使用组策略控制设备安装的循序渐进指南

  • 项目

 

戴夫·毕晓普

更新时间:2007 年 6 月

总结: 通过使用 Windows Server 2008 和 Windows Vista 操作系统,管理员可以确定哪些设备可以安装在他们管理的计算机上。 本指南总结了设备安装过程,并演示了用于控制设备安装的几种技术。 (34 个打印页。)

目录

简介
   Who Should Use This Guide?
   使用 组策略 控制设备安装的好处
方案概述
技术评审
   Windows 中的设备安装
   设备安装的组策略设置
   可移动存储访问的组策略设置
完成方案的要求
   前提过程
禁止安装所有设备
   禁止安装所有设备的前提条件
   禁止安装所有设备的步骤
仅允许用户安装授权的设备
   仅允许用户安装授权设备的前提条件
   仅允许用户安装授权设备的步骤
禁止安装被禁止的设备
   禁止安装被禁止设备的前提条件
   禁止安装被禁止设备的步骤
控制可移动介质上的读取和写入权限
   控制可移动介质上的读取和写入权限的前提条件
   控制可移动介质上的读取和写入权限的步骤
结论
其他资源
记录错误和反馈

简介

本分步指南介绍如何控制所管理的计算机上的设备安装,包括指定用户可以和不能安装的设备。 具体而言,在 Windows Server 2008 和 Windows Vista 中,你可以将计算机策略应用于:

  • 禁止用户安装任何设备。
  • 仅允许用户安装“已批准”列表中的设备。 如果某个设备不在该列表中,则用户不能安装它。
  • 禁止用户安装“已禁止”列表中的设备。 如果某个设备不在该列表中,则用户可以安装它。
  • 拒绝用户对本身可移动或使用可移动介质的设备进行读取或写入,例如 CD 和 DVD 刻录机、软盘驱动器、外部硬盘驱动器以及便携式设备(如媒体播放机、智能电话或袖珍 PC 设备)。

本指南介绍了设备安装过程,并介绍了 Windows 用于将设备与计算机上可用的设备驱动程序包相匹配的标识字符串。 本指南还解释了控制设备安装的三种方法。 每种方案都循序渐进地说明了一种可用于允许或禁止安装特定设备或某类设备的方法。 第四种方案说明了如何拒绝用户对可移动或使用可移动介质的设备进行读取或写入。

这些方案中所使用的示例设备是 USB 存储设备。 您可以使用其他设备执行本指南中的步骤。 但是,如果使用其他设备,则本指南中的说明将不会完全匹配计算机上显示的用户界面。

重要 本指南中提供的步骤适用于测试实验室环境。 本循序渐进指南不一定可用于在不参考随附文档的情况下部署 Windows Server 功能,应将其作为独立文档谨慎使用。

Who Should Use This Guide?

本指南面向以下受众:

  • 正在评估 Windows Vista 和 Windows Server 2008 的信息技术规划师和分析师
  • 企业信息技术计划者和设计者
  • 在组织中负责实施可信计算的安全架构师
  • 希望熟悉该技术的管理员

使用 组策略 控制设备安装的好处

限制用户可以安装的设备可提供下列优点:

降低数据被盗的风险

  • 如果用户计算机无法安装未经批准的支持可移动介质的设备,则用户更难于获得未经授权的公司数据副本。 例如,如果用户无法安装 CD-R 设备,则他们无法将公司数据副本刻录到可刻录 CD。 此优点不能消除数据被盗问题,但它对未经授权的数据删除创造了又一道屏障。 还可以通过使用组策略拒绝用户对可移动或使用可移动介质的设备进行写入,降低数据被盗的风险。 在使用组策略时,可以按组授予访问权限。

降低支持成本

  • 您可以确保用户只安装那些您的技术支持已接受培训并提供支持的设备。 此优点降低了支持成本和用户混淆。

方案概述

本指南中提供的方案说明了如何在您所管理的计算机上控制设备安装和使用。 这些方案使用本地计算机上的组策略来简化实验室环境中的使用过程。 在管理多台客户端计算机的环境中,应当使用由 Active Directory 部署的组策略来应用这些设置。 通过由 Active Directory 部署的组策略,可以将这些设置应用于作为域成员或域中的组织单位的所有计算机。 有关如何使用 组策略 管理客户端计算机的详细信息,请参阅 Microsoft 网站上的组策略

下面是对本指南中所提供方案的说明:

  • 阻止安装所有设备

    在此方案中,管理员希望禁止标准用户安装任何设备,但允许管理员安装或更新设备。 若要完成此方案,需要配置两个计算机策略。 第一个计算机策略禁止所有用户安装设备,第二个策略豁免对管理员的限制。

  • 仅允许用户安装授权的设备

    在此方案中,管理员希望仅允许用户安装授权设备列表中包含的设备。 此方案建立在第一个方案的基础之上,因此您在尝试此方案之前必须完成第一个方案。 若要完成此方案,需要创建一个授权设备列表,以便用户可以仅安装指定的设备。

  • 阻止仅安装禁止的设备

    在此方案中,管理员希望允许标准用户安装大多数设备,但禁止他们安装禁止设备列表中包含的设备。 若要完成此方案,必须删除在前两个方案中创建的策略。 删除这些策略之后,需要创建一个禁止设备列表,以便用户可以安装除指定设备外的任何设备。

  • 控制对可移动介质存储设备的使用

    在此方案中,管理员希望禁止标准用户将数据写入可移动存储设备或使用可移动介质的设备,例如 USB 存储驱动器或 CD 或 DVD 刻录机。 若要完成此方案,需要配置允许对您的示例设备和计算机上的任何 CD 或 DVD 刻录机设备进行读取、但拒绝对它们进行写入的计算机策略。

技术评审

以下部分简单概述了本指南中所讨论的核心技术。

Windows 中的设备安装

设备是一个硬件,Windows 通过与它交互来执行某些功能。 Windows 仅通过一个称为设备驱动程序的软件即可与设备进行通信。 为了安装设备驱动程序,Windows 将检测设备、识别其类型,然后查找与该类型相匹配的设备驱动程序。

Windows 使用两种类型的标识符来控制设备的安装和配置。 可以使用 Windows Vista 和 Windows Server 2008 中的组策略设置来指定要允许或阻止的标识符。

