Compartilhar via

Guia passo a passo para controlar a instalação do dispositivo usando Política de Grupo

  • Artigo

 

Dave Bishop

Atualizado em junho de 2007

Resumo: Usando os sistemas operacionais Windows Server 2008 e Windows Vista, os administradores podem determinar quais dispositivos podem ser instalados nos computadores que gerenciam. O guia resume o processo de instalação do dispositivo e demonstra várias técnicas para controlar a instalação do dispositivo. (34 páginas impressas.)

Sumário

Introdução
   Quem deve usar este guia?
   Benefícios de controlar a instalação do dispositivo usando Política de Grupo
Visão geral do cenário
Revisão de tecnologia
   Instalação do dispositivo no Windows
   configurações de Política de Grupo para instalação do dispositivo
   Política de Grupo configurações para acesso ao armazenamento removível
Requisitos para concluir os cenários
   Procedimentos de pré-requisito
Impedir a instalação de todos os dispositivos
   Pré-requisitos para impedir a instalação de todos os dispositivos
   Etapas para impedir a instalação de todos os dispositivos
Permitir que os usuários instalem apenas dispositivos autorizados
   Pré-requisitos para permitir que os usuários instalem apenas dispositivos autorizados
   Etapas para permitir que os usuários instalem apenas dispositivos autorizados
Impedir a instalação de dispositivos proibidos
   Pré-requisitos para impedir a instalação de dispositivos proibidos
   Etapas para impedir a instalação de dispositivos proibidos
Controlar permissões de leitura e gravação na mídia removível
   Pré-requisitos para controlar permissões de leitura e gravação em mídia removível
   Etapas para controlar permissões de leitura e gravação em mídia removível
Conclusão
Recursos adicionais
Registrar bugs e comentários em log

Introdução

Este guia passo a passo descreve como você pode controlar a instalação do dispositivo nos computadores que você gerencia, incluindo designar quais dispositivos os usuários podem ou não instalar. Especificamente, no Windows Server 2008 e no Windows Vista, você pode aplicar a política de computador a:

  • Impedir que os usuários instalem qualquer dispositivo.
  • Permitir que os usuários instalem apenas dispositivos que estão em uma lista "aprovada". Se um dispositivo não estiver na lista, o usuário não poderá instalá-lo.
  • Impedir que os usuários instalem dispositivos que estão em uma lista "proibida". Se um dispositivo não estiver na lista, o usuário poderá instalá-lo.
  • Negar acesso de leitura ou gravação aos usuários para dispositivos que são removíveis ou que usam mídia removível, como queimadores de CD e DVD, unidades de disquete, discos rígidos externos e dispositivos portáteis, como players de mídia, telefones inteligentes ou dispositivos Pocket PC.

Este guia descreve o processo de instalação do dispositivo e apresenta as cadeias de caracteres de identificação que o Windows usa para corresponder um dispositivo com os pacotes de driver de dispositivo disponíveis em um computador. O guia também ilustra três métodos de controle da instalação do dispositivo. Cada cenário mostra, passo a passo, um método que você pode usar para permitir ou impedir a instalação de um dispositivo específico ou de uma classe de dispositivos. O quarto cenário mostra como negar acesso de leitura ou gravação aos usuários para dispositivos removíveis ou que usam mídia removível.

O dispositivo de exemplo usado nos cenários é um dispositivo de armazenamento USB. Você pode executar as etapas neste guia usando um dispositivo diferente. No entanto, se você usar um dispositivo diferente, as instruções no guia não corresponderão exatamente à interface do usuário exibida no computador.

Importante As etapas fornecidas neste guia destinam-se ao uso em um ambiente de laboratório de teste. Este guia passo a passo não deve ser usado para implantar recursos do Windows Server sem a documentação que acompanha e deve ser usado com discrição como um documento autônomo.

Quem deve usar este guia?

Este guia destina-se aos seguintes públicos:

  • Planejadores e analistas de tecnologia da informação que estão avaliando o Windows Vista e o Windows Server 2008
  • Designers e planejadores de tecnologia da informação corporativa
  • Arquitetos de segurança responsáveis por implementar a computação confiável em sua organização
  • Administradores que desejam se familiarizar com a tecnologia

Benefícios de controlar a instalação do dispositivo usando Política de Grupo

Restringir os dispositivos que os usuários podem instalar oferece os seguintes benefícios:

Reduzir o risco de roubo de dados

  • É mais difícil para os usuários fazer cópias não autorizadas de dados da empresa se os computadores dos usuários não puderem instalar dispositivos não aprovados que dão suporte à mídia removível. Por exemplo, se os usuários não puderem instalar um dispositivo CD-R, eles não poderão gravar cópias de dados da empresa em um CD gravável. Esse benefício não pode eliminar o roubo de dados, mas cria outra barreira à remoção não autorizada de dados. Você também pode reduzir o risco de roubo de dados usando Política de Grupo para negar acesso de gravação aos usuários para dispositivos removíveis ou que usam mídia removível. Você pode conceder acesso por grupo ao usar Política de Grupo.

Reduzir custos de suporte

  • Você pode garantir que os usuários instalem apenas os dispositivos que seu suporte técnico está treinado e equipado para dar suporte. Esse benefício reduz os custos de suporte e a confusão do usuário.

Visão geral do cenário

Os cenários apresentados neste guia ilustram como você pode controlar a instalação e o uso do dispositivo nos computadores que você gerencia. Os cenários usam Política de Grupo em um computador local para simplificar o uso dos procedimentos em um ambiente de laboratório. Em um ambiente em que você gerencia vários computadores cliente, você deve aplicar essas configurações usando Política de Grupo implantadas pelo Active Directory. Com Política de Grupo implantado pelo Active Directory, você pode aplicar configurações a todos os computadores que são membros de um domínio ou uma unidade organizacional em um domínio. Para obter mais informações sobre como usar Política de Grupo para gerenciar seus computadores cliente, consulte Política de Grupo no site da Microsoft.

Veja a seguir as descrições dos cenários apresentados neste guia:

  • Impedir a instalação de todos os dispositivos

    Nesse cenário, o administrador deseja impedir que os usuários padrão instalem qualquer dispositivo, mas permitem que os administradores instalem ou atualizem dispositivos. Para concluir esse cenário, você configura duas políticas de computador. A primeira política de computador impede que todos os usuários instalem dispositivos e a segunda política isenta os administradores das restrições.

  • Permitir que os usuários instalem apenas dispositivos autorizados

    Nesse cenário, o administrador deseja permitir que os usuários instalem apenas os dispositivos incluídos em uma lista de dispositivos autorizados. Esse cenário se baseia no primeiro cenário e, portanto, você deve concluir o primeiro cenário antes de tentar esse cenário. Para concluir esse cenário, você cria uma lista de dispositivos autorizados para que os usuários possam instalar apenas os dispositivos especificados.

  • Impedir a instalação apenas de dispositivos proibidos

    Nesse cenário, o administrador deseja permitir que os usuários padrão instalem a maioria dos dispositivos, mas impedir que eles instalem dispositivos incluídos em uma lista de dispositivos proibidos. Para concluir esse cenário, você deve remover as políticas criadas nos dois primeiros cenários. Depois de remover essas políticas, você cria uma lista de dispositivos proibidos para que os usuários possam instalar qualquer dispositivo, exceto aqueles que você especificar.

  • Controlar o uso de dispositivos de armazenamento de mídia removíveis

    Nesse cenário, o administrador deseja impedir que os usuários padrão gravem dados em dispositivos de armazenamento removíveis ou dispositivos com mídia removível, como uma unidade de memória USB ou um gravador de CD ou DVD. Para concluir esse cenário, você configura uma política de computador para permitir o acesso de leitura, mas nega o acesso de gravação ao dispositivo de exemplo e a qualquer dispositivo de gravação de CD ou DVD no computador.

Revisão de tecnologia

As seções a seguir fornecem uma breve visão geral das principais tecnologias discutidas neste guia.

Instalação do dispositivo no Windows

Um dispositivo é uma parte do hardware com a qual o Windows interage para executar alguma função. O Windows pode se comunicar com um dispositivo somente por meio de um software chamado driver de dispositivo. Para instalar um driver de dispositivo, o Windows detecta o dispositivo, reconhece seu tipo e localiza o driver de dispositivo que corresponde a esse tipo.

O Windows usa dois tipos de identificadores para controlar a instalação e a configuração do dispositivo. Você pode usar as configurações de Política de Grupo no Windows Vista e no Windows Server 2008 para especificar quais desses identificadores permitir ou bloquear.

Os dois tipos de identificadores são:

  • Cadeias de caracteres de identificação do dispositivo
  • Classes de configuração de dispositivo

Cadeias de caracteres de identificação do dispositivo

Quando o Windows detecta um dispositivo que nunca foi instalado no computador, o sistema operacional consulta o dispositivo para recuperar sua lista de cadeias de caracteres de identificação do dispositivo. Um dispositivo geralmente tem várias cadeias de caracteres de identificação de dispositivo, que o fabricante do dispositivo atribui. As mesmas cadeias de caracteres de identificação do dispositivo são incluídas no arquivo .inf que faz parte do pacote de driver do dispositivo. O Windows escolhe qual pacote de driver de dispositivo instalar correspondendo as cadeias de caracteres de identificação do dispositivo recuperadas do dispositivo com aquelas incluídas com os pacotes de driver.

O Windows pode usar cada cadeia de caracteres para corresponder um dispositivo a um pacote de driver. As cadeias de caracteres variam do muito específico, correspondendo a uma única make e modelo de um dispositivo, até o muito geral, possivelmente aplicando-se a uma classe inteira de dispositivos. Há dois tipos de cadeias de caracteres de identificação do dispositivo: IDs de hardware e IDs compatíveis.

Hardware IDs

IDs de hardware são os identificadores que fornecem a correspondência mais exata entre um dispositivo e um pacote de driver. A primeira cadeia de caracteres na lista de IDs de hardware é chamada de ID do dispositivo, pois corresponde à marca, modelo e revisão exatas do dispositivo. As outras IDs de hardware na lista correspondem exatamente aos detalhes do dispositivo. Por exemplo, uma ID de hardware pode identificar a criação e o modelo do dispositivo, mas não a revisão específica. Esse esquema permite que o Windows use um driver para uma revisão diferente do dispositivo, se o driver para a revisão correta não estiver disponível.

IDs compatíveis

O Windows usa esses identificadores para selecionar um driver de dispositivo se o sistema operacional não conseguir encontrar uma correspondência com a ID do dispositivo ou qualquer uma das outras IDs de hardware. As IDs compatíveis são listadas na ordem de diminuição da adequação. Essas cadeias de caracteres são opcionais e, quando fornecidas, são muito genéricas, como Disco. Quando uma correspondência é feita usando uma ID compatível, normalmente você pode usar apenas as funções mais básicas do dispositivo.

Quando você instala um dispositivo, como uma impressora, um dispositivo de armazenamento USB ou um teclado, o Windows procura pacotes de driver que correspondam ao dispositivo que você está tentando instalar. Durante essa pesquisa, o Windows atribui uma "classificação" a cada pacote de driver descoberto com pelo menos uma correspondência com um hardware ou ID compatível. A classificação indica o quão bem o driver corresponde ao dispositivo. Números de classificação mais baixos indicam melhores correspondências entre o driver e o dispositivo. Uma classificação de zero representa a melhor correspondência possível. Uma correspondência com a ID do dispositivo para uma no pacote de driver resulta em uma classificação mais baixa (melhor) do que uma correspondência com uma das outras IDs de hardware. Da mesma forma, uma correspondência a uma ID de hardware resulta em uma classificação melhor do que uma correspondência com qualquer uma das IDs compatíveis. Depois que o Windows classifica todos os pacotes de driver, ele instala aquele com a classificação geral mais baixa. Para obter mais informações sobre o processo de classificação e seleção de pacotes de driver, consulte How Setup Selects Drivers in the Biblioteca MSDN.

Nota Para obter mais informações sobre o processo de instalação do driver de dispositivo, consulte a seção "Revisão de tecnologia" do Guia passo a passo para assinatura e preparo do driver de dispositivo.

Alguns dispositivos físicos criam um ou mais dispositivos lógicos quando são instalados. Cada dispositivo lógico pode lidar com parte da funcionalidade do dispositivo físico. Por exemplo, um dispositivo de várias funções, como um scanner/fax/impressora all-in-one, pode ter uma cadeia de caracteres de identificação de dispositivo diferente para cada função.

Ao usar a DMI para permitir ou impedir a instalação de um dispositivo que usa dispositivos lógicos, você deve permitir ou impedir todas as cadeias de caracteres de identificação do dispositivo para esse dispositivo. Por exemplo, se um usuário tentar instalar um dispositivo multifuncional e você não permitir ou impedir todas as cadeias de caracteres de identificação para dispositivos físicos e lógicos, você poderá obter resultados inesperados da tentativa de instalação. Para obter informações mais detalhadas sobre IDs de hardware, consulte Cadeias de caracteres de identificação de dispositivo no Biblioteca MSDN.

Classes de configuração de dispositivo

Classes de configuração de dispositivo são outro tipo de cadeia de caracteres de identificação. O fabricante atribui a classe de configuração do dispositivo a um dispositivo no pacote de driver do dispositivo. A classe de configuração do dispositivo agrupa dispositivos que são instalados e configurados da mesma maneira. Por exemplo, todas as unidades de CD pertencem à classe de configuração do dispositivo CDROM e usam o mesmo co-instalador quando instaladas. Um número longo chamado GUID (identificador global exclusivo) representa cada classe de configuração do dispositivo. Quando o Windows é iniciado, ele cria uma estrutura de árvore na memória com os GUIDs para todos os dispositivos detectados. Junto com o GUID para a classe de configuração do dispositivo do próprio dispositivo, talvez o Windows precise inserir na árvore o GUID da classe de configuração do dispositivo do barramento ao qual o dispositivo está anexado.

Ao usar classes de configuração de dispositivo para permitir ou impedir que os usuários instalem drivers de dispositivo, você deve especificar os GUIDs para todas as classes de configuração de dispositivo do dispositivo ou talvez não obtenha os resultados desejados. A instalação pode falhar (se você quiser que ela seja bem-sucedida) ou pode ter êxito (se você quiser que ela falhe).

Por exemplo, um dispositivo de várias funções, como um scanner/fax/impressora all-in-one, tem um GUID para um dispositivo de várias funções genérico, um GUID para a função de impressora, um GUID para a função de scanner e assim por diante. Os GUIDs para as funções individuais são "nós filho" no GUID do dispositivo de várias funções. Para instalar um nó filho, o Windows também deve ser capaz de instalar o nó pai. Você deve permitir a instalação da classe de configuração do dispositivo do GUID pai para o dispositivo de várias funções, além de quaisquer GUIDs filho para as funções de impressora e scanner.

Para obter mais informações, consulte Classes de instalação de dispositivo no Biblioteca MSDN.

Este guia não descreve nenhum cenário que use classes de configuração de dispositivo. No entanto, os princípios básicos demonstrados com cadeias de caracteres de identificação de dispositivo neste guia também se aplicam a classes de configuração de dispositivo. Depois de descobrir a classe de configuração do dispositivo para um dispositivo específico, você pode usá-la em uma política para permitir ou impedir a instalação de drivers de dispositivo para essa classe de dispositivos.

Configurações de Política de Grupo para instalação do dispositivo

Para habilitar o controle sobre a instalação do dispositivo, o Windows Vista e o Windows Server 2008 introduzem várias configurações de política. Você pode definir essas configurações de política individualmente em um único computador ou aplicá-las a um grande número de computadores por meio do uso de Política de Grupo em um domínio do Active Directory. Para obter mais informações sobre como usar Política de Grupo para gerenciar seus computadores cliente, consulte Política de Grupo.

Se você quiser aplicar as configurações a um computador autônomo ou a muitos computadores em um domínio do Active Directory, use o Editor de Objetos do Política de Grupo para definir e aplicar as configurações de política. Para obter mais detalhes, consulte Referência técnica do Editor de Objetos do Política de Grupo.

Veja a seguir uma breve descrição das configurações de política de DMI usadas neste guia.

Nota Essas configurações de política afetam todos os usuários que fazem logon no computador em que as configurações de política são aplicadas. Você não pode aplicar essas políticas a usuários ou grupos específicos, exceto pela política Permitir que os administradores substituam a política de instalação do dispositivo. Essa política isenta os membros do grupo local administradores de qualquer uma das restrições de instalação do dispositivo que você aplica ao computador definindo outras configurações de política, conforme descrito nesta seção.

  • Impedir a instalação de dispositivos não descritos por outras configurações de política.

    Essa configuração de política controla a instalação de dispositivos que não são descritos especificamente por nenhuma outra configuração de política. Se você habilitar essa configuração de política, os usuários não poderão instalar ou atualizar o driver para dispositivos, a menos que sejam descritos pela configuração de política Permitir instalação de dispositivos que correspondam a essas IDs de dispositivo ou a configuração de política Permitir instalação de dispositivos para essas classes de dispositivo . Se você desabilitar ou não definir essa configuração de política, os usuários poderão instalar e atualizar o driver de qualquer dispositivo que não seja descrito pela configuração de política Impedir a instalação de dispositivos que correspondam a essas IDs de dispositivo , impedir a instalação de dispositivos para essas classes de dispositivo ou a configuração de política Impedir a instalação de dispositivos removíveis .

  • Permitir que os administradores substituam a política de instalação do dispositivo.

    Essa configuração de política permite que os membros do grupo administradores local instalem e atualizem os drivers de qualquer dispositivo, independentemente de outras configurações de política. Se você habilitar essa configuração de política, os administradores poderão usar o Assistente para Adicionar Hardware ou o Assistente para Atualizar Driver para instalar e atualizar os drivers de qualquer dispositivo. Se você desabilitar ou não definir essa configuração de política, os administradores estarão sujeitos a todas as configurações de política que restringem a instalação do dispositivo.

  • Impedir a instalação de dispositivos que correspondam a essas IDs de dispositivo.

    Essa configuração de política especifica uma lista de IDs de hardware plug and play e IDs compatíveis para dispositivos que os usuários não podem instalar. Se você habilitar essa configuração de política, os usuários não poderão instalar ou atualizar o driver de um dispositivo se sua ID de hardware ou ID compatível corresponder a uma nesta lista. Se você desabilitar ou não definir essa configuração de política, os usuários poderão instalar dispositivos e atualizar seus drivers, conforme permitido por outras configurações de política para instalação do dispositivo.

    Nota Essa configuração de política tem precedência sobre qualquer outra configuração de política que permita que os usuários instalem um dispositivo. Essa configuração de política impede que os usuários instalem um dispositivo mesmo que ele corresponda a outra configuração de política que permita a instalação desse dispositivo.

  • Impedir a instalação de drivers que correspondam a essas classes de configuração de dispositivo.

    Essa configuração de política especifica uma lista de GUIDs da classe de configuração do dispositivo Plug and Play para dispositivos que os usuários não podem instalar. Se você habilitar essa configuração de política, os usuários não poderão instalar ou atualizar dispositivos que pertençam a nenhuma das classes de configuração de dispositivo listadas. Se você desabilitar ou não definir essa configuração de política, os usuários poderão instalar e atualizar dispositivos conforme permitido por outras configurações de política para instalação do dispositivo.

    Nota Essa configuração de política tem precedência sobre qualquer outra configuração de política que permita que os usuários instalem um dispositivo. Essa configuração de política impede que os usuários instalem um dispositivo, mesmo que ele corresponda a outra configuração de política que permita a instalação desse dispositivo.

  • Permitir a instalação de dispositivos que correspondam a qualquer uma dessas IDs de dispositivo.

    Essa configuração de política especifica uma lista de IDs de hardware do Plug and Play e IDs compatíveis que descrevem os dispositivos que os usuários podem instalar. Essa configuração destina-se a ser usada somente quando a configuração impedir a instalação de dispositivos não descrita por outras configurações de política estiver habilitada e não tiver precedência sobre nenhuma configuração de política que impeça os usuários de instalar um dispositivo. Se você habilitar essa configuração de política, os usuários poderão instalar e atualizar qualquer dispositivo com uma ID de hardware ou ID compatível que corresponda a uma ID nesta lista se essa instalação não tiver sido especificamente impedida pela configuração de política Impedir a instalação de dispositivos que correspondam a essas IDs de dispositivo , a configuração de política Impedir a instalação de dispositivos para essas classes de dispositivo , ou a configuração de política Impedir a instalação de dispositivos removíveis . Se outra configuração de política impedir que os usuários instalem um dispositivo, os usuários não poderão instalá-lo mesmo que o dispositivo também seja descrito por um valor nesta configuração de política. Se você desabilitar ou não definir essa configuração de política e nenhuma outra política descrever o dispositivo, a configuração impedir a instalação de dispositivos não descrita por outras configurações de política determinará se os usuários podem instalar o dispositivo.

  • Permitir a instalação de dispositivos usando drivers para essas classes de dispositivo.

    Essa configuração de política especifica uma lista de GUIDs da classe de configuração do dispositivo que descrevem os dispositivos que os usuários podem instalar. Essa configuração destina-se a ser usada somente quando a configuração impedir a instalação de dispositivos não descrita por outras configurações de política estiver habilitada e não tiver precedência sobre nenhuma configuração de política que impeça os usuários de instalar um dispositivo. Se você habilitar essa configuração, os usuários poderão instalar e atualizar qualquer dispositivo com uma ID de hardware ou ID compatível que corresponda a uma das IDs nesta lista se essa instalação não tiver sido especificamente impedida pela configuração de política Impedir a instalação de dispositivos que correspondam a essas IDs de dispositivo , a configuração de política Impedir a instalação de dispositivos para essas classes de dispositivo , ou a configuração de política Impedir a instalação de dispositivos removíveis . Se outra configuração de política impedir que os usuários instalem um dispositivo, os usuários não poderão instalá-lo mesmo que o dispositivo também seja descrito por um valor nesta configuração de política. Se você desabilitar ou não definir essa configuração de política e nenhuma outra configuração de política descrever o dispositivo, a configuração impedir a instalação de dispositivos não descrita por outras configurações de política determinará se os usuários podem instalar o dispositivo.

Algumas dessas políticas têm precedência sobre outras políticas. O fluxograma mostrado abaixo ilustra como o Windows os processa para determinar se um usuário pode instalar um dispositivo ou não, conforme mostrado na Figura 1 (abaixo).

Bb530324.grouppolicydeviceinstall01(en-us,MSDN.10).gif

Figura 1. Como o Windows processa políticas ao determinar se um usuário pode instalar um dispositivo

Política de Grupo configurações para acesso ao armazenamento removível

No Windows Vista e no Windows Server 2008, um administrador pode aplicar a política de computador para controlar se os usuários podem ler ou gravar em qualquer dispositivo com mídia removível. Essas políticas podem ser usadas para ajudar a impedir que material confidencial ou confidencial seja gravado em mídia removível ou em um dispositivo removível que contenha armazenamento e, em seguida, levado do local.

Você pode aplicar essas configurações de política no nível do computador para que elas afetem todos os usuários que fazem logon no computador. Você também pode aplicá-los no nível do usuário e limitar a imposição a uma conta de usuário específica. Se você usar Política de Grupo em um ambiente do Active Directory, poderá aplicar as configurações de política a grupos de usuários, além de contas de usuário único. Política de Grupo também permite que você aplique efetivamente essas políticas a um grande número de computadores. Para obter mais informações sobre como usar Política de Grupo para gerenciar seus computadores cliente, consulte Política de Grupo.

As configurações da política de Acesso ao Armazenamento Removível também incluem uma configuração para permitir que um administrador force uma reinicialização. Se um dispositivo estiver em uso quando uma política de restrição for aplicada, a política poderá não ser imposta até que o computador seja reiniciado.

As configurações de política podem ser encontradas em dois locais. As configurações de política encontradas em Configuração do Computador\Modelos Administrativos\Sistema\Acesso de Armazenamento Removível afetam um computador e todos os usuários que fazem logon nele. As configurações de política encontradas em Configuração do Usuário\Modelos Administrativos\Sistema\Acesso de Armazenamento Removível afetam apenas os usuários aos quais a configuração de política é aplicada, incluindo grupos se Política de Grupo for aplicado usando o Active Directory.

Veja a seguir uma breve descrição das políticas que permitem controlar o acesso de leitura ou gravação a unidades de armazenamento removíveis. Cada categoria de dispositivo dá suporte a duas políticas: uma para negar acesso de leitura e outra para negar o acesso de gravação:

  • Tempo (em segundos) para forçar a reinicialização

    Defina a quantidade de tempo (em segundos) que o sistema aguardará para reiniciar para impor uma alteração nos direitos de acesso a dispositivos de armazenamento removíveis.

    Nota Se nenhuma reinicialização for forçada, a alteração não entrará em vigor até que o sistema seja reiniciado.

  • CD e DVD

    Essas configurações de política permitem negar acesso de leitura ou gravação a dispositivos na classe de armazenamento removível de CD e DVD, incluindo dispositivos conectados a USB.

  • Classes personalizadas

    Essas configurações de política permitem que você negue o acesso de leitura ou gravação a qualquer dispositivo cujo GUID de Classe de Instalação de Dispositivo seja encontrado nas listas fornecidas.

  • Unidades disquetes

    Essas configurações de política permitem que você negue o acesso de leitura ou gravação a dispositivos na classe Disquete Drive, incluindo dispositivos conectados a USB.

  • Discos removíveis

    Essas configurações de política permitem negar acesso de leitura ou gravação a dispositivos removíveis que são ou emulam discos rígidos, como unidades de memória USB ou unidades de disco rígido USB externas.

  • Unidades de fita

    Essas configurações de política permitem negar acesso de leitura ou gravação a unidades de fita, incluindo dispositivos conectados a USB.

  • Dispositivos WPD

    Essas configurações de política permitem negar acesso de leitura ou gravação a dispositivos na classe Dispositivo Portátil do Windows. Esses dispositivos incluem dispositivos "inteligentes", como players de mídia, telefones celulares, dispositivos Windows CE etc.

  • Todas as classes de armazenamento removíveis: negar todo o acesso

    Essa configuração de política tem precedência sobre qualquer uma das configurações de política nesta lista e, se habilitada, nega o acesso de leitura e gravação a qualquer dispositivo identificado como usando o armazenamento removível. Se você desabilitar ou não definir essa configuração de política, o acesso de leitura e gravação a classes de armazenamento removíveis será permitido, sujeito a quaisquer restrições impostas pelas outras configurações de política nesta lista.

Requisitos para concluir os cenários

Para concluir cada um dos cenários, você deve ter:

  • Um computador cliente que executa o Windows Vista. Este guia refere-se a este computador como DMI-Client1.

  • Uma unidade de memória USB. Os cenários descritos neste guia usam uma unidade de memória USB como o dispositivo de exemplo. Esse dispositivo atua como uma unidade de disco removível e também é conhecido como uma "pen drive", uma "unidade flash" ou uma "unidade de chaveiro". A maioria das unidades de memória USB não exige drivers fornecidos pelo fabricante e esses dispositivos funcionam com os drivers fornecidos com o Windows Vista e o Windows Server 2008.

    Nota As instruções pressupõem que seu dispositivo não exija drivers diferentes dos drivers incluídos no Windows Vista e no Windows Server 2008. Se o dispositivo exigir um driver do fabricante, você deverá fornecer o arquivo de driver quando o Windows solicitar que você faça isso. Esta etapa não está incluída nos cenários.

  • (Opcional) Um gravador de CD ou DVD. O último cenário demonstra como tornar os dispositivos com mídia removível somente leitura. Você pode definir a política do computador sem realmente ter um gravador de CD ou DVD instalado. No entanto, se você quiser verificar se a política do computador está em vigor, deverá ter um dispositivo de gravação de CD ou DVD para usar.

  • Acesso a uma conta de administrador protegida no DMI-Client1. Este guia chama essa conta de TestAdmin. Os procedimentos neste guia exigem privilégios de administrador para a maioria das etapas. Você deve estar conectado a DMI-Client1 usando essa conta de administrador no início de cada procedimento, a menos que você seja direcionado de outra forma.

    Nota O Windows Vista e o Windows Server 2008 apresentam o conceito de uma conta de administrador protegida. Essa conta é membro do grupo Administradores, mas por padrão esse privilégio de segurança não é usado diretamente. Qualquer tentativa de realizar uma tarefa que exija os direitos elevados de um administrador gera uma caixa de diálogo solicitando permissão para executar essa tarefa. Essa caixa de diálogo é discutida na seção Respondendo à página Controle de Conta de Usuário. A Microsoft recomenda que você use uma conta de administrador protegida, em vez da conta de Administrador interna sempre que possível.

  • Acesso a uma conta de usuário padrão no DMI-Client1. Essa conta de usuário não tem associações especiais que concedam qualquer tipo de permissões elevadas. Este guia chama essa conta testUser. Faça logon somente no computador com essa conta quando for instruído a fazer isso. Com uma conta de usuário padrão, qualquer tentativa de realizar uma tarefa que exija os direitos elevados de um administrador pode causar uma caixa de diálogo solicitando as credenciais de uma conta com privilégios de administrador. Essa caixa de diálogo é discutida na seção Respondendo à página Controle de Conta de Usuário.

Procedimentos de pré-requisito

Antes de implementar qualquer política para permitir ou impedir que os usuários instalem um dispositivo, você deve conhecer as cadeias de caracteres de identificação do dispositivo. Você também deve saber como desinstalar completamente sua unidade de memória USB e seu driver associado. Os procedimentos a seguir configuram seu computador para executar com êxito os cenários neste guia:

  1. Respondendo à página Controle de Conta de Usuário
  2. Determinando as cadeias de caracteres de identificação do dispositivo para sua unidade de memória USB
  3. Desinstalando sua unidade de memória USB

Respondendo à página Controle de Conta de Usuário

Ao longo deste guia, você será solicitado a executar tarefas que só podem ser feitas por um membro do grupo Administradores. No Windows Vista e no Windows Server 2008, quando você tenta executar uma tarefa que exige direitos de administrador, ocorre o seguinte:

  • Se você estiver conectado como a conta de Administrador interna (não recomendado), a operação simplesmente continuará. A conta de administrador interna é desabilitada por padrão.
  • Se você for um membro do grupo Administradores que não é a conta de Administrador interna, uma caixa de diálogo Controle de Conta de Usuário será exibida solicitando permissão para continuar. Se você clicar em Continuar, a tarefa continuará.
  • Se você estiver conectado como um usuário padrão, poderá ser impedido de realizar a tarefa. Dependendo da tarefa, você pode receber uma páginacontrole de conta de usuário para fornecer o nome de usuário e a senha de uma conta de administrador. Se você fornecer credenciais válidas, a tarefa será executada no contexto de segurança da conta de administrador fornecida. Se você não puder fornecer essas credenciais, será impedido de executar a tarefa.

Importante: Antes de fornecer credenciais ou permissões para executar qualquer tarefa administrativa, verifique se a página Controle de Conta de Usuário é exibida em resposta a uma tarefa que você iniciou. Se a página for exibida inesperadamente, clique no botão Detalhes e verifique se a tarefa que você deseja permitir.

Este guia não documenta todas as ocorrências da caixa de diálogo Controle de Conta de Usuário que você encontrará ao executar esses procedimentos. Quando são necessárias etapas especiais para executar tarefas específicas como administrador, essas etapas são documentadas no guia.

Determinando as cadeias de caracteres de identificação do dispositivo para sua unidade de memória USB

Seguindo estas etapas, você pode determinar as cadeias de caracteres de identificação do dispositivo para seu dispositivo. Se as IDs de hardware e as IDs compatíveis do dispositivo não corresponderem às mostradas neste guia, use as IDs apropriadas ao seu dispositivo.

Nota Nos cenários a seguir, você deve instalar e desinstalar sua unidade de memória USB. As instruções pressupõem que seu dispositivo não exija drivers diferentes dos drivers incluídos no Windows Vista e no Windows Server 2008. Se o dispositivo exigir um driver do fabricante, você deverá fornecer o arquivo de driver quando o Windows solicitar que você faça isso. Esta etapa não está incluída nos cenários.

Você pode determinar as IDs de hardware e as IDs compatíveis para seu dispositivo de duas maneiras. Você pode usar Gerenciador de Dispositivos, uma ferramenta gráfica incluída no sistema operacional ou o DevCon, uma ferramenta de linha de comando disponível para download como parte do DDK (Driver Development Kit). Use o procedimento a seguir para exibir as cadeias de caracteres de identificação do dispositivo para sua unidade de memória USB.

Importante Esses procedimentos são específicos para uma unidade de memória USB. Se você estiver usando um tipo diferente de dispositivo, deverá ajustar as etapas adequadamente. A diferença significativa será o local do dispositivo na hierarquia de Gerenciador de Dispositivos. Em vez de estar localizado no nó Unidades de Disco , você deve localizar seu dispositivo no nó apropriado.

Para localizar cadeias de caracteres de identificação do dispositivo usando Gerenciador de Dispositivos

  1. Faça logon no computador como DMI-Client1\TestAdmin.

  2. Conecte sua unidade de memória USB e permita que a instalação seja concluída.

  3. Para abrir Gerenciador de Dispositivos, clique no botão Iniciar, digitemmc devmgmt.msc na caixa Iniciar Pesquisa e pressione ENTER.

  4. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme a ação exibida e clique em Continuar.

    Gerenciador de Dispositivos inicia e exibe uma árvore que representa todos os dispositivos detectados no computador. Na parte superior da árvore há um nó com o nome dos computadores ao lado dele. Nós inferiores representam as várias categorias de hardware nas quais os dispositivos de computadores são agrupados.

  5. Clique duas vezes em Unidades de disco para abrir a lista.

    Bb530324.grouppolicydeviceinstall02(en-us,MSDN.10).gif

    Figura 2. Abra a unidade de disco USB clicando duas vezes

  6. Clique com o botão direito do mouse na entrada da unidade de memória USB e clique em Propriedades. A caixa de diálogo Propriedades do Dispositivo é exibida.

    Bb530324.grouppolicydeviceinstall03(en-us,MSDN.10).gif

    Figura 3. A caixa de diálogo Propriedades do Dispositivo para sua unidade USB será exibida

  7. Clique na aba Detalhes.

  8. Na lista Propriedade , clique em IDs de hardware.

  9. Em Valor, anote as cadeias de caracteres exibidas.

    Bb530324.grouppolicydeviceinstall04(en-us,MSDN.10).gif

    Figura 4. Lembre-se das cadeias de caracteres exibidas em Valor na caixa de diálogo Propriedades da unidade USB

    Nota: Você pode copiar as cadeias de caracteres para a Área de Transferência realçando o texto e pressionando CTRL-C. Como muitas IDs de hardware têm vários caracteres de sublinhado, é útil copiá-las para um arquivo de texto do qual você pode colar quando precisa especificar um identificador. Essa abordagem reduz consideravelmente a chance de um erro quando você deve adicionar um identificador específico a uma lista de dispositivos aprovados ou proibidos.

  10. Na lista Propriedade , clique em IDs compatíveis.

  11. Em Valor, anote as cadeias de caracteres exibidas.

    Bb530324.grouppolicydeviceinstall05(en-us,MSDN.10).gif

    Figura 5. Lembre-se das cadeias de caracteres exibidas em Valor na caixa de diálogo Propriedades da unidade USB

Nota Você também pode determinar as cadeias de caracteres de identificação do dispositivo usando o utilitário de linha de comando DevCon. Você pode baixar o DevCon no site de Ajuda e Suporte da Microsoft. Para obter mais informações, consulte As funções do utilitário de linha de comando DevCon como uma alternativa a Gerenciador de Dispositivos.

Devcon

DevCon HwIDs

Desinstalando sua unidade de memória USB

No uso normal do dia-a-dia de uma unidade de memória USB, você normalmente pode apenas puxar a unidade para fora da porta USB. No entanto, para este guia, você também deve desinstalar o driver do dispositivo para garantir que cada cenário seja iniciado com o computador em um estado adequado. Se você não conseguir desinstalar e remover o dispositivo quando direcionado, as políticas testadas nos cenários abaixo não terão nenhum efeito e você não verá os resultados esperados. Use estas mesmas etapas ao longo deste guia quando você for direcionado para desinstalar e remover seu dispositivo.

Importante Não desconecte fisicamente o dispositivo da porta USB até chegar à última etapa.

Para desinstalar sua unidade de memória USB

  1. Faça logon no seu computador DMI-Client1\TestAdmin.

  2. Para abrir Gerenciador de Dispositivos, clique no botão Iniciar, digitemmc devmgmt.msc na caixa Iniciar Pesquisa e pressione ENTER.

  3. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme a ação exibida e clique em Continuar.

  4. Clique com o botão direito do mouse na entrada da unidade de memória USB e clique em Desinstalar.

    Bb530324.grouppolicydeviceinstall06(en-us,MSDN.10).gif

    Figura 6. Clique com o botão direito do mouse para desinstalar a unidade de memória USB

  5. Na caixa de diálogo Confirmar Remoção de Dispositivo , clique em OK para permitir que o processo de desinstalação seja concluído.

  6. Quando o Windows conclui o processo de desinstalação, ele remove a entrada do dispositivo da árvore de Gerenciador de Dispositivos.

  7. Desconecte a unidade de memória USB da porta USB.

Impedir a instalação de todos os dispositivos

Esse cenário documenta as etapas típicas necessárias para implementar a configuração mais restritiva, em que todas as instalações de dispositivo são impedidas e os dispositivos existentes não podem ser atualizados com novos drivers de dispositivo. Os usuários não poderão instalar um dispositivo e usá-lo sem intervenção de um administrador. Os administradores ainda podem instalar ou atualizar qualquer dispositivo conforme necessário.

Pré-requisitos para impedir a instalação de todos os dispositivos

Para concluir os procedimentos neste cenário, você deve desinstalar sua unidade de memória USB, conforme descrito na seção Desinstalando sua unidade de memória USB anteriormente neste documento.

Etapas para impedir a instalação de todos os dispositivos

  1. Configurar a política para impedir a instalação de qualquer dispositivo
  2. Configurar a política para permitir que os administradores substituam as restrições de instalação do dispositivo
  3. Testar os efeitos das configurações de restrição como um usuário

Configurar a política para impedir a instalação de qualquer dispositivo

Para configurar a política que impede a instalação ou atualização de qualquer dispositivo

  1. Faça logon no computador como DMI-Client1\TestAdmin.

  2. Para abrir Política de Grupo Editor de Objetos, clique no botão Iniciar, digitemmc gpedit.msc na caixa Iniciar Pesquisa e pressione ENTER.

  3. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme a ação exibida e clique em Continuar.

  4. No painel de navegação do Editor de Objetos do Política de Grupo, clique duas vezes em Configuração do Computador para abri-lo. Em seguida, abra Modelos Administrativos, abra Sistema, abra Instalação do Dispositivo e, em seguida, abra Restrições de Instalação do Dispositivo.

    Bb530324.grouppolicydeviceinstall07(en-us,MSDN.10).gif

    Figura 7. painel de navegação do Editor de Objetos do Política de Grupo

  5. No painel de detalhes, clique com o botão direito do mouse em Impedir a instalação de dispositivos não descritos por outras configurações de política e clique em Propriedades.

  6. A caixa de diálogo de política é exibida com as configurações atuais.

  7. Na guia Configuração , clique em Habilitado para ativar a política.

  8. Clique em OK para salvar as configurações e retornar ao Editor de Objetos do Política de Grupo.

Configurar a política para permitir que os administradores substituam as restrições de instalação do dispositivo

A próxima política permite que os administradores substituam as restrições impostas pelas outras configurações de política de instalação do dispositivo, incluindo a política que você acabou de habilitar.

Para configurar a política para permitir que os administradores substituam as restrições de instalação do dispositivo

  1. No painel de detalhes, clique com o botão direito do mouse em Permitir que os administradores substituam a política de instalação do dispositivo e clique em Propriedades.

  2. A caixa de diálogo de política é exibida com as configurações atuais.

  3. Na guia Configuração , clique em Habilitado para ativar a configuração de política.

  4. Clique em OK para salvar a configuração e retornar ao Editor de Objetos do Política de Grupo.

  5. Ambas as políticas agora mostram seu estado como habilitado.

    Bb530324.grouppolicydeviceinstall08s(en-us,MSDN.10).gif

    Figura 8. Ambas as políticas mostrarão seu estado como habilitado

Testar os efeitos das configurações de restrição como um usuário

Com ambas as políticas habilitadas, você pode aplicá-las ao computador e tentar instalar o dispositivo para ver as restrições funcionarem.

Para testar os efeitos das configurações de restrição como um usuário

  1. Se o dispositivo estiver instalado, desinstale-o e remova-o seguindo as etapas na seção Desinstalando sua unidade de memória USB anteriormente neste documento.

  2. Clique no botão Iniciar , digite gpupdate /force na caixa Iniciar Pesquisa e pressione ENTER.

  3. Quando o comando GPUdate for concluído, faça logoff do computador e faça logon como DMI-Client1\TestUser.

  4. Para abrir Gerenciador de Dispositivos, clique no botão Iniciar, digitemmc devmgmt.msc na caixa Iniciar Pesquisa e pressione ENTER.

  5. A mensagem a seguir é exibida, indicando que você não tem permissões para fazer alterações no Gerenciador de Dispositivos.

    Bb530324.grouppolicydeviceinstall09(en-us,MSDN.10).gif

    Figura 9. Uma mensagem será exibida para indicar que você não tem permissões

  6. Clique em OK para confirmar a mensagem. (Gerenciador de Dispositivos será iniciado e você poderá exibir os dispositivos no computador.)

  7. Conecte sua unidade de memória USB.

  8. Até que a instalação seja concluída com êxito, o dispositivo aparecerá em Gerenciador de Dispositivos no nó Outros dispositivos.

    Bb530324.grouppolicydeviceinstall10(en-us,MSDN.10).gif

    Figura 10. O dispositivo aparecerá em Outros dispositivos até que a instalação seja concluída

  9. Como você está conectado como um usuário padrão sem direitos administrativos e a instalação do dispositivo agora é restrita, a caixa de diálogo a seguir é exibida:

    Bb530324.grouppolicydeviceinstall11(en-us,MSDN.10).gif

    Figura 11. Caixa de diálogo que aparece quando conectado como um usuário padrão sem direitos administrativos

  10. Para simular uma resposta típica do usuário, clique em Localizar e instalar o software do driver (recomendado).

  11. Uma variante da caixa de diálogo Controle de Conta de Usuário é exibida, solicitando um nome de usuário e uma senha para uma conta que tenha direitos de administrador.

  12. Como um usuário não teria credenciais de administrador para fornecer, clique em Cancelar para anular a tentativa como um usuário faria.

  13. A instalação do driver de dispositivo falha e o dispositivo permanece sob o nó Outros dispositivos e não está funcional.

    Bb530324.grouppolicydeviceinstall12(en-us,MSDN.10).gif

    Figura 12. Falha na instalação do dispositivo e o dispositivo não está funcional

Permitir que os usuários instalem apenas dispositivos autorizados

Esse cenário se baseia no primeiro cenário, Impedir a instalação de todos os dispositivos, em que você impediu a instalação de qualquer dispositivo. Nesse cenário, você adiciona uma lista de dispositivos permitidos à política e inclui a ID de hardware para sua unidade de memória USB.

Pré-requisitos para permitir que os usuários instalem apenas dispositivos autorizados

Para concluir essa tarefa, primeiro você deve concluir todas as etapas no primeiro cenário, Impedir a instalação de todos os dispositivos.

Etapas para permitir que os usuários instalem apenas dispositivos autorizados

Nesta seção, você adicionará dispositivos permitidos às restrições impostas em Impedir a instalação de todos os dispositivos, criando uma lista de dispositivos autorizados.

  1. Criar uma lista de dispositivos autorizados
  2. Testar os efeitos dos dispositivos autorizados

Criar uma lista de dispositivos autorizados

Para criar uma lista de dispositivos aprovados

  1. Faça logon no computador como DMI-Client1\TestAdmin.

  2. Se o dispositivo estiver instalado no momento, desinstale-o e remova-o seguindo as etapas na seção Desinstalando sua unidade de memória USB anteriormente neste documento.

  3. Para abrir Política de Grupo Editor de Objetos, clique no botão Iniciar, digitemmc gpedit.msc na caixa Iniciar Pesquisa e pressione ENTER.

  4. No painel de navegação do Editor de Objetos do Política de Grupo, clique duas vezes em Configuração do Computador para abri-lo. Em seguida, abra Modelos Administrativos, abra Sistema, abra Instalação do Dispositivo e, em seguida, abra Restrições de Instalação do Dispositivo.

  5. No painel de detalhes, clique com o botão direito do mouse em Permitir instalação de dispositivos que correspondam a qualquer uma dessas IDs de dispositivo e clique em Propriedades.

  6. A caixa de diálogo de política é exibida com as configurações atuais.

  7. Na guia Configuração, clique em Habilitado para ativar essa política.

    Bb530324.grouppolicydeviceinstall13(en-us,MSDN.10).gif

    Figura 13. Clique em Habilitado para ativar a política

  8. Clique em Mostrar para exibir a lista de dispositivos permitidos na caixa de diálogo Mostrar Conteúdo. (Por padrão, a lista está vazia.)

  9. Clique em Adicionar para abrir a caixa de diálogo Adicionar Item.

  10. Insira a ID do dispositivo (a primeira ID de hardware) para seu dispositivo.

    Bb530324.grouppolicydeviceinstall14(en-us,MSDN.10).gif

    Figura 14. Insira a ID do dispositivo para seu dispositivo USB

  11. Clique em OK para retornar à caixa de diálogo Mostrar Conteúdo. Seu dispositivo agora aparece na lista.

    Bb530324.grouppolicydeviceinstall15(en-us,MSDN.10).gif

    Figura 15. O dispositivo agora está aprovado para instalação

  12. Clique em OK para retornar à caixa de diálogo de política e clique em OK para salvar a nova configuração de política.

Testar a lista de dispositivos autorizados

Com a configuração de política habilitada, você pode aplicá-la ao computador e tentar instalar o dispositivo.

Para testar a lista de dispositivos autorizados

  1. Clique no botão Iniciar , digite gpupdate/force na caixa Iniciar Pesquisa e pressione ENTER.

  2. Quando o comando gpudate for concluído, faça logoff do computador e faça logon como DMI-Client1\TestUser.

  3. Para abrir Gerenciador de Dispositivos, clique no botão Iniciar, digitemmc devmgmt.msc na caixa Iniciar Pesquisa e pressione ENTER.

  4. A mensagem a seguir é exibida, indicando que você não tem permissões para fazer alterações no Gerenciador de Dispositivos.

    Bb530324.grouppolicydeviceinstall16s(en-us,MSDN.10).gif

    Figura 16. Uma mensagem será exibida para indicar que você não tem permissões

  5. Clique em OK para fechar a mensagem. Gerenciador de Dispositivos será iniciado e você poderá exibir os dispositivos no computador.

  6. Conecte sua unidade de memória USB.

  7. O dispositivo aparece em Gerenciador de Dispositivos no nó Outros dispositivos até que o Windows conclua a instalação.

    Bb530324.grouppolicydeviceinstall17(en-us,MSDN.10).gif

    Figura 17. O dispositivo aparecerá em Outros dispositivos até que a instalação seja concluída

  8. Depois que o Windows concluir a instalação, o dispositivo passará para o nó Unidades de Disco no Gerenciador de Dispositivos e estará totalmente funcional.

    Bb530324.grouppolicydeviceinstall18(en-us,MSDN.10).gif

    Figura 18. Após a conclusão da instalação, o dispositivo estará totalmente funcional

Impedir a instalação de dispositivos proibidos

Esse cenário apresenta uma maneira alternativa de controlar a instalação do dispositivo. Nos dois primeiros cenários, você impediu a instalação de todos os dispositivos, exceto aqueles permitidos por uma lista de dispositivos autorizados. Nesse cenário, você permite a instalação de todos os dispositivos, exceto aqueles em uma lista de dispositivos proibidos. Você também remove a exceção para administradores criados no primeiro cenário para que até mesmo um administrador seja afetado pela política.

Pré-requisitos para impedir a instalação de dispositivos proibidos

Se você concluiu as etapas em Impedir a instalação de todos os dispositivos e Permitir que os usuários instalem apenas dispositivos autorizados, desabilite essas políticas usando as seguintes etapas:

  • Habilite a instalação de todos os dispositivos.
  • Remova a exceção para membros do grupo Administradores para permitir a instalação do dispositivo.
  • Remova a ID de hardware da lista de dispositivos aprovados.

Para habilitar a instalação de todos os dispositivos

  1. Faça logon no computador como DMI-Client1\TestAdmin.
  2. Para abrir Política de Grupo Editor de Objetos, clique no botão Iniciar, digitemmc gpedit.msc na caixa Iniciar Pesquisa e pressione ENTER.
  3. No painel de navegação do Editor de Objetos do Política de Grupo, clique duas vezes em Configuração do Computador para abri-lo. Em seguida, abra Modelos Administrativos, abra Sistema, abra Instalação do Dispositivo e, em seguida, abra Restrições de Instalação do Dispositivo.
  4. No painel de detalhes, clique com o botão direito do mouse no nó Impedir a instalação de dispositivos não descritos por outras configurações de política e clique em Propriedades.
  5. A caixa de diálogo de política é exibida com as configurações atuais.
  6. Clique em Desabilitado para desativar a configuração de política.
  7. Clique em OK para salvar a configuração e retornar ao Editor de Objetos do Política de Grupo.

A próxima etapa é remover a política que concedeu uma exceção aos membros do grupo Administradores.

Para remover a exceção para administradores Política de Grupo restrições

  1. No Editor de Objetos do Política de Grupo, clique com o botão direito do mouse em Permitir que os administradores substituam a política de instalação do dispositivo e clique em Propriedades.
  2. A caixa de diálogo de política é exibida com as configurações atuais.
  3. Na guia Configuração, clique em Desabilitado para desativar a configuração de política.
  4. Clique em OK para salvar a configuração e retornar ao Editor de Objetos do Política de Grupo.

A próxima etapa é remover a ID de hardware da lista de dispositivos autorizados que você criou no segundo cenário.

Para remover a ID de hardware da lista de dispositivos autorizados

  1. No Editor de Objetos Política de Grupo, clique com o botão direito do mouse em Permitir instalação de dispositivos que correspondam a qualquer uma dessas IDs de dispositivo e clique em Propriedades. A caixa de diálogo de política é exibida com as configurações atuais.
  2. Na guia Configuração, clique em Mostrar para exibir a lista de dispositivos autorizados.
  3. Na caixa de diálogo Mostrar Conteúdo, selecione o nome da unidade de memória USB e clique em Remover. O Windows remove seu dispositivo da lista.
  4. Clique em OK para fechar a caixa de diálogo Mostrar Conteúdo e retornar à caixa de diálogo de política.
  5. Clique em Desabilitado para desativar a configuração de política.
  6. Clique em OK para salvar as alterações e retornar ao Editor de Objetos do Política de Grupo.

Etapas para impedir a instalação de dispositivos proibidos

Para impedir que os usuários instalem dispositivos específicos, crie uma lista de dispositivos proibidos. Nesta seção, você irá:

  1. Criar uma lista de dispositivos proibidos
  2. Testar a lista de dispositivos proibidos

Criar uma lista de dispositivos proibidos

Para criar uma lista de dispositivos proibidos

  1. Se o dispositivo estiver instalado no momento, desinstale-o e remova-o seguindo as etapas na seção Desinstalando sua unidade de memória USB anteriormente neste documento.

  2. Faça logon no computador como DMI-Client1\TestAdmin.

  3. Se ainda não estiver em execução, inicie Política de Grupo Editor de Objetos. Para fazer isso, clique no botão Iniciar, digite mmc gpedit.msc na caixa Iniciar Pesquisa e pressione ENTER.

  4. Na árvore, clique duas vezes em Configuração do Computador para abri-la. Em seguida, abra Modelos Administrativos, abra Sistema, abra Instalação do Dispositivo e, em seguida, abra Restrições de Instalação do Dispositivo.

  5. No painel de detalhes, clique com o botão direito do mouse em Impedir a instalação de dispositivos que correspondam a essas IDs de dispositivo e clique em Propriedades. A caixa de diálogo de política é exibida com as configurações atuais.

  6. Na guia Configuração, clique em Habilitado para ativar essa política.

    Bb530324.grouppolicydeviceinstall19(en-us,MSDN.10).gif

    Figura 19. Clique em Habilitado para ativar a política

  7. Clique em Mostrar para exibir a lista de dispositivos proibidos.

  8. Na caixa de diálogo Mostrar Conteúdo, clique em Adicionar.

  9. Na caixa de diálogo Adicionar Item , digite a ID do dispositivo (a primeira ID de hardware) encontrada para o dispositivo.

  10. Clique em OK para retornar à caixa de diálogo Mostrar Conteúdo.

  11. Seu dispositivo agora aparece na lista.

    Bb530324.grouppolicydeviceinstall20(en-us,MSDN.10).gif

    Figura 20. A instalação deste dispositivo agora será proibida

  12. Clique em OK para retornar à caixa de diálogo de política e clique em OK para salvar a nova configuração de política.

Testar a lista de dispositivos proibidos

Agora você pode tentar instalar o dispositivo. Você pode instalar outros dispositivos porque a política não impede mais a instalação, mas não pode instalar esse dispositivo específico, mesmo quando estiver conectado como membro do grupo Administradores.

Para testar a lista de dispositivos proibidos

  1. Clique no botão Iniciar , digite gpupdate /force na caixa Iniciar Pesquisa e pressione ENTER.

  2. Quando o comando gpudate for concluído, feche o prompt de comando.

  3. Para abrir Gerenciador de Dispositivos, clique no botão Iniciar, digitemmc devmgmt.msc na caixa Iniciar Pesquisa e pressione ENTER.

  4. Conecte sua unidade de memória USB.

  5. O dispositivo aparece em Gerenciador de Dispositivos no nó Outros dispositivos.

  6. A instalação não é concluída e o dispositivo não funciona.

    Bb530324.grouppolicydeviceinstall21(en-us,MSDN.10).gif

    Figura 21. A instalação não será concluída e o dispositivo não funcionará

  7. O Windows exibe uma mensagem na área de notificação informando o motivo pelo qual a instalação falhou:

    Bb530324.grouppolicydeviceinstall22(en-us,MSDN.10).gif

    Figura 22. Uma mensagem aparecerá para declarar o motivo pelo qual a instalação falhou

  8. Você pode tentar ignorar as restrições instalando manualmente o driver para o dispositivo. Clique com o botão direito do mouse no dispositivo e clique em Atualizar Software de Driver.

  9. O sistema operacional solicita que você forneça o driver de dispositivo para o dispositivo.

    Bb530324.grouppolicydeviceinstall23(en-us,MSDN.10).gif

    Figura 23. Um prompt para o driver de dispositivo será exibido

  10. Para simular o que um usuário pode tentar, clique em Pesquisar automaticamente o software de driver atualizado.

  11. Uma mensagem é exibida informando que o Windows encontrou, mas não pôde instalar o driver. O último parágrafo explica que a tentativa de instalação falhou porque ela é proibida pela política que você criou.

    Bb530324.grouppolicydeviceinstall24(en-us,MSDN.10).gif

    Figura 24. A caixa de diálogo explicará por que a instalação falhou

Controlar permissões de leitura e gravação em mídia removível

Este cenário demonstra como você pode controlar o acesso de leitura ou gravação a dispositivos removíveis ou dispositivos que usam mídia removível, em computadores que executam o Windows Vista e o Windows Server 2008. Nesse cenário, você define a política do computador para tornar a unidade de memória USB somente leitura. Você também define a política do computador para tornar qualquer gravador de CD ou DVD anexado ao computador somente leitura, desabilitando o recurso de gravação.

Pré-requisitos para controlar permissões de leitura e gravação em mídia removível

Antes de experimentar os procedimentos nesta seção, você deve desabilitar a política que impede a instalação de unidades de memória USB.

Para desabilitar a política que impede a instalação de unidades de memória USB

  1. Se o dispositivo estiver instalado no momento, desinstale-o e remova-o seguindo as etapas na seção Desinstalando sua unidade de memória USB anteriormente neste documento.
  2. No painel de detalhes do Editor de Objetos do Política de Grupo, clique com o botão direito do mouse em Impedir a instalação de dispositivos que correspondam a essas IDs de dispositivo e clique em Propriedades.
  3. A caixa de diálogo de política será exibida com a configuração atual.
  4. Na guia Configurações, clique em Mostrar para exibir a lista de dispositivos proibidos.
  5. Na caixa de diálogo Mostrar Conteúdo, clique na unidade de memória USB, clique em Remover e em OK.
  6. Na guia Configuração, clique em Desabilitado para desativar essa configuração de política.
  7. Clique em OK para salvar a alteração.

Etapas para controlar permissões de leitura e gravação em mídia removível

  1. Definir a política do computador para negar o acesso de gravação a classes de dispositivo removíveis específicas
  2. Testar as configurações de política do computador

Definir a política do computador para negar o acesso de gravação a classes de dispositivo removíveis específicas

As políticas definidas neste procedimento bloquearão o acesso de gravação a muitos dispositivos de armazenamento removíveis. No entanto, a política exata do computador que bloqueia o acesso de gravação ao seu dispositivo pode variar de acordo com a marca e o dispositivo modelo específicos. Você também pode usar a política classes personalizadas , mas isso exige que você identifique o GUID da classe de configuração do dispositivo para o dispositivo específico.

Para negar o acesso de gravação a classes de dispositivo removíveis específicas

  1. No painel de navegação do Editor de Objetos do Política de Grupo, abra Configuração do Computador, abra Modelos Administrativos, abra Sistema e, em seguida, abra Acesso ao Armazenamento Removível.
  2. Clique com o botão direito do mouse em CD e DVD: negar acesso de gravação e clique em Propriedades.
  3. Na caixa de diálogo Propriedades, clique em Habilitado para ativar a restrição e clique em OK.
  4. Repita as etapas 2 e 3 para as seguintes políticas de computador:
    • Discos Removíveis: Negar acesso de gravação
    • Unidades de disquete: negar acesso de gravação
    • Dispositivos WPD: negar acesso de gravação
  5. Feche Política de Grupo Editor de Objetos.

Testar as configurações de política do computador

Se um dispositivo estiver em uso, a política de restrição de acesso de gravação não poderá ser imposta imediatamente. Para aplicar a política do computador, reinicie o computador.

Para testar as configurações de política do computador

  1. Clique no botão Iniciar , digite gpupdate /force na caixa Iniciar Pesquisa e pressione ENTER.

  2. Quando o comando gpudate for concluído, reinicie o computador.

  3. Faça logon no computador como DMI-Client1\TestAdmin.

  4. Conecte sua unidade de memória USB e aguarde até que o Windows notifique que ela está operacional.

  5. Clique em Iniciar, em Computador e clique duas vezes na unidade de memória USB.

  6. No Windows Explorer, clique com o botão direito do mouse em uma área aberta do painel de detalhes, clique em Novo e em Pasta.

  7. O Windows exibe uma mensagem de erro explicando por que a tentativa de criar uma pasta falhou.

    Bb530324.grouppolicydeviceinstall25(en-us,MSDN.10).gif

    Figura 25. A mensagem de erro explicará por que uma tentativa de criar uma pasta falhou

  8. Clique em Continuar para tentar contornar a restrição.

  9. Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é o que você deseja e clique em Continuar.

  10. O Windows exibe uma segunda mensagem indicando o motivo pelo qual ele não pode gravar na pasta.

    Bb530324.grouppolicydeviceinstall26(en-us,MSDN.10).gif

    Figura 26. Uma segunda mensagem de erro indicará o motivo pelo qual as permissões de gravação não são permitidas

Conclusão

Neste guia, você usou um dispositivo de exemplo em um ambiente de laboratório para saber como controlar se os usuários podem ou não instalar um dispositivo. Você também aprendeu a restringir o acesso a dispositivos de armazenamento removíveis ou dispositivos que usam mídia removível. Controlar a instalação e o uso do dispositivo dessa forma melhora sua segurança e aprimora a eficácia do suporte técnico limitando os dispositivos que os usuários podem instalar para aqueles que sua organização aprova e dá suporte. Os cenários usados para demonstrar essas configurações incluíam:

  • Impedir a instalação de todos os dispositivos.

    Nesse cenário, você impediu que usuários padrão instalassem qualquer dispositivo, mas permitiu que os administradores instalassem ou atualizassem dispositivos.

  • Permitir que os usuários instalem apenas dispositivos autorizados.

    Nesse cenário, você permitiu que os usuários padrão instalassem apenas os dispositivos incluídos em uma lista de dispositivos autorizados.

  • Impedir a instalação apenas de dispositivos proibidos.

    Nesse cenário, você permitiu que os usuários padrão instalassem a maioria dos dispositivos, mas os impediu de instalar dispositivos incluídos em uma lista de dispositivos proibidos.

  • Controlar o uso de dispositivos de armazenamento de mídia removíveis.

    Nesse cenário, você impediu que usuários padrão gravassem dados em dispositivos de armazenamento removíveis ou dispositivos com mídia removível, como uma unidade de memória USB ou um gravador de CD ou DVD.

Recursos adicionais

Para obter mais informações sobre a instalação do dispositivo:

Para obter mais informações sobre a ferramenta DevCon:

Para obter mais informações sobre o Controle de Conta de Usuário no Windows Vista:

Para obter mais informações sobre Política de Grupo:

Registrar bugs e comentários em log

Seus comentários são bem-vindos. Se os cenários incluídos não funcionarem conforme descrito ou se eles não conseguirem capturar a maneira como você deseja usar a tecnologia, informe-nos. Usaremos os comentários que você fornecer para melhorar a qualidade desta documentação. Envie seus comentários sobre esta documentação para Comentários do Vista (vistafb@microsoft.com).

Para obter comentários sobre o Windows Vista, use o link "Fale conosco" na parte inferior da página da Web do Windows Vista em https://www.microsoft.com/windowsvista.