|
|
Продолжение - стр2
Подготовительные действия
Прежде чем настраивать политики контроля над установкой того или иного устройства, Вы должны знать идентификаторы оборудования этого устройства. Также вам необходимо знать о том, каким образом выполняется полное удаление из системы USB-накопителя и его драйверов. Следующие действия помогут Вам подготовить Ваш компьютер к успешному выполнению сценариев данного руководства: Работа с диалоговым окном «User Account Control» Определение идентификаторов оборудования Вашего USB-накопителя Удаление Вашего USB-накопителя
Работа с диалоговым окном «User Account Control» Работая с данным руководством, Вы часто будете сталкиваться с задачами, которые могут быть выполнены только членами группы Administrators. При попытке выполнения такой задачи в ОС Windows Vista или Windows Server «Longhorn» происходит следующее: Если Вы вошли в систему подо встроенной административной учетной записью (Administrator), Вы не получите никаких дополнительных запросов во время выполнения задачи. Встроенная административная учетная запись отключена по умолчанию, и использовать ее не рекомендуется. Если Вы вошли в систему под учетной записью, входящую в состав группы Administrators, но не являющуюся встроенной административной учетной записью, то в момент запуска задачи выводится диалоговое окно, в котором у Вас запрашивается разрешение на выполнение этой задачи. Если Вы нажимаете на кнопку Continue, выполнение задачи продолжается. Если Вы вошли в систему под учетной записью обычного пользователя, Вам может быть отказано в возможности выполнения задачи. В зависимости от задачи Вы можете получить запрос на ввод учетных данных административной учетной записи в диалоговом окне User Account Control. Если Вы вводите правильные учетные данные, задача выполняется в контексте безопасности этой административной учетной записи, в противном случае Вам будет отказано в возможности выполнения задачи.  Важно
Прежде чем вводить учетные данные или разрешать выполнение любой административной задачи, убедитесь, что диалоговое окно User Account Control появляется в ответ на инициированную Вами попытку запуска этой задачи. Если же диалоговое окно появляется неожиданно, нажмите кнопку Details и выясните, какая задача вызвала это окно, прежде чем разрешить ее выполнение. В процессе выполнения сценариев, рассматриваемых в этом руководстве, каждый случай появления диалогового окна User Account Control не рассматривается. Если для выполнения определенных административных задач требуются дополнительные действия, они будут рассмотрены. Определение идентификаторов оборудования Вашего USB-накопителя Ниже перечислены шаги, с помощью которых Вы можете определить идентификаторы оборудования Вашего устройства. Если коды оборудования или совместимые коды Вашего устройства не совпадают с кодами, рассматриваемые в этом руководстве, используйте коды, соответствующие Вашему устройству.  Примечание
В следующих сценариях Вам будет необходимо установить и затем удалить USB-накопитель. В данном руководстве предполагается, что Ваше устройство не требует установки отдельных драйверов и использует драйверы, встроенные в ОС Windows Vista и Windows Server «Longhorn». В противном случае Вы должны будете самостоятельно установить драйверы устройства, предоставленные производителем (этот шаг не описывается в сценариях). Вы можете использовать два способа для определения идентификаторов оборудования Вашего устройства: с помощью диспетчера устройств – графического средства, включенного в состав операционной системы, или с помощью утилиты командной строки DevCon, доступной для загрузки в составе пакета разработки драйверов (Driver Development Kit, DDK). Ниже описываются шаги для просмотра идентификаторов оборудования Вашего USB-накопителя. Важно Рассматриваемые ниже действия ориентированы на работу с USB-накопителем. Если Вы используете устройство другого типа, Вы должны сделать соответствующие поправки в процессе выполнения этих действий. Наиболее значимым отличием будет являться расположение устройства в иерархии диспетчера устройств (Device Manager). Вы должны будете найти свое устройство в соответствующем узле диспетчера устройств, который может не являться узлом Disk Drives.  Определение идентификаторов оборудования с помощью диспетчера устройств
Войдите в систему под учетной записью DMI-Client1\TestAdmin. Подключите Ваш USB-накопитель и дождитесь завершения установки устройства. Запустите диспетчер устройств. Для этого откройте меню Start, наберите команду mmc devmgmt.msc в поле быстрого поиска Start Search и нажмите клавишу ENTER. Если появится диалоговое окно User Account Control, подтвердите, что Вы действительно хотите выполнить указанное действие, и нажмите кнопку Continue. В результате Ваших действий откроется диспетчер устройств, отображающий древовидную структуру, в которой перечислены все устройства, обнаруженные на Вашем компьютере. Наверху этой структуры расположен узел с именем Вашего компьютера. Под этим узлом расположены другие узлы, соответствующие различным категориям оборудования, по которым сгруппированы все установленные на компьютере устройства. Раскройте узел Disk drives. 
Правой кнопкой мыши щелкните на названии Вашего USB-накопителя и в контекстном меню выберите пункт Properties. Откроется диалоговое окно Device Properties. 
Перейдите на вкладку Details. В раскрывающемся списке Property выберите строку Hardware Ids. Запишите все строки, содержащиеся в списке Value. 
Примечание Вы можете скопировать эти строки в буфер обмена, выделив их и нажав комбинацию клавиш CTRL+C. Поскольку многие коды оборудования содержат несколько знаков подчеркивания, проще всего скопировать их в текстовый файл. Это позволит избежать ошибок, а в случае необходимости Вы всегда сможете указать эти коды, вставив их из файла. В раскрывающемся списке Property выберите строку Compatible Ids. Запишите все строки, содержащиеся в списке Value. 
Закройте диалоговое окно, нажав кнопку OK. | Примечание Для определения идентификаторов оборудования Вашего устройства Вы можете использовать утилиту командной строки DevCon, доступную для загрузки с веб-узла справки и поддержки Microsoft. Для получения дополнительной информации по работе с этой утилитой обратитесь к статье Использование программы с интерфейсом командной строки DevCon в качестве альтернативы диспетчеру устройств на веб-узле Microsoft или посетите веб-узел сети разработчиков Microsoft (MSDN).
Синтаксис утилиты DevCon для определения кодов оборудования описан в разделе DevCon HwIDs (EN) на веб-узле MSDN.
Удаление Вашего USB-накопителя В условиях обычного повседневного использования достаточно просто извлечь USB-накопитель из USB-порта. Тем не менее, в этом руководстве Вам будет необходимо также удалить все драйверы устройства, чтобы обеспечить исходные условия для выполнения последующих сценариев. Если Вы не удалите из системы устройство в указанный момент, политики, рассматриваемые в следующих сценариях, не вступят в действие, и Вы не получите ожидаемых результатов. Во всех случаях, когда Вам потребуется удалить из системы устройство, выполните следующие шаги. Важно Не извлекайте устройство из USB-порта, пока не дойдете до последнего шага. Удаление Вашего USB-накопителя Войдите в систему под учетной записью DMI-Client1\TestAdmin. Запустите диспетчер устройств. Для этого откройте меню Start, наберите команду mmc devmgmt.msc в поле быстрого поиска Start Search и нажмите клавишу ENTER. Если появится диалоговое окно User Account Control, подтвердите, что Вы действительно хотите выполнить указанное действие, и нажмите кнопку Continue. Правой кнопкой мыши щелкните на названии Вашего USB-накопителя и в контекстном меню выберите команду Uninstall. 
В диалоговом окне Confirm Device Removal нажмите кнопку OK для завершения процесса удаления. Когда процесс удаления устройства завершен, Windows удаляет запись об этом устройстве из списка диспетчера задач. Извлеките USB-накопитель из USB-порта. | Наверх страницы
Запрещение установки любых устройств В этом сценарии описаны обычные действия, которые необходимо выполнить для создания конфигурации с максимальными ограничениями, запрещающей установку и обновление драйверов любых устройств. Пользователи не могут устанавливать и использовать устройства без вмешательства администратора. Администраторы могут устанавливать и обновлять любые устройства по мере необходимости. Предварительные условия, необходимые для успешного выполнения этого сценария Для успешного выполнения этого сценария Вы должны удалить Ваш USB-накопитель в соответствии с инструкциями, изложенными в разделе «Удаление Вашего USB-накопителя» этого документа.
Для запрещения установки любых устройств необходимо выполнить следующие шаги: Настройка политики, запрещающей установку любых устройств Настройка политики, снимающей ограничения на установку устройств для администраторов Проверка установленых для пользователей ограничений
Шаг 1. Настройка политики, запрещающей установку любых устройств Для настройки политики, запрещающей установку любых устройств, выполните следующие действия: Войдите в систему под учетной записью DMI-Client1\TestAdmin. Запустите редактор объектов групповой политики (Group Policy Object Editor). Для этого откройте меню Start, в поле быстрого поиска Start Search наберите команду mmc gpedit.msc и нажмите клавишу ENTER. Если появится диалоговое окно User Account Control, подтвердите, что Вы действительно хотите выполнить указанное действие, и нажмите кнопку Continue. В дереве консоли редактора объектов групповой политики раскройте узел Computer Configuration a Administrative Templates a System a Device Installation a Device Installation Restrictions. 
В области сведений щелкните правой кнопкой мыши на политике Prevent installation of devices not described by other policy settings и в контекстном меню выберите пункт Properties. Откроется диалоговое окно с текущими параметрами политики. Для включения политики установите переключатель, расположенный на вкладке Setting, в положение Enabled. Нажмите кнопку OK для сохранения изменений и возврата в редактор объектов групповой политики. | Шаг 2. Настройка политики, снимающей ограничения на установку устройств для администраторов Следующая политика снимает для администраторов все ограничения на установку устройств, включая ограничения, установленные предыдущей политикой. Для настройки политики, снимающей ограничения на установку устройств для администраторов, выполните следующие действия: В области сведений щелкните правой кнопкой мыши на политике Allow administrators to override device installation policy Prevent installation of devices not described by other policy settingsи в контекстном меню выберите пункт Properties. Откроется диалоговое окно с текущими параметрами политики. Для включения политики установите переключатель, расположенный на вкладке Setting, в положение Enabled. Нажмите кнопку OK для сохранения изменений и возврата в редактор объектов групповой политики. Обе политики теперь включены (находятся в состоянии Enabled). 
Закройте редактор объектов групповой политики. | Шаг 3. Проверка установленных для пользователей ограничений После включения обеих политик Вы можете применить их на Вашем компьютере. Затем Вы можете попытаться установить любое устройство, чтобы проверить действие политик и убедиться, что все установленные ограничения действуют. Для проверки установленных для пользователя ограничений выполните следующие действия: Если Ваш USB-накопитель установлен на компьютере, Вы должны удалить его в соответствии с инструкциями, изложенными в разделе «Удаление Вашего USB-накопителя» этого документа.
Откройте меню Start, наберите команду gpupdate /force в поле быстрого поиска Start Search и нажмите клавишу ENTER. После выполнения команды gpupdate /force завершите сеанс работы и войдите в систему под учетной записью DMI-Client1\TestUser. Запустите диспетчер устройств. Для этого откройте меню Start, наберите команду mmc devmgmt.msc в поле быстрого поиска Start Search и нажмите клавишу ENTER. Вы должны увидеть окно сообщения с информацией о том, что у Вас недостаточно прав для внесения каких-либо изменений в конфигурацию оборудования при работе с диспетчером устройств. 
После нажатия кнопки ОК откроется диспетчер устройств, в котором Вы можете просматривать информацию об устройствах, установленных на Вашем компьютере. Подключите USB-накопитель. До тех пор, пока установка устройства не будет успешно завершена, устройство будет отображаться в узле Other Devices диспетчера устройств. 
После подключения USB-накопителя появится окно Found New Hardware. Выполните наиболее распространенное действие пользователя, щелкнув Locate and install driver software (recommended). После этого Вы увидите диалоговое окно User Account Control с запросом на ввод данных учетной записи, имеющей административные полномочия. Поскольку пользователь не может ввести требуемую информацию, ему остается только нажать кнопку Cancel и таким образом отменить установку драйвера устройства. Устройство будет продолжать отображаться в узле Other Devices диспетчера устройств и оставаться нефункциональным.
| Наверх страницы
Разрешение установки только определенных устройств В основе этого сценария лежит предыдущий сценарий («Запрещение установки любых устройств»), в котором была запрещена установка пользователями любых устройств. В этом сценарии Вы создадите список разрешенных устройств, которые будут доступны пользователям для установки, и добавите в него коды оборудования Вашего USB-накопителя. Данные устройства будут являться исключениями из правил, установленных в сценарии «Запрещение установки любых устройств».
Предварительные условия, необходимые для успешного выполнения этого сценария Для успешного выполнения этого сценария Вы должны выполнить все шаги, описанные в предыдущем сценарии – «Запрещение установки любых устройств».
Для разрешения установки только определенных устройств необходимо выполнить следующие шаги: Создание списка разрешенных устройств Проверка работы списка разрешенных устройств
Шаг 1. Создание списка разрешенных устройств Для создания списка разрешенных устройств выполните следующие действия: Войдите на компьютер под учетной записью DMI-Client1\TestAdmin. Если Ваш USB-накопитель установлен на компьютере, Вы должны удалить его в соответствии с инструкциями, изложенными в разделе «Удаление Вашего USB-накопителя» этого документа.
Запустите редактор объектов групповой политики (Group Policy Object Editor). Для этого откройте меню Start, в поле быстрого поиска Start Search наберите команду mmc gpedit.msc и нажмите клавишу ENTER. В дереве консоли редактора объектов групповой политики раскройте узел Computer Configuration - Administrative Templates - System - Device Installation a Device Installation Restrictions. В области сведений щелкните правой кнопкой мыши на политике Allow installation of devices that match any of these device IDs и в контекстном меню выберите пункт Properties. Откроется диалоговое окно с текущими параметрами политики. Для включения политики установите переключатель, расположенный на вкладке Setting, в положение Enabled. 
Нажмите кнопку Show для просмотра списка разрешенных устройств в диалоговом окне Show Contents. По умолчанию этот список пуст. Нажмите кнопку Add, чтобы открыть диалоговое окно Add Item. Введите код устройства (код оборудования, расположенный первым в списке) для Вашего USB-накопителя. 
Нажмите кнопку OK для возврата в диалоговое окно Show Contents. Теперь Ваше устройство отображено в списке разрешенных устройств. 
Нажмите кнопку OK для возврата в диалоговое окно политики. Нажмите кнопку OK для сохранения новых параметров групповой политики. | Шаг 2. Проверка работы списка разрешенных устройств После того, как политика включена, Вы можете применить ее на Вашем компьютере и попытаться установить Ваше USB-устройство. Для проверки работы списка разрешенных устройств выполните следующие действия: Откройте меню Start, наберите команду gpupdate /force в поле быстрого поиска Start Search и нажмите клавишу ENTER. После выполнения команды gpupdate /force завершите сеанс работы и войдите в систему под учетной записью DMI-Client1\TestUser. Запустите диспетчер устройств. Для этого откройте меню Start, наберите команду mmc devmgmt.msc в поле быстрого поиска Start Search и нажмите клавишу ENTER. Вы должны увидеть окно сообщения с информацией о том, что у Вас недостаточно прав для внесения каких-либо изменений в конфигурацию оборудования при работе с диспетчером устройств.
После нажатия кнопки ОК откроется диспетчер устройств, в котором Вы можете просматривать информацию об устройствах, установленных на Вашем компьютере. Подключите USB-накопитель. До тех пор, пока установка устройства не будет успешно завершена, устройство будет отображаться в узле Other Devices диспетчера устройств.
После того, как Windows успешно завершит установку USB-накопителя, устройство будет отображаться в узле Disk Drives диспетчера устройств.
Наверх страницы | Запрещение установки определенных устройств В этом сценарии рассматривается альтернативный способ обеспечения контроля над установкой аппаратных устройств. В предыдущих сценариях Вы запретили установку всех устройств, кроме тех, которые перечислены в списке разрешенных. В этом сценарии Вы разрешите установку всех устройств, кроме тех, которые перечислены в списке запрещенных. Также Вы удалите все исключения для администраторов, созданные в первом сценарии, из-за чего политика будет применяться к ним точно так же, как и к обычным пользователям. Предварительные условия, необходимые для успешного выполнения этого сценария Если Вы выполнили все шаги, описанные в сценариях «Запрещение установки любых устройств» и «Разрешение установки только определенных устройств», Вы должны отключить политики, настроенные в этих сценариях. Для этого Вам необходимо:
Разрешить установку всех устройств. Удалить определенные для администраторов исключения, разрешающие им установку устройств. Удалить код оборудования USB-накопителя из списка разрешенных устройств. Для разрешения установки всех устройств выполните следующие действия: Войдите в систему под учетной записью DMI-Client1\TestAdmin. Запустите редактор объектов групповой политики. Для этого откройте меню Start, в поле быстрого поиска Start Search наберите команду mmc gpedit.msc и нажмите клавишу ENTER. В дереве консоли редактора объектов групповой политики раскройте узел Computer Configuration - Administrative Templates - System a Device Installation - Device Installation Restrictions. В области сведений щелкните правой кнопкой мыши на политике Prevent installation of devices not described by other policy settings и в контекстном меню выберите пункт Properties. Откроется диалоговое окно с текущими параметрами политики. Для выключения политики установите переключатель, расположенный на вкладке Setting, в положение Disabled. Нажмите кнопку OK для сохранения изменений и возврата в редактор объектов групповой политики. | Следующим шагом является удаление политики, снимающей ограничения на установку устройств для администраторов. Для удаления исключений для администраторов выполните следующие действия: В области сведений редактора объектов групповой политики щелкните правой кнопкой мыши на политике Allow administrators to override device installation policy и в контекстном меню выберите пункт Properties. Откроется диалоговое окно с текущими параметрами политики. Для выключения политики установите переключатель, расположенный на вкладке Setting, в положение Disabled. Нажмите кнопку OK для сохранения изменений и возврата в редактор объектов групповой политики. | Следующим шагом является удаление кода оборудования Вашего USB-накопителя из списка разрешенных устройств, созданном Вами во втором сценарии. Для удаления кода оборудования выполните следующие действия: В области сведений редактора объектов групповой политики щелкните правой кнопкой мыши на политике Allow installation of devices that match any of these device IDs и в контекстном меню выберите пункт Properties. Откроется диалоговое окно с текущими параметрами политики. Нажмите кнопку Show, расположенную на вкладке Setting, для просмотра списка разрешенных устройств в диалоговом окне Show Contents. В диалоговом окне Show Contents выберите название Вашего USB-накопителя и нажмите кнопку Remove. Устройство будет удалено из списка. Нажмите кнопку OK для закрытия диалогового окна Show Contents и возврата в диалоговое окно политики. Для выключения политики установите переключатель, расположенный на вкладке Setting, в положение Disabled. Нажмите кнопку OK для сохранения изменений и возврата в редактор объектов групповой политики. | Следующим шагом является создание списка устройств, запрещенных для установки пользователями. Для запрещения установки определенных устройств необходимо выполнить следующие шаги: Создание списка запрещенных устройств Проверка работы списка запрещенных устройств
Шаг 1. Создание списка запрещенных устройств Для создания списка запрещенных устройств выполните следующие действия: Если Ваш USB-накопитель установлен на компьютере, Вы должны удалить его в соответствии с инструкциями, изложенными в разделе «Удаление Вашего USB-накопителя» этого документа.
Войдите в систему под учетной записью DMI-Client1\TestAdmin. Запустите редактор объектов групповой политики (Group Policy Object Editor). Для этого откройте меню Start, в поле быстрого поиска Start Search наберите команду mmc gpedit.msc и нажмите клавишу ENTER. В дереве консоли редактора объектов групповой политики раскройте узел Computer Configuration a Administrative Templates a System a Device Installation a Device Installation Restrictions. В области сведений щелкните правой кнопкой мыши на политике Prevent installation of devices that match these device IDs и в контекстном меню выберите пункт Properties. Откроется диалоговое окно с текущими параметрами политики. Для включения политики установите переключатель, расположенный на вкладке Setting, в положение Enabled. 
Нажмите кнопку Show для просмотра списка запрещенных устройств. В диалоговом окне Show Contents нажмите кнопку Add. В диалоговом окне Add Item введите код устройства (код оборудования, расположенный первым в списке) для Вашего USB-накопителя. Нажмите кнопку OK для возврата в диалоговое окно Show Contents. Теперь Ваше устройство отображено в списке запрещенных устройств. 
Нажмите кнопку OK для возврата в диалоговое окно политики. Нажмите кнопку OK для сохранения новых параметров групповой политики. | Шаг 2. Проверка работы списка запрещенных устройств Теперь Вы можете попытаться установить Ваше USB-устройство. Вы можете устанавливать другие устройства, поскольку политика больше не запрещает их установку, но Вы не сможете установить Ваш USB-накопитель, даже войдя в систему под административной учетной записью. Для проверки работы списка запрещенных устройств выполните следующие действия: Откройте меню Start, наберите команду gpupdate /force в поле быстрого поиска Start Search и нажмите клавишу ENTER. После выполнения команды gpupdate /force закройте окно командной строки. Запустите диспетчер устройств. Для этого откройте меню Start, наберите команду mmc devmgmt.msc в поле быстрого поиска Start Search и нажмите клавишу ENTER. Подключите USB-накопитель. Установка устройства не сможет успешно завершиться, и устройство будет отображаться в узле Other Devices диспетчера устройств.
Вы увидите сообщение операционной системы с информацией о причине неудачной установки устройства: 
Вы можете попытаться обойти это ограничение и установить драйвер устройства вручную. Для этого правой кнопкой мыши щелкните на названии Вашего USB-накопителя и в контекстном меню выберите команду Update Driver Software. Операционная система предложит Вам указать драйвер устройства. 
Выполните наиболее распространенное действие пользователя, щелкнув Search automatically for updated driver software. После этого Вы увидите сообщение о том, что драйвер устройства найден, но не может быть установлен, поскольку установка этого устройства запрещена политикой, которую Вы только что создали. 
Нажмите кнопку Close. | Наверх страницы
Продолжение >>
|
|
Фильмы |
Парней 1265 
Девушек 408 
