通过

分步指南:通过组策略控制设备驱动程序的安装和使用

原文地址:https://technet.microsoft.com/en-us/library/cc731387(WS.10).aspx

适用于:Windows Server 2008、Windows Vista

本分步指南介绍如何在您管理的计算机上控制设备的安装和使用。在 Windows Server® 2008 和 Windows Vista® 中,可以将计算机策略应用于:

  • 禁止用户安装任何设备。
  • 仅允许用户安装“批准”列表中的设备。如果设备未在该列表中出现,则用户无法安装它。
  • 禁止用户安装“禁止”列表中的设备。如果设备未在该列表中出现,则用户可以安装它。
  • 拒绝用户对本身可移动的设备进行读取或写入访问,或者对使用可移动介质的设备进行读写访问,比如 CD 和 DVD 刻录机、软盘驱动器、外部硬盘以及媒体播放器、智能电话或 Pocket PC 设备之类的便携式设备。

本指南介绍设备安装流程和标识字符串,Windows 使用这些字符串将设备与计算机上的可用设备驱动程序包进行匹
配。本指南还将阐述 3 个控制设备安装的方法。每个场景都将分布展示一种方法,您可以使用该方法允许或禁止一种特定设备或一类设备的安装。第 4 种场景展示如何拒绝用户对可移动设备或使用可移动介质的设备进行读取或写入访问。

这些场景中使用的示例设备为USB 存储设备。您可以使用不同的设备来执行本指南中的步骤。但是,如果您使用不同的设备,本指南中的说明将无法与计算机上显示的用户界面完全匹配。

important重要说明
本指南中提供的步骤适合在测试实验室环境中使用。不应使用本分步指南部署没有随附文档的 Windows Server 功能,将它用作独立文档时,应保持谨慎。

谁应该使用本指南?

本指南适用于以下受众:

  • 评估 Windows Vista 和 Windows Server 2008 的信息技术规划者和分析师
  • 企业信息技术规划者和设计师
  • 负责在自己的组织中实现可靠的计算的安全架构师
  • 希望熟悉该技术的管理员

使用组策略控制设备安装的好处

限制用户可以安装的设备能够提供以下好处:

  • **减少数据盗窃的风险。**如果用户的计算机无法安装支持可移动介质的未经批准的设备,那么用户也就更难对公司数据进行未授权的复制。例如,如果用户无法安装 CD-R 设备,他们无法将公司数据的副本刻录到可录制的 CD 上。尽管这种好处无法避免数据盗窃,但它对数据的未授权删除创造了另一道保护障碍。您也可以使用组策略拒绝用户对可移动设备或使用可移动介质的设备进行写入访问,从而减少数据盗窃的风险。当使用组策略时,能够以组为单位授予访问权限。
  • **降低支持成本。**您可以确保用户仅安装经过服务台员工培训且提供支持的设备。这种好处能够降低支持成本和减少用户困扰。

场景概述

本指南中提供的场景将演示如何在您管理的计算机上控制设备安装和使用。这些场景在本地计算机上使用组策略,以简化实验室环境中的各个过程的使用。在管理多台客户端计算机的环境中,应该使用 Active Directory 部署的组策略来应用这些设置。使用 Active Directory 部署的组策略,您可以将设置应用于作为域成员或者作为域中的一个组织单元的所有计算机。关于如何使用组策略管理客户端计算机的更多信息,请参见 Microsoft 网站上的“组策略”。

以下是对本指南中提供的场景的描述:

  • 禁止安装所有设备。
    在此场景中,管理员希望禁止标准用户安装任何设备,但允许管理员安装或更新设备。要完成此场景,需要配置两个计算机策略。第一个计算机策略禁止所有用户安装设备,第二个策略免除对管理员的限制。
  • 仅允许用户安装授权的设备。
    在此场景中,管理员希望仅允许用户安装授权设备列表中包含的设备。此场景以第一个场景为基础,因此您必须先完成第一个场景,才能完成此场景。要完成此场景,则需创建一个授权设备列表,使用户能够仅安装您指定的设备。
  • 仅禁止安装禁止的设备。
    在此场景中,管理员希望允许标准用户安装大部分设备,但禁止他们安装禁止设备列表中包含的设备。要完成此场景,必须删除在前两个场景中创建的策略。删除这些策略后,还要创建一个禁止设备列表,使用户能够安装除您指定的设备外的任何设备。
  • 控制对可移动介质存储设备的使用
    在此场景中,管理员希望禁止标准用户将数据写入可移动存储设备或使用可移动介质的设备,比如 USB 存储驱动器或者 CD 或 DVD 刻录机。要完成此场景,需要配置一个计算机策略来允许使用读取访问,但拒绝对示例设备和计算机上的任何 CD 或 DVD 刻录机设备进行写入访问。

技术回顾

以下各节简要概括了本指南中探讨的核心技术。

Windows 中的设备安装

设备是一种硬件,Windows 通过与它进行交互来执行某些功能。Windows 只能通过一种称为设备驱动程序的软件与设备通信。要安装设备驱动程序,Windows 会检测设备,识别其类型,然后查找与该类型匹配的设备驱动程序。

Windows 使用两种类型的标识符来控制设备安装和配置。可以使用 Windows Vista 和 Windows Server 2008 中的组策略设置,指定允许或禁止使用这些标识符中的哪些标识符。

两种标识符类型为:

  • 设备标识字符串
  • 设备安装程序类

设备标识字符串

当 Windows 检测到一个从未在计算机上安装过的设备时,操作系统会查询该设备,检索其设备标识字符串列表。设备制造商通常会为一个设备分配多个设备标识字符串。这些设备标识字符串包含在作为设备驱动程序包一部分的 .inf 文件中。Windows 通过将从设备中检索到的设备标识字符串与驱动程序包中包含的标识字符串相匹配,选择要安装哪个设备驱动程序包。

