Поделиться через

Пошаговое руководство по управлению установкой устройств с помощью групповая политика

  • Статья

 

Дэйв Бишоп

Обновлено в июне 2007 г.

Сводка: Используя операционные системы Windows Server 2008 и Windows Vista, администраторы могут определить, какие устройства можно установить на управляемых ими компьютерах. В этом руководстве представлена сводка процесса установки устройства и демонстрируется несколько методов управления установкой устройств. (34 печатных страницы.)

Содержимое

Введение
   Кто должен использовать это руководство?
   Преимущества управления установкой устройств с помощью групповая политика
Общие сведения о сценарии
Обзор технологий
   Установка устройства в Windows
   параметры групповая политика для установки устройства
   параметры групповая политика для доступа к съемной памяти
Требования для выполнения сценариев
   Необходимые процедуры
Запретить установку всех устройств
   Предварительные требования для предотвращения установки всех устройств
   Действия по предотвращению установки всех устройств
Разрешить пользователям устанавливать только авторизованные устройства
   Предварительные требования для предоставления пользователям возможности устанавливать только авторизованные устройства
   Действия, позволяющие пользователям устанавливать только авторизованные устройства
Запретить установку запрещенных устройств
   Предварительные требования для предотвращения установки запрещенных устройств
   Действия по предотвращению установки запрещенных устройств
Управление разрешениями на чтение и запись на съемных носителях
   Предварительные требования для управления разрешениями на чтение и запись на съемных носителях
   Действия по управлению разрешениями на чтение и запись на съемных носителях
Заключение
Дополнительные ресурсы
Ведение журнала ошибок и отзывов

Введение

В этом пошаговом руководстве описывается, как управлять установкой устройств на управляемых компьютерах, включая определение устройств, которые пользователи могут и не могут устанавливать. В частности, в Windows Server 2008 и Windows Vista можно применить политику компьютера к:

  • Запретить пользователям устанавливать любое устройство.
  • Разрешить пользователям устанавливать только устройства, которые находятся в списке утвержденных. Если устройство отсутствует в списке, пользователь не сможет установить его.
  • Запретить пользователям устанавливать устройства, которые находятся в списке запрещенных. Если устройство отсутствует в списке, пользователь может установить его.
  • Запретить пользователям доступ на чтение и запись для устройств, которые сами являются съемными или используют съемные носители, такие как cd и DVD-горелки, гибкие диски, внешние жесткие диски и портативные устройства, такие как проигрыватели мультимедиа, смартфоны или карманные компьютеры.

В этом руководстве описывается процесс установки устройства и представлены строки идентификации, которые Windows использует для сопоставления устройства с пакетами драйверов устройств, доступными на компьютере. В этом руководстве также показаны три метода управления установкой устройств. В каждом сценарии показано, шаг за шагом, один метод, который можно использовать, чтобы разрешить или запретить установку определенного устройства или класса устройств. В четвертом сценарии показано, как запретить пользователям доступ на чтение или запись для устройств, которые являются съемными или используют съемные носители.

Примером устройства, используемого в сценариях, является USB-запоминающее устройство. Действия, описанные в этом руководстве, можно выполнить с помощью другого устройства. Однако если вы используете другое устройство, инструкции в руководстве не будут точно соответствовать пользовательскому интерфейсу, который отображается на компьютере.

Важно Действия, описанные в этом руководстве, предназначены для использования в среде лаборатории тестирования. Это пошаговое руководство не предназначено для развертывания компонентов Windows Server без сопроводительной документации и должно использоваться с осторожностью в качестве автономного документа.

Кто должен использовать это руководство?

Целевую аудиторию этого руководства составляют:

  • Специалисты по планированию и аналитики информационных технологий, которые оценивают Windows Vista и Windows Server 2008
  • Планировщики и дизайнеры корпоративных информационных технологий
  • Архитекторы безопасности, отвечающие за реализацию надежных вычислений в своей организации
  • Администраторы, которые хотят ознакомиться с технологией

Преимущества управления установкой устройств с помощью групповая политика

Ограничение устройств, которые могут устанавливать пользователи, обеспечивает следующие преимущества:

Снижение риска кражи данных

  • Пользователям сложнее создавать несанкционированные копии корпоративных данных, если компьютеры пользователей не могут установить неутвержденные устройства, поддерживающие съемные носители. Например, если пользователи не могут установить устройство CD-R, они не смогут записывать копии корпоративных данных на записываемый компакт-диск. Это преимущество не может избежать кражи данных, но создает еще один барьер для несанкционированного удаления данных. Вы также можете снизить риск кражи данных, используя групповая политика запретить пользователям доступ на запись для устройств, которые являются съемными или используют съемные носители. При использовании групповая политика вы можете предоставить доступ для каждой группы.

Сокращение затрат на поддержку

  • Вы можете убедиться, что пользователи устанавливают только те устройства, которые ваша служба технической поддержки обучена и оснащена для поддержки. Это преимущество сокращает затраты на поддержку и путаницу пользователей.

Общие сведения о сценарии

В сценариях, представленных в этом руководстве, показано, как управлять установкой и использованием устройств на управляемых компьютерах. В сценариях используется групповая политика на локальном компьютере, чтобы упростить использование процедур в лабораторной среде. В среде, где вы управляете несколькими клиентскими компьютерами, эти параметры следует применять с помощью групповая политика, развернутых Active Directory. С помощью групповая политика, развернутых Active Directory, можно применять параметры ко всем компьютерам, которые являются членами домена или подразделения в домене. Дополнительные сведения об использовании групповая политика для управления клиентскими компьютерами см. в разделе групповая политика на веб-сайте Майкрософт.

Ниже приведены описания сценариев, представленных в этом руководстве.

  • Запретить установку всех устройств

    В этом сценарии администратор хочет запретить обычным пользователям устанавливать любое устройство, но разрешить администраторам устанавливать или обновлять устройства. Для выполнения этого сценария необходимо настроить две политики компьютеров. Первая политика компьютеров запрещает всем пользователям устанавливать устройства, а вторая политика освобождает администраторов от ограничений.

  • Разрешить пользователям устанавливать только авторизованные устройства

    В этом сценарии администратор хочет разрешить пользователям устанавливать только устройства, включенные в список авторизованных устройств. Этот сценарий основан на первом сценарии, поэтому перед его попыткой необходимо выполнить первый сценарий. Для выполнения этого сценария необходимо создать список авторизованных устройств, чтобы пользователи могли устанавливать только указанные вами устройства.

  • Запретить установку только запрещенных устройств

    В этом сценарии администратор хочет разрешить обычным пользователям устанавливать большинство устройств, но запретить им устанавливать устройства, включенные в список запрещенных устройств. Чтобы выполнить этот сценарий, необходимо удалить политики, созданные в первых двух сценариях. После удаления этих политик создается список запрещенных устройств, чтобы пользователи могли устанавливать любое устройство, кроме указанных вами.

  • Управление использованием съемных носителей

    В этом сценарии администратор хочет запретить обычным пользователям записывать данные на съемные устройства хранения данных или устройства со съемным носителем, например USB-накопителем или устройством для записи компакт-дисков или DVD-дисков. Чтобы выполнить этот сценарий, настройте политику компьютера, чтобы разрешить доступ на чтение, но запретить доступ на запись к образцу устройства и любому устройству записи КОМПАКТ-дисков или DVD на компьютере.

Обзор технологий

В следующих разделах представлен краткий обзор основных технологий, рассматриваемых в этом руководстве.