两种类型的标识符是:

  • 设备标识字符串
  • 设备安装程序类

设备标识字符串

当 Windows 检测到从未在计算机上安装过的设备时,操作系统将查询设备以检索其设备标识字符串列表。 设备通常具有多个由设备制造商分配的设备标识字符串。 .inf 文件中包含相同的设备标识字符串,该文件是设备驱动程序包的一部分。 Windows 通过将从设备中检索到的设备标识字符串与驱动程序包中包含的设备标识字符串进行匹配,选择要安装的设备驱动程序包。

Windows 可以使用每个字符串来将设备与驱动程序包进行匹配。 字符串的范围从非常具体的(匹配设备的单个型号)到非常通用的(可能应用于整个类设备)。 有两种类型的设备标识字符串:硬件 ID 和兼容 ID。

硬件 ID

硬件 ID 是为设备和驱动程序包之间提供最精确匹配的标识符。 硬件 ID 列表中的第一个字符串称为设备 ID,因为 它匹配设备的正确种类、型号和版本。 列表中的其他硬件 ID 与设备的详细信息不完全匹配。 例如,硬件 ID 可以识别设备的种类和型号但不能识别特定版本。 此方案允许 Windows 将一个驱动程序用于不同版本的设备(如果正确版本的驱动程序不可用)。

Compatible IDs

如果操作系统使用设备 ID 或其他任何硬件 ID 都不能找到匹配项,则 Windows 将使用这些标识符来选择设备驱动程序。 兼容 ID 按照适用性以降序列出。 这些字符串是可选的,在提供时,它们是非常通用的,例如 Disk。 如果某个匹配是使用兼容 ID 实现的,则通常只能使用设备的最基本功能。

安装设备(例如打印机、USB 存储设备或键盘)时,Windows 将搜索与正在尝试安装的设备相匹配的驱动程序包。 在此搜索过程中,Windows 会为其发现的每个驱动程序包分配一个“排名”,其中至少一个匹配项与硬件或兼容 ID 匹配。 排名指示驱动程序与设备的匹配程度。 等级数越低,表示驱动程序和设备之间的匹配程度越高。 等级为零代表匹配最佳。 与其他硬件 ID 的匹配相比,设备 ID 与驱动程序包中 ID 的匹配所获得的等级更低(更好)。 同样,与硬件 ID 的匹配比与任何兼容 ID 的匹配所获得的等级更好。 Windows 对所有驱动程序包进行评级之后,它将安装整体等级最低的驱动程序包。 有关排名和选择驱动程序包的过程的详细信息,请参阅 MSDN 库中 的安装程序如何选择驱动程序

注意 有关设备驱动程序安装过程的详细信息,请参阅 设备驱动程序签名和暂存分步指南的“技术评审”部分。

某些物理设备会在安装时创建一个或多个逻辑设备。 每个逻辑设备可能处理物理设备的部分功能。 例如,多功能设备(如集成的扫描仪/传真机/打印机)可能针对每项功能有不同的设备标识字符串。

使用 DMI 允许或阻止安装使用逻辑设备的设备时,必须允许或阻止该设备的所有设备标识字符串。 例如,如果用户尝试安装多功能设备,而您没有允许或禁止物理和逻辑设备的所有标识字符串,则该安装尝试可能会产生意想不到的结果。 有关硬件 ID 的更多详细信息,请参阅 MSDN 库中 的设备标识字符串

设备安装程序类

设备安装程序类是另一种类型的标识字符串。 制造商在设备驱动程序包中为设备分配设备安装程序类。 设备安装程序类将以相同方式安装和配置的设备归为一类。 例如,所有 CD 驱动器都属于 CDROM 设备安装程序类,它们在安装时使用相同的辅助安装程序。 每个设备安装程序类用称为全局唯一标识符 (GUID) 的一长串数字来表示。 当 Windows 启动时,它会使用检测到的所有设备的 GUID 在内存中构建一个树结构。 Windows 可能需要将连接设备的总线的设备安装程序类的 GUID 与设备自身的设备安装程序类的 GUID 一起插入到树中。

当您使用设备安装程序类来允许或禁止用户安装设备驱动程序时,必须指定所有设备的设备安装程序类的 GUID,否则可能无法实现想要的结果。 安装可能会在希望成功时失败,也可能会在希望失败时成功。

例如,多功能设备(如集成的扫描仪/传真机/打印机)有通用多功能设备的 GUID、打印机功能的 GUID、扫描仪功能的 GUID 等。 各个功能的 GUID 是多功能设备 GUID 下的“子节点”。 为了安装子节点,Windows 还必须能够安装父节点。 除了允许安装打印机和扫描仪功能的任何子 GUID 之外,还必须允许安装多功能设备的父 GUID 的设备安装程序类。

有关详细信息,请参阅 MSDN 库中的设备 安装程序类

本指南没有描述任何使用设备安装程序类的方案。 但是,本指南中使用设备标识字符串阐述的基本原则也适用于设备安装程序类。 在发现特定设备的设备安装程序类之后,就可以在策略中使用它来允许或禁止为该类设备安装设备驱动程序。

设备安装的组策略设置

为了启用对设备安装的控制,Windows Vista 和 Windows Server 2008 引入了多个策略设置。 您可以在单台计算机上单独配置这些策略设置,也可以通过在 Active Directory 域中使用组策略将它们应用于大量的计算机。 有关如何使用 组策略 管理客户端计算机的详细信息,请参阅 组策略

无论是要将设置应用于独立计算机还是 Active Directory 域中的多台计算机,都可使用组策略对象编辑器来配置和应用策略设置。 有关详细信息,请参阅组策略对象编辑器技术参考

下面是本指南中使用的 DMI 策略设置的简要说明。

注意 这些策略设置会影响登录到应用策略设置的计算机的所有用户。 不能将这些策略应用于特定用户或组,但 策略允许管理员替代设备安装策略除外。 此策略通过按照本部分中的描述配置其他策略,对本地 Administrators 组的成员豁免了应用于计算机的任何设备安装限制。