Windows 可使用每个字符串将一个设备与一个驱动程序包相匹配。这些字符串既包括非常具体的、与一个设备的品牌和型号相匹配的字符串,也包括非常普遍的、可能应用于整个设备类的字符串。有两种类型的设备标识字符串:

  • 硬件ID硬件 ID 是在设备和驱动程序包之间提供最精确匹配的标识符。硬件 ID 列表中的第一个字符串表示设备 ID,因为它能够与设备的品牌、型号和版本准确匹配。列表中的其他硬件 ID 与设备的细节大体匹配。例如,硬件 ID 可以标识设备的品牌和型号,但未标识具体的版本。如果没有可用的正确版本的驱动程序,这种模式使得 Windows 能够使用该设备的不同版本的驱动程序。
  • 兼容ID如果操作系统无法找到与设备 ID 或任何其他硬件 ID 匹配的驱动程序,那么 Windows 将使用这些标识符来选择设备驱动程序。兼容 ID 按适合度降序排列。这些字符串是可选的,此外,如果提供这类字符串,它们的适用范围非常宽泛,比如**磁盘。**当使用兼容 ID 进行匹配时,通常只使用设备的最基本的功能。

当安装设备时,比如打印机、USB 存储设备或键盘,Windows 会搜索与您尝试安装的设备相匹配的驱动程序包。在搜索期间,Windows 为它发现的至少与硬件或兼容 ID 中的一个匹配的每个驱动程序包分配一个“排名”。该排名表明了驱动程序与设备的匹配程度。较低的排名数字表示驱动程序能够与设备可以更好地匹配。排名为 0 表示可能最匹配的驱动程序。将设备 ID 与驱动程序包中的 ID 的匹配,会得到比与其他硬件 ID 进行匹配更低(更好)的排名。类似地,与硬件 ID 的匹配会得到比与任何兼容 ID 进行匹配更好的排名。Windows 对所有驱动程序包进行排名后,然后安装总排名最低的驱动程序包。关于排名和选择驱动程序包的过程的更多信息,请参见 Microsoft 网站上的“选择驱动程序”(https://go.microsoft.com/fwlink/?LinkId=54881)。关于设备驱动程序安装过程的更多信息,请参见 Microsoft 网站上的“设备驱动程序签名和暂存分步指南”的“技术回顾”一节(https://go.microsoft.com/fwlink/?LinkID=69208)。

一些物理设备在安装时会创建一个或多个逻辑设备。每个逻辑设备可以处理物理设备的部分功能。例如,一个多功能设备(比如扫描/传真/打印一体机)中的每项功能可能具有不同的设备标识字符串。

当使用设备安装限制策略允许或禁止安装使用逻辑设备的设备时,必须允许或禁止使用该设备的所有设备标识字符串。例如,如果用户尝试安装一个多功能设备,而您没有允许或禁止物理和逻辑设备的所有标识字符串,那么尝试安装可能得到意外的结果。关于硬件 ID 的更多详细信息,请参见 Microsoft 网站上的“设备标识字符串”。

设备安装程序类

设备安装程序类是另一种类型的标识字符串。制造商在设备驱动程序包中为设备分配了设备安装程序类。设备安装程序类对采用相同方式安装和配置的设备进行分组。例如,所有 CD 驱动器属于 CDROM 设备安装程序类,它们在安装时使用相同的共用安装程序。称为全局唯一标识符 (GUID) 的一个较长数字表示每个设备的安装程序类。当 Windows 启动时,它会使用所有检测到的设备的 GUID 建立一个内存型树结构。除了设备自身的设备安装程序类的 GUID 之外,Windows 可能还需要在树中插入总线的设备安装程序类的 GUID,设备被附加到该总线上。

当使用设备安装程序类来允许或禁止用户安装设备驱动程序时,必须指定所有设备的设备安装程序类的 GUID,否则可能无法获得想要的结果。安装可能失败(如果您希望安装成功),也可能成功(如果您希望安装失败)。

例如,多功能设备(比如扫描/传真/打印一体机)拥有针对一类多功能设备的 GUID、针对打印机功能的 GUID、针对扫描仪功能的 GUID,等等。每项功能的 GUID 都是多功能设备 GUID 下的一个“子节点”。要安装子节点,Windows 必须也能够安装父节点。除了允许安装打印机和扫描仪功能的所有子 GUID 之外,还必须允许安装该多功能设备的父 GUID 的设备安装程序类。

有关更多信息,请参见 Microsoft 网站上的“设备安装程序类”(https://technet.microsoft.com/library/cc706993(WS.10).aspx)。

本指南不会介绍任何使用设备安装程序类的场景。但是,本指南中介绍的设备标识字符串的基本原理也适用于设备安装程序类。发现一个特定设备的设备安装程序类后,可以在策略中使用它,从而允许或禁止安装该设备类的设备驱动程
序。

设备安装的组策略设置

为了支持对设备安装的控制,Windows Vista 和 Windows Server 2008 引入了多项策略设置。您可以在一台计算机上单独配置这些策略设置,也可以通过在 Active Directory 域中使用组策略,将它们应用于大量计算机。关于如何使用组策略管理客户端计算机的更多信息,请参见 Microsoft 网站上的“组策略”(https://go.microsoft.com/fwlink/?linkid=55625)。

