒体的读取和写入权限的先决条件

在尝试本部分中的过程之前,必须禁用阻止安装 USB 内存驱动器的策略。

禁用阻止安装 USB 内存驱动器的策略

  1. 如果设备当前已安装,请按照本文档前面的“卸载 USB 内存驱动器”部分中的步骤卸载并删除该设备。
  2. 在组策略对象编辑器的详细信息窗格中,右键单击 阻止安装与这些设备 ID 匹配的设备,然后单击 属性
  3. 策略对话框将显示为当前设置。
  4. 在“设置”选项卡上,单击 “显示”以查看禁止设备列表。
  5. 在“显示内容”对话框中,单击 USB 内存驱动器,单击 删除,然后单击 确定
  6. 在“设置”选项卡上,单击 “已禁用” 关闭此策略设置。
  7. 单击“确定” 保存更改。

控制可移动媒体上的读取和写入权限的步骤

  1. 设置计算机策略以拒绝对特定可移动设备类的写入访问权限
  2. 测试计算机策略设置

设置计算机策略以拒绝对特定可移动设备类的写入访问权限

在此过程中设置的策略将阻止对许多可移动存储设备的写入访问。 但是,阻止对设备的写入访问的确切计算机策略可能会因特定制造和型号设备而异。 还可以使用 自定义类 策略,但它要求标识特定设备的设备设置类 GUID。

拒绝对特定可移动设备类的写入访问

  1. 在组策略对象编辑器导航窗格中,打开 计算机配置,然后打开 管理模板,打开 系统,然后打开 可移动存储访问
  2. 右键单击 CD 和 DVD:拒绝写入访问,然后单击 属性
  3. 在“属性”对话框中,单击“启用 启用限制”,然后单击 “确定”
  4. 对以下计算机策略重复步骤 2 和步骤 3:
    • 可移动磁盘:拒绝写入访问
    • 软盘:拒绝写入访问
    • WPD 设备:拒绝写入访问
  5. 关闭组策略对象编辑器。

测试计算机策略设置

如果设备正在使用,则无法立即强制实施写入访问限制策略。 若要应用计算机策略,请重新启动计算机。

测试计算机策略设置

  1. 单击 “开始”按钮,在“开始搜索”框中键入 gpupdate /force,然后按 enter

  2. gpudate 命令完成后,重新启动计算机。

  3. DMI-Client1\TestAdmin身份登录到计算机。

  4. 插入 USB 内存驱动器,然后等待 Windows 通知你它正在运行。

  5. 单击 开始,单击 计算机,然后双击 U 盘。

  6. 在 Windows 资源管理器中,右键单击详细信息窗格的打开区域,单击 “新建”,然后单击 文件夹

  7. Windows 显示一条错误消息,说明尝试创建文件夹失败的原因。

    Bb530324.grouppolicydeviceinstall25(en-us,MSDN.10).gif

    图 25. 错误消息将解释尝试创建文件夹失败的原因

  8. 单击 “继续” 以尝试解决限制问题。

  9. 如果出现“用户帐户控制”对话框,请确认它显示的操作是所需操作,然后单击 “继续”

  10. Windows 显示另一条消息,指示无法写入文件夹的原因。

    Bb530324.grouppolicydeviceinstall26(en-us,MSDN.10).gif

    图 26. 第二条错误消息将指示不允许写入权限的原因

结论

本指南使用实验室环境中的示例设备了解如何控制用户是否可以安装设备。 你还了解了如何限制对使用可移动媒体的可移动存储设备或设备的访问。 这样控制安装和设备使用情况可以提高安全性,并通过限制用户可安装到组织批准和支持的设备来提高技术支持的有效性。 用于演示这些配置的方案包括:

  • 阻止安装所有设备。

    在此方案中,你阻止了标准用户安装任何设备,但允许管理员安装或更新设备。

  • 允许用户仅安装授权的设备。

    在此方案中,你允许标准用户仅安装授权设备列表中包括的设备。

  • 阻止仅安装禁止的设备。

    在此方案中,你允许标准用户安装大多数设备,但阻止他们安装被禁止的设备列表中包含的设备。

  • 控制可移动媒体存储设备的使用。

    在此方案中,你阻止标准用户将数据写入可移动存储设备或具有可移动媒体的设备,例如 USB 内存驱动器或 CD 或 DVD 燃烧器。

其他资源

有关设备安装的详细信息:

有关 DevCon 工具的详细信息:

有关 Windows Vista 中的用户帐户控制的详细信息:

有关组策略的详细信息:

日志记录 bug 和反馈

欢迎你提供反馈。 如果包含的方案无法按说明工作,或者它们无法捕获你希望使用技术的方式,请告诉我们。 我们将使用你提供的反馈来改进本文档的质量。 将有关本文档的评论发送给 Vista 反馈(vistafb@microsoft.com)。

有关 Windows Vista 的反馈,请使用 https://www.microsoft.com/windowsvistaWindows Vista 网页底部的“联系我们”链接。