  • 阻止安装其他策略设置未描述的设备。

    此策略设置控制未由任何其他策略设置明确描述的设备的安装。 如果启用此策略设置,则用户无法安装或更新设备的驱动程序,除非“ 允许安装与这些设备 ID 匹配的设备 ”策略设置或 “允许安装这些设备类的设备 ”策略设置中所述。 如果禁用或未配置此策略设置,则用户可以为未由 “阻止安装与这些设备 ID 匹配的设备 ”策略设置、 “阻止安装这些设备类的设备 ”策略设置或 “阻止安装可移动设备 ”策略设置描述的任何设备安装和更新驱动程序。

  • 允许管理员覆盖设备安装策略。

    此策略设置允许本地 Administrators 组的成员安装和更新任何设备的驱动程序,而不管其他策略设置如何。 如果启用此策略设置,则管理员可以使用添加硬件向导或更新驱动程序向导安装和更新任何设备的驱动程序。 如果禁用或未配置此策略设置,则管理员会受到限制设备安装的所有策略设置的影响。

  • 阻止安装与这些设备 ID 匹配的设备。

    此策略设置指定用户不能安装的设备的即插即用硬件 ID 和兼容 ID 列表。 如果启用此策略设置,则如果设备的硬件 ID 或兼容 ID 与此列表中的硬件 ID 或兼容 ID 匹配,用户将无法安装或更新驱动程序。 如果禁用或未配置此策略设置,则用户可以根据设备安装的其他策略设置的许可情况安装设备并更新其驱动程序。

    注意 此策略设置优先于允许用户安装设备的任何其他策略设置。 此策略设置禁止用户安装设备,即使它与允许安装该设备的另一个策略设置相匹配。

  • 禁止安装与下列设备安装程序类相匹配的驱动程序。

    此策略设置指定用户不能安装的设备的即插即用设备安装程序类 GUID 列表。 如果启用此策略设置,则用户无法安装或更新属于任何列出的设备安装类的设备。 如果禁用或未配置此策略设置,用户可以在设备安装的其他策略设置允许的情况下安装和更新设备。

    注意 此策略设置优先于允许用户安装设备的任何其他策略设置。 此策略设置禁止用户安装正被安装的设备,即使它与允许安装该设备的另一个策略设置相匹配。

  • 允许安装与其中任何设备 ID 匹配的设备。

    此策略设置指定描述用户可以安装的设备的即插即用硬件 ID 和兼容 ID 列表。 此设置仅在启用 “阻止安装其他策略设置未描述的设备” 策略设置时使用,并且不优先于阻止用户安装设备的任何策略设置。 如果启用此策略设置,则用户可以安装和更新具有与此列表中 ID 匹配的硬件 ID 或兼容 ID 的任何设备,前提是“ 阻止安装与这些设备 ID 匹配的设备 ”策略设置、 “阻止安装这些设备类的设备 ”策略设置、 或 “阻止安装可移动设备” 策略设置。 如果其他策略设置禁止用户安装某个设备,那么,即使此策略设置中的某个值描述了该设备,用户也将无法安装该设备。 如果禁用或未配置此策略设置,并且没有其他策略描述设备,则 阻止安装未由其他策略设置描述的设备 策略设置将确定用户是否可以安装设备。

  • 允许使用下列设备类的驱动程序安装设备。

    此策略设置指定描述用户可以安装的设备的设备安装程序类 GUID 列表。 此设置仅在启用 “阻止安装其他策略设置未描述的设备” 策略设置时使用,并且不优先于阻止用户安装设备的任何策略设置。 如果启用此设置,用户可以安装和更新具有与此列表中某个 ID 匹配的硬件 ID 或兼容 ID 的任何设备,前提是“ 阻止安装与这些设备 ID 匹配的设备 ”策略设置、 “阻止安装这些设备类的设备 ”策略设置、 或 “阻止安装可移动设备” 策略设置。 如果其他策略设置禁止用户安装某个设备,那么,即使此策略设置中的某个值描述了该设备,用户也将无法安装该设备。 如果禁用或未配置此策略设置,并且没有其他策略设置描述设备,则 阻止安装其他策略设置未描述的设备 策略设置将确定用户是否可以安装设备。

其中某些策略优先于其他策略。 下面显示的流程图说明了 Windows 如何处理它们以确定用户是否可以安装设备,如下面的) 图 1 (所示。

Bb530324.grouppolicydeviceinstall01 (en-us,MSDN.10) .gif

图 1. Windows 在确定用户是否可以安装设备时如何处理策略

可移动存储访问的组策略设置

在 Windows Vista 和 Windows Server 2008 中,管理员可以应用计算机策略来控制用户是否可以使用可移动媒体读取或写入任何设备。 这些策略可用于帮助禁止将敏感或机密材料写入可移动介质或包含存储区域的可移动设备后带走。

可以在计算机级别应用这些策略设置,以便它们会影响登录到计算机的每个用户。 您也可以在用户级别应用这些策略设置并限制在对特定用户帐户的执行。 如果在 Active Directory 环境中使用组策略,则除了可以对单个用户帐户应用策略设置外,还可以对用户组应用策略设置。 组策略还允许您有效地将这些策略应用于大量的计算机。 有关如何使用 组策略 管理客户端计算机的详细信息,请参阅 组策略

“可移动存储访问”策略设置还包括允许管理员强制重新启动的设置。 如果应用限制策略时某个设备正在使用中,则在重新启动计算机之前,可能无法强制实施该策略。

此策略设置可以在两个位置找到。 计算机配置\管理模板\System\可移动存储访问中的策略设置会影响计算机和登录到计算机的每个用户。 在用户配置\管理模板\System\可移动存储访问中找到的策略设置仅影响应用策略设置的用户,包括使用 Active Directory 应用组策略的组。

下面简要描述了使您能够控制对可移动存储驱动器的读取或写入权限的策略。 每个设备类别都支持两个策略:一个是拒绝读取权限,另一个是拒绝写入权限:

  • 强制重启) (秒

    设置为了对可移动存储设备的访问权限强制实施更改,重新启动系统需要等待的时间(以秒为单位)。

    注意 如果未强制重启,则在重启系统之前,更改不会生效。

  • CD 和 DVD

    这些策略设置允许您拒绝对 CD 和 DVD 可移动存储类中的设备(包括通过 USB 连接的设备)进行读取或写入访问。

  • 自定义类

    这些策略设置允许您拒绝对其设备安装程序类 GUID 位于您所提供的列表中的任何设备进行读取或写入访问。

  • 软盘驱动器

    这些策略设置允许您拒绝对软盘驱动器类中的设备(包括通过 USB 连接的设备)进行读取或写入访问。

  • 可移动磁盘

    这些策略设置允许您拒绝对可移动设备(硬盘或模拟硬盘的设备,如 USB 存储驱动器或外部 USB 硬盘驱动器)进行读取或写入访问。

  • 磁带驱动器

    这些策略设置允许您拒绝对磁带驱动器(包括 USB 连接的设备)的读取或写入权限。

  • WPD 设备

    这些策略设置允许您拒绝对 Windows 便携式设备类中的设备的读取或写入权限。 这些设备包括“智能”设备,例如:媒体播放机、移动电话、Windows CE 设备,等等。

  • 所有可移动存储类:拒绝所有访问

    此策略设置优先于此列表中的任何策略设置,如果启用了该策略设置,将会拒绝对被识别为可移动存储的任何设备的读取和写入权限。 如果禁用或未配置此策略设置,则允许对可移动存储类的读取和写入权限,但受到此列表中的其他策略设置所施加的任何限制的影响。

完成方案的要求

若要完成每个方案,您必须拥有:

  • 运行 Windows Vista 的客户端计算机。 本指南将此计算机称为 DMI-Client1

  • USB 存储驱动器。 本指南中描述的方案将 USB 存储驱动器用作示例设备。 此设备的作用类似于可移动磁盘驱动器,也称为“U 盘”、“闪存驱动器”或“密钥环驱动器”。大多数 USB 内存驱动器不需要制造商提供的任何驱动程序,这些设备可与 Windows Vista 和 Windows Server 2008 提供的驱动程序配合使用。

    注意 说明假定你的设备不需要除 Windows Vista 和 Windows Server 2008 附带的驱动程序之外的任何驱动程序。 如果您的设备需要来自制造商的驱动程序,则必须在 Windows 提示时提供该驱动程序文件。 这些方案中未包含这一步骤。

  • (可选)CD 或 DVD 刻录机。 最后一个方案说明了如何让使用可移动介质的设备处于只读状态。 您可以在不实际安装 CD 或 DVD 刻录机的情况下设置这一计算机策略。 但是,如果您希望验证计算机策略是否有效,则必须拥有可供使用的 CD 或 DVD 刻录机设备。

  • 访问 DMI-Client1 上受保护的管理员帐户。 本指南调用此帐户 TestAdmin。 本指南中的过程的大多数步骤都需要管理员权限。 您必须在每个过程开始时使用此管理员帐户登录到 DMI-Client1,另有说明的除外。

    注意 Windows Vista 和 Windows Server 2008 引入了受保护管理员帐户的概念。 此帐户是 Administrators 组的成员,但默认情况下不直接使用安全权限。 任何尝试执行需要管理员的提升权限的任务都会生成一个对话框,要求提供执行该任务的权限。 响应用户帐户控制页部分讨论了此对话框。 Microsoft 建议您尽可能使用受保护管理员帐户,而不是使用内置 Administrator 帐户。

  • 访问 DMI-Client1 上的标准用户帐户。 此用户帐户不具有授予任何提升权限的特殊成员身份。 本指南调用此帐户 TestUser。 只有在提示您使用此帐户登录到计算机时才使用此帐户登录。 使用标准用户帐户时,任何尝试执行需要管理员的提升权限的任务都可能导致出现一个对话框,要求提供具有管理员权限的帐户的凭据。 响应用户帐户控制页部分讨论了此对话框。

前提过程

在实施允许或禁止用户安装设备的任何策略之前,您必须知道设备的设备标识字符串。 还必须了解如何完全卸载 USB 存储驱动器及其关联驱动程序。 以下过程将计算机配置为成功执行本指南中的方案:

  1. 响应“用户帐户控制”页
  2. 确定 USB 存储驱动器的设备标识字符串
  3. 卸载 USB 存储驱动器

响应“用户帐户控制”页

在本指南中,将要求您执行只能由 Administrators 组成员才能完成的任务。 在 Windows Vista 和 Windows Server 2008 中,尝试执行需要管理员权限的任务时,会发生以下情况:

  • 如果您以内置 Administrator 帐户身份登录(不推荐),则可以继续操作。 默认情况下会禁用内置管理员帐户。
  • 如果你不是内置管理员帐户的 Administrators 组的成员,则会出现“用户帐户控制”对话框,要求获得继续权限。 如果单击“ 继续”,任务将继续执行。
  • 如果以标准用户身份登录,则可能会禁止您执行任务。 根据任务,可以向你显示“用户帐户控制”页,以提供管理员帐户的用户名和密码。 如果提供了有效凭据,则任务将在您提供的管理员帐户的安全上下文中运行。 如果您不能提供这些凭据,将禁止您执行任务。

重要: 在提供凭据或权限以运行任何管理任务之前,请确保显示 “用户帐户控制 ”页以响应你启动的任务。 如果页面意外出现,请单击“ 详细信息 ”按钮,并确保任务是你希望允许的任务。

本指南不会记录在执行这些过程中将遇到的“ 用户帐户控制 ”对话框的每次出现。 当以管理员身份运行特定任务而需要特别步骤时,将在本指南中记录这些步骤。

确定 USB 存储驱动器的设备标识字符串

通过执行下列这些步骤,可以确定设备的设备标识字符串。 如果设备的硬件 ID 和兼容 ID 与本指南中所显示的 ID 不匹配,请使用适合于您的设备的 ID。

注意 在以下方案中,必须安装然后卸载 U 盘。 说明假定你的设备不需要除 Windows Vista 和 Windows Server 2008 附带的驱动程序之外的任何驱动程序。 如果您的设备需要来自制造商的驱动程序,则必须在 Windows 提示时提供该驱动程序文件。 这些方案中未包含这一步骤。

您可以通过两种方式确定设备的硬件 ID 和兼容 ID。 您可以使用设备管理器(操作系统附带的一种图形工具)或 DevCon(可以作为驱动程序开发工具包 (DDK) 的一部分下载的一种命令行工具)。 请使用下列过程查看 USB 存储驱动器的设备标识字符串。