无论您希望将该设置应用于独立的计算机,还是应用于 Active Directory 域中的许多计算机,都可以使用组策略管理编辑器来配置和应用策略设置。

以下是对本指南中使用的设备安装策略设置的简要说明。

note注意
这些策略设置会影响登录到应用了这些策略设置的计算机的所有用户。无法将这些策略应用于特定用户或组,除非使用策略“允许管理员重写设备安装策略”。此策略豁免了本地管理员组成员的任何设备安装限制,这些限制通过配置本节描述的其他策略设置应用于计算机上。
  • **禁止安装其他策略设置描述没有描述的设备。**此策略设置控制任何其他策略设置没有明确描述的设备的安装。如果启用了此策略设置,用户将无法安装或更新设备驱动程序,除非“**允许安装与下列设备ID匹配的设备”策略设置或“允许安装下列设备类的设备”策略设置描述了这些设备。**如果禁用或没有配置此策略设置,则用户可以安装和更新“禁止安装与下列设备ID相匹配的设备”策略设置、“禁止安装下列设备类的设备”策略设置或“禁止安装可移动设备”策略设置未描述的任何设备的驱动程序。
  • **允许管理员重写设备安装策略。**此策略设置允许本地管理员组成员安装和更新任何设备的驱动程序,无论是否启用了其他策略设置。如果启用了此策略设置,则管理员可以使用添加硬件向导或更新驱动程序向导安装和更新任何设备的驱动程序。如果禁用或未配置此策略设置,管理员将受到所有限制设备安装的策略设置的约束。
  • **禁止安装与下列设备ID相匹配的设备。**此策略设置指定了用户无法安装设备的即插即用硬件 ID 和兼容 ID 的列表。如果启用了此策略设置,当设备硬件 ID 或兼容 ID 与此列表中的一项匹配时,用户将无法安装或更新它的驱动程序。如果禁用或未配置此策略设置,只要其他设备安装策略设置允许,用户即可安装设备和更新它们的驱动程序。
    note注意
    此策略设置优先于任何其他允许用户安装设备的策略设置。此策略设置禁止用户安装设备,即使该设备与另一个可能允许安装它的策略设置相匹配。
  • **禁止安装与下列设备安装程序类相匹配的驱动程序。**此策略设置指定了用户无法安装设备的即插即用设备安装程序类 GUID 的列表。如果启用了此策略设置,则用户无法安装或更新属于所列出设备安装程序类的设备的驱动程序。如果禁用或未配置此策略设置,只要其他设备安装策略设置允许,用户即可安装和更新设备的驱动程序。
    note注意
    此策略设置优先于任何其他允许用户安装设备的策略设置。此策略设置禁止用户安装设备,即使该设备与另一个可能允许安装它的策略设置相匹配。
  • **允许安装与下列设备ID相匹配的设备。**此策略设置指定了描述用户可安装设备的即插即用硬件 ID 和兼容 ID 的列表。此设置只有在启用了“**禁止安装未由其他策略设置描述的设备”**策略设置时才能使用,并且不优先于任何可能禁止用户安装设备的策略设置。如果启用了此策略设置,则用户可以安装和更新任何具有与此列表中的 ID 相匹配的硬件 ID 或兼容 ID 的设备,只要该安装未被“**禁止安装与下列设备ID相匹配的设备”**策略设置、“**禁止安装下列设备类的设备”**策略设置或“**禁止安装可移动设备”**策略设置明确禁止。如果另一个策略设置禁止用户安装设备,那么用户将无法安装它,即使此策略设置中的某个值也描述了该设备。如果禁用或未配置此策略设置,并且没有任何其他策略描述该设备,“**禁止安装未由其他策略设置描述的设备”**策略设置将确定用户能否安装该设备。
  • **允许使用下列设备类的驱动程序安装设备。**此策略设置指定了描述用户可安装设备的设备安装程序类 GUID 的列表。此设置只在启用“**禁止安装未由其他策略设置描述的设备”**策略设置时才能使用,并且不优先于任何可能禁止用户安装设备的策略设置。如果启用了此设置,则用户可以安装和更新任何具有与此列表中的一个设备安装程序类 GUID 相匹配的设备安装程序类的设备,只要该安装未被“**禁止安装与下列设备ID相匹配的设备”**策略设置、“**禁止安装下列设备类的设备”**策略设置或“**禁止安装可移动设备”**策略设置明确禁
    止。如果另一个策略设置禁止用户安装设备,则用户无法安装它,即使此策略设置中的某个值也描述了该设备。如果禁用或未配置此策略设置,并且没有任何其他策略设置描述该设备,“**禁止安装未由其他策略设置描述的设备”**策略设置将确定用户能否安装该设备。

这些策略中的一些策略优先于其他策略。下面的流程图展示了 Windows 如何处理这些策略来确定用户能否安装设备:

显示如何决定策略优先顺序的流程图

可移动存储访问的组策略设置

在 Windows Vista 和 Windows Server 2008 中,管理员可以应用组策略来控制用户能否从使用可移动介质的设备读取数据或向其写入数据。这些策略可用于帮助禁止将敏感或机密材料写入可移动介质,或者禁止将它们写入包含存储介质的可移动设备,然后从现场带走它们。

您可以在计算机级别应用这些策略设置,使它们适用于登录到该计算机的每位用户。您也可以在用户级别应用它们,将策略的实施限制于特定用户帐户。如果在 Active Directory 环境中使用组策略,那么除了将它们应用于单一用户帐户,还可以将它们应用于用户组。组策略还允许有效地将这些策略应用于大量计算机。关于如何使用组策略管理客户端计算机的更多信息,请参见 Microsoft 网站上的“组策略”(https://go.microsoft.com/fwlink/?linkid=55625)。

important重要说明
这些可移动存储访问策略不会影响在系统帐户上下文中运行的软件,比如 Windows 中的 ReadyBoost 技术。但是,在当前用户的安全性上下文中运行的任何软件都可能受到这些限制的影响。例如,如果“可移动磁盘:拒绝写入访问”策略设置对一名用户有效,那么即使该用户是管理员,BitLocker 安装程序也无法将其启动密钥写入 USB 驱动器。您可能希望考虑只将限制应用于除本地管理员组以外的用户和组。

**“可移动存储访问”策略设置还包含一个允许管理员强制执行重新启动的设置。**如果在应用限制策略时正在使用某个设备,则该策略可能在计算机重新启动之后才能执行。如果不希望一直等到用户下一次重新启动计算机,那么可以使用该策略设置来强制执行重新启动。如果不重新启动计算机便可执行限制策略,那么可以忽略重新启动选项。

策略设置可以在两个位置找到。Computer Configuration\Administrative Templates\System\Removable Storage Access 中的策略设置会影响到一台计算机和登录到它上的每位用户。User Configuration\Administrative Templates\System\Removable Storage Access 中的策略设置仅会影响到该策略设置所应用到的用户,如果使用 Active Directory 应用了组策略,则也包括组。

