共用方式為

使用群組原則控制裝置安裝的逐步指南

  • 發行項

 

Dave Bishop

更新日期:2007 年 6 月

總結: 藉由使用 Windows Server 2008 和 Windows Vista 作業系統,系統管理員可以決定可以在他們管理的電腦上安裝哪些裝置。 本指南摘要說明裝置安裝程式,並示範數種控制裝置安裝的技術。 (34 個列印的頁面。)

目錄

簡介
   Who Should Use This Guide?
   使用 群組原則 控制裝置安裝的優點
情節概觀
技術檢閱
   Windows 中的裝置安裝
   裝置安裝的群組原則設定
   卸除式儲存裝置存取權的群組原則設定
完成案例的需求
   先決條件步驟
防止所有裝置安裝
   防止所有裝置安裝的先決條件
   防止所有裝置安裝的步驟
僅允許使用者安裝授權的裝置
   僅允許使用者安裝授權之裝置的先決條件
   僅允許使用者安裝授權之裝置的步驟
防止禁止裝置的安裝
   防止禁止裝置安裝的先決條件
   防止禁止裝置安裝的步驟
控制卸除式媒體的讀取與寫入權限
   控制卸除式媒體讀取與寫入權限的先決條件
   控制卸除式媒體讀取與寫入權限的步驟
結論
其他資源
記錄錯誤與意見反應

簡介

本逐步指南說明如何在您管理的電腦上控制裝置安裝,包括指定使用者可以和無法安裝的裝置。 具體而言,在 Windows Server 2008 和 Windows Vista 中,您可以將電腦原則套用至:

  • 防止使用者安裝任何裝置。
  • 只允許使用者安裝在「核准」清單中的裝置。 如果裝置不在清單上,則使用者不能安裝。
  • 防止使用者安裝「禁止」清單中的裝置。 如果裝置不在清單上,則使用者可以安裝。
  • 拒絕使用者讀取或寫入卸除式裝置或使用卸除式媒體的裝置,例如 CD 與 DVD 燒錄機、軟碟機、外接式硬碟與可攜式裝置,例如媒體播放器、Smart Phone 或 Pocket PC 裝置。

此指南說明裝置安裝過程,並說明 Windows 用於比對裝置與電腦中可用裝置驅動程式套件的識別字串。 此指南同時也說明三種控制裝置安裝的方法。 每個案例逐步說明一種您可以用來允許或防止安裝特定裝置或裝置類別的方法。 第四種案例說明如何拒絕使用者讀取或寫入卸除式裝置或使用卸除式媒體的裝置。

本案例中使用的範例裝置是 USB 儲存裝置。 您可以使用不同的裝置執行此指南中的步驟。 但是,如果您使用不同的裝置,則指南中的指示可能跟您在電腦中看到的使用者介面不盡相同。

重要 本指南中提供的步驟適用于測試實驗室環境。 使用此逐步指南部署 Windows Server 功能時,建議您同時參考相關說明文件。單獨參考此指南時需格外小心。

Who Should Use This Guide?

此指南適用於下列對象:

  • 正在評估 Windows Vista 和 Windows Server 2008 的資訊技術規劃人員和分析師
  • 企業資訊技術規劃人員與設計師
  • 組織內負責實作信任電腦運算的安全架構設計人員
  • 想要瞭解技術的系統管理員

使用 群組原則 控制裝置安裝的優點

限制使用者可以安裝的裝置有下列優點:

降低資料竊取的風險

  • 。如果使用者的電腦不能在未經核准的情況下安裝支援卸除式媒體的裝置,則使用者將不容易未經授權複製公司資料。 例如,如果使用者不能安裝 CD-R 裝置,他們就無法燒錄公司資料到可燒錄 CD。 這個優點雖然不能完全避免資料遭竊,但是可以讓未經授權的資料搬移更加困難。 您也可以使用群組原則,拒絕使用者寫入卸除式裝置或使用卸除式媒體的裝置,以降低資料遭竊的風險。 當您使用群組原則時,可以針對每個群組授與存取權。

降低支援成本

  • 您可以確定使用者只會安裝那些支援服務中心人員已經熟悉而且可以支援的裝置。 這個優點可以降低支援成本與使用者混淆。

情節概觀

此指南中展示的案例說明如何在您管理的電腦中,控制裝置的安裝與使用。 這個案例在本機電腦使用群組原則,以簡化在實驗室環境中的使用程序。 在管理多部用戶端電腦的環境中,您應該使用 Active Directory 所部署的群組原則來套用這些設定。 利用 Active Directory 部署的群組原則,您可以套用設定到網域的所有成員電腦,或是網域中的組織單位。 如需如何使用 群組原則 來管理用戶端電腦的詳細資訊,請參閱 Microsoft 網站上的群組原則

下列是此指南中所展示案例的說明:

  • 防止所有裝置安裝

    在這個案例中,系統管理員想要防止標準使用者安裝任何裝置,但是允許系統管理員安裝或更新裝置。 若要完成這個案例,您必須設定兩個電腦原則。 第一個電腦原則防止所有使用者安裝裝置,而第二個原則豁免系統管理員受到限制。

  • 僅允許使用者安裝授權的裝置

    在這個中,系統管理員只想要允許使用者安裝授權裝置清單中的裝置。 這個案例建立在第一個案例之上,所以您必須先完成第一個案例才能繼續這個案例。 若要完成這個案例,您必須建立授權裝置的清單,讓使用者只能安裝您指定的裝置。

  • 防止只安裝禁止的裝置

    在這個案例中,系統管理員想要允許標準使用者安裝大多數的裝置,但是防止他們安裝禁止裝置清單中的裝置。 若要完成這個案例,您必須移除您在前兩個案例中建立的原則。 在您移除這些原則之後,您必須建立禁止裝置的清單,讓使用者可以安裝您指定之裝置以外的裝置。

  • 控制卸除式媒體儲存裝置的使用

    在這個案例中,系統管理員想要防止使用者寫入資料到卸除式儲存裝置或使用卸除式媒體的裝置,例如 USB 記憶體磁碟機或 CD 與 DVD 燒錄機。 若要完成這個案例,您必須為範例裝置與您電腦中的 CD 或 DVD 燒錄機裝置設定允許寫讀取存取權但拒絕寫入存取權的電腦原則。

技術檢閱

以下各節說明此指南中所討論之核心技術的概觀。

Windows 中的裝置安裝

裝置是與 Windows 互動,用於執行某些功能的硬體。 Windows 必須透過稱為裝置驅動程式的軟體才能與裝置溝通。 為安裝裝置驅動程式,Windows 會先偵測裝置、辨識其類型,然後尋找符合該類型的裝置驅動程式。

Windows 使用兩種識別碼類型來控制裝置安裝與設定。 您可以使用 Windows Vista 和 Windows Server 2008 中的群組原則設定來指定要允許或封鎖哪些識別碼。

這兩種識別碼類型是:

  • 裝置識別字串
  • 裝置安裝類別

裝置識別字串

當 Windows 偵測到從未在電腦中安裝的裝置時,作業系統會查詢裝置,以擷取其裝置識別字串清單。 裝置通常具有多重裝置識別字串,這些字串通常是由裝置製造商所指定。 裝置驅動程式套件的 .inf 檔案中,會包含相同的裝置識別字串。 Windows 會比對從裝置擷取的裝置識別字串與驅動程式套件中所包含的裝置識別字串,以選擇要安裝的裝置驅動程式套件。

Windows 會使用每個字串來比對裝置與驅動程式套件。 字串範圍可能從非常特定、符合單一裝置製造商與型號,到非常廣泛、可能適用整個裝置類別的字串。 裝置識別碼字串有兩種類型:硬體識別碼和相容的識別碼。

硬體識別碼

硬體識別碼是裝置與驅動程式套件之間,絕對一致的識別碼。 硬體識別碼清單中的第一個字串稱為裝置識別碼,因為它符合裝置的確切製造商、型號與修訂版本。 清單中的其他硬體識別碼,可能比較沒有那麼明確符合裝置的詳細資訊。 例如,硬體識別碼可能指出裝置的製造商與型號,但是無法指出特定修訂版本。 這個配置可以讓 Windows 在無法取得正確修訂版本的驅動程式時,針對不同的裝置修訂版本使用相同的驅動程式。

相容的識別碼

如果作業系統找不到完全相符的裝置識別碼或任何其他硬體識別碼的裝置驅動程式,Windows 會使用這些識別碼以選取裝置驅動程式。 相容識別碼是根據適用程度遞減排列。 這些字串是選擇性的,而且提供時,這些字串非常泛型,例如 Disk。 若只有相容識別碼符合,通常您只能使用裝置的最基本功能。

當您安裝裝置 (例如,印表機、USB 儲存裝置或鍵盤) 時,Windows 會搜尋符合您嘗試安裝之裝置的驅動程式套件。 在此搜尋期間,Windows 會將「排名」指派給其探索的每個驅動程式套件,其中至少有一個符合硬體或相容的識別碼。 排名會指出驅動程式與裝置的相符程度。 較低的等級表示驅動程式與裝置的相符程度較高。 等級為零表示最符合的項目。 裝置識別碼符合驅動程式套件時所得到的等級比符合其他硬體識別碼時還低 (較好)。 同樣的,硬體識別碼的相符會比任何其他相容識別碼的相符有更佳的等級。 當 Windows 完成所有驅動程式套件的等級排序之後,它會安裝具有最低整體等級的驅動程式套件。 如需排名和選取驅動程式套件程式的詳細資訊,請參閱 MSDN Library 中的 安裝程式如何選取驅動程式

注意 如需裝置驅動程式安裝程式的詳細資訊,請參閱 裝置驅動程式簽署和預備逐步指南的一節。

某些實體裝置在安裝時,會建立一或多個邏輯裝置。 每個邏輯裝置可能負責處理實體裝置的部分功能。 例如某些多功能裝置,比如多合一掃描器/傳真機/印表機,每個功能可能有不同的裝置識別字串。

當您使用 DMI 來允許或防止安裝使用邏輯裝置的裝置時,您必須允許或防止該裝置的所有裝置識別碼字串。 例如,如果使用者嘗試安裝多函式裝置,但您不允許或防止實體和邏輯裝置的所有識別碼字串,您可能會從安裝嘗試中取得非預期的結果。 如需硬體識別碼的詳細資訊,請參閱 MSDN 程式庫中的 裝置識別字串

裝置安裝類別

裝置安裝類別是另一種類型的識別字串。 製造商會指派裝置安裝類別到裝置驅動程式套件中的裝置。 裝置安裝類別會將相同安裝與設定方法的裝置歸類。 例如,所有 CD 光碟機都屬於 CDROM 裝置安裝類別,而且安裝時它們都使用相同的輔助安裝程式。 每個裝置安裝類別都是使用全域唯一識別碼 (GUID) 表示,此識別碼是一串長數字。 當 Windows 啟動時,它會為所有偵測到的裝置,在記憶體中建立 GUID 的樹狀結構。 除了裝置本身之裝置安裝類別的 GUID 之外,Windows 可能需要在樹狀結構中,插入裝置所連接匯流排的裝置安裝類別 GUID。

當您使用裝置安裝類別以允許或防止使用者安裝裝置驅動程式時,必須指定所有裝置的裝置安裝類別 GUID,否則可能無法得到預期的結果。 安裝可能失敗 (如果您本來想要讓它成功) 或可能成功 (如果您本來想要讓它失敗)。

例如某些多功能裝置,比如多合一掃描器/傳真機/印表機,一般多功能裝置有一個 GUID,印表機功能有一個 GUID,掃描器功能有一個 GUID,諸如此類。 個別功能的 GUID 是多功能裝置 GUID 之下的「子節點」。 若要安裝子節點,Windows 必須可以安裝父節點。 除了印表機與掃描器功能的任何子 GUID,您必須同時允許安裝多功能裝置之父 GUID 的裝置安裝類別。

如需詳細資訊,請參閱 MSDN Library 中的 裝置安裝類別

此指南沒有說明任何使用裝置安裝類別的案例。 但是,此指南中所示範的裝置識別字串的基本原則,仍適用於裝置安裝類別。 在您發現特定裝置的裝置安裝類別之後,您可以在原則中使用它,以允許或防止該裝置類別之裝置驅動程式的安裝。

群組原則裝置安裝的設定

若要啟用裝置安裝的控制,Windows Vista 和 Windows Server 2008 引進數個原則設定。 您可以在單一電腦上個別設定這些原則設定,或使用 Active Directory 網域中的群組原則,將這些原則設定套用到為數眾多的電腦。 如需如何使用 群組原則 管理用戶端電腦的詳細資訊,請參閱群組原則

無論您是要將設定套用至獨立電腦或 Active Directory 網域中的許多電腦,您都會使用 群組原則 物件編輯器來設定並套用原則設定。 如需詳細資訊,請參閱群組原則物件編輯器技術參考

以下是本指南中使用的 DMI 原則設定的簡短描述。

注意 這些原則設定會影響登入套用原則設定之電腦的所有使用者。 除了 允許系統管理員覆寫裝置安裝原則以外,您無法將這些原則套用至特定使用者或群組。 這個原則可以豁免本機 Administrators 群組成員受到任何裝置安裝限制,這些限制來自於您依本節內容所述套用到電腦的其他原則設定。

  • 防止安裝其他原則設定未描述的裝置。

    這個設定控制未由其他原則特別描述之裝置的安裝原則。 如果您啟用此原則設定,除非裝置的 [ 允許安裝符合這些裝置 識別碼] 原則設定的裝置,或 [ 允許安裝這些裝置類別的裝置 ] 原則設定中所述,否則使用者無法安裝或更新裝置的驅動程式。 如果您停用或未設定此原則設定,則使用者可以安裝及更新不符合 這些裝置 識別碼原則設定之裝置安裝及更新任何裝置的驅動程式、 [防止安裝這些裝置類別的裝置 ] 原則設定,或 [防止安裝卸 除式裝置] 原則設定。

  • 允許系統管理員覆寫裝置安裝原則:

    這個原則可以允許本機 Administrators 群組的成員安裝和更新任何裝置的驅動程式,無論其他原則設定為何。 如果您啟用這個原則設定,系統管理員可使用 [新增硬體精靈] 或 [更新驅動程式精靈] 來安裝和更新任何裝置的驅動程式。 如果您停用或未設定這個原則設定,系統管理員將受限於所有限制裝置安裝的原則。

  • 防止安裝符合這些裝置識別碼的裝置。

    這個原則設定指定使用者不能安裝之裝置隨插即用硬體識別碼與相容識別碼的清單。 如果您啟用此原則設定,如果使用者的硬體識別碼或相容識別碼符合此清單中的驅動程式,則無法安裝或更新裝置的驅動程式。 如果您停用或未設定這個原則設定,只要裝置安裝的其他原則設定允許,使用者就可以安裝裝置與更新其驅動程式。

    注意 此原則設定優先于允許使用者安裝裝置的任何其他原則設定。 如果這個原則設定防止使用者安裝某個裝置,即使該裝置符合其他允許安裝該裝置的原則設定,仍然無法安裝該裝置。

  • 防止安裝符合這些裝置安裝類別的驅動程式:

    這個原則設定指定使用者不能安裝之裝置的隨插即用裝置安裝類別 GUID 清單。 如果您啟用此原則設定,使用者就無法安裝或更新屬於任何列出的裝置安裝類別的裝置。 如果您停用或未設定此原則設定,則使用者可以安裝並更新裝置,如裝置安裝的其他原則設定所允許。

    注意 此原則設定優先于允許使用者安裝裝置的任何其他原則設定。 如果這個原則設定防止使用者安裝某個裝置,即使該裝置符合其他允許安裝該裝置的原則設定,仍然無法安裝該裝置。

  • 允許安裝符合上述任何裝置識別碼的裝置。

    這個原則設定指定使用者可以安裝之裝置隨插即用硬體識別碼與相容識別碼的清單。 只有在啟用 [防止安裝其他原則設定] 原則設定 未描述的裝置安裝 時,才會使用此設定,而且不會優先于防止使用者安裝裝置的任何原則設定。 如果您啟用此原則設定,則如果使用者未特別防止安裝 符合這些裝置 識別碼原則設定的裝置,則可以使用符合此清單中識別碼的硬體識別碼或相容識別碼來安裝及更新 任何 裝置, 或 [防止安裝卸載式裝置 ] 原則設定。 如果其他原則設定防止使用者安裝某個裝置,即使該裝置也由這個原則設定中的值所描述,使用者仍然無法安裝該裝置。 如果您停用或未設定此原則設定,且沒有其他原則描述裝置,則 [防止安裝其他原則設定] 原則設定 未描述的裝置 會決定使用者是否可以安裝裝置。

  • 允許使用這些裝置類別的驅動程式來安裝裝置:

    這個原則設定指定描述使用者可安裝之裝置的裝置安裝類別 GUID 清單。 只有在啟用 [防止安裝其他原則設定] 原則設定 未描述的裝置安裝 時,才會使用此設定,而且不會優先于防止使用者安裝裝置的任何原則設定。 如果您啟用此設定,使用者可以安裝及更新任何裝置,其硬體識別碼或相容識別碼符合此清單中的其中一個識別碼,如果該安裝尚未特別防止符合這些裝置識別碼原則設定的裝置安裝,則為 [ 防止安裝符合這些裝置識別碼的 裝置] 原則設定,[ 防止安裝這些裝置類別的裝置 ] 原則設定。 或 [防止安裝卸載式裝置 ] 原則設定。 如果其他原則設定防止使用者安裝某個裝置,即使該裝置也由這個原則設定中的值所描述,使用者仍然無法安裝該裝置。 如果停用或未設定此原則設定,且沒有其他原則設定描述裝置,則 [防止安裝其他原則設定] 原則設定 未描述的裝置 會決定使用者是否可以安裝裝置。

某些這類的原則優先於其他原則。 下面所示的流程圖說明 Windows 如何處理它們,以判斷使用者是否可以安裝裝置,如圖 1 所示 (如下) 。

Bb530324.grouppolicydeviceinstall01 (en-us,MSDN.10) .gif

圖 1. Windows 在判斷使用者是否可以安裝裝置時處理原則的方式

卸除式儲存裝置存取權的群組原則設定

在 Windows Vista 和 Windows Server 2008 中,系統管理員可以套用電腦原則來控制使用者是否可以讀取或寫入具有卸載式媒體的任何裝置。 這些原則可以用於防止敏感性或機密性資料寫入卸除式媒體或是包含卸除式媒體的卸除式裝置,然後帶離辦公室。

您可以在電腦層級套用這些原則設定,使其會影響登入電腦的每個使用者。 您也可以在使用者等級套用,以針對特定使用者帳戶進行限制。 如果您在 Active Directory 環境中使用群組原則,除了將原則設定套用到單一使用者帳戶之外,還可以套用到使用者群組。 群組原則也可以讓您有效地套用這些原則到為數眾多的電腦。 如需如何使用 群組原則 來管理用戶端電腦的詳細資訊,請參閱群組原則

[卸除式儲存裝置存取權] 原則設定同時包括允許系統管理員強制重新開機的設定。 當套用限制原則時,如果裝置正在使用中,在電腦重新啟動之前,原則將無法生效。

原則設定位在兩個地方。 [ 電腦設定\系統管理範本\系統\卸載式存放裝置存取 ] 中找到的原則設定會影響電腦和登入該電腦的每一位使用者。 在[使用者設定\系統管理範本\系統\卸載式儲存體存取] 中找到的原則設定只會影響套用原則設定的使用者,包括使用 Active Directory 套用群組原則時群組。

以下為您可以用來控制卸除式存放裝置磁碟機讀寫存取權的原則簡要說明。 每個裝置類別都支援兩個原則:一個是拒絕讀取存取,另一個是拒絕寫入存取:

  • 強制重新開機) 以秒為單位的時間 (

    設定系統在重新開機以強制變更卸除式儲存裝置存取權之前應等待的時間 (秒)。

    注意 如果未強制重新開機,則在重新開機系統之前,變更將不會生效。

  • CD 和 DVD

    這些原則設定可讓您設定 CD 與 DVD 卸除式儲存裝置類別中,裝置的拒絕讀取存取權或寫入存取權,包括透過 USB 連接的裝置。

  • 自訂類別

    這些原則設定可讓您設定任何裝置的拒絕讀取或寫入存取權,這些裝置的裝置安裝類別 GUID 符合您提供之清單中的項目。

  • 磁片磁碟機

    這些原則設定可讓您設定軟碟機類別中,裝置的拒絕讀取存取權或寫入存取權,包括透過 USB 連接的裝置。

  • 卸載式磁片

    這些原則設定可讓您設定卸除式裝置的拒絕讀取或寫入存取權,不管它們是實體硬碟或模擬硬碟,例如 USB 記憶體磁碟機或外接式 USB 硬碟機。

  • 磁帶機

    這些原則設定可讓您設定磁帶機的拒絕讀取存取權或寫入存取權,包括透過 USB 連接的裝置。

  • WPD 裝置

    這些原則設定可讓您設定 Windows 可攜式裝置類別中,裝置的拒絕讀取存取權或寫入存取權。 這些裝置包括「智慧型」裝置,例如媒體播放機、行動電話、Windows CE 裝置等。

  • 所有卸載式儲存類別:拒絕所有存取

    這個原則設定優先於此清單中的任何其他原則設定,而且如果啟用,將會拒絕任何識別為使用卸除式存放媒體之裝置的讀取與寫入存取權。 如果停用或是沒有設定這個原則設定,則會允許卸除式儲存裝置類別的讀取與寫入存取權,適用這個清單其他原則設定所加諸的任何限制。

完成案例的需求

若要完成每一個案例,您必須具有:

  • 執行 Windows Vista 的用戶端電腦。 本指南將這部電腦稱為 DMI-Client1

  • USB 記憶體磁碟機。 此指南所描述的案例使用 USB 記憶體磁碟機做為範例裝置。 此裝置的作用就像卸載式磁片磁碟機,也稱為「指紋磁片磁碟機」、「快閃磁片磁碟機」或「金鑰磁碟機」。大部分的 USB 記憶體磁片磁碟機不需要任何製造商提供的驅動程式,而且這些裝置會與 Windows Vista 和 Windows Server 2008 提供的驅動程式搭配運作。

    注意 指示假設您的裝置不需要 Windows Vista 和 Windows Server 2008 隨附的驅動程式以外的任何驅動程式。 如果您的裝置需要製造商提供的驅動程式,您必須在 Windows 向您提示時提供驅動程式檔案。 這個步驟沒有包括在案例中。

  • (可省略) CD 或 DVD 燒錄機。 最後一個案例示範如何將具有卸除式媒體的裝置設定為唯讀。 您可以設定電腦原則,而不需要真正擁有 CD 或 DVD 燒錄機。 但是,如果您想確定電腦原則真正有效,則您必須具有 CD 或 DVD 燒錄機才能進行測試。

  • 在 DMI-Client1 上存取受保護的系統管理員帳戶。 本指南會呼叫此帳戶 TestAdmin。 在此指南的程序中,大部分步驟都需要系統管理員特殊權限。 除非另有指示,您必須在每一個程序開始前,利用這個系統管理員帳戶登入 DMI-Client1。

    注意 Windows Vista 和 Windows Server 2008 引進受保護的系統管理員帳戶概念。 這個帳戶是 Administrators 群組的成員,但是預設不直接使用安全性特殊權限。 任何嘗試要執行需提升系統管理員權限的工作,都會產生要求權限以執行工作的對話方塊。 此對話方塊會在 [回應使用者帳戶控制] 頁面一節中討論。 Microsoft 建議您儘可能使用受保護的系統管理員帳戶,而不要使用內建的 Administrator 帳戶。

  • 在 DMI-Client1上存取標準使用者帳戶。 這個使用者帳戶沒有任何授與提高權限的特殊成員資格。 本指南會呼叫此帳戶 TestUser。 當指示您要利用這個帳戶登入電腦時才這樣做。 若使用標準使用者帳戶,嘗試執行需要提升之系統管理員權限的工作時,將會產生對話方塊,其中會要求具有系統管理員特殊權限之帳戶的認證。 此對話方塊會在 [回應使用者帳戶控制] 頁面一節中討論。

先決條件步驟

您必須先知道裝置的裝置識別字串,才能設定允許或防止使用者安裝裝置的原則。 您必須也知道如何完全解除安裝您的 USB 記憶體磁碟機與其關聯驅動程式。 下列程式會將您的電腦設定為成功執行本指南中的案例:

  1. 回應使用者帳戶控制頁面
  2. 判斷您 USB 記憶體磁碟機的裝置識別字串
  3. 解除安裝您的 USB 記憶體磁碟機

回應使用者帳戶控制頁面

此指南中要求您完成的工作,都只能由 Administrators 群組的成員來完成。 在 Windows Vista 和 Windows Server 2008 中,當您嘗試執行需要系統管理員許可權的工作時,會發生下列情況:

  • 如果您利用內建的 Administrator 帳戶登入 (不建議),則操作會繼續。 預設會停用內建的系統管理員帳戶。
  • 如果您是不是內建系統管理員帳戶的 Administrators 群組成員,則會出現 [使用者帳戶控制] 對話方塊,要求繼續許可權。 如果您按一下 [ 繼續],工作會繼續進行。
  • 如果您是使用標準使用者登入,則無法執行該工作。 視工作而定,您可以看到 [使用者帳戶控制] 頁面,以提供系統管理員帳戶的使用者名稱和密碼。 如果您提供正確的認證,則工作將會在您提供之系統管理員帳戶的安全性內容中執行。 如果您無法提供適當的認證,您將無法執行該工作。

重要: 提供認證或許可權來執行任何系統管理工作之前,請確定會顯示 [ 使用者帳戶控制 ] 頁面,以回應您起始的工作。 如果頁面意外出現,請按一下 [ 詳細資料 ] 按鈕,並確定您想要允許的工作。

本指南不會記載您在執行這些程式時會遇到的每個 使用者帳戶控制 對話方塊。 當特殊步驟必須以系統管理員身分執行特定工作時,這些步驟會在指南中說明。

判斷您 USB 記憶體磁碟機的裝置識別字串

依循這些步驟可以判斷裝置的裝置識別字串。 如果您裝置的硬體識別碼與相容識別碼與此指南所顯示的不同,請使用適合您裝置的識別碼。

注意 在下列案例中,您必須安裝並卸載 USB 記憶體磁片磁碟機。 指示假設您的裝置不需要 Windows Vista 和 Windows Server 2008 隨附的驅動程式以外的任何驅動程式。 如果您的裝置需要製造商提供的驅動程式,您必須在 Windows 向您提示時提供驅動程式檔案。 這個步驟沒有包括在案例中。

您可以使用兩種方式判斷裝置的硬體識別碼與相容識別碼。 您可以使用 [裝置管理員] (包含在作業系統中的圖形化工具),或是 DevCon (包含在 Driver Development Kit (DDK) 中可下載的命令列工具)。 使用以下程序檢視 USB 記憶體磁碟機的裝置識別字串。

重要 這些程式專屬於 USB 記憶體磁片磁碟機。 如果您使用不同類型的裝置,您必須對應地調整步驟。 最主要的不同之處在於 [裝置管理員] 階層中裝置的位置。 您必須在適當的節點中找到您的裝置,而不是位於 [磁片磁碟機] 節點中。

使用裝置管理員尋找裝置識別字串

  1. DMI-Client1\TestAdmin身分登入您的電腦。

  2. 插入您的 USB 記憶體磁碟機,然後允許完成安裝。

  3. 若要開啟裝置管理員,請按一下 [開始]按鈕,在 [開始搜尋] 方塊中輸入mmc devmgmt.msc,然後按ENTER鍵。

  4. 如果出現 [使用者帳戶控制] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 [繼續]。

    [裝置管理員] 會啟動並顯示代表在您電腦中偵測到之所有裝置的樹狀目錄。 樹狀結構的頂端是一個節點,其旁邊有您的電腦名稱稱。 較低的節點代表將電腦裝置分組到其中的各種硬體類別。

  5. 按兩下 [磁片磁碟機 ] 以開啟清單。

    Bb530324.grouppolicydeviceinstall02 (en-us,MSDN.10) .gif

    圖 2. 按兩下以開啟 USB 磁片磁碟機

  6. 以滑鼠右鍵按一下 USB 記憶體磁片磁碟機的專案,然後按一下 [ 內容]。 [ 裝置屬性 ] 對話方塊隨即出現。

    Bb530324.grouppolicydeviceinstall03 (en-us,MSDN.10) .gif

    圖 3. USB 磁片磁碟機的 [裝置屬性] 對話方塊隨即出現

  7. 按一下 [詳細資料] 索引標籤。

  8. 在 [ 屬性 ] 清單中,按一下 [硬體識別碼]。

  9. [值] 底下,記下顯示的字串。

    Bb530324.grouppolicydeviceinstall04 (en-us,MSDN.10) .gif

    圖 4. 請記住 USB 磁片磁碟機的 [屬性] 對話方塊中 [值] 底下顯示的字串

    注意: 您可以醒目提示文字,然後按 CTRL-C,將字串複製到剪貼簿。 因為許多硬體識別碼有多個底線字元,所以將識別碼複製到文字檔會很有説明,您可以在必須指定識別碼時貼上該文字檔。 當您必須新增特定識別碼到核准或禁止裝置的清單時,這個方法可大幅降低出錯的機會。

  10. 在 [ 屬性 ] 清單中,按一下 [相容識別碼]。

  11. [值] 底下,記下顯示的字串。

    Bb530324.grouppolicydeviceinstall05 (en-us,MSDN.10) .gif

    圖 5. 請記住 USB 磁片磁碟機的 [屬性] 對話方塊中 [值] 底下顯示的字串

注意 您也可以使用 DevCon 命令列公用程式來判斷裝置識別碼字串。 您可以從「Microsoft 說明及支援」網站下載 DevCon。 如需詳細資訊,請參閱DevCon 命令列公用程式函式作為裝置管理員的替代方案

DevCon

DevCon HwIDs

解除安裝您的 USB 記憶體磁碟機

在平常使用 USB 記憶體磁碟機的狀況中,您可能只是從 USB 連接埠拔掉磁碟機。 但是在此指南中,您還必須解除安裝裝置驅動程式,以確保每個案例都是從合適狀態的電腦中開始。 如果在指示您這樣做時,您沒有解除安裝並移除裝置,下列案例中測試的原則將不會有任何作用,且您將無法得到預期的結果。 當指南中指示您解除安裝並移除裝置時,請全程使用相同步驟。

重要 在您進入最後一個步驟之前,請勿實際中斷裝置與 USB 埠的連線。

解除安裝您的 USB 記憶體磁碟機

  1. 以 DMI-Client1\TestAdmin 身分登入您的電腦。

  2. 若要開啟裝置管理員,請按一下 [開始]按鈕,在 [開始搜尋] 方塊中輸入mmc devmgmt.msc,然後按ENTER鍵。

  3. 如果 [使用者帳戶控制] 對話方塊出現,請確認其顯示的動作是您想要的動作,然後按一下 [ 繼續]。

  4. 以滑鼠右鍵按一下 USB 記憶體磁片磁碟機的專案,然後按一下 [ 卸載]。

    Bb530324.grouppolicydeviceinstall06 (en-us,MSDN.10) .gif

    圖 6. 以滑鼠右鍵按一下以卸載 USB 記憶體磁片磁碟機

  5. 在 [ 確認裝置移除 ] 對話方塊中,按一下 [ 確定 ] 以允許卸載程式完成。

  6. 當 Windows 完成解除安裝程序後,它會從 [裝置管理員] 樹狀目錄移除裝置項目。

  7. 從 USB 連接埠拔下您的 USB 記憶體磁碟機。

防止所有裝置安裝

這個案例說明實作限制最大的設定時所需的標準步驟,其中禁止所有裝置的安裝,且現有裝置不能更新裝置驅動程式。 使用者必須請系統管理員協助才能安裝與使用裝置。 系統管理員仍可以安裝或更新任何所需的裝置。

防止所有裝置安裝的先決條件

若要完成此案例中的程式,您必須卸載 USB 記憶體磁片磁碟機,如本檔稍早卸載 USB 記憶體磁片磁碟機一節中所述。

防止所有裝置安裝的步驟

  1. 設定原則以防止任何裝置的安裝
  2. 設定原則以允許系統管理員覆寫裝置安裝限制
  3. 以使用者身分測試限制設定的效果

設定原則以防止任何裝置的安裝

設定防止安裝或更新任何裝置的原則

  1. DMI-Client1\TestAdmin身分登入您的電腦。

  2. 若要開啟 [群組原則物件編輯器],請按一下 [開始]按鈕,在 [開始搜尋] 方塊中輸入mmc gpedit.msc,然後按ENTER鍵。

  3. 如果 [使用者帳戶控制] 對話方塊出現,請確認其顯示的動作是您想要的動作,然後按一下 [ 繼續]。

  4. 在 [群組原則物件編輯器] 流覽窗格中,按兩下 [電腦設定] 將其開啟。 然後開啟 [系統管理範本],開啟 [系統],開啟 [裝置安裝],然後開啟 [裝置安裝限制]。

    Bb530324.grouppolicydeviceinstall07 (en-us,MSDN.10) .gif

    圖 7. 群組原則 [物件編輯器] 流覽窗格

  5. 在詳細資料窗格中,以滑鼠右鍵按一下 [防止安裝其他原則設定未描述的裝置],然後按一下 [內容]。

  6. 會顯示具有目前設定的原則對話方塊。

  7. 在 [ 設定] 索引標籤上,按一下 [ 已啟用] 以開啟原則。

  8. 按一下[確定] 儲存您的設定,並返回 [群組原則物件編輯器]。

設定原則以允許系統管理員覆寫裝置安裝限制

下一個原則可讓系統管理員覆寫其他裝置安裝原則設定加諸的限制,包括您剛剛啟用的原則。

設定原則以允許系統管理員覆寫裝置安裝限制

  1. 在詳細資料窗格中,以滑鼠右鍵按一下[允許系統管理員覆寫裝置安裝原則],然後按一下 [內容]。

  2. 會顯示具有目前設定的原則對話方塊。

  3. 在 [ 設定] 索引標籤上,按一下 [ 已啟用] 以開啟原則設定。

  4. 按一下[確定] 儲存您的設定,並返回 [群組原則物件編輯器]。

  5. 兩個原則的狀態現在已經顯示為已啟用。

    Bb530324.grouppolicydeviceinstall08s (en-us,MSDN.10) .gif

    圖 8. 這兩個原則都會將其狀態顯示為已啟用

以使用者身分測試限制設定的效果

在兩個原則都已啟用的情況下,您可以將它們套用到電腦中,並嘗試安裝裝置,以檢查限制是否生效。

以使用者身分測試限制設定的效果

  1. 如果您的裝置已安裝,請依照本檔稍早卸載 USB 記憶體磁片磁碟機一節中的步驟卸載並移除它。

  2. 按一下 [ 開始] 按鈕,在 [開始搜尋] 方塊中輸入 gpupdate /force ,然後按 ENTER鍵。

  3. 當 GPUdate 命令完成時,請登出您的電腦,然後以 DMI-Client1\TestUser身分登入。

  4. 若要開啟裝置管理員,請按一下 [開始]按鈕,在 [開始搜尋] 方塊中輸入mmc devmgmt.msc,然後按ENTER鍵。

  5. 會出現下列訊息,指出您沒有權限可以在 [裝置管理員] 進行任何變更。

    Bb530324.grouppolicydeviceinstall09 (en-us,MSDN.10) .gif

    圖 9. 會出現一則訊息,指出您沒有許可權

  6. 按一下 [確定 ] 確認訊息。 (裝置管理員將會啟動,而且您可以在 computer 中檢視裝置。)

  7. 插入您的 USB 記憶體磁碟機。

  8. 安裝順利完成之前,裝置會出現在 [其他裝置] 節點下的 [裝置管理員]。

    Bb530324.grouppolicydeviceinstall10 (en-us,MSDN.10) .gif

    圖 10. 裝置會出現在其他裝置底下,直到安裝完成為止

  9. 因為您是以不具系統管理權限的標準使用者身分登入,所以裝置安裝現在是受限制的,會出現下列對話方塊:

    Bb530324.grouppolicydeviceinstall11 (en-us,MSDN.10) .gif

    圖 11. 以沒有系統管理許可權的標準使用者身分登入時出現的對話方塊

  10. 若要模擬典型的使用者回應,請按一下 [尋找 並安裝驅動程式軟體 (建議) 。

  11. [ 使用者帳戶控制 ] 對話方塊的變體隨即出現,要求您提供具有系統管理員許可權之帳戶的使用者名稱和密碼。

  12. 因為使用者不會提供系統管理員認證,所以按一下 [ 取消 ] 以在使用者執行時中止嘗試。

  13. 設備磁碟機安裝失敗,且裝置會保留在 [其他裝置 ] 節點之下,且無法運作。

    Bb530324.grouppolicydeviceinstall12 (en-us,MSDN.10) .gif

    圖 12. 裝置安裝失敗,且裝置無法運作

僅允許使用者安裝授權的裝置

此案例是以第一個案例為基礎,防止安裝所有裝置,而您無法在其中安裝任何裝置。 在這個案例中,您新增允許的裝置清單到原則中,並加入您 USB 記憶體磁碟機的硬體識別碼。

僅允許使用者安裝授權之裝置的先決條件

若要完成這項工作,您必須先完成第一個案例中的所有步驟:防止安裝所有裝置。

僅允許使用者安裝授權之裝置的步驟

在本節中,您會藉由建立授權裝置清單,將允許的裝置新增至 [防止安裝所有裝置] 中加總的限制。

  1. 建立授權裝置的清單
  2. 測試授權裝置的效果

建立授權裝置的清單

建立核准的裝置清單

  1. DMI-Client1\TestAdmin身分登入您的電腦。

  2. 如果您的裝置目前已安裝,請依照本檔稍早卸載 USB 記憶體磁片磁碟機一節中的步驟卸載並移除它。

  3. 若要開啟 [群組原則物件編輯器],請按一下 [開始]按鈕,在 [開始搜尋] 方塊中輸入mmc gpedit.msc,然後按ENTER鍵。

  4. 在 [群組原則物件編輯器] 流覽窗格中,按兩下 [電腦設定] 將其開啟。 然後開啟 [系統管理範本],開啟 [系統],開啟 [裝置安裝],然後開啟 [裝置安裝限制]。

  5. 在詳細資料窗格中,以滑鼠右鍵按一下 [ 允許安裝符合這些裝置識別碼的裝置],然後按一下 [ 內容]。

  6. 會顯示具有目前設定的原則對話方塊。

  7. 在 [設定] 索引標籤上,按一下 [ 已啟用] 以開啟此原則。

    Bb530324.grouppolicydeviceinstall13 (en-us,MSDN.10) .gif

    圖 13. 按一下 [已啟用] 以開啟原則

  8. 按一下 [顯示 ] 以檢視 [顯示內容] 對話方塊中允許的裝置清單。 (根據預設,清單是空的。)

  9. 按一下 [新增 ] 以開啟 [新增專案] 對話方塊。

  10. 輸入裝置的裝置識別碼 (第一個硬體識別碼)。

    Bb530324.grouppolicydeviceinstall14 (en-us,MSDN.10) .gif

    圖 14. 輸入 USB 裝置的裝置識別碼

  11. 按一下 [確定 ] 返回 [顯示內容] 對話方塊。 您的裝置現在會出現在清單中。

    Bb530324.grouppolicydeviceinstall15 (en-us,MSDN.10) .gif

    圖 15. 裝置現在已核准安裝

  12. 按一下 [確定 ] 返回原則對話方塊,然後按一下 [ 確定 ] 以儲存新的原則設定。

測試授權裝置的清單

在原則已啟用的情況下,您可以將它們套用到電腦,並嘗試安裝裝置。

測試授權裝置的清單

  1. 按一下 [ 開始] 按鈕,在 [開始搜尋] 方塊中輸入 gpupdate/force ,然後按 ENTER鍵。

  2. gpudate 命令完成時,登出您的電腦,然後以 DMI-Client1\TestUser身分登入。

  3. 若要開啟裝置管理員,請按一下 [開始]按鈕,在 [開始搜尋] 方塊中輸入mmc devmgmt.msc,然後按ENTER鍵。

  4. 會出現下列訊息,指出您沒有權限可以在 [裝置管理員] 進行任何變更。

    Bb530324.grouppolicydeviceinstall16s (en-us,MSDN.10) .gif

    圖 16. 會出現一則訊息,指出您沒有許可權

  5. 按一下 [確定] 以關閉訊息。 裝置管理員將會啟動,而且您可以在電腦中檢視裝置。

  6. 插入您的 USB 記憶體磁碟機。

  7. 裝置會出現在 [裝置管理員] 的 [其他裝置] 節點之下,直到 Windows 完成安裝。

    Bb530324.grouppolicydeviceinstall17 (en-us,MSDN.10) .gif

    圖 17. 裝置會出現在 [其他裝置] 底下,直到安裝完成為止

  8. 當 Windows 完成安裝之後,裝置會移動到 [裝置管理員] 中 [磁碟機] 節點內,而且可以完整運作。

    Bb530324.grouppolicydeviceinstall18 (en-us,MSDN.10) .gif

    圖 18. 安裝完成後,裝置將會完全正常運作

防止禁止裝置的安裝

這個案例展示另一種控制裝置安裝的方法。 在前兩個案例中,您防止所有裝置的安裝,但授權裝置清單中所允許的裝置除外。 在這個案例中,除了禁止裝置的清單之外,您允許所有裝置的安裝。 您也會移除在前兩個案例中針對系統管理員建立的例外項目,因此即使是系統管理員也會受到原則影響。

防止禁止裝置安裝的先決條件

如果您已完成 [防止安裝所有裝置] 和 [允許使用者只安裝授權裝置] 中的步驟,您必須使用下列步驟停用這些原則:

  • 啟用所有裝置的安裝。
  • 移除 Administrators 群組成員的例外項目以允許裝置安裝。
  • 從核准的裝置清單中移除硬體識別碼。

啟用所有裝置的安裝

  1. DMI-Client1\TestAdmin身分登入您的電腦。
  2. 若要開啟 [群組原則物件編輯器],請按一下 [開始]按鈕,在 [開始搜尋] 方塊中輸入mmc gpedit.msc,然後按ENTER鍵。
  3. 在 [群組原則物件編輯器] 流覽窗格中,按兩下 [電腦設定] 將其開啟。 然後開啟 [系統管理範本],開啟 [系統],開啟 [裝置安裝],然後開啟 [裝置安裝限制]。
  4. 在詳細資料窗格中,以滑鼠右鍵按一下節點 [防止安裝其他原則設定未描述的裝置],然後按一下 [ 內容]。
  5. 會顯示具有目前設定的原則對話方塊。
  6. 按一下 [已停用 ] 以關閉原則設定。
  7. 按一下[確定] 儲存您的設定,並返回 [群組原則物件編輯器]。

下一步是移除授與 Administrators 群組成員例外項目的原則。

從群組原則限制移除系統管理員例外項目

  1. 在 [群組原則物件編輯器] 中,以滑鼠右鍵按一下[允許系統管理員覆寫裝置安裝原則],然後按一下 [內容]。
  2. 會顯示具有目前設定的原則對話方塊。
  3. 在 [設定] 索引標籤上,按一下 [ 已停用 ] 以關閉原則設定。
  4. 按一下[確定] 儲存您的設定,並返回 [群組原則物件編輯器]。

下一步是移除您在第二個案例中建立之授權裝置清單中的硬體識別碼。

移除授權裝置清單中的硬體識別碼

  1. 在 [群組原則物件編輯器] 中,以滑鼠右鍵按一下[允許安裝符合這些裝置識別碼的裝置],然後按一下 [屬性]。 會顯示具有目前設定的原則對話方塊。
  2. 在 [設定] 索引標籤上,按一下 [ 顯示 ] 以檢視授權裝置的清單。
  3. 在 [顯示內容] 對話方塊中,選取 USB 記憶體磁片磁碟機的名稱,然後按一下 [ 移除]。 Windows 會從清單中移除您的裝置。
  4. 按一下 [確定 ] 關閉 [顯示內容] 對話方塊,並返回原則對話方塊。
  5. 按一下 [已停用 ] 以關閉原則設定。
  6. 按一下[確定] 以儲存您的變更,並返回群組原則物件編輯器。

防止禁止裝置安裝的步驟

為防止使用者安裝特定裝置,您可以建立禁止裝置的清單。 在本節中,您將:

  1. 建立禁止裝置的清單
  2. 測試禁止裝置的清單

建立禁止裝置的清單

建立禁止裝置的清單

  1. 如果裝置目前已安裝,請依照本檔稍早卸載 USB 記憶體磁片磁碟機一節中的步驟卸載並移除它。

  2. 以 DMI-Client1\TestAdmin 身分登入您的電腦。

  3. 如果尚未執行,請啟動群組原則物件編輯器。 若要這樣做,請按一下 [開始] 按鈕,在 [開始搜尋] 方塊中輸入 mmc gpedit.msc,然後按 ENTER 鍵。

  4. 在樹狀目錄中,按兩下 [電腦設定] 以開啟它。 接著,依序開啟 [系統管理範本]、[系統]、[裝置安裝] 及 [裝置安裝限制]。

  5. 在詳細資料窗格中,在 [防止安裝符合這些裝置識別碼的裝置] 上按一下滑鼠右鍵,然後按一下 [內容]。 會顯示具有目前設定的原則對話方塊。

  6. 在 [設定] 索引標籤中,按一下 [已啟用] 以開啟這個原則。

    Bb530324.grouppolicydeviceinstall19 (en-us,MSDN.10) .gif

    圖 19. 按一下 [已啟用] 以啟用原則

  7. 按一下 [ 顯示 ] 以檢視禁止的裝置清單。

  8. 在 [顯示內容] 對話方塊中,按一下 [ 新增]。

  9. 在 [ 新增專案 ] 對話方塊中,輸入裝置識別碼 (您為裝置找到的第一個硬體識別碼) 。

  10. 按一下 [確定 ] 返回 [顯示內容] 對話方塊。

  11. 您的裝置現在會出現在清單中。

    Bb530324.grouppolicydeviceinstall20 (en-us,MSDN.10) .gif

    圖 20. 現在禁止安裝此裝置

  12. 按一下 [確定 ] 返回原則對話方塊,然後按一下 [ 確定 ] 以儲存新的原則設定。

測試禁止裝置的清單

現在您可以嘗試安裝裝置。 您可以安裝其他裝置,因為原則現在已經不再禁止安裝,但即使您以 Administrators 群組成員的身分登入,也不能安裝這個特定裝置。

測試禁止裝置的清單

  1. 按一下 [ 開始] 按鈕,在 [開始搜尋] 方塊中輸入 gpupdate /force ,然後按 ENTER

  2. 當 gpudate 命令完成時,請關閉命令提示字元。

  3. 若要開啟裝置管理員,請按一下 [開始]按鈕,在 [開始搜尋] 方塊中輸入mmc devmgmt.msc,然後按ENTER

  4. 插入您的 USB 記憶體磁碟機。

  5. 裝置會出現在 [其他裝置] 節點下的裝置管理員。

  6. 安裝並未完成,且裝置無法運作。

    Bb530324.grouppolicydeviceinstall21 (en-us,MSDN.10) .gif

    圖 21. 安裝不會完成,且裝置將無法運作

  7. Windows 會在通知區域顯示訊息,說明安裝失敗的原因:

    Bb530324.grouppolicydeviceinstall22 (en-us,MSDN.10) .gif

    圖 22. 會出現一則訊息,指出安裝失敗的原因

  8. 您可以嘗試手動安裝裝置的驅動程式以略過這個限制。 以滑鼠右鍵按一下裝置,然後按一下 [更新驅動程式軟體]。

  9. 作業系統會提示您提供裝置的裝置驅動程式。

    Bb530324.grouppolicydeviceinstall23 (en-us,MSDN.10) .gif

    圖 23. 會出現設備磁碟機的提示

  10. 若要模擬使用者可能嘗試的內容,請按一下 [自動搜尋更新的驅動程式軟體]。

  11. 會出現一個訊息說明 Windows 發現驅動程式但是無法安裝。 最後一個段落解釋因為被您建立的原則所阻止,所以安裝嘗試失敗。

    Bb530324.grouppolicydeviceinstall24 (en-us,MSDN.10) .gif

    圖 24. 對話方塊將說明安裝失敗的原因

控制卸除式媒體的讀取與寫入權限

此案例示範如何在執行 Windows Vista 和 Windows Server 2008 的電腦上控制卸載式裝置或使用抽取式媒體的可移動裝置或裝置的讀取或寫入存取權。 在此案例中,您會設定電腦原則,讓您的 USB 記憶體磁片磁碟機唯讀。 您也會設定電腦原則,讓任何 CD 或 DVD 光燈附加至您的電腦唯讀,實際上會停用消耗功能。

控制卸除式媒體讀取與寫入權限的先決條件

在您嘗試這個本節中的程序之前,必須先停用防止安裝 USB 記憶體磁碟機的原則。

停用防止安裝 USB 記憶體磁碟機的原則

  1. 如果裝置目前已安裝,請依照本檔稍早卸載 USB 記憶體磁片磁碟機一節中的步驟卸載並移除它。
  2. 在 [群組原則物件編輯器] 的詳細資料窗格中,以滑鼠右鍵按一下[防止安裝符合這些裝置識別碼的裝置],然後按一下 [屬性]。
  3. [原則] 對話方塊會顯示為目前的設定。
  4. 在 [設定] 索引標籤上,按一下 [ 顯示 ] 以檢視禁止的裝置清單。
  5. 在 [顯示內容] 對話方塊中,按一下您的 USB 記憶體磁片磁碟機,按一下 [ 移除],然後按一下 [ 確定]。
  6. 在 [設定] 索引標籤上,按一下 [已停用 ] 以關閉此原則設定。
  7. 按一下 [確定 ] 以儲存您的變更。

控制卸除式媒體讀取與寫入權限的步驟

  1. 設定電腦原則以拒絕特定卸除式裝置類別的寫入存取權
  2. 測試您的電腦原則設定

設定電腦原則以拒絕特定卸除式裝置類別的寫入存取權

您在這個程序中設定的原則將會阻擋許多卸除式儲存裝置的寫入存取權。 但是,因為特定裝置製造商與型號的不同,實際阻擋裝置寫入存取權的電腦原則可能有異。 您也可以使用 自訂類別 原則,但需要您識別特定裝置的裝置安裝類別 GUID。

拒絕特定卸除式裝置類別的寫入存取權

  1. 在 [群組原則物件編輯器] 流覽窗格中,開啟[電腦設定],然後開啟 [系統管理範本]、[系統],然後開啟[卸載式存放裝置存取]。
  2. 以滑鼠右鍵按一下 CD 和 DVD:拒絕寫入存取權,然後按一下 [ 內容]。
  3. 在 [屬性] 對話方塊中,按一下 [ 已啟用 ] 以開啟限制,然後按一下 [ 確定]。
  4. 針對下列電腦原則重複步驟 2 與 3:
    • 卸載式磁片:拒絕寫入存取
    • 磁片磁碟機:拒絕寫入存取
    • WPD 裝置:拒絕寫入存取
  5. 關閉群組原則物件編輯器。

測試您的電腦原則設定

如果裝置正在使用中,則寫入存取權限制原則無法立即強制套用。 若要套用電腦原則,請重新啟動電腦。

測試您的電腦原則設定

  1. 按一下 [ 開始] 按鈕,在 [開始搜尋] 方塊中輸入 gpupdate /force ,然後按 ENTER

  2. 當 gpudate 命令完成後,請重新啟動您的電腦。

  3. DMI-Client1\TestAdmin身分登入您的電腦。

  4. 插入您的 USB 記憶體磁碟機,然後等候 Windows 通知您 USB 記憶體磁碟機已經可以運作。

  5. 按一下 [開始],按一下 [ 電腦],然後按兩下您的 USB 記憶體磁片磁碟機。

  6. 在 Windows 檔案總管中,以滑鼠右鍵按一下詳細資料窗格的開啟區域,按一下 [ 新增],然後按一下 [ 資料夾]。

  7. Windows 會顯示錯誤訊息,說明建立資料夾失敗的原因。

    Bb530324.grouppolicydeviceinstall25 (en-us,MSDN.10) .gif

    圖 25. 錯誤訊息將說明嘗試建立資料夾失敗的原因

  8. 按一下 [繼續 ] 嘗試解決限制。

  9. 如果 [使用者帳戶控制] 對話方塊出現,請確認其顯示的動作是您想要的動作,然後按一下 [ 繼續]。

  10. Windows 會顯示第二個訊息說明無法寫入資料夾的原因。

    Bb530324.grouppolicydeviceinstall26 (en-us,MSDN.10) .gif

    圖 26. 第二個錯誤訊息會指出不允許寫入權限的原因

結論

在此指南中,您使用範例裝置在實驗室環境中,學習如何控制您的使用者是否可以安裝裝置。 您也學到如何限制卸除式儲存裝置或使用卸除式媒體之裝置的存取權。 利用這種方式控制裝置的安裝與使用可以加強安全性,並透過限制使用者只能安裝組織核准與支援的裝置,強化支援服務中心的效能。 示範這些設定的案例包括:

  • 防止安裝所有裝置。

    在這個案例中,您防止標準使用者安裝任何裝置,但是允許系統管理員安裝或更新裝置。

  • 允許使用者只安裝授權的裝置。

    在這個案例中,您只允許標準使用者安裝授權裝置清單中所列的裝置。

  • 僅防止禁止裝置的安裝。

    在這個案例中,您允許標準使用者安裝大多數的裝置,但是僅防止他們安裝禁止裝置清單中所列的裝置。

  • 控制卸載式媒體儲存裝置的使用。

    在這個案例中,您防止標準使用者寫入資料到卸除式存放裝置或使用卸除式媒體的裝置,例如 USB 記憶體磁碟機或 CD 與 DVD 燒錄機。

其他資源

如需裝置安裝的相關資訊,請參閱:

如需 DevCon 工具的相關資訊,請參閱:

如需 Windows Vista 使用者帳戶控制的相關資訊,請參閱:

如需群組原則的相關資訊,請參閱:

記錄錯誤與意見反應

歡迎您提供意見。 如果內含的案例無法如指南所述正常運作,或是無法達到您想使用這些技術完成的功能,請告訴我們。 我們會利用您提供的意見,加強此份文件的品質。 將此檔的批註傳送至 Vista 意見反應 (vistafb@microsoft.com) 。

如需 Windows Vista 的意見反應,請使用 Windows Vista 網頁 https://www.microsoft.com/windowsvista 底部的 [與我們連絡] 連結。