重要 这些过程特定于 USB 内存驱动器。 如果使用的是其他类型的设备,则必须相应地调整步骤。 主要区别是设备在设备管理器层次结构中的位置。 必须在相应的节点中找到设备,而不是位于 “磁盘驱动器 ”节点中。

使用设备管理器查找设备标识字符串的步骤

  1. DMI-Client1\TestAdmin 身份登录到计算机。

  2. 插入 USB 存储驱动器,然后完成安装。

  3. 若要打开设备管理器,请单击“开始”按钮,在“开始搜索”框中键入 mmc devmgmt.msc,然后按 Enter

  4. 如果出现“用户帐户控制”对话框,请确认它显示的是所需操作,然后单击“继续”

    设备管理器启动并显示一个表示在您的计算机上检测到的所有设备的树。 树的顶部是一个节点,旁边有计算机名称。 较低节点表示计算机设备分组到其中的各种硬件类别。

  5. 双击“ 磁盘驱动器 ”打开列表。

    Bb530324.grouppolicydeviceinstall02 (en-us,MSDN.10) .gif

    图 2. 双击打开 USB 磁盘驱动器

  6. 右键单击 USB 内存驱动器的条目,然后单击“ 属性”。 此时将显示“ 设备属性 ”对话框。

    Bb530324.grouppolicydeviceinstall03 (en-us,MSDN.10) .gif

    图 3. 将显示 USB 驱动器的“设备属性”对话框

  7. 单击“详细信息”选项卡。

  8. “属性” 列表中,单击“ 硬件 ID”。

  9. “值”下,记下显示的字符串。

    Bb530324.grouppolicydeviceinstall04 (en-us,MSDN.10) .gif

    图 4。 记住 U 盘的“属性”对话框中“值”下显示的字符串

    注意: 可以通过突出显示文本并按 Ctrl-C 将字符串复制到剪贴板。 由于许多硬件 ID 有多个下划线字符,因此在必须指定标识符时,将它们复制到可从中粘贴的文本文件会很有帮助。 这种方法大大降低了您必须向批准或禁止的设备列表中添加特定标识符时出错的可能性。

  10. “属性” 列表中,单击“ 兼容 ID”。

  11. “值”下,记下显示的字符串。

    Bb530324.grouppolicydeviceinstall05 (en-us,MSDN.10) .gif

    图 5。 记住 U 盘的“属性”对话框中“值”下显示的字符串

注意 还可以使用 DevCon 命令行实用工具确定设备标识字符串。 可以从 Microsoft 帮助和支持网站下载 DevCon。 有关详细信息,请参阅 DevCon 命令行实用工具函数作为设备管理器的替代方法

DevCon

DevCon HwIDs

卸载 USB 存储驱动器

在平常使用 USB 存储驱动器的过程中,通常只需将驱动器从 USB 端口中拔出。 但在本指南中,还必须卸载设备驱动程序,以确保开始每个方案时计算机都处于合适的状态。 如果在要求卸载和删除设备时未能执行此操作,则在下面方案中测试的策略不会有任何作用,并且不会看到预期的结果。 当本指南中要求您卸载和删除设备时,请使用这些相同的步骤。

重要 在完成最后一步之前,不要以物理方式断开设备与 USB 端口的连接。

卸载 USB 存储驱动器的步骤

  1. 以 DMI-Client1\TestAdmin 身份登录到计算机。

  2. 若要打开设备管理器,请单击“开始”按钮,在“开始搜索”框中键入 mmc devmgmt.msc,然后按 Enter

  3. 如果出现“用户帐户控制”对话框,请确认它显示的操作是所需操作,然后单击“ 继续”。

  4. 右键单击 USB 内存驱动器的条目,然后单击“ 卸载”。

    Bb530324.grouppolicydeviceinstall06 (en-us,MSDN.10) .gif

    图 6。 右键单击以卸载 USB 内存驱动器

  5. “确认设备删除 ”对话框中,单击“ 确定 ”以允许卸载过程完成。

  6. 当 Windows 完成卸载过程时,它将从设备管理器树中删除该设备条目。

  7. 从 USB 端口中拔出 USB 存储驱动器。

禁止安装所有设备

本方案介绍了实施最严格配置所需的典型步骤,在本方案中,将禁止所有设备安装并且不能使用新的设备驱动程序更新现有设备。 在没有管理员干预的情况下,用户将无法安装设备并使用该设备。 管理员仍可以根据需要安装或更新任何设备。

禁止安装所有设备的前提条件

若要完成此方案中的过程,必须按照本文档前面的卸载 USB 内存驱动器部分中所述卸载 USB 内存驱动器。

禁止安装所有设备的步骤

  1. 配置策略禁止安装任何设备
  2. 配置策略以允许管理员覆盖设备安装限制
  3. 以用户身份测试限制设置的效果

配置策略禁止安装任何设备

配置策略以禁止安装或更新任何设备的步骤

  1. DMI-Client1\TestAdmin 身份登录到计算机。

  2. 若要打开组策略对象编辑器,请单击“开始”按钮,在“开始搜索”框中键入 mmc gpedit.msc,然后按 Enter

  3. 如果出现“用户帐户控制”对话框,请确认它显示的操作是所需操作,然后单击“ 继续”。

  4. 在“组策略对象编辑器”导航窗格中,双击“计算机配置”将其打开。 然后打开 “管理模板”,打开“ 系统”,打开“ 设备安装”,然后打开 “设备安装限制”。

    Bb530324.grouppolicydeviceinstall07 (en-us,MSDN.10) .gif

    图 7。 组策略对象编辑器导航窗格

  5. 在详细信息窗格中,右键单击“ 阻止安装其他策略设置未描述的设备”,然后单击“ 属性”。

  6. 此时会显示策略对话框,其中包含当前设置。

  7. 在“ 设置 ”选项卡上,单击“ 已启用 ”以打开策略。

  8. 单击“确定”保存设置并返回到组策略对象编辑器。

配置策略以允许管理员覆盖设备安装限制

下一个策略使管理员能够覆盖由其他设备安装策略设置施加的限制,包括刚启用的策略。

配置策略以允许管理员覆盖设备安装限制的步骤

  1. 在详细信息窗格中,右键单击“ 允许管理员替代设备安装策略”,然后单击“ 属性”。

  2. 此时会显示策略对话框,其中包含当前设置。

  3. 在“ 设置 ”选项卡上,单击“ 已启用 ”以打开策略设置。

  4. 单击“确定”保存设置并返回到“组策略对象编辑器”。

  5. 现在两个策略的状态都显示为已启用。

    Bb530324.grouppolicydeviceinstall08s (en-us,MSDN.10) .gif

    图 8。 这两个策略都会将其状态显示为已启用

以用户身份测试限制设置的效果

当两个策略都启用时,可以将它们应用于计算机,然后尝试安装设备以查看限制是否起作用。

以用户身份测试限制设置的效果的步骤

  1. 如果已安装设备,请按照本文档前面卸载 USB 内存驱动器部分中的步骤卸载并删除该设备。

  2. 单击“ 开始” 按钮,在“开始搜索”框中键入 gpupdate /force ,然后按 Enter

  3. GPUdate 命令完成后,注销计算机,然后以 DMI-Client1\TestUser 身份登录。

  4. 若要打开设备管理器,请单击“开始”按钮,在“开始搜索”框中键入 mmc devmgmt.msc,然后按 Enter

  5. 将显示以下消息,指明您没有权限在设备管理器中进行任何更改。

    Bb530324.grouppolicydeviceinstall09 (en-us,MSDN.10) .gif

    图 9. 将显示一条消息,指示你没有权限

  6. 单击“ 确定 ”确认消息。 (设备管理器将启动,你可以在 computer 中查看设备。)

  7. 插入 USB 存储驱动器。

  8. 在安装成功完成之前,设备会显示在“其他设备”节点下的设备管理器中。

    Bb530324.grouppolicydeviceinstall10 (en-us,MSDN.10) .gif

    图 10. 设备将显示在“其他设备”下,直到安装完成

  9. 由于您是以不具有管理权限的标准用户身份登录,并且现在已限制设备安装,所以将出现下列对话框:

    Bb530324.grouppolicydeviceinstall11 (en-us,MSDN.10) .gif

    图 11. 以没有管理权限的标准用户身份登录时显示的对话框

  10. 若要模拟典型的用户响应,请单击“ 查找 并安装驱动程序软件” (建议) 。

  11. 将显示“ 用户帐户控制 ”对话框的变体,要求你提供具有管理员权限的帐户的用户名和密码。

  12. 由于用户没有要提供的管理员凭据,因此请单击“ 取消 ”以中止尝试,就像用户所做的那样。

  13. 设备驱动程序安装失败,设备仍位于 “其他设备 ”节点下,无法正常工作。

    Bb530324.grouppolicydeviceinstall12 (en-us,MSDN.10) .gif

    图 12. 设备安装失败,设备无法正常工作

仅允许用户安装授权的设备

此方案基于第一个方案“阻止安装所有设备”,在该方案中阻止安装任何设备。 在此方案中,将向策略中添加允许设备列表,并且将包含 USB 存储驱动器的硬件 ID。

仅允许用户安装授权设备的前提条件

若要完成此任务,必须先完成第一个方案“阻止安装所有设备”中的所有步骤。

仅允许用户安装授权设备的步骤

在本部分中,通过创建授权设备列表,将允许的设备添加到阻止安装所有设备中施加的限制中。

  1. 创建授权设备列表
  2. 测试授权设备的效果

创建授权设备列表

创建批准的设备列表的步骤

  1. DMI-Client1\TestAdmin 身份登录到计算机。

  2. 如果设备当前已安装,请按照本文档前面卸载 USB 内存驱动器部分中的步骤卸载并删除该设备。

  3. 若要打开组策略对象编辑器,请单击“开始”按钮,在“开始搜索”框中键入 mmc gpedit.msc,然后按 Enter

  4. 在“组策略对象编辑器”导航窗格中,双击“计算机配置”将其打开。 然后打开 “管理模板”,打开“ 系统”,打开“ 设备安装”,然后打开 “设备安装限制”。

  5. 在详细信息窗格中,右键单击“ 允许安装与其中任何设备 ID 匹配的设备”,然后单击“ 属性”。

  6. 此时会显示策略对话框,其中包含当前设置。

  7. 在“设置”选项卡上,单击“ 已启用” 以启用此策略。

    Bb530324.grouppolicydeviceinstall13 (en-us,MSDN.10) .gif

    图 13. 单击“已启用”以打开策略

  8. 单击“ 显示 ”,在“显示内容”对话框中查看允许的设备列表。 (默认情况下,列表为空。)

  9. 单击“ 添加” 打开“添加项”对话框。

  10. 输入设备的设备 ID(第一个硬件 ID)。

    Bb530324.grouppolicydeviceinstall14 (en-us,MSDN.10) .gif

    图 14. 输入 USB 设备的设备 ID

  11. 单击“ 确定” 返回到“显示内容”对话框。 现在,您的设备已显示在列表中。

    Bb530324.grouppolicydeviceinstall15 (en-us,MSDN.10) .gif

    图 15. 设备现已获得安装批准

  12. 单击 “确定 ”返回到策略对话框,然后单击“ 确定 ”保存新策略设置。

测试授权设备列表

启用策略设置后,可以将其应用于计算机,然后尝试安装设备。

测试授权设备列表的步骤

  1. 单击“ 开始” 按钮,在“开始搜索”框中键入 gpupdate/force ,然后按 Enter

  2. gpudate 命令完成后,注销计算机,然后以 DMI-Client1\TestUser 身份登录。

  3. 若要打开设备管理器,请单击“开始”按钮,在“开始搜索”框中键入 mmc devmgmt.msc,然后按 Enter

  4. 将显示以下消息,指明您没有权限在设备管理器中进行任何更改。

    Bb530324.grouppolicydeviceinstall16s (en-us,MSDN.10) .gif

    图 16. 将显示一条消息,指示你没有权限

  5. 单击“确定” 关闭显示的消息。 设备管理器将启动,你可以在计算机中查看设备。

  6. 插入 USB 存储驱动器。

  7. 在 Windows 完成安装之前,设备将显示在设备管理器中的“其他设备”节点下。

    Bb530324.grouppolicydeviceinstall17 (en-us,MSDN.10) .gif

    图 17. 设备将显示在“其他设备”下,直到安装完成

  8. Windows 完成安装之后,设备将移动到设备管理器中的“磁盘驱动器”节点,并完全正常运行。

    Bb530324.grouppolicydeviceinstall18 (en-us,MSDN.10) .gif

    图 18. 安装完成后,设备将完全正常运行

禁止安装被禁止的设备

此方案提供了一种控制设备安装的替代方法。 在前面的两个方案中,您已禁止安装除授权设备列表所允许设备以外的所有设备。 在此方案中,将允许安装除禁止设备列表中的设备以外的任何设备。 您还将删除在第一个方案中创建的针对管理员的例外,以便即使管理员也受该策略的影响。

禁止安装被禁止设备的前提条件

如果已完成阻止安装所有设备和允许用户仅安装授权设备中的步骤,则必须使用以下步骤禁用这些策略:

  • 允许安装所有设备。
  • 删除 Administrators 组的成员可以安装设备这一例外。
  • 从批准的设备列表中删除硬件 ID。

允许安装所有设备的步骤

  1. DMI-Client1\TestAdmin 身份登录到计算机。
  2. 若要打开组策略对象编辑器,请单击“开始”按钮,在“开始搜索”框中键入 mmc gpedit.msc,然后按 Enter
  3. 在“组策略对象编辑器”导航窗格中,双击“计算机配置”将其打开。 然后打开 “管理模板”,打开“ 系统”,打开“ 设备安装”,然后打开 “设备安装限制”。
  4. 在详细信息窗格中,右键单击节点 “阻止安装其他策略设置未描述的设备”,然后单击“ 属性”。
  5. 此时会显示策略对话框,其中包含当前设置。
  6. 单击“ 已禁用 ”以关闭策略设置。
  7. 单击“确定”保存设置并返回到“组策略对象编辑器”。

下一个步骤是删除为 Administrators 组的成员授予例外的策略。

删除组策略限制中对管理员的例外的步骤

  1. 在组策略对象编辑器中,右键单击“允许管理员替代设备安装策略”,然后单击“属性”。
  2. 此时会显示策略对话框,其中包含当前设置。
  3. 在“设置”选项卡上,单击“ 已禁用 ”以关闭策略设置。
  4. 单击“确定”保存设置并返回到“组策略对象编辑器”。

下一个步骤是从第二个方案中创建的授权设备列表中删除硬件 ID。

从授权设备列表中删除硬件 ID 的步骤

  1. 在组策略对象编辑器中,右键单击“允许安装与其中任何设备 ID 匹配的设备”,然后单击“属性”。 此时会显示策略对话框,其中包含当前设置。
  2. 在“设置”选项卡上,单击“ 显示 ”以查看授权设备列表。
  3. 在“显示内容”对话框中,选择 USB 内存驱动器的名称,然后单击“ 删除”。 Windows 将从列表中删除该设备。
  4. 单击“ 确定 ”关闭“显示内容”对话框并返回到策略对话框。
  5. 单击“ 已禁用 ”关闭策略设置。
  6. 单击“确定”保存更改并返回到组策略对象编辑器。

禁止安装被禁止设备的步骤

若要禁止用户安装特定设备,需要创建一个禁止设备列表。 可在本部分中:

  1. 创建禁止设备列表
  2. 测试禁止设备列表

创建禁止设备列表

创建禁止设备列表的步骤

  1. 如果设备当前已安装,请按照本文档前面卸载 USB 内存驱动器部分中的步骤卸载并删除该设备。

  2. 以 DMI-Client1\TestAdmin 身份登录到计算机。

  3. 如果尚未运行,请启动组策略对象编辑器。 为此,请单击“开始”按钮,在“开始搜索”框中键入 mmc gpedit.msc,然后按 Enter。

  4. 在树中,双击“计算机配置”将其打开。 接着依次打开“管理模板”、“系统”、“设备安装”,然后打开“设备安装限制”。

  5. 在细节窗格中,右键单击“禁止安装与下列设备 ID 相匹配的设备”,然后单击“属性”。 此时会显示策略对话框,其中包含当前设置。

  6. 在“设置”选项卡上,单击“启用”打开此策略。

    Bb530324.grouppolicydeviceinstall19 (en-us,MSDN.10) .gif

    图 19. 单击“已启用”以激活策略

  7. 单击“ 显示 ”查看禁止设备的列表。

  8. 在“显示内容”对话框中,单击“ 添加”。

  9. “添加项 ”对话框中,键入设备 ID (为设备找到的第一个硬件 ID) 。

  10. 单击“ 确定” 返回到“显示内容”对话框。

  11. 现在,您的设备已显示在列表中。

    Bb530324.grouppolicydeviceinstall20 (en-us,MSDN.10) .gif

    图 20. 现在将禁止安装此设备

  12. 单击 “确定 ”返回到策略对话框,然后单击“ 确定 ”保存新策略设置。

测试禁止设备列表

现在,您可以尝试安装设备。 您可以安装其他设备,因为策略不再禁止它们的安装;但不能安装此特定设备,即使您以 Administrators 组成员的身份登录。

测试禁止设备列表的步骤

  1. 单击“ 开始” 按钮,在“开始搜索”框中键入 gpupdate /force ,然后按 Enter

  2. 在 gpudate 命令完成后,关闭命令提示符。

  3. 若要打开设备管理器,请单击“开始”按钮,在“开始搜索”框中键入 mmc devmgmt.msc,然后按 Enter

  4. 插入 USB 存储驱动器。

  5. 设备显示在“其他设备”节点下的设备管理器中。

  6. 安装没有完成,设备不能正常运行。

    Bb530324.grouppolicydeviceinstall21 (en-us,MSDN.10) .gif

    图 21. 安装不会完成,设备将无法正常工作

  7. Windows 将在通知区域显示一条消息,说明安装失败的原因:

    Bb530324.grouppolicydeviceinstall22 (en-us,MSDN.10) .gif

    图 22. 将显示一条消息,说明安装失败的原因

  8. 您可以尝试通过为设备手动安装驱动程序来绕过限制。 右键单击设备,然后单击“ 更新驱动程序软件”。

  9. 操作系统将提示您提供设备的设备驱动程序。

    Bb530324.grouppolicydeviceinstall23 (en-us,MSDN.10) .gif

    图 23. 将显示设备驱动程序的提示

  10. 若要模拟用户可能尝试的内容,请单击“ 自动搜索更新的驱动程序软件”。

  11. 此时将出现一条消息,说明 Windows 已找到驱动程序但不能安装。 最后一个段落说明安装尝试由于被您所创建的策略禁止而失败。

    Bb530324.grouppolicydeviceinstall24 (en-us,MSDN.10) .gif

    图 24. 该对话框将说明安装失败的原因

控制可移动介质上的读取和写入权限

此方案演示了如何在运行 Windows Vista 和 Windows Server 2008 的计算机上控制对可移动设备或使用可移动媒体的设备进行读取或写入访问。 在此方案中,将计算机策略设置为只读 USB 内存驱动器。 还可以设置计算机策略,使连接到计算机的任何 CD 或 DVD 刻录机成为只读的,实际上禁用了刻录功能。

控制可移动介质上的读取和写入权限的前提条件

在尝试此部分中的过程之前,必须禁用禁止安装 USB 存储驱动器的策略。

禁用禁止安装 USB 存储驱动器的策略的步骤

  1. 如果设备当前已安装,请按照本文档前面卸载 USB 内存驱动器部分中的步骤卸载并删除该设备。
  2. 在组策略对象编辑器的详细信息窗格中,右键单击“阻止安装与这些设备 ID 匹配的设备”,然后单击“属性”。
  3. 将显示策略对话框,其中包含当前设置。
  4. 在“设置”选项卡上,单击“ 显示 ”以查看被禁止设备的列表。
  5. 在“显示内容”对话框中,单击 USB 内存驱动器,单击“ 删除”,然后单击“ 确定”。
  6. 在“设置”选项卡上,单击“ 已禁用 ”关闭此策略设置。
  7. 单击“ 确定 ”保存更改。

控制可移动介质上的读取和写入权限的步骤

  1. 设置计算机策略以拒绝对特定可移动设备类的写入访问
  2. 测试计算机策略设置

设置计算机策略以拒绝对特定可移动设备类的写入访问

在此过程中设置的策略将阻止对许多可移动存储设备的写入访问。 但是,阻止对设备的写入访问的实际计算机策略可能会有所不同,取决于具体的设备种类和型号。 也可以使用 自定义类 策略,但它要求标识特定设备的设备安装类 GUID。

拒绝对特定可移动设备类的写入访问的步骤

  1. 在“组策略对象编辑器”导航窗格中,打开“计算机配置”,然后打开“管理模板”,打开“系统”,然后打开“可移动存储访问”。
  2. 右键单击“ CD 和 DVD:拒绝写入访问”,然后单击“ 属性”。
  3. 在“属性”对话框中,单击“ 已启用 ”以启用限制,然后单击“ 确定”。
  4. 对下列计算机策略重复步骤 2 和步骤 3:
    • 可移动磁盘:拒绝写入权限
    • 软盘驱动器:拒绝写入权限
    • WPD 设备:拒绝写入权限
  5. 关闭组策略对象编辑器。

测试计算机策略设置

如果设备正在使用中,则不能立即强制实施写入权限限制策略。 若要应用计算机策略,请重新启动计算机。

测试计算机策略设置的步骤

  1. 单击“ 开始” 按钮,在“开始搜索”框中键入 gpupdate /force ,然后按 Enter

  2. 当 gpudate 命令完成后,重新启动计算机。

  3. DMI-Client1\TestAdmin 身份登录到计算机。

  4. 插入 USB 存储驱动器,然后等待 Windows 通知该驱动器已正常运行。

  5. 单击“ 开始”,单击“ 计算机”,然后双击 U 盘。

  6. 在 Windows 资源管理器中,右键单击详细信息窗格的打开区域,单击“ 新建”,然后单击“ 文件夹”。

  7. Windows 将显示一条错误消息,解释尝试创建文件夹失败的原因。

    Bb530324.grouppolicydeviceinstall25 (en-us,MSDN.10) .gif

    图 25. 错误消息将解释尝试创建文件夹失败的原因

  8. 单击“ 继续 ”以尝试解决此限制。

  9. 如果出现“用户帐户控制”对话框,请确认其显示的操作是所需操作,然后单击“ 继续”。

  10. Windows 将显示第二条消息,指明不能写入文件夹的原因。

    Bb530324.grouppolicydeviceinstall26 (en-us,MSDN.10) .gif

    图 26. 第二条错误消息将指示不允许写入权限的原因

结论

在本指南中,您在实验室环境中使用示例设备了解了如何控制用户是否可以安装设备。 您还了解了如何限制对可移动存储设备或使用可移动介质的设备的访问权限。 通过控制设备的安装和使用,此方法将用户可以安装的设备限制在组织批准和支持的设备,从而提高了安全性和技术支持的效率。 用于说明这些配置的方案包括:

  • 禁止安装所有设备。

    在此方案中,禁止了标准用户安装任何设备,但允许管理员安装或更新设备。

  • 仅允许用户安装授权设备。

    在此方案中,仅允许标准用户安装包含在授权设备列表中的设备。

  • 仅禁止安装被禁止的设备。

    在此方案中,允许标准用户安装大多数设备,但禁止他们安装禁止设备列表中的设备。

  • 控制可移动媒体存储设备的使用。

    在此方案中,禁止标准用户向可移动存储设备或使用可移动介质的设备写入数据,例如 USB 存储驱动器或者 CD 或 DVD 刻录机。

其他资源

有关设备安装的详细信息,请参阅:

有关 DevCon 工具的详细信息,请参阅:

有关 Windows Vista 中“用户帐户控制”的详细信息,请参阅:

有关组策略的详细信息,请参阅:

记录错误和反馈

欢迎你提供反馈。 如果附带的方案没有按照描述运行,或它们未能记录您要使用此技术的方式,请与我们联系。 我们将使用您提供的反馈意见来提高本文档的质量。 请将对此文档的评论发送到 Vista 反馈 (vistafb@microsoft.com) 。

有关 Windows Vista 的反馈,请使用 Windows Vista 网页 https://www.microsoft.com/windowsvista底部的“联系我们”链接。