下面简要说明了支持您控制可移动存储驱动器的读取或写入访问的策略。每种设备类别支持两种策略:一种用于拒绝读取访问,另一种用于拒绝写入访问:

  • **强制重新启动的时间(以秒为单位)。**设置为了强制执行可移动存储设备的访问权更改,系统等待重新启动的时间(以秒为单位)。只在不重新启动就无法应用限制策略时,才强制执行重新启动。
    note注意
    如果未强制重新启动并且由于设备正在使用而无法应用策略,那么更改在系统重新启动之后才会生效。如果策略更改将影响到多个设备,则应立即在当前未使用的所有设备上执行更改。如果正在使用任何受影响的设备,以至于无法立即执行更改,那么将执行此策略来重新启动计算机,只要管理员启用了该策略。
  • **CD和DVD。**这些策略设置允许拒绝对 CD 和 DVD 可移动存储类中的设备(包括 USB 连接设备)进行读取或写入访问。
    important重要说明
    一些第三方 CD 和 DVD 刻录机软件会通过未受策略禁止的方式与硬件交互。如果希望禁止针对 CD 或 DVD 刻录机的所有写入操作,可能需要考虑应用组策略来禁止安装该软件。
  • **自定义类。**这些策略设置允许您拒绝对某些设备进行读取或写入访问,这些设备的设备安装程序类 GUID 包含在您提供的列表中。
  • **软盘驱动器。**这些策略设置允许您拒绝对软盘驱动器类中的设备(包括 USB 连接设备)进行读取或写入访问。
  • **可移动磁盘。**这些策略设置允许您拒绝对属于或模拟硬盘的可移动设备(比如 USB 闪存驱动器或外部 USB 硬盘驱动器)进行读取或写入访问。
  • **磁带驱动器。**这些策略设置允许您拒绝对磁带驱动器(包括 USB 连接设备)进行读取或写入访问。
  • **WPD设备。**这些策略设置允许您拒绝对 Windows 便携设备类中的设备进行读取或写入访问。这些设备包括“智能”设备,比如媒体播放器、移动电话、Windows CE 设备等。
  • **所有可移动存储类:拒绝所有权限。**此策略设置优先于此列表中的任何策略设置,如果启用此设置,则将拒绝对标识为正在使用可移动存储的任何设备进行读取和写入访问。如果禁用或未配置此策略设置,那么将允许对可移动存储类进行读取和写入访问,这些访问适用于此列表中其他策略设置施加的限制。

完成这些场景的需求

要完成每个场景,则必须拥有:

  • 一台运行 Windows Vista 的客户端计算机。本指南将此计算机称为 DMI-Client1
  • 一个 USB 闪存驱动器。本指南中描述的场景使用一个 USB 闪存驱动器作为示例设备。此设备类似于一个可移动磁盘驱动器,也称为“拇指驱动器”、“闪存驱动器”或“钥匙圈驱动器 (keyring drive)”。大部分 USB 闪存驱动器都不需要任何制造商提供的驱动程序,并且这些设备与 Windows Vista 和 Windows Server 2008 提供的驱动程序兼容。
    note注意
    本指南中的说明假设除 Windows Vista 和 Windows Server 2008 中包含的驱动程序外,您的设备不需要任何驱动程序。如果您的设备需要制造商提供的驱动程序,那么在 Windows 提示您提供驱动程序文件时,您必须提供它们。这些场景中未包含这一步。
  • (可选)一个 CD 或 DVD 刻录机。最后一个场景演示如何将使用可移动介质的设备设置为只读。您无需实际安装 CD 或 DVD 刻录机就可以设置该计算机策略。但是,如果希望确认该计算机策略是有效的,那么必须有一个可供使用的 CD 或 DVD 刻录机设备。
  • DMI-Client1 上受保护的管理员帐户的访问。本指南将此帐户称为 TestAdmin。本指南中的过程需要使用管理员权限执行大部分步骤。您必须在每个过程开始时使用此管理员帐户登录到 DMI-Client1,除非您受到控制。
    note注意
    Windows Vista 和 Windows Server 2008 引入了受保护的管理员帐户的概念。此帐户是管理员组中的成员,但默认情况下不会直接使用此安全特权。对执行要求升级的管理员权限的任务的任何尝试都会生成一个对话框,请求提供执行该任务的权限。此对话框将在本指南后面的“响应用户帐户控制页面”一节中介绍。Microsoft 推荐您尽可能使用受保护的管理员帐户,而不是使用内置管理员帐户。
  • DMI-Client1 上的标准用户帐户的访问。此用户帐户没有授予了任何类型的升级权限的特殊成员资格。本指南将此帐户称为 TestUser。仅在使用此帐户登录到计算机时要求您这么做。使用标准用户帐户时,执行需要升级的管理员权限的任务的任何尝试都会生成一个对话框,请求提供具有管理员特权的帐户的凭据。此对话框将在本指南后面的“响应用户帐户控制页面”一节中介绍。

准备过程

在实现执行任何允许或禁止用户安装设备的策略之前,必须知道该设备的设备标识字符串。还必须知道如何完整地安装 USB 闪存驱动器及其关联驱动程序。以下过程将配置计算机,以便成功执行本指南中的场景:

  1. 响应用户帐户控制页面
  2. 确定您的 USB 闪存驱动器的设备标识字符串
  3. 卸载您的 USB 闪存驱动器

响应用户帐户控制页面

本指南通篇都要求您执行只能由管理员组中的成员完成的任务。在 Windows Vista 和 Windows Server 2008 中,当尝试执行需要管理员权限的任务时,会发生以下情况:

  • 如果以内置的管理员帐户身份登录(不推荐),那么操作将继续执行。内置管理员帐户在默认清空下是禁用
  • 的。
  • 如果您是管理员组中的成员,但不是内置管理员帐户的成员,那么将出现一个 **User Account Control对话框,要求提供继续操作的权限。**如果单击 Continue,任务将继续执行。
  • 如果您以标准用户的身份登录,那么可能会禁止您执行任务。根据不同的任务,可能会向您显示一个 **User Account Control页面,要求您提供管理员帐户的用户名和密码。**如果提供了有效的凭据,那么任务将在您提供的管理员帐户的安全性上下文中进行。如果无法提供这些凭据,那么会禁止您执行该任务。
important重要说明
在提供凭据或权限来运行任何管理性任务之前,确保显示了 User Account Control 页面来响应您开始执行的任
务。如果意外地显示了该页面,那么单击 Details按钮并确保该任务是您希望允许的任务。

本指南没有记录执行这些过程时遇到 **User Account Control对话框的每次出现情况。**当需要特殊步骤以管理员身份运行特定任务时,本指南会记录这些步骤。

确定您的 USB 闪存驱动器的设备标识字符串

通过执行以下步骤,可以确定设备的设备标识字符串。如果设备的硬件 ID 和兼容 ID 与本指南中显示的不匹配,请使用适合设备的 ID。

note注意
在以下场景中,您必须安装 USB 闪存驱动器,然后卸载它。本指南中的说明假设除 Windows Vista 和 Windows Server 2008 中包含的驱动程序外,您的设备不需要任何驱动程序。如果您的设备需要制造商提供的驱动程序,那么在 Windows 提示您提供驱动程序文件时,您必须提供它们。这些场景中未包含此步骤。

您可以通过两种方式确定硬件 ID 和兼容 ID。您可以使用设备管理器或 DevCon。设备管理器是操作系统中包含的一个图形工具, DevCon 是一个可作为驱动程序开发工具包 (DDK) 的一部分下载的命令行工具。可以使用以下过程查看 USB 闪存驱动器的设备标识字符串。

important重要说明
这些过程是专门针对 USB 闪存驱动器的。如果您使用的是不同类型的设备,则必须相应地调整这些步骤。最显著的区别将是设备在设备管理器层次结构中的位置。您必须在合适的节点中查找您的设备,而不是在 Disk Drives节点中查找。

使用设备管理器查找设备标识字符串

  1. DMI-Client1\TestAdmin 身份登录到您的计算机。
  2. 插入您的 USB 闪存驱动器,然后让安装完成。
  3. 要打开设备管理器,单击 Start按钮,在Start Search框中键入mmc devmgmt.msc,然后按下回车键。
  4. 如果出现了 **User Account Control对话框,确认它显示的操作是您想要的,然后单击Continue。**设备管理器启动并显示一个树,用该树来表示您的计算机上检测到的所有设备。树的顶部是一个节点,它旁边是您计算机的名称。较低的节点表示硬件的各种类别,您计算机的设备将分组到这些类别中。
  5. 双击 Disk drives打开该列表。
    显示设备管理器中的典型 USB 设备。
  6. 右键单击您的 USB 闪存驱动器对应的项,然后单击 Properties
    显示 Device Properties 对话框。
    显示设备的“设备属性”页
  7. 单击 Details 选项卡。
  8. Property 列表中,单击 Hardware Ids
    Value 下,记录所显示的字符串。
    显示选择的设备的硬件 ID
    note注意
    通过突出显示字符串文本并按下 CTRL-C,可以将字符串复制到剪贴板。因为许多硬件 ID 包含多个下划线字符,所以在必须指定一个标识符时,将它们复制并粘贴到文本文件中会很有帮助。在必须向批准或禁止设备列表添加特定标识符时,这种方法能够显著减少出错机会。
  9. Property 列表中,单击 Compatible Ids。
    Value 下,记录所显示的字符串。
    显示选择的设备的兼容 ID
  10. 单击 OK 关闭对话框。
note注意

也可以使用 DevCon 命令行实用程序确定您的设备标识字符串。可以从 Microsoft 帮助和支持网站下载
DevCon。有关更多信息,请参见 Microsoft 网站上的“DevCon 命令行实用工具可以替代设备管理器”(https://go.microsoft.com/fwlink/?LinkId=56391)。

您可以在 Microsoft 开发人员网络 (MSDN) 网站上找到关于 DevCon 实用程序及其操作的更多细节。有关更多信息,请参见 Microsoft 网站上的“DevCon”(https://go.microsoft.com/fwlink/?linkid=54880)。

使用 DevCon 确定硬件 ID 的具体语法也可以在 MSDN 上找到。有关更多信息,请参见 Microsoft 网站上的“DevCon HwIDs”(https://go.microsoft.com/fwlink/?linkid=56389)。

卸载您的USB 闪存驱动器

在 USB 闪存驱动器的日常使用中,通常只需将驱动器从 USB 端口拔出即可。但在本指南中,还必须卸载设备驱动程序,确保开始每个场景时,计算机都能进入合适的状态。如果要求卸载和删除设备时您未能成功完成任务,那么在以下场景中,测试的策略将不会发挥作用,您不会得到预期的结果。在本指南中,每次要求卸载和删除设备时,都可使用相同的步骤。

important重要说明
在完成最后一步之前,不要在物理上将您的设备与 USB 端口断开。

卸载您的USB 闪存驱动器

  1. DMI-Client1\TestAdmin 的身份登录您的计算机。
  2. 要打开设备管理器,单击 Start按钮,在Start Search框中键入mmc devmgmt.msc,然后按下回车键。
  3. 如果出现 User Account Control对话框,确认它显示的操作是您想要的,然后单击Continue。
  4. 右键单击您的 USB 闪存驱动器对应的项,然后单击 Uninstall
    显示卸载上下文菜单选项
  5. Confirm Device Removal对话框中,单击OK完成卸载过程。
  6. 当 Windows 完成卸载过程时,它会从设备管理器树中删除该设备项。
  7. 从 USB 端口拔下您的 USB 闪存驱动器。

