|
|
Аннотация
Использование операционных систем Windows Vista™ и Microsoft® Windows Server® (кодовое название – «Longhorn») позволяет администраторам определять, какие аппаратные устройства могут быть установлены на компьютерах пользователей. В данном пошаговом руководстве описывается процесс установки аппаратных устройств, а также некоторые методы осуществления контроля над установкой и использованием этих устройств на клиентских компьютерах. На этой странице
Введение В этом пошаговом руководстве описываются методы, которые Вы можете использовать для управления установкой и использованием устройств на клиентских компьютерах. В операционных системах Windows Vista™ и Microsoft® Windows Server® (кодовое название – «Longhorn») Вы можете применять групповые политики компьютера для того, чтобы: Запретить пользователям установку любых устройств. Разрешить пользователям установку только тех устройств, которые перечислены в списке разрешенных. Запретить пользователям установку устройств, которые перечислены в списке запрещенных. Если устройство не перечислено в этом списке, пользователь может установить его. Запретить пользователям чтение или запись информации на съемные запоминающие устройства или на устройства со съемными носителями (устройства записи компакт- и DVD-дисков, дисководы гибких дисков, внешние жесткие диски, а также переносные устройства, такие как проигрыватели мультимедиа, смартфоны или КПК). В этом руководстве описывается процесс установки устройств, а также представлены идентификаторы оборудования, которые используются операционной системой для поиска подходящих драйверов устройств. Помимо этого в данном руководстве описаны три способа управления установкой аппаратных устройств. В каждом сценарии содержится пошаговое описание метода, который Вы можете использовать для разрешения или запрещения установки определенного устройства или класса устройств. В четвертом сценарии показано, каким образом Вы можете запретить пользователям чтение или запись информации на съемные запоминающие устройства или на устройства со съемными носителями. При рассмотрении сценариев, содержащихся в этом руководстве, в качестве примера используется USB запоминающее устройство. Вы можете использовать любое другое устройство, однако при этом пользовательский интерфейс может отличаться от интерфейса, представленного в этом руководстве.  Важно
Рассматриваемые в этом руководстве примеры следует выполнять только в лабораторной среде. Данный документ не предназначен для использования в качестве руководства по развертыванию функциональных компонентов Windows Server без использования дополнительной сопроводительной документации. Данное руководство следует использовать по собственному усмотрению как отдельный документ. Для кого предназначено это руководство Данное руководство предназначено для следующих категорий ИТ-специалистов: Для ИТ-специалистов, занимающихся планированием и анализом информационной инфраструктуры и оценивающих функциональные возможности ОС Windows Vista и Windows Server «Longhorn». Для ИТ-специалистов, занимающихся планированием и разработкой информационной инфраструктуры на предприятиях. Для специалистов в сфере безопасности, отвечающих за обеспечение надежной работы компьютеров в их организациях. Для администраторов, желающих подробно ознакомиться с технологией, описываемой в этом руководстве. Преимущества использования групповой политики для осуществления контроля над установкой аппаратных устройств Ограничивая число устройств, доступных пользователям для установки, Вы получаете следующие преимущества: Снижение риска утечки данных. Если пользователи не могут устанавливать на своих компьютерах неразрешенные устройства со съемными носителями, то незаконное копирование служебной информации становится для них более затруднительным. Например, если пользователи не могут установить на компьютер устройство записи компакт-дисков, они не смогут скопировать конфиденциальные данные организации на компакт-диск. Хотя этот метод не исключает возможность утечки данных, он служит дополнительным препятствием на пути незаконного использования информации. Вы также можете снизить риск утечки данных, используя групповую политику, запрещающую пользователям запись информации на съемные запоминающие устройства или на устройства со съемными носителями. Используя групповую политику, Вы можете предоставлять разрешения на доступ к устройствам для отдельных групп пользователей или компьютеров. Снижение стоимости поддержки системы. Вы можете быть уверены в том, что пользователи устанавливают только те устройства, которые может обслуживать Ваша служба технической поддержки. При этом Вы получаете преимущество, заключающееся в снижении стоимости поддержки системы и в уменьшении вероятности возникновения затруднительных ситуаций у пользователей. Наверх страницы
Обзор сценариев, рассматриваемых в этом руководстве Рассматриваемые в этом руководстве сценарии демонстрируют, каким образом Вы можете управлять установкой и использованием аппаратных устройств на клиентских компьютерах. Для упрощения выполнения сценариев в лабораторной среде мы будем использовать групповую политику локального компьютера. В окружении с большим числом клиентских компьютеров следует использовать групповые политики, развертываемые с помощью службы каталогов Active Directory. С помощью доменных групповых политик Active Directory Вы можете применять заданные параметры ко всем компьютерам домена или организационного подразделения в этом домене. Для получения дополнительной информации об использовании групповой политики для управления клиентскими компьютерами обратитесь к разделу Групповая политика Group Policy (EN) на веб-узле Microsoft.
В этом руководстве будут рассмотрены сценарии, с помощью которых Вы можете: В этом сценарии администратору требуется запретить установку любых устройств обычным пользователям, но разрешить установку или обновление устройств администраторам. Для этого настраиваются две групповые политики компьютера: первая из них запрещает установку устройств всем пользователям, а вторая снимает эти ограничения для администраторов. В этом сценарии администратору требуется разрешить обычным пользователям установку только тех устройств, которые перечислены в списке разрешенных. Для этого создается список, в котором перечисляются устройства, доступные пользователям для установки. Прежде чем переходить к данному сценарию, Вам необходимо завершить выполнение первого сценария. В этом сценарии администратору требуется разрешить обычным пользователям установку большинства устройств, но запретить установку тех устройств, которые перечислены в списке запрещенных. Для этого Вам необходимо удалить все политики, созданные в первых двух сценариях, а затем создать список запрещенных для установки устройств. Пользователи смогут устанавливать все устройства, кроме тех, которые перечислены в этом списке. В этом сценарии администратору требуется запретить обычным пользователям запись информации на съемные запоминающие устройства или на устройства со съемными носителями, такие как устройство записи компакт- или DVD-дисков, или USB-накопитель. Для этого настраивается групповая политика компьютера, которая разрешает чтение, но запрещает запись информации на используемое в Вашем примере устройство, а также на любое устройство записи компакт- или DVD-дисков, установленное на Вашем компьютере. Наверх страницы
Обзор технологий В следующих разделах содержится краткий обзор базовых технологий, обсуждаемых в этом руководстве. Установка устройств в Windows Устройство является частью аппаратной конфигурации и служит для выполнения определенных функций, взаимодействуя при этом с операционной системой. Для такого взаимодействия используется программное обеспечение, называемое драйвером устройства. Для того чтобы установить драйвер какого-либо устройства, операционная система Windows обнаруживает устройство, определяет его тип и затем ищет подходящий драйвер для данного типа устройств. Windows использует два типа идентификаторов, с помощью которых осуществляется управление установкой и конфигурированием устройств. С помощью параметров групповой политики ОС Windows Vista и Windows Server «Longhorn» Вы можете разрешить или заблокировать следующие типы идентификаторов: Идентификаторы оборудования При обнаружении устройства, которое ранее не устанавливалось на компьютере, ОС Windows опрашивает это устройство для получения его списка идентификаторов оборудования. Обычно устройство имеет несколько идентификаторов оборудования, назначенных производителем. Те же самые идентификаторы оборудования включены в INF-файл, входящий в состав пакета драйверов для этого устройства. Во время установки устройства операционная система сопоставляет идентификаторы оборудования, полученные при опросе этого устройства, с идентификаторами оборудования, включенными в состав пакетов драйверов. На основании этого выбирается походящий драйвер для данного устройства. Для выбора подходящего драйвера устройства Windows может использовать любой из имеющихся идентификаторов оборудования. Идентификаторы оборудования могут определять как отдельный экземпляр устройства, так и целый класс устройств, и подразделяются на два типа: Коды (ID) оборудования. Идентификаторы устройств этого типа наиболее точно определяют соответствие между устройством и пакетом драйверов. Первая строка в списке кодов оборудования называется кодом устройства, поскольку она в точности определяет сборку, модель и версию устройства. Остальные коды содержат более общие сведения об устройстве. Например, код оборудования может идентифицировать сборку и модель устройства, но не его определенную версию. В случаях, когда ОС Windows не может найти драйвер для нужной версии устройства, такая схема позволяет использовать драйвер, предназначенный для другой версии этого устройства, Совместимые коды (ID). Идентификаторы устройств этого типа используются для выбора драйвера устройства в случаях, когда ОС Windows не может найти драйвер, соответствующий коду устройства или другим кодам оборудования этого устройства. Совместимые коды перечислены в порядке убывания степени совместимости и их наличие не является обязательным. Если же совместимые коды устройства присутствуют, они, как правило, являются обобщенными для целого класса устройств – например Disk. Обычно при использовании драйверов совместимых устройств Вам доступны лишь базовые функции устройства. Когда Вы устанавливаете такое устройство, как принтер, USB запоминающее устройство или клавиатуру, Windows производит поиск драйверов, соответствующих устанавливаемому устройству. Во время поиска ОС Windows присваивает «ранг» каждому обнаруженному драйверу, соответствующему хотя бы одному коду оборудования или совместимому коду устройства. Этот ранг показывает, насколько хорошо драйвер подходит для устройства. Чем ниже числовое значение ранга драйвера, тем выше степень его совместимости с устройством. Ранг со значением 0 означает наилучшую совместимость. Если драйвер соответствует коду устройства (коду оборудования, перечисленному в первой строке списка), он получает ранг с меньшим числовым значением (более высокий ранг), если же драйвер совпадает с другими кодами оборудования, его ранг будет ниже. Аналогично, драйвер, соответствующий коду оборудования, будет иметь более высокий ранг, чем драйвер, соответствующий любому совместимому коду. После ранжирования всех драйверов Windows устанавливает драйвер с наивысшим общим рангом (имеющим наименьшее числовое значение). Для получения дополнительной информации о процессе ранжирования и выбора драйверов устройств обратитесь к статье Механизм выбора драйверов программой установки Windows How Setup Selects Drivers (EN) на веб-узле Microsoft. Для получения дополнительной информации о процессе установки драйверов устройств обратитесь к разделу Обзор технологий (Technology review) статьи Пошаговое руководство по подписыванию и подготовке драйверов устройств Step-by-Step Guide to Device Driver Signing and Staging (EN).
Некоторые физические устройства при установке создают одно или несколько логических устройств. Каждое логическое устройство может отвечать за определенные функции физического устройства. Например, многофункциональное устройство, совмещающее в себе функции сканера, факса и принтера, может иметь несколько различных идентификаторов оборудования для каждой отдельной функции. Когда с помощью групповых политик Вы разрешаете или запрещаете установку устройства с несколькими логическими устройствами, Вы должны разрешить или запретить все идентификаторы оборудования этого устройства. Например, если Вы не запретили или не разрешили все идентификаторы оборудования как для физических, так и для логических устройств, а пользователь попытается установить многофункциональное устройство, результаты могут оказаться непредсказуемыми. Для получения дополнительной информации об идентификаторах оборудования обратитесь к статье Идентификаторы оборудования Device Identification Strings (EN) на веб-узле Microsoft.
Классы настройки устройств Классы настройки устройств являются еще одним типом идентификаторов, использующихся для установки устройств. Производитель устройства указывает его класс в пакете драйверов. Классы настройки устройств определяют группы устройств, установка которых производится одинаково. Например, все приводы компакт-дисков принадлежат классу CDROM, и для их установки используется один и тот же совместный установщик. Каждый класс устройств определяется числом, называющимся глобальным уникальным кодом (GUID). При запуске ОС Windows в оперативной памяти создается древовидная структура, содержащая коды GUID всех обнаруженных в системе устройств. Помимо кода GUID класса устройства при необходимости Windows может добавить в эту структуру код GUID шины, к которой подключено данное устройство. Когда Вы используете классы настройки для того, чтобы разрешить или запретить пользователям установку драйверов устройств, Вы должны указать коды GUID для всех классов устанавливаемых устройств. В противном случае Вы можете не получить желаемых результатов – установка может завершиться неудачно, в то время, когда предполагалось обратное, и наоборот. Например, многофункциональное устройство, совмещающее в себе функции сканера, факса и принтера, может иметь основной код GUID, код GUID функции принтера, код GUID функции сканера и так далее. Коды GUID отдельных функциональных компонентов являются «дочерними элементами» кода GUID многофункционального устройства. Для установки дочерних элементов ОС Windows должна иметь возможность установить родительский элемент. Поэтому для разрешения установки любого класса устройств с дочерним кодом GUID (функции принтера и сканера) Вы должны разрешить установку класса многофункционального устройства, который имеет родительский код GUID. Для получения дополнительной информации обратитесь к разделу Классы настройки устройств Device Setup Classes (EN) на веб-узле MSDN.
В данном руководстве не рассматриваются сценарии с использованием классов настройки устройств. Тем не менее, рассматриваемые здесь основные принципы работы с идентификаторами оборудования также применимы и к классам настройки устройств. После того, как Вы определите класс устройства, Вы можете использовать его при работе с групповыми политиками, запрещая или разрешая установку драйверов устройств, принадлежащих этому классу. Групповые политики управления установкой устройств В состав операционных систем Windows Vista и Windows Server «Longhorn» включены несколько групповых политик, предназначенных для управления установкой устройств. Вы можете настроить эти параметры как для отдельного компьютера, так и для большого числа компьютеров домена с помощью групповой политики Active Directory. Для получения дополнительной информации об использовании групповой политики для управления клиентскими компьютерами обратитесь к разделу Групповая политика Group Policy (EN) на веб-узле Microsoft.
Независимо от того, настраиваете ли Вы групповые политики для отдельного компьютера или для большого числа компьютеров в среде Active Directory, в обоих случаях для этого используется редактор объектов групповой политики. Для получения дополнительной информации обратитесь к статье Техническое руководство по использованию редактора объектов групповой политики Group Policy Object Editor Technical Reference (EN) на веб-узле Microsoft.
Ниже представлено краткое описание используемых в этом руководстве групповых политик, предназначенных для управления установкой устройств.  Примечание
Данные политики применяются к компьютеру и действуют для всех пользователей, работающих за этим компьютером. Вы не можете применять эти политики к отдельным пользователям, за исключением политики Allow administrators to override device installation policy, которая снимает все ограничения на установку устройств для пользователей, входящих в группу локальных администраторов компьютера. Prevent installation of devices not described by other policy settings. Эта политика управляет установкой устройств, не перечисленных в параметрах других политик. Если эта политика включена, пользователи не могут устанавливать или обновлять драйверы устройств, не перечисленных в политиках Allow installation of devices that match these device Ids или Allow installation of devices for these device classes. Если эта политика отключена или не задана, пользователи могут устанавливать и обновлять драйверы любых устройств, не перечисленных в политиках Prevent installation of devices that match these device IDs, Prevent installation of devices for these device classes или Prevent installation of removable devices. Allow administrators to override device installation policy. Эта политика разрешает членам группы локальных администраторов устанавливать и обновлять драйверы любых устройств независимо от настроек остальных политик. Если эта политика включена, администраторы могут использовать мастер Add Hardware Wizard и мастер Update Driver Wizard для установки и обновления драйверов любого устройства. Если эта политика отключена или не задана, к локальным администраторам применяются все действующие политики управления установкой устройств. Prevent installation of devices that match these device IDs. Эта политика определяет список кодов оборудования и совместимых кодов устройств типа Plug and Play (PnP), запрещенных для установки пользователями. Если эта политика включена, пользователи не могут устанавливать или обновлять драйверы устройств, коды которых перечислены в данном списке. Если эта политика отключена или не задана, пользователи могут устанавливать устройства и обновлять их драйверы в соответствии с разрешениями других политик управления установкой устройств. Примечание Эта политика имеет более высокий приоритет, чем любая другая политика, разрешающая пользователям установку устройства. Эта политика запрещает пользователям установку устройства независимо от разрешений, определенных в других политиках. Prevent installation of drivers matching these device setup classes. Эта политика определяет список кодов GUID классов устройств типа Plug and Play, запрещенных пользователям для установки. Если эта политика включена, пользователи не могут устанавливать или обновлять драйверы устройств, принадлежащих к перечисленным в данном списке классам. Если эта политика отключена или не задана, пользователи могут устанавливать устройства и обновлять их драйверы в соответствии с разрешениями других политик управления установкой устройств. Примечание Эта политика имеет более высокий приоритет, чем любая другая политика, разрешающая пользователям установку устройства. Эта политика запрещает пользователям установку устройства независимо от разрешений, определенных в других политиках. Allow installation of devices that match any of these device IDs. Эта политика определяет список кодов оборудования и совместимых кодов устройств типа Plug and Play, разрешенных для установки пользователями. Данная политика предназначена только для совместного использования с политикой Prevent installation of devices not described by other policy settings и имеет более низкий приоритет, чем любая другая политика, запрещающая пользователям установку устройства. Если эта политика включена, пользователи могут устанавливать и обновлять драйверы устройств, коды которых перечислены в ее списке и установка которых явно не запрещена политиками Prevent installation of devices that match these device IDs, Prevent installation of devices for these device classes или Prevent installation of removable devices. Если же установка устройства запрещена какой-либо другой политикой, пользователи не могут устанавливать это устройство независимо от разрешений данной политики. Если эта политика отключена или не задана, и устройство не перечислено в других политиках, возможность установки устройства определяется политикой Prevent installation of devices not described by other policy settings. Allow installation of devices using drivers for these device classes. Эта политика определяет список кодов GUID классов устройств типа Plug and Play, разрешенных для установки пользователями. Данная политика предназначена только для совместного использования с политикой Prevent installation of devices not described by other policy settings и имеет более низкий приоритет, чем любая другая политика, запрещающая пользователям установку устройства. Если эта политика включена, пользователи могут устанавливать и обновлять драйверы устройств, принадлежащих к перечисленным в ее списке классам, установка которых явно не запрещена политиками Prevent installation of devices that match these device IDs, Prevent installation of devices for these device classes или Prevent installation of removable devices. Если же установка устройства запрещена какой-либо другой политикой, пользователи не могут устанавливать это устройство независимо от разрешений данной политики. Если эта политика отключена или не задана, и устройство не перечислено в других политиках, возможность установки устройства определяется политикой Prevent installation of devices not described by other policy settings. Некоторые политики обладают более высоким приоритетом по сравнению с другими политиками. На следующий блок-схеме показано, каким образом ОС Windows обрабатывает политики и определяет итоговые разрешения на установку устройств. 
Групповые политики управления доступом к съемным носителям В операционных системах Windows Vista и Windows Server «Longhorn» администратор с помощью групповых политик может управлять разрешениями на чтение и запись информации на любые устройства со съемными носителями. Эти политики помогают предотвратить утечку важных или конфиденциальных данных, которые могут быть записаны на съемные запоминающие устройства или на устройства со съемными носителями. Вы можете применять эти политики как к компьютеру (одновременно ко всем пользователям компьютера), так и к отдельным пользователям. В дополнение к этому, в среде Active Directory Вы можете применять эти политики к группам пользователей, а также к большому числу компьютеров. Для получения дополнительной информации об использовании групповой политики для управления клиентскими компьютерами обратитесь к странице Групповая политика Group Policy (EN) на веб-узле Microsoft.
Важно Групповые политики управления доступом к съемным носителям не влияют на работу приложений, выполняющихся в контексте системной учетной записи (System). К такому программному обеспечению относится, например, технология Windows ReadyBoost. Однако ограничения этих политик могут применяться к любым приложениям, выполняющимся в контексте безопасности текущей учетной записи пользователя. Например, даже если пользователь является локальным администратором, но к нему применяется политика Removable Disks: Deny write access, программа установки средства шифрования диска BitLocker не сможет использовать USB дисковод для записи ключа запуска. Во избежание подобных ситуаций Вы можете рассмотреть вариант, исключающий применение политик к пользователям, входящим в группу локальных администраторов. В число политик группы Removable Storage Access входит параметр, позволяющий администратору выполнить принудительную перезагрузку компьютера. Если в момент применения ограничивающей политики для какого-либо устройства это устройство используется системой, данная политика может не вступить в силу до перезагрузки компьютера. Поэтому, если Вы не хотите ждать следующей перезагрузки компьютера, Вы можете использовать этот параметр для принудительной перезагрузки. Если для вступления в действие ограничивающих политик перезагрузка компьютера не требуется, данный параметр игнорируется. Политики управления доступом к съемным носителям располагаются в двух разделах редактора объектов групповой политики. Политики раздела Computer Configuration\Administrative Templates\System\Removable Storage Access применяются к компьютеру и ко всем пользователям, работающим за ним. Политики раздела User Configuration\Administrative Templates\System\Removable Storage Access применяются к отдельным пользователям, а также к группам пользователей домена Active Directory. Ниже представлено краткое описание групповых политик управления доступом к съемным носителям. Для каждой категории устройств существует две политики: одна запрещает доступ на чтение, другая – на запись. Time (in seconds) to force reboot. Эта политика задает интервал времени в секундах, после которого компьютер будет перезагружен, и выполняется только при необходимости перезагрузки, которая может потребоваться для вступления в силу политик, управляющих доступом к устройствам со съемными носителями. Принудительная перезагрузка выполняется лишь в тех случаях, когда это необходимо для вступления в силу ограничивающих политик. Примечание Если в момент применения политик к какому-либо устройству это устройство используется системой, а принудительная перезагрузка компьютера не задана, изменения не вступят в силу, пока компьютер не будет перезагружен. Если политики применяются к