Установка устройства в Windows

Устройство — это часть оборудования, с которой Windows взаимодействует для выполнения некоторых функций. Windows может взаимодействовать с устройством только с помощью программного обеспечения, называемого драйвером устройства. Чтобы установить драйвер устройства, Windows обнаруживает устройство, распознает его тип, а затем находит драйвер устройства, соответствующий указанному типу.

Windows использует два типа идентификаторов для управления установкой и конфигурацией устройства. Вы можете использовать параметры групповая политика в Windows Vista и Windows Server 2008, чтобы указать, какие из этих идентификаторов следует разрешить или заблокировать.

Идентификаторы двух типов:

  • Строки идентификации устройства
  • Классы настройки устройства

Строки идентификации устройств

Когда Windows обнаруживает устройство, которое никогда не было установлено на компьютере, операционная система запрашивает у него список идентификационных строк устройства. Устройство обычно имеет несколько идентификационных строк, которые назначает изготовитель устройства. Те же строки идентификации устройства включаются в INF-файл, который является частью пакета драйвера устройства. Windows выбирает устанавливаемый пакет драйвера устройства, сопоставляя строки идентификации устройства, полученные с устройства, с теми, которые входят в состав пакетов драйверов.

Windows может использовать каждую строку для сопоставления устройства с пакетом драйверов. Строки варьируются от очень конкретных, соответствующих одной модели и модели устройства, до самого общего, возможно, применяемого ко всему классу устройств. Есть два типа строк идентификации устройств: идентификаторы оборудования и совместимые идентификаторы.

Идентификаторы оборудования

Идентификаторы оборудования — это идентификаторы, обеспечивающие наиболее точное соответствие между устройством и пакетом драйверов. Первая строка в списке идентификаторов оборудования называется идентификатором устройства, так как она соответствует точному типу, модели и редакции устройства. Другие идентификаторы оборудования в списке соответствуют сведениям об устройстве менее точно. Например, идентификатор оборудования может идентифицировать модель и модель устройства, но не конкретную редакцию. Эта схема позволяет Windows использовать драйвер для другой редакции устройства, если драйвер для правильной редакции недоступен.

Совместимые ИД

Windows использует эти идентификаторы для выбора драйвера устройства, если операционная система не может найти совпадение с идентификатором устройства или любым другим идентификатором оборудования. Совместимые идентификаторы перечислены в порядке уменьшения пригодности. Эти строки являются необязательными и, если они предоставляются, являются очень универсальными, например Disk. Если сопоставление выполняется с использованием совместимого идентификатора, обычно можно использовать только самые основные функции устройства.

При установке устройства, например принтера, USB-накопителя или клавиатуры, Windows выполняет поиск пакетов драйверов, соответствующих устройству, которое вы пытаетесь установить. Во время этого поиска Windows назначает каждому пакету драйверов "ранг" с по крайней мере одним совпадением с аппаратным или совместимым идентификатором. Ранг указывает, насколько хорошо драйвер соответствует устройству. Более низкие ранги указывают на лучшее соответствие между драйвером и устройством. Нулевой ранг представляет собой наилучшее возможное совпадение. Сопоставление с идентификатором устройства в пакете драйвера приводит к более низкому (лучшему) рангу, чем к одному из других идентификаторов оборудования. Аналогичным образом соответствие идентификатору оборудования приводит к лучшему рангу, чем соответствие любому из совместимых идентификаторов. После того как Windows ранжирует все пакеты драйверов, она устанавливает один с самым низким общим рангом. Дополнительные сведения о процессе ранжирования и выбора пакетов драйверов см. в статье How Setup Selects Drivers in the библиотека MSDN.

Примечание Дополнительные сведения о процессе установки драйвера устройства см. в разделе "Обзор технологий" статьи Пошаговое руководство по подписывание и промежуточное хранение драйверов устройств.

Некоторые физические устройства создают одно или несколько логических устройств при их установке. Каждое логическое устройство может обрабатывать часть функциональных возможностей физического устройства. Например, многофункциональное устройство, например сканер, факс или принтер, может иметь разные строки идентификации устройства для каждой функции.

При использовании DMI для разрешения или предотвращения установки устройства, использующего логические устройства, необходимо разрешить или запретить все строки идентификации устройства для этого устройства. Например, если пользователь пытается установить многофункциональное устройство и вы не разрешили или не запретили все строки идентификации для физических и логических устройств, вы можете получить непредвиденные результаты от попытки установки. Дополнительные сведения об идентификаторах оборудования см. в разделе Строки идентификации устройств в библиотека MSDN.

Классы настройки устройства

Классы настройки устройства — это еще один тип строки идентификации. Производитель назначает класс настройки устройства устройству в пакете драйвера устройства. Класс настройки устройства группируют устройства, установленные и настроенные таким же образом. Например, все компакт-диски принадлежат к классу установки устройства CDROM и используют один и тот же установщик при установке. Длинное число, называемое глобально уникальным идентификатором (GUID), представляет каждый класс настройки устройства. При запуске Windows создается древовидная структура в памяти с идентификаторами GUID для всех обнаруженных устройств. Наряду с GUID для класса настройки устройства самого устройства, Windows может потребоваться вставить в дерево GUID для класса настройки устройства шины, к которой подключено устройство.

Если вы используете классы настройки устройств, чтобы разрешить или запретить пользователям устанавливать драйверы устройств, необходимо указать идентификаторы GUID для всех классов настройки устройства, иначе вы не можете достичь нужных результатов. Установка может завершиться сбоем (если вы хотите, чтобы она была успешной) или успешной (если вы хотите, чтобы она завершилась сбоем).

Например, многофункциональное устройство, такое как универсальный сканер, факс или принтер, имеет GUID для универсального многофункционального устройства, GUID для функции принтера, GUID для функции сканера и т. д. Идентификаторы GUID для отдельных функций являются "дочерними узлами" под идентификатором GUID многофункционального устройства. Чтобы установить дочерний узел, Windows также должна иметь возможность установить родительский узел. Необходимо разрешить установку класса настройки устройства родительского GUID для многофункционального устройства в дополнение к любым дочерним GUID для функций принтера и сканера.

Дополнительные сведения см. в разделе Классы настройки устройства в библиотека MSDN.

В этом руководстве не описаны сценарии, в которых используются классы настройки устройств. Однако основные принципы, продемонстрированные в строках идентификации устройств в этом руководстве, также применяются к классам настройки устройств. После обнаружения класса настройки устройства для определенного устройства его можно использовать в политике, чтобы разрешить или запретить установку драйверов устройств для этого класса устройств.

Параметры групповая политика для установки устройства

Чтобы включить контроль над установкой устройств, Windows Vista и Windows Server 2008 вводят несколько параметров политики. Вы можете настроить эти параметры политики по отдельности на одном компьютере или применить их к большому количеству компьютеров с помощью групповая политика в домене Active Directory. Дополнительные сведения об использовании групповая политика для управления клиентскими компьютерами см. в разделе групповая политика.

Если вы хотите применить параметры к автономному компьютеру или нескольким компьютерам в домене Active Directory, для настройки и применения параметров политики используется редактор объектов групповая политика. Дополнительные сведения см. в техническом справочнике по редактору объектов групповая политика.

Ниже приведено краткое описание параметров политики DMI, используемых в этом руководстве.

Примечание Эти параметры политики влияют на всех пользователей, которые входят в систему на компьютере, на котором применяются параметры политики. Эти политики нельзя применять к определенным пользователям или группам, за исключением политики Разрешить администраторам переопределять установку устройств. Эта политика освобождает участников локальной группы администраторов от любых ограничений на установку устройств, применяемых к компьютеру, путем настройки других параметров политики, как описано в этом разделе.

  • Запретить установку устройств, не описанных в других параметрах политики.

    Этот параметр политики управляет установкой устройств, которые не описаны в других параметрах политики. Если этот параметр политики включен, пользователи не смогут устанавливать или обновлять драйвер для устройств, если они не описаны в параметре политики Разрешить установку устройств, соответствующих этим идентификаторам, или в параметре политики Разрешить установку устройств для этих классов устройств . Если этот параметр политики отключен или не настроен, пользователи могут установить и обновить драйвер для любого устройства, которое не описано в параметрах политики Запретить установку устройств, соответствующих этим идентификаторам устройств, Параметр политики Запретить установку устройств для этих классов устройств или Запретить установку съемных устройств .

  • Разрешить администраторам переопределять политику установки устройств.

    Этот параметр политики позволяет членам локальной группы администраторов устанавливать и обновлять драйверы для любого устройства, независимо от других параметров политики. Если этот параметр политики включен, администраторы могут использовать мастер добавления оборудования или мастер обновления драйверов для установки и обновления драйверов для любого устройства. Если этот параметр политики отключен или не настроен, к администраторам применяются все параметры политики, ограничивающие установку устройств.

  • Запретить установку устройств, соответствующих этим идентификаторам устройств.

    Этот параметр политики указывает список идентификаторов оборудования Plug and Play и совместимых идентификаторов для устройств, которые пользователи не могут установить. Если этот параметр политики включен, пользователи не смогут устанавливать или обновлять драйвер для устройства, если его идентификатор оборудования или идентификатор совместимости совпадает с идентификатором в этом списке. Если этот параметр политики отключен или не настроен, пользователи могут устанавливать устройства и обновлять драйверы, как это разрешено другими параметрами политики для установки устройств.

    Примечание Этот параметр политики имеет приоритет над любыми другими параметрами политики, которые позволяют пользователям устанавливать устройства. Этот параметр политики запрещает пользователям устанавливать устройство, даже если оно соответствует другому параметру политики, который разрешает установку этого устройства.

  • Запретить установку драйверов, соответствующих этим классам установки устройства.

    Этот параметр политики задает список GUID класса настройки устройств Plug and Play для устройств, которые пользователи не могут установить. Если этот параметр политики включен, пользователи не смогут устанавливать или обновлять устройства, принадлежащие к любому из перечисленных классов установки устройств. Если этот параметр политики отключен или не настроен, пользователи могут устанавливать и обновлять устройства, как это разрешено другими параметрами политики для установки устройств.

    Примечание Этот параметр политики имеет приоритет над любыми другими параметрами политики, которые позволяют пользователям устанавливать устройства. Этот параметр политики запрещает пользователям устанавливать устройства, даже если он соответствует другому параметру политики, который разрешает установку этого устройства.

  • Разрешить установку устройств, соответствующих любому из этих идентификаторов устройств.

    Этот параметр политики указывает список идентификаторов оборудования Plug and Play и совместимых идентификаторов, описывающих устройства, которые пользователи могут устанавливать. Этот параметр предназначен для использования только в том случае, если включен параметр политики Запретить установку устройств, не описанных в других параметрах политики , и он не имеет приоритета над параметрами политики, которые препятствуют установке устройства пользователями. Если этот параметр политики включен, пользователи могут устанавливать и обновлять любое устройство с идентификатором оборудования или совместимым идентификатором, соответствующим идентификатору в этом списке, если эта установка не была специально запрещена параметром политики Запретить установку устройств, соответствующих этим идентификаторам устройств, параметр политики Запретить установку устройств для этих классов устройств . или параметр политики Запретить установку съемных устройств . Если другой параметр политики запрещает пользователям устанавливать устройство, пользователи не смогут установить его, даже если устройство также описывается значением в этом параметре политики. Если этот параметр политики отключен или не настроен, а устройство не описано ни в другой политике, параметр политики Запретить установку устройств, не описанных в других параметрах политики , определяет, могут ли пользователи устанавливать устройство.

  • Разрешить установку устройств с помощью драйверов для этих классов устройств.

    Этот параметр политики задает список GUID класса установки устройств, описывающих устройства, которые пользователи могут устанавливать. Этот параметр предназначен для использования только в том случае, если включен параметр политики Запретить установку устройств, не описанных в других параметрах политики , и он не имеет приоритета над параметрами политики, которые препятствуют установке устройства пользователями. Если этот параметр включен, пользователи могут установить и обновить любое устройство с идентификатором оборудования или совместимым идентификатором, соответствующим одному из идентификаторов в этом списке, если установка не была специально запрещена параметром политики Запретить установку устройств, соответствующих этим идентификаторам устройств, параметр политики Запретить установку устройств для этих классов устройств . или параметр политики Запретить установку съемных устройств . Если другой параметр политики запрещает пользователям устанавливать устройство, пользователи не смогут установить его, даже если устройство также описывается значением в этом параметре политики. Если этот параметр политики отключен или не настроен, а устройство не описывается другим параметром политики, параметр политики Запретить установку устройств, не описанных в других параметрах политики , определяет, могут ли пользователи устанавливать устройство.

Некоторые из этих политик имеют приоритет над другими политиками. На блок-схеме ниже показано, как Windows обрабатывает их, чтобы определить, может ли пользователь установить устройство, как показано на рисунке 1 (ниже).

Bb530324.grouppolicydeviceinstall01(en-us,MSDN.10).gif

Рис. 1. Как Windows обрабатывает политики при определении того, может ли пользователь установить устройство

параметры групповая политика для доступа к съемной памяти

В Windows Vista и Windows Server 2008 администратор может применить политику компьютера для управления возможностью чтения или записи на любом устройстве со съемным носителем. Эти политики можно использовать для предотвращения записи конфиденциальных или конфиденциальных материалов на съемный носитель или на съемное устройство, содержащее хранилище, а затем переносятся из помещения.

Эти параметры политики можно применить на уровне компьютера, чтобы они влияли на каждого пользователя, который входит на компьютер. Вы также можете применить их на уровне пользователя и ограничить применение определенной учетной записью пользователя. Если вы используете групповая политика в среде Active Directory, вы можете применить параметры политики к группам пользователей в дополнение к учетным записям отдельных пользователей. групповая политика также позволяет эффективно применять эти политики к большому количеству компьютеров. Дополнительные сведения об использовании групповая политика для управления клиентскими компьютерами см. в разделе групповая политика.

Параметры политики доступа к съемным хранилищам также включают параметр, позволяющий администратору принудительно выполнить перезагрузку. Если устройство используется при применении ограничивающей политики, политика может не применяться до перезагрузки компьютера.

Параметры политики можно найти в двух расположениях. Параметры политики, доступные в разделе Конфигурация компьютера\Административные шаблоны\Система\Доступ к съемным хранилищам , влияют на компьютер и всех пользователей, которые входят в него. Параметры политики, доступные в разделе Конфигурация пользователя\Административные шаблоны\System\Съемный доступ к хранилищу, влияют только на пользователей, к которым применяется этот параметр политики, включая группы, если групповая политика применяется с помощью Active Directory.

Ниже приведено краткое описание политик, позволяющих управлять доступом на чтение и запись к съемным дискам хранения. Каждая категория устройств поддерживает две политики: одна для запрета доступа на чтение, а другая — для запрета доступа на запись.

  • Время (в секундах) принудительной перезагрузки

    Задайте время (в секундах), в течение которого система будет ожидать перезапуска, чтобы применить изменение прав доступа к съемным запоминающим устройствам.

    Примечание Если перезагрузка не выполняется принудительно, изменение не вступит в силу, пока не будет перезапущена система.

  • КОМПАКТ-диск и DVD-диск

    Эти параметры политики позволяют запретить доступ на чтение и запись к устройствам в съемном классе носителей CD и DVD, включая устройства, подключенные по USB.

  • Пользовательские классы

    Эти параметры политики позволяют запретить доступ на чтение или запись для любого устройства, guid класса настройки устройства которого находится в предоставленных вами списках.

  • Гибкие диски

    Эти параметры политики позволяют запретить доступ на чтение и запись к устройствам в классе Floppy Drive, включая устройства, подключенные по USB.

  • Съемные диски

    Эти параметры политики позволяют запретить доступ на чтение и запись съемным устройствам, которые являются или эмулируют жесткие диски, такие как USB-накопители памяти или внешние жесткие диски USB.

  • Ленточные накопители

    Эти параметры политики позволяют запретить доступ на чтение и запись к ленточным накопителям, включая устройства, подключенные по USB.

  • Устройства WPD

    Эти параметры политики позволяют запретить доступ на чтение и запись к устройствам в классе Переносимые устройства Windows. К этим устройствам относятся "умные" устройства, такие как проигрыватели мультимедиа, мобильные телефоны, Windows CE устройства и т. д.

  • Все классы съемных носителей: запретить любой доступ

    Этот параметр политики имеет приоритет над любыми параметрами политики в этом списке и, если он включен, запрещает доступ на чтение и запись к любому устройству, которое определено как использующее съемный носитель. Если этот параметр политики отключен или не настроен, доступ на чтение и запись к съемным классам хранения будет разрешен с учетом ограничений, накладываемых другими параметрами политики в этом списке.

Требования для выполнения сценариев

Для выполнения каждого из сценариев необходимо:

  • Клиентский компьютер под управлением Windows Vista. В этом руководстве этот компьютер называется DMI-Client1.

  • USB-накопитель памяти. В сценариях, описанных в этом руководстве, в качестве примера используется USB-накопитель памяти. Это устройство действует как съемный диск и также называется "накопителем большого пальца", "флэш-накопителем" или "дисководом с ключами". Большинству USB-накопителей не требуются драйверы, предоставляемые производителем, и эти устройства работают с драйверами, предоставляемыми в Windows Vista и Windows Server 2008.

    Примечание В инструкциях предполагается, что вашему устройству не требуются драйверы, кроме драйверов, которые входят в состав Windows Vista и Windows Server 2008. Если вашему устройству требуется драйвер от изготовителя, необходимо предоставить файл драйвера, когда Windows предложит сделать это. Этот шаг не включен в сценарии.

  • (Необязательно) Cd или DVD-горелки. В последнем сценарии показано, как сделать устройства со съемными носителями доступными только для чтения. Вы можете установить политику компьютера без установки устройства записи компакт-дисков или DVD-дисков. Однако если вы хотите убедиться, что политика компьютера действительна, необходимо использовать устройство для записи компакт-дисков или DVD-дисков.

  • Доступ к защищенной учетной записи администратора в DMI-Client1. В этом руководстве эта учетная запись называется TestAdmin. Процедуры, описанные в этом руководстве, требуют прав администратора для большинства шагов. Вы должны войти в DMI-Client1 с помощью этой учетной записи администратора в начале каждой процедуры, если не указано иное.

    Примечание В Windows Vista и Windows Server 2008 представлена концепция защищенной учетной записи администратора. Эта учетная запись входит в группу администраторов, но по умолчанию эта привилегия безопасности не используется напрямую. При любой попытке выполнить задачу, требующую повышенных прав администратора, создается диалоговое окно с запросом разрешения на выполнение этой задачи. Это диалоговое окно рассматривается в разделе Ответы на страницу Контроля учетных записей пользователей. Корпорация Майкрософт рекомендует по возможности использовать защищенную учетную запись администратора, а не встроенную учетную запись администратора.

  • Доступ к учетной записи обычного пользователя в DMI-Client1. Эта учетная запись пользователя не имеет специальных членств, которые предоставляют какие-либо повышенные разрешения. Это руководство вызывает эту учетную запись TestUser. Войдите на компьютер только с помощью этой учетной записи, когда это будет указано. При использовании учетной записи обычного пользователя любая попытка выполнить задачу, требующую повышенных прав администратора, может привести к тому, что диалоговое окно запрашивает учетные данные учетной записи с правами администратора. Это диалоговое окно рассматривается в разделе Ответы на страницу Контроля учетных записей пользователей.

Необходимые процедуры

Перед реализацией любой политики, разрешающей или запрещающей пользователям устанавливать устройство, необходимо знать строки идентификации устройства для устройства. Кроме того, необходимо знать, как полностью удалить USB-накопитель и связанный с ним драйвер. Следующие процедуры настраивают компьютер для успешного выполнения сценариев, описанных в этом руководстве.

  1. Ответ на страницу контроля учетных записей
  2. Определение строк идентификации устройства для USB-накопителя
  3. Удаление USB-накопителя

Ответ на страницу контроля учетных записей

В этом руководстве вам предлагается выполнить задачи, которые может выполнять только член группы администраторов. В Windows Vista и Windows Server 2008 при попытке выполнить задачу, требующую прав администратора, происходит следующее:

  • Если вы вошли в систему с помощью встроенной учетной записи администратора (не рекомендуется), операция просто продолжается. Встроенная учетная запись администратора отключена по умолчанию.
  • Если вы являетесь членом группы администраторов, которая не является встроенной учетной записью администратора, появится диалоговое окно Контрольучетных записейс запросом разрешения на продолжение. Если нажать кнопку Продолжить, задача будет продолжена.
  • Если вы вошли в систему как обычный пользователь, вам может быть запрещено выполнение задачи. В зависимости от задачи вы можете открыть страницу Контроляучетных записейпользователей, чтобы указать имя пользователя и пароль для учетной записи администратора. Если указать допустимые учетные данные, задача выполняется в контексте безопасности предоставленной учетной записи администратора. Если вы не можете предоставить эти учетные данные, вам не удастся выполнить задачу.

Важно: Перед предоставлением учетных данных или разрешений для выполнения любой административной задачи убедитесь, что страница Контроль учетных записей отображается в ответ на инициалированную задачу. Если страница отображается неожиданно, нажмите кнопку Сведения и убедитесь, что нужно разрешить задачу.

В этом руководстве не описано каждое вхождение диалогового окна Контроль учетных записей, с которыми вы столкнетесь при выполнении этих процедур. Если для выполнения определенных задач от имени администратора требуются специальные действия, эти действия описаны в руководстве.

Определение строк идентификации устройства для USB-накопителя

Выполнив эти действия, вы можете определить строки идентификации устройства для вашего устройства. Если идентификаторы оборудования и совместимые идентификаторы вашего устройства не соответствуют указанным в этом руководстве, используйте идентификаторы, соответствующие вашему устройству.

Примечание В следующих сценариях необходимо установить, а затем удалить USB-накопитель. В инструкциях предполагается, что вашему устройству не требуются драйверы, кроме драйверов, которые входят в состав Windows Vista и Windows Server 2008. Если вашему устройству требуется драйвер от изготовителя, необходимо предоставить файл драйвера, когда Windows предложит сделать это. Этот шаг не включен в сценарии.

Идентификаторы оборудования и совместимые идентификаторы для устройства можно определить двумя способами. Вы можете использовать диспетчер устройств, графическое средство, входящее в состав операционной системы, или DevCon, средство командной строки, доступное для скачивания в составе пакета средств разработки драйверов (DDK). Используйте следующую процедуру, чтобы просмотреть строки идентификации устройства для USB-накопителя.

Важно Эти процедуры относятся только к USB-накопителю. Если вы используете другой тип устройства, необходимо соответствующим образом настроить шаги. Существенное различие будет в расположении устройства в иерархии диспетчер устройств. Вместо того, чтобы находиться в узле Диски , необходимо найти устройство в соответствующем узле.

Поиск идентификационных строк устройств с помощью диспетчер устройств

  1. Войдите на компьютер под учетной записью DMI-Client1\TestAdmin.

  2. Подключите USB-накопитель памяти, а затем разрешите установку.

  3. Чтобы открыть диспетчер устройств, нажмите кнопку Пуск, введите mmc devmgmt.msc в поле Начать поиск и нажмите клавишу ВВОД.

  4. При появлении диалогового окна Контроль учетных записей подтвердите отображаемое в нем действие и нажмите кнопку Продолжить.

    диспетчер устройств запускается и отображает дерево, представляющее все устройства, обнаруженные на компьютере. В верхней части дерева находится узел с именем компьютера рядом с ним. Нижние узлы представляют различные категории оборудования, в которые сгруппированы устройства компьютеров.

  5. Дважды щелкните Дисковые диски , чтобы открыть список.

    Bb530324.grouppolicydeviceinstall02(en-us,MSDN.10).gif

    Рис. 2. Откройте USB-диск, дважды щелкнув

  6. Щелкните правой кнопкой мыши запись usb-накопителя и выберите пункт Свойства. Откроется диалоговое окно Свойства устройства .

    Bb530324.grouppolicydeviceinstall03(en-us,MSDN.10).gif

    Рис. 3. Откроется диалоговое окно Свойства устройства для USB-накопителя

  7. Перейдите на вкладку Подробно.

  8. В списке Свойство щелкните Идентификаторы оборудования.

  9. В разделе Значение запишите отображаемые строки.

    Bb530324.grouppolicydeviceinstall04(en-us,MSDN.10).gif

    Рис. Запомните строки, отображаемые в разделе Значение в диалоговом окне Свойства USB-накопителя

    Примечание: Вы можете скопировать строки в буфер обмена, выделив текст и нажав клавиши CTRL+C. Так как многие идентификаторы оборудования имеют несколько символов подчеркивания, полезно скопировать их в текстовый файл, из которого можно вставить, если необходимо указать идентификатор. Такой подход значительно снижает вероятность ошибки, если необходимо добавить определенный идентификатор в список утвержденных или запрещенных устройств.

  10. В списке Свойство щелкните Совместимые идентификаторы.

  11. В разделе Значение запишите отображаемые строки.

    Bb530324.grouppolicydeviceinstall05(en-us,MSDN.10).gif

    Рис. 5. Запомните строки, отображаемые в разделе Значение в диалоговом окне Свойства USB-накопителя

Примечание Вы также можете определить строки идентификации устройства с помощью служебной программы командной строки DevCon. Вы можете скачать DevCon с сайта справки и поддержки Майкрософт. Дополнительные сведения см. в статье Функции служебной программы командной строки DevCon в качестве альтернативы диспетчер устройств.

Devcon

DevCon HwIDs

Удаление USB-накопителя памяти

При обычном ежедневном использовании USB-накопителя памяти обычно можно просто вытащить диск из USB-порта. Однако в этом руководстве необходимо также удалить драйвер устройства, чтобы убедиться, что каждый сценарий запускается с компьютером в подходящем состоянии. Если вам не удастся удалить и удалить устройство при указании, политики, протестированные в приведенных ниже сценариях, не будут иметь никакого эффекта, и вы не увидите ожидаемых результатов. Выполните те же действия в этом руководстве, когда вам будет показано, как удалить устройство.

Важно Физически не отключайте устройство от USB-порта, пока не перейдете к последнему шагу.

Удаление USB-накопителя памяти

  1. Войдите на компьютер DMI-Client1\TestAdmin.

  2. Чтобы открыть диспетчер устройств, нажмите кнопку Пуск, введите mmc devmgmt.msc в поле Начать поиск и нажмите клавишу ВВОД.

  3. Если появится диалоговое окно Контроль учетных записей, убедитесь, что отображается нужное действие, и нажмите кнопку Продолжить.

  4. Щелкните правой кнопкой мыши запись usb-накопителя и выберите команду Удалить.

    Bb530324.grouppolicydeviceinstall06(en-us,MSDN.10).gif

    Рис. 6. Щелкните правой кнопкой мыши, чтобы удалить USB-накопитель памяти.

  5. В диалоговом окне Подтверждение удаления устройства нажмите кнопку ОК , чтобы завершить процесс удаления.

  6. После завершения процесса удаления Windows удаляет запись устройства из дерева диспетчер устройств.

  7. Отключите USB-накопитель памяти от USB-порта.

Запретить установку всех устройств

В этом сценарии описаны типичные шаги, необходимые для реализации наиболее строгой конфигурации, когда все установки устройств запрещены, а существующие устройства не могут быть обновлены с помощью новых драйверов устройств. Пользователи не смогут установить устройство и использовать его без вмешательства администратора. Администраторы по-прежнему могут устанавливать или обновлять любое устройство при необходимости.

Предварительные требования для предотвращения установки всех устройств

Для выполнения процедур в этом сценарии необходимо удалить USB-накопитель памяти, как описано в разделе Удаление USB-накопителя памяти ранее в этом документе.

Действия по предотвращению установки всех устройств

  1. Настройка политики для предотвращения установки любого устройства
  2. Настройка политики, разрешающее администраторам переопределять ограничения на установку устройств
  3. Проверка влияния параметров ограничений в качестве пользователя

Настройка политики для предотвращения установки любого устройства

Настройка политики, запрещающей установку или обновление любого устройства

  1. Войдите на компьютер под учетной записью DMI-Client1\TestAdmin.

  2. Чтобы открыть редактор объектов групповая политика, нажмите кнопку Пуск, введите mmc gpedit.msc в поле Начать поиск и нажмите клавишу ВВОД.

  3. Если появится диалоговое окно Контроль учетных записей, убедитесь, что отображается нужное действие, и нажмите кнопку Продолжить.

  4. В области навигации групповая политика редактора объектов дважды щелкните конфигурация компьютера, чтобы открыть ее. Затем откройте Административные шаблоны, Система, Установка устройства, а затем — Ограничения на установку устройств.

    Bb530324.grouppolicydeviceinstall07(en-us,MSDN.10).gif

    Рис. 7. Область навигации групповая политика редактора объектов

  5. В области сведений щелкните правой кнопкой мыши пункт Запретить установку устройств, не описанных в других параметрах политики, и выберите пункт Свойства.

  6. Откроется диалоговое окно политики с текущими параметрами.

  7. На вкладке Параметры щелкните Включено , чтобы включить политику.

  8. Нажмите кнопку ОК, чтобы сохранить параметры и вернуться в редактор объектов групповая политика.

Настройка политики, разрешающее администраторам переопределять ограничения на установку устройств

Следующая политика позволяет администраторам переопределять ограничения, налагаемые другими параметрами политики установки устройств, включая только что включенную политику.

Настройка политики, разрешающее администраторам переопределять ограничения на установку устройств

  1. В области сведений щелкните правой кнопкой мыши разрешить администраторам переопределять политику установки устройств, а затем выберите свойства.

  2. Откроется диалоговое окно политики с текущими параметрами.

  3. На вкладке Параметры нажмите кнопку Включено , чтобы включить параметр политики.

  4. Нажмите кнопку ОК, чтобы сохранить параметры и вернуться в редактор объектов групповая политика.

  5. Теперь состояние обеих политик отображается как включено.

    Bb530324.grouppolicydeviceinstall08s(en-us,MSDN.10).gif

    Рис. 8. Состояние обеих политик будет отображаться как включено.

Проверка влияния параметров ограничений в качестве пользователя

Если обе политики включены, вы можете применить их к компьютеру и попытаться установить устройство, чтобы увидеть, что ограничения работают.

Проверка влияния параметров ограничений в качестве пользователя

  1. Если устройство установлено, удалите его, выполнив действия, описанные в разделе Удаление USB-накопителя памяти ранее в этом документе.

  2. Нажмите кнопку Пуск , введите gpupdate /force в поле Начать поиск и нажмите клавишу ВВОД.

  3. После завершения выполнения команды GPUdate выйдите из компьютера и войдите в систему как DMI-Client1\TestUser.

  4. Чтобы открыть диспетчер устройств, нажмите кнопку Пуск, введите mmc devmgmt.msc в поле Начать поиск и нажмите клавишу ВВОД.

  5. Появится следующее сообщение, указывающее, что у вас нет разрешений на внесение изменений в диспетчер устройств.

    Bb530324.grouppolicydeviceinstall09(en-us,MSDN.10).gif

    Рис. 9. Появится сообщение о том, что у вас нет разрешений

  6. Нажмите кнопку ОК , чтобы подтвердить сообщение. (диспетчер устройств запустится, и вы сможете просматривать устройства на компьютере.)

  7. Подключите USB-накопитель памяти.

  8. Пока установка не будет успешно завершена, устройство отображается в диспетчер устройств в узле Другие устройства.

    Bb530324.grouppolicydeviceinstall10(en-us,MSDN.10).gif

    Рис. Устройство будет отображаться в разделе Другие устройства, пока установка не будет завершена.

  9. Так как вы вошли в систему как обычный пользователь без прав администратора, а установка устройства теперь ограничена, появится следующее диалоговое окно:

    Bb530324.grouppolicydeviceinstall11(en-us,MSDN.10).gif

    Рис. 11. Диалоговое окно, которое появляется при входе в систему от имени обычного пользователя без прав администратора

  10. Чтобы имитировать типичный ответ пользователя, щелкните Найти и установить программное обеспечение драйвера (рекомендуется).

  11. Появится вариант диалогового окна Контроль учетных записей с запросом имени пользователя и пароля для учетной записи с правами администратора.

  12. Так как у пользователя не будет учетных данных администратора, нажмите кнопку Отмена , чтобы прервать попытку, как это сделает пользователь.

  13. Установка драйвера устройства завершается сбоем, и устройство остается в узле Другие устройства и не работает.

    Bb530324.grouppolicydeviceinstall12(en-us,MSDN.10).gif

    Рис. 12. Установка устройства завершается сбоем, и устройство не работает

Разрешить пользователям устанавливать только авторизованные устройства

Этот сценарий основан на первом сценарии Запретить установку всех устройств, где запрещена установка любого устройства. В этом сценарии вы добавляете список разрешенных устройств в политику и включаете идентификатор оборудования для USB-накопителя.

Предварительные требования для предоставления пользователям возможности устанавливать только авторизованные устройства

Чтобы выполнить эту задачу, необходимо сначала выполнить все действия в первом сценарии Запретить установку всех устройств.

Действия, позволяющие пользователям устанавливать только авторизованные устройства

В этом разделе описано, как добавить разрешенные устройства к ограничениям, введенным в разделе Запретить установку всех устройств, создав список авторизованных устройств.

  1. Создание списка авторизованных устройств
  2. Тестирование эффектов авторизованных устройств

Создание списка авторизованных устройств

Создание списка утвержденных устройств

  1. Войдите на компьютер под учетной записью DMI-Client1\TestAdmin.

  2. Если устройство установлено, удалите и удалите его, выполнив действия, описанные в разделе Удаление USB-накопителя выше в этом документе.

  3. Чтобы открыть редактор объектов групповая политика, нажмите кнопку Пуск, введите mmc gpedit.msc в поле Начать поиск и нажмите клавишу ВВОД.

  4. В области навигации редактора объектов групповая политика дважды щелкните элемент Конфигурация компьютера, чтобы открыть ее. Затем откройте Административные шаблоны, Система, Установка устройства, а затем — Ограничения на установку устройств.

  5. В области сведений щелкните правой кнопкой мыши Разрешить установку устройств, соответствующих любому из этих идентификаторов устройств, и выберите пункт Свойства.

  6. Откроется диалоговое окно политики с текущими параметрами.

  7. На вкладке Параметры щелкните Включено , чтобы включить эту политику.

    Bb530324.grouppolicydeviceinstall13(en-us,MSDN.10).gif

    Рис. 13. Нажмите кнопку Включено, чтобы включить политику.

  8. Нажмите кнопку Показать , чтобы просмотреть список разрешенных устройств в диалоговом окне Показать содержимое. (По умолчанию список пуст.)

  9. Нажмите кнопку Добавить , чтобы открыть диалоговое окно Добавление элемента.

  10. Введите идентификатор устройства (первый идентификатор оборудования) для устройства.

    Bb530324.grouppolicydeviceinstall14(en-us,MSDN.10).gif

    Рис. 14. Введите идентификатор usb-устройства.

  11. Нажмите кнопку ОК , чтобы вернуться в диалоговое окно Показать содержимое. Устройство появится в списке.

    Bb530324.grouppolicydeviceinstall15(en-us,MSDN.10).gif

    Рис. 15. Устройство утверждено для установки

  12. Нажмите кнопку ОК , чтобы вернуться в диалоговое окно политики, а затем нажмите кнопку ОК , чтобы сохранить новый параметр политики.

Тестирование списка авторизованных устройств

Если параметр политики включен, его можно применить к компьютеру и попытаться установить устройство.

Тестирование списка авторизованных устройств

  1. Нажмите кнопку Пуск , введите gpupdate/force в поле Начать поиск и нажмите клавишу ВВОД.

  2. Когда команда gpudate завершится, выйдите из системы и войдите в систему под учетной записью DMI-Client1\TestUser.

  3. Чтобы открыть диспетчер устройств, нажмите кнопку Пуск, введите mmc devmgmt.msc в поле Начать поиск и нажмите клавишу ВВОД.

  4. Появится следующее сообщение, указывающее, что у вас нет разрешений на внесение изменений в диспетчер устройств.

    Bb530324.grouppolicydeviceinstall16s(en-us,MSDN.10).gif

    Рис. 16. Появится сообщение о том, что у вас нет разрешений

  5. Нажмите кнопку ОК, чтобы закрыть сообщение. диспетчер устройств запустится, и вы сможете просматривать устройства на компьютере.

  6. Подключите USB-накопитель памяти.

  7. Устройство отображается в диспетчер устройств в узле Другие устройства, пока Windows не завершит установку.

    Bb530324.grouppolicydeviceinstall17(en-us,MSDN.10).gif

    Рис. 17. Устройство будет отображаться в разделе Другие устройства до завершения установки.

  8. После завершения установки Windows устройство перемещается в узел Диски в диспетчер устройств и полностью работает.

    Bb530324.grouppolicydeviceinstall18(en-us,MSDN.10).gif

    Рис. 18. После завершения установки устройство станет полностью функциональным

Запретить установку запрещенных устройств

Этот сценарий представляет собой альтернативный способ управления установкой устройства. В первых двух сценариях запрещена установка всех устройств, кроме разрешенных списком авторизованных устройств. В этом сценарии разрешена установка всех устройств, кроме устройств из списка запрещенных. Вы также удалите исключение для администраторов, созданное в первом сценарии, чтобы политика повлияла даже на администратора.

Предварительные требования для предотвращения установки запрещенных устройств

Если вы выполнили действия, описанные в разделах Запретить установку всех устройств и Разрешить пользователям устанавливать только авторизованные устройства, необходимо отключить эти политики, выполнив следующие действия.

  • Включите установку всех устройств.
  • Удалите исключение для участников группы "Администраторы", чтобы разрешить установку устройства.
  • Удалите идентификатор оборудования из списка утвержденных устройств.

Включение установки всех устройств

  1. Войдите на компьютер под учетной записью DMI-Client1\TestAdmin.
  2. Чтобы открыть редактор объектов групповая политика, нажмите кнопку Пуск, введите mmc gpedit.msc в поле Начать поиск и нажмите клавишу ВВОД.
  3. В области навигации редактора объектов групповая политика дважды щелкните элемент Конфигурация компьютера, чтобы открыть ее. Затем откройте Административные шаблоны, Система, Установка устройства, а затем — Ограничения на установку устройств.
  4. В области сведений щелкните правой кнопкой мыши узел Запретить установку устройств, не описанных другими параметрами политики, и выберите пункт Свойства.
  5. Откроется диалоговое окно политики с текущими параметрами.
  6. Нажмите кнопку Отключено , чтобы отключить параметр политики.
  7. Нажмите кнопку ОК, чтобы сохранить параметры и вернуться в редактор объектов групповая политика.

Следующим шагом является удаление политики, которая предоставила исключение членам группы "Администраторы".

Удаление исключения для администраторов групповая политика ограничений

  1. В редакторе объектов групповая политика щелкните правой кнопкой мыши параметр Разрешить администраторам переопределять политику установки устройств и выберите пункт Свойства.
  2. Откроется диалоговое окно политики с текущими параметрами.
  3. На вкладке Параметры нажмите кнопку Отключено , чтобы отключить параметр политики.
  4. Нажмите кнопку ОК, чтобы сохранить параметры и вернуться в редактор объектов групповая политика.

Следующим шагом является удаление идентификатора оборудования из списка авторизованных устройств, созданных во втором сценарии.

Удаление идентификатора оборудования из списка авторизованных устройств

  1. В редакторе объектов групповая политика щелкните правой кнопкой мыши Разрешить установку устройств, соответствующих любому из этих идентификаторов устройств, и выберите пункт Свойства. Откроется диалоговое окно политики с текущими параметрами.
  2. На вкладке Параметры нажмите кнопку Показать , чтобы просмотреть список авторизованных устройств.
  3. В диалоговом окне Показать содержимое выберите имя USB-накопителя и нажмите кнопку Удалить. Windows удаляет устройство из списка.
  4. Нажмите кнопку ОК , чтобы закрыть диалоговое окно Показать содержимое и вернуться в диалоговое окно политики.
  5. Нажмите кнопку Отключено, чтобы отключить параметр политики.
  6. Нажмите кнопку ОК, чтобы сохранить изменения и вернуться в редактор объектов групповая политика.

Действия по предотвращению установки запрещенных устройств

Чтобы запретить пользователям устанавливать определенные устройства, создайте список запрещенных устройств. В этом разделе вы сделаете следующее:

  1. Создание списка запрещенных устройств
  2. Тестирование списка запрещенных устройств

Создание списка запрещенных устройств

Создание списка запрещенных устройств

  1. Если устройство установлено, удалите и удалите его, выполнив действия, описанные в разделе Удаление USB-накопителя выше в этом документе.

  2. Войдите на компьютер под учетной записью DMI-Client1\TestAdmin.

  3. Если он еще не запущен, запустите редактор объектов групповая политика. Для этого нажмите кнопку Пуск, введите mmc gpedit.msc в поле Начать поиск и нажмите клавишу ВВОД.

  4. В дереве дважды щелкните Конфигурация компьютера, чтобы открыть его. Затем откройте Административные шаблоны, Система, Установка устройства, а затем — Ограничения на установку устройств.

  5. В области сведений щелкните правой кнопкой мыши Запретить установку устройств, которые соответствуют этим идентификаторам устройств, а затем выберите пункт Свойства. Откроется диалоговое окно политики с текущими параметрами.

  6. На вкладке Параметры щелкните Включено, чтобы включить эту политику.

    Bb530324.grouppolicydeviceinstall19(en-us,MSDN.10).gif

    Рис. 19. Щелкните Включено, чтобы активировать политику.

  7. Нажмите кнопку Показать , чтобы просмотреть список запрещенных устройств.

  8. В диалоговом окне Показать содержимое нажмите кнопку Добавить.

  9. В диалоговом окне Добавление элемента введите идентификатор устройства (первый идентификатор оборудования), который вы нашли для устройства.

  10. Нажмите кнопку ОК , чтобы вернуться в диалоговое окно Показать содержимое.

  11. Устройство появится в списке.

    Bb530324.grouppolicydeviceinstall20(en-us,MSDN.10).gif

    Рис. 20. Установка для этого устройства теперь будет запрещена

  12. Нажмите кнопку ОК , чтобы вернуться в диалоговое окно политики, а затем нажмите кнопку ОК , чтобы сохранить новый параметр политики.

Тестирование списка запрещенных устройств

Теперь можно попытаться установить устройство. Вы можете установить другие устройства, так как политика больше не запрещает их установку, но вы не можете установить это конкретное устройство, даже если вы вошли в систему как член группы Администраторы.

Проверка списка запрещенных устройств

  1. Нажмите кнопку Пуск , введите gpupdate /force в поле Начать поиск и нажмите клавишу ВВОД.

  2. Завершив выполнение команды gpudate, закройте командную строку.

  3. Чтобы открыть диспетчер устройств, нажмите кнопку Пуск, введите mmc devmgmt.msc в поле Начать поиск и нажмите клавишу ВВОД.

  4. Подключите USB-накопитель памяти.

  5. Устройство отображается в диспетчер устройств в узле Другие устройства.

  6. Установка не завершается, и устройство не работает.

    Bb530324.grouppolicydeviceinstall21(en-us,MSDN.10).gif

    Рис. 21. Установка не будет завершена, и устройство не будет работать

  7. Windows отображает в области уведомлений сообщение с указанием причины сбоя установки:

    Bb530324.grouppolicydeviceinstall22(en-us,MSDN.10).gif

    Рис. 22. Появится сообщение с сообщением о причине сбоя установки.

  8. Вы можете попытаться обойти ограничения, установив драйвер для устройства вручную. Щелкните устройство правой кнопкой мыши и выберите обновить программное обеспечение драйвера.

  9. Операционная система предложит указать драйвер устройства для устройства.

    Bb530324.grouppolicydeviceinstall23(en-us,MSDN.10).gif

    Рис. 23. Появится запрос на ввод драйвера устройства.

  10. Чтобы имитировать попытки пользователя, щелкните Автоматический поиск обновленного программного обеспечения драйвера.

  11. Появится сообщение о том, что Windows найден, но не удалось установить драйвер. В последнем абзаце объясняется, что попытка установки завершилась сбоем, так как она запрещена созданной политикой.

    Bb530324.grouppolicydeviceinstall24(en-us,MSDN.10).gif

    Рис. 24. В диалоговом окне объясняется, почему произошел сбой установки

Управление разрешениями на чтение и запись на съемных носителях

В этом сценарии показано, как управлять доступом на чтение и запись к съемным устройствам или устройствам, используюющим съемные носители, на компьютерах под управлением Windows Vista и Windows Server 2008. В этом сценарии вы настраиваете политику компьютера, чтобы сделать USB-накопитель доступной только для чтения. Вы также настраиваете политику компьютера, чтобы любое устройство записи КОМПАКТ-дисков или DVD-дисков было подключено к компьютеру только для чтения, что фактически отключает функцию горения.

Предварительные требования для управления разрешениями на чтение и запись на съемных носителях

Перед выполнением процедур, описанных в этом разделе, необходимо отключить политику, запрещающую установку USB-накопителей.

Отключение политики, запрещающей установку USB-накопителей

  1. Если устройство установлено, удалите и удалите его, выполнив действия, описанные в разделе Удаление USB-накопителя выше в этом документе.
  2. В области сведений редактора объектов групповая политика щелкните правой кнопкой мыши Пункт Запретить установку устройств, соответствующих этим идентификаторам устройств, и выберите пункт Свойства.
  3. Откроется диалоговое окно политики с текущим параметром.
  4. На вкладке Параметры нажмите кнопку Показать , чтобы просмотреть список запрещенных устройств.
  5. В диалоговом окне Показать содержимое щелкните USB-накопитель памяти, нажмите кнопку Удалить, а затем нажмите кнопку ОК.
  6. На вкладке Параметры нажмите кнопку Отключено , чтобы отключить этот параметр политики.
  7. Нажмите кнопку ОК , чтобы сохранить изменения.

Действия по управлению разрешениями на чтение и запись на съемных носителях

  1. Настройка политики компьютера для запрета доступа на запись для определенных классов съемных устройств
  2. Проверка параметров политики компьютера

Настройка политики компьютера для запрета доступа на запись для определенных классов съемных устройств

Политики, заданные в этой процедуре, блокируют доступ на запись ко многим съемным запоминаемым устройствам. Однако точная политика компьютера, которая блокирует доступ на запись к устройству, может отличаться в зависимости от конкретного устройства. Вы также можете использовать политику Пользовательские классы , но для нее требуется определить GUID класса настройки устройства для конкретного устройства.

Запрет доступа на запись к определенным классам съемных устройств

  1. В области навигации редактора объектов групповая политика откройте раздел Конфигурация компьютера, а затем административные шаблоны, системные и съемное хранилище.
  2. Щелкните правой кнопкой мыши CD и DVD: запретить доступ на запись и выберите пункт Свойства.
  3. В диалоговом окне Свойства щелкните Включено , чтобы включить ограничение, а затем нажмите кнопку ОК.
  4. Повторите шаги 2 и 3 для следующих политик компьютеров:
    • Съемные диски: запрет доступа на запись
    • Гибкие диски: запрет доступа на запись
    • Устройства WPD: запрет доступа на запись
  5. Закройте редактор объектов групповая политика.

Проверка параметров политики компьютера

Если устройство используется, политика ограничения доступа на запись не может быть немедленно применена. Чтобы применить политику компьютера, перезагрузите компьютер.

Тестирование параметров политики компьютера

  1. Нажмите кнопку Пуск , введите gpupdate /force в поле Начать поиск и нажмите клавишу ВВОД.

  2. После выполнения команды gpudate перезагрузите компьютер.

  3. Войдите на компьютер под учетной записью DMI-Client1\TestAdmin.

  4. Подключите USB-накопитель и дождитесь, пока Windows не уведомит вас о работоспособности.

  5. Нажмите кнопку Пуск, выберите компьютер, а затем дважды щелкните usb-накопитель памяти.

  6. В Windows Обозреватель щелкните правой кнопкой мыши открытую область области сведений, выберите команду Создать, а затем — Папка.

  7. Windows отображает сообщение об ошибке, объясняющее, почему не удалось создать папку.

    Bb530324.grouppolicydeviceinstall25(en-us,MSDN.10).gif

    Рис. 25. В сообщении об ошибке объясняется, почему попытка создать папку завершилась сбоем

  8. Нажмите кнопку Продолжить , чтобы попытаться обойти ограничение.

  9. Если появится диалоговое окно Контроль учетных записей, убедитесь, что отображается нужное действие, и нажмите кнопку Продолжить.

  10. Windows отображает второе сообщение с указанием причины, по которой не удается выполнить запись в папку.

    Bb530324.grouppolicydeviceinstall26(en-us,MSDN.10).gif

    Рис. 26. Второе сообщение об ошибке указывает причину, по которой разрешения на запись не разрешены.

Заключение

В этом руководстве вы использовали пример устройства в лабораторной среде, чтобы узнать, как управлять возможностью установки устройства пользователями. Вы также узнали, как ограничить доступ к съемным запоминающим устройствам или устройствам, используюющим съемные носители. Таким образом, управление установкой и использованием устройств повышает вашу безопасность и повышает эффективность службы технической поддержки, ограничивая устройства, которые пользователи могут устанавливать, до тех, которые ваша организация утверждает и поддерживает. Ниже приведены сценарии, используемые для демонстрации этих конфигураций.

  • Запретить установку всех устройств.

    В этом сценарии вы не разрешили обычным пользователям устанавливать любое устройство, но разрешили администраторам устанавливать или обновлять устройства.

  • Разрешить пользователям устанавливать только авторизованные устройства.

    В этом сценарии вы разрешили обычным пользователям устанавливать только те устройства, которые включены в список авторизованных устройств.

  • Запретить установку только запрещенных устройств.

    В этом сценарии вы разрешили обычным пользователям устанавливать большинство устройств, но не разрешили им устанавливать устройства, включенные в список запрещенных устройств.

  • Управление использованием съемных носителей.

    В этом сценарии стандартные пользователи не могут записывать данные на съемные носители или устройства со съемными носителями, такими как USB-накопитель памяти или устройство записи КОМПАКТ-диска или DVD-диска.

Дополнительные ресурсы

Дополнительные сведения об установке устройства:

Дополнительные сведения о средстве DevCon:

Дополнительные сведения о контроле учетных записей в Windows Vista:

Дополнительные сведения о групповая политика:

Регистрация ошибок и отзывов

Мы будем рады получить ваши отзывы и предложения. Если включенные сценарии работают не так, как описано, или если они не соответствуют способу использования технологии, сообщите нам. Мы будем использовать предоставленные вами отзывы для улучшения качества этой документации. Присылайте свои комментарии к этой документации на сайте Vista Feedback (vistafb@microsoft.com).

Чтобы получить отзыв о Windows Vista, воспользуйтесь ссылкой "Свяжитесь с нами" в нижней части веб-страницы Windows Vista по адресу https://www.microsoft.com/windowsvista.