禁止安装所有设备

此场景介绍实现最严格的配置所需的典型步骤,在这种配置中,会禁止安装所有设备,无法使用新设备驱动程序对现有设备进行更新。没有管理员的干预,用户将无法安装设备和使用它。管理员仍然可以根据需要安装或更新任何设备。

禁止安装所有设备的先决条件

要完成此场景中的过程,则必须按照本文前面的“卸载您的 USB 闪存驱动器”一节中所介绍的步骤来卸载您的 USB 闪存驱动器。

禁止安装所有设备的步骤

在本节中,将添加设置策略来禁止安装所有设备,同时允许管理员根据需要继续安装设备。

  1. 通过配置策略来禁止安装任何设备
  2. 通过配置策略允许管理员重写设备安装限制
  3. 以用户身份测试限制设置的效果

步骤 1:通过配置策略来禁止安装任何设备

配置禁止安装或更新任何设备的策略

  1. DMI-Client1\TestAdmin 身份登录您的计算机。
  2. 要打开组策略管理编辑器,单击 Start按钮,在Start Search框中键入mmc gpedit.msc,然后按下回车键。
  3. 如果出现 User Account Control对话框,确认它显示的操作是您想要的,然后单击Continue。
  4. 在组策略管理编辑器导航窗格中,双击 **Computer Configuration将其打开。**然后依次打开 Administrative TemplatesSystemDevice InstallationDevice Installation Restrictions显示“设备安装限制”设置
  5. 在详细信息窗格中,右键单击 Prevent installation of devices not described by other policy settings,然后单击 Properties
    策略对话框将出现,其中包含当前设置。
  6. Setting 选项卡上,单击 Enabled 打开该策略。
  7. 单击 OK 保存您的设置,并返回到组策略管理编辑器。

步骤 2:通过配置策略允许管理员重写设备安装限制

下一个策略使管理员能够重写其他设备安装策略设置(包括刚刚启用的策略)所施加的限制。

通过配置策略允许管理员重写设备安装限制

  1. 在详细信息窗格中,右键单击 Allow administrators to override device installation policy,然后单击 Properties。策略对话框将出现,其中包含当前设置。
  2. Setting 选项卡上,单击 Enabled 打开该策略。
  3. 单击 OK 保存您的设置,并返回到组策略管理编辑器。两个策略的状态现在都显示为已启用。显示两种策略均启用
  4. 关闭组策略管理编辑器。

步骤 3:以用户身份测试限制设置的效果

两个策略都启用之后,可以将它们应用到计算机,并尝试安装设备,以查看限制的效果。

以用户身份测试限制设置的效果

  1. 如果已经安装好了设备,可执行本文前面的“卸载您的 USB 闪存驱动器”中的步骤卸载和删除它。

  2. 单击 Start 按钮,在 Start Search 框中键入 gpupdate /force,然后按下回车键

  3. 完成 GPUdate 命令完成后,可注销您的计算机,然后以 DMI-Client1\TestUser 身份登录。

  4. 要打开设备管理器,单击 Start 按钮,在 Start Search 框中键入 mmc devmgmt.msc,然后按下回车键。
    以下消息将会出现,这表明您没有在设备管理器中执行任何更改的权限。
    显示关于权限不足而无法安装的错误

  5. 单击 OK确认消息。
    启动设备管理器,您可以查看计算机中的设备。

  6. 插入您的 USB 闪存驱动器。

    在成功完成安装之前,该设备显示在设备管理器中的 Other devices 节点下。

    设备管理器中的部分安装设备

  7. 因为您是以没有管理权限的标准用户身份登录的,并且设备安装现在受到限制,所以将出现以下对话框:

    关于驱动程序需要管理员权限的提示

  8. 要模拟典型用户响应,单击 Locate and install driver software (recommended)

    将出现一个类似 User Account Control 对话框的窗口,要求您提供具有管理员权限的帐户的用户名和密
    码。

  9. 因为用户没有管理员凭据可以提供,所以可以像普通用户所做的那样单击 Cancel 放弃尝试。

    设备驱动程序安装失败,设备仍保留在 Other devices 节点下,但无法正常运行。

    设备管理器中的部分安装设备 

仅允许用户安装授权的设备

此场景以第一个场景禁止安装所有设备为基础,第一个场景禁止安装任何设备。在此场景中,会向策略中添加一个允许设备列表,并包含您的 USB 闪存设备的硬件 ID。

仅允许用户安装授权的设备的先决条件

要完成此任务,则必须先完成第一个场景禁止安装所有设备中的所有步骤。

仅允许用户安装授权设备的步骤

在这一节中,通过创建一个授权设备列表,向禁止安装所有设备场景内施加的限制中添加允许设备。

  1. 创建授权设备列表
  2. 以用户身份测试列表的效果

步骤 1:创建授权设备列表

创建授权设备列表

  1. DMI-Client1\TestAdmin 身份登录您的计算机。
  2. 如果已经安装好了设备,可通过执行本文前面的“卸载您的 USB 闪存驱动器”一节中的步骤卸载和删除它。
  3. 要打开组策略管理编辑器,单击 Start 按钮,在 Start Search 框中键入 mmc gpedit.msc,然后按下回车键
  4. 在组策略管理编辑器导航窗格中,双击 Computer Configuration 将其打开。然后依次打开 Administrative TemplatesSystemDevice InstallationDevice Installation Restrictions
  5. 在详细信息窗格中,右键单击 Allow installation of devices that match any of these device IDs,然后单击 Properties
    策略对话框将出现,其中包含当前设置。
  6. Setting 选项卡上,单击 Enabled 打开此策略。
    显示启用的策略设置。
  7. 单击 Show 查看 Show Contents 对话框中的允许设备列表。
    默认情况下,此列表是空的。
  8. 单击 Add 打开 Add Item 对话框。
  9. 输入您的设备的设备 ID(第一个硬件 ID)。
    显示正在添加到对话框的项目。
  10. 单击 OK 返回到 Show Contents 对话框。
    您的设备现在出现在列表中。
    显示允许列表中的设备
  11. 单击 OK 返回到策略对话框。
  12. 单击 OK 保存您的新策略设置。

步骤 2:测试授权设备列表

启用该策略后,即可将它应用于计算机并尝试安装设备。

测试授权设备列表

  1. 单击 Start 按钮,在 Start Search 框中键入 gpupdate /force,然后按下回车键。
  2. 当完成gpudate 命令时,可注销您的计算机,然后以 DMI-Client1\TestUser 身份登录。
  3. 要打开设备管理器,单击 Start 按钮,在 Start Search 框中键入 mmc devmgmt.msc,然后按下回车键。
    以下消息将出现,这表明您没有在设备管理器中执行任何更改的权限。
    显示关于权限不足而无法安装的错误
  4. 单击 OK 关闭消息。
    启动设备管理器,您可以查看计算机中的设备。
  5. 插入您的 USB 闪存驱动器。
    在Windows 完成安装之前,该设备仍然显示在设备管理器中的 Other devices 节点下。
    设备管理器中的部分安装设备
  6. 当 Windows 完成安装后,该设备转移到设备管理器中的 Disk Drives 节点下,并具有完整的功能。
    显示设备管理器中的典型 USB 设备。

禁止安装禁止的设备

此场景提供了一种控制设备安装的替代方式。在前两个场景中,禁止安装除授权设备列表中允许的设备以外的所有设
备。在此场景中,允许安装除禁止设备列表中的设备以外的所有设备。还将删除在第一个场景中为管理员创建的例外,这样,即使是管理员也适用于该策略。

禁止安装禁止的设备的先决条件

如果完成了禁止安装所有设备和仅允许用户安装授权的设备中的步骤,则必须使用以下步骤来禁用这些策略:

  • 支持安装所有设备。
  • 删除针对管理员组成员的例外,以允许安装设备。
  • 从批准设备列表中删除硬件 ID。

支持安装所有设备

  1. DMI-Client1\TestAdmin 身份登录您的计算机。
  2. 要打开组策略管理编辑器,单击 Start 按钮,在 Start Search 框中键入 mmc gpedit.msc,然后按下回车键
  3. 在组策略管理编辑器导航窗格中,双击 Computer Configuration 将其打开。然后依次打开 Administrative TemplatesSystemDevice InstallationDevice Installation Restrictions
  4. 在详细信息窗格中,右键单击节点 Prevent installation of devices not described by other policy settings,然后单击 Properties
    策略对话框将出现,其中包含当前设置。
  5. 单击 Disabled 关闭该策略设置。
  6. 单击 OK 保存您的设置,并返回到组策略管理编辑器。

下一步是删除为管理员组成员授予例外权限的策略。

删除组策略限制中的管理员例外

  1. 在组策略管理编辑器中,右键单击 Allow administrators to override device installation policy,然后单击 Properties
    策略对话框将出现,其中包含当前设置。
  2. Setting 选项卡上,单击 Disabled 关闭该策略设置。
  3. 单击 OK 保存您的设置,并返回到组策略管理编辑器。

下一步是从第二个场景中创建的授权设备列表中删除硬件 ID。

从授权设备列表删除硬件ID

  1. 在组策略管理编辑器中,右键单击 Allow installation of devices that match any of these device IDs,然后单击 Properties
    策略对话框将出现,其中包含当前设置。
  2. Setting 选项卡上,单击 Show 查看授权设备列表。
  3. Show Contents 对话框中,选择您的 USB 闪存驱动器的名称,然后单击 Remove
    Windows 从列表中删除您的设备。
  4. 单击 OK 关闭 Show Contents 对话框,然后返回到策略对话框。
  5. 单击 Disabled 关闭该策略设置。
  6. 单击 OK 保存您的更改,返回到组策略管理编辑器。

禁止安装禁止设备的步骤

要禁止用户安装特定设备,需要创建一个禁止设备列表。在本节中,您将:

  1. 创建禁止设备列表
  2. 测试禁止设备列表

步骤 1:创建禁止设备列表

创建禁止设备列表

  1. 如果目前已经安装好了设备,可通过执行本文前面的“卸载您的 USB 闪存驱动器”一节中的步骤卸载和删除它。
  2. DMI-Client1\TestAdmin 身份登录您的计算机。
  3. 如果没有运行组策略管理编辑器,则启动它。为此,单击 Start 按钮,在 Start Search 框中键入 mmc gpedit.msc,然后按下回车键
  4. 在树中,双击 Computer Configuration 将其打开。然后依次打开 Administrative TemplatesSystemDevice InstallationDevice Installation Restrictions
  5. 在详细信息窗格中,右键单击 Prevent installation of devices that match these device IDs,然后单击 Properties
    策略对话框将出现,其中包含当前设置。
  6. Setting 选项卡上,单击 Enabled 打开此策略。
    显示 GP 管理中启用的设置。
  7. 单击 Show 查看禁止设备列表。
  8. Show Contents 对话框中,单击 Add
  9. Add Item 对话框中,键入为您的设备找到的设备 ID(第一个硬件 ID)。
  10. 单击 OK 返回到 Show Contents 对话框。
    您的设备现在出现在列表中。
    显示添加到阻止列表的设备
  11. 单击 OK 返回到策略对话框。
  12. 单击 OK 保存您的新策略设置。

步骤 2:测试禁止设备列表

现在您可以尝试安装设备。您可以安装其他设备,因为策略不再禁止安装它们,但您不能安装这个禁止设备列表中的具体设备,即使是以管理员组成员的身份登录。

测试禁止设备列表

  1. 单击 Start 按钮,在 Start Search 框中键入 gpupdate /force,然后按下回车键
  2. 当完成gpudate 命令时,关闭命令提示符。
  3. 要打开设备管理器,单击 Start 按钮,在 Start Search 框中键入 mmc devmgmt.msc,然后按下回车键。
  4. 插入您的 USB 闪存驱动器。
    该设备显示在设备管理器中 Other devices 节点下。
    安装尚未完成,而且该设备不能正常工作。
    设备管理器中的部分安装设备
  5. Windows 在通知区域显示了一条消息,声明安装失败的原因:
    “设备安装被策略阻止”
  6. 您可以尝试手动安装该设备的驱动程序,绕过这些限制。右键单击该设备,然后单击Update Driver Software
  7. 操作系统提示您提供该设备的设备驱动程序。显示提示驱动程序位置的窗口
  8. 要模拟用户可能尝试的操作,单击 Search automatically for updated driver software
    一条消息将出现,这表明Windows 找到了安装驱动程序但无法它。最后一段解释了安装尝试失败的原因,因为您创建的策略禁止这类安装。
    “Windows 找不到设备驱动程序”
  9. 单击 Close

控制可移动介质上的读取和写入权限

此场景演示了在运行 Windows Vista 和 Windows Server 2008 的计算机上,如何控制对可移动设备或使用可移动介质的设备的读取或写入访问。在此场景中,要设置组策略,将您的 USB 闪存驱动器设置为只读。还要设置组策略,将附加到您计算机的任何 CD 或 DVD 刻录机设置为只读,从而有效禁用刻录功能。

控制可移动介质上的读取和写入权限的先决条件

在尝试本节中的过程之前,必须禁用禁止安装 USB 闪存驱动器的策略。

禁用禁止安装USB闪存驱动器的策略

  1. 如果当前已经安装好了设备,可通过执行本文前面的“卸载您的 USB 闪存驱动器”一节中的步骤卸载和删除它。
  2. 在组策略管理编辑器的详细信息窗格中,右键单击 Prevent installation of devices that match these device IDs,然后单击 Properties
    策略对话框将出现,其中包含当前的设置。
  3. Settings 选项卡上,单击 Show 查看禁止设备列表。
  4. Show Contents 对话框中,单击您的 USB 闪存驱动器,单击 Remove,然后单击 OK
  5. Setting 选项卡上,单击 Disabled 关闭此策略设置。
  6. 单击 OK 保存您的更改。

控制可移动介质上的读取和写入权限的步骤

在本节中,通过设置策略来禁止向一些类型的可移动设备写入数据。

  1. 通过设置计算机策略拒绝特定可移动设备类的写入访问
  2. 测试您的计算机策略设置

步骤 1:通过设置计算机策略来拒绝特定可移动设备类的写入访问

此过程中设置的策略将禁止许多可移动存储设备的写入访问。但是,禁止对设备进行写入访问的计算机策略可以因具体的设备品牌和型号不同而各不相同。您也可以使用“自定义类”策略,但该策略要求您识别特定设备的设备安装程序类 GUID。

拒绝特定可移动设备类的写入访问

  1. 在组策略管理编辑器导航窗格中,依次打开 Computer ConfigurationAdministrative TemplatesSystemRemovable Storage Access
  2. 右键单击 **CD and DVD:Deny write access,**然后单击 Properties
  3. Properties 对话框中,单击 Enabled 打开限制,然后单击 OK
  4. 对以下计算机策略重复步骤 2 和 3:
    • Removable Disks:Deny write access 
    • Floppy Drives:Deny write access
    • WPD Devices:Deny write access
  5. 关闭组策略管理编辑器。

步骤 2:测试您的计算机策略设置

如果正在使用某个设备,写入访问限制策略将无法立即执行。要应用该计算机策略,则需重新启动计算机。

测试您的计算机策略设置

  1. 单击 Start 按钮,在 Start Search 框中键入 gpupdate /force,然后按下回车键
  2. 当完成gpudate 命令时,重新启动您的计算机。
  3. DMI-Client1\TestAdmin 身份登录您的计算机。
  4. 插入您的 USB 闪存驱动器,然后等待 Windows 通知您它已可使用。
  5. 单击 Start,单击Computer,然后双击您的USB闪存驱动器。
  6. 在 Windows 资源管理器中,右键单击详细信息窗格中的空白区域,单击 Computer,然后单击 Folder
    Windows 显示了一条错误消息,对尝试创建文件夹失败的原因进行了解释。
    “您需要确认此操作。”
  7. 单击 Continue 尝试绕过该限制。
  8. 如果显示 User Account Control 对话框,确认它显示的操作是您想要的,然后单击 Continue
  9. Windows 将显示第二条消息,对无法向该文件夹写入数据的原因进行说明。
    “存在对设备的安全控制访问。”
  10. 单击 Cancel 关闭对话框。

结束语

在本指南中,在实验室环境中使用一个示例设备介绍了如何控制用户能否安装设备。还介绍了如何限制对可移动存储设备或使用可移动介质的设备的访问。通过这种方式控制安装和设备使用,能够将用户可以安装的设备限制为您禁止批准和支持的设备,从而加强安全性,提高服务台的工作效率。用于演示这些配置的场景包括:

  • 禁止安装所有设备。
    在此场景中,禁止标准用户安装任何设备,但允许管理员安装或更新设备。
  • 仅允许用户安装授权的设备。
    在此场景中,仅允许标准用户安装授权设备列表中包含的设备。
  • 仅禁止安装禁止的设备。
    在此场景中,允许标准用户安装大部分设备,但禁止他们安装禁止设备列表中包含的设备。
  • 控制可移动介质存储设备的使用
    在此场景中,禁止标准用户向可移动存储设备或使用可移动介质的设备(比如 USB 闪存驱动器或者 CD 或 DVD 刻录机)写入数据。

记录bug 和反馈

您的反馈非常重要。如果这些场景不能像介绍的那样生效,或者如果它们不符合您希望使用该技术的方式,请告诉我
们。我们将使用您提供的反馈改进本文的质量。将您对本文的评论发送到 Vista 反馈

要提供关于 Windows Vista 的反馈,可使用 Windows Vista 网页底部的联系我们链接。

其他资源

关于设备安装的更多信息:

关于 DevCon 工具的更多信息:

关于 Windows Vista 中的用户帐户控制的更多信息:

关于组策略的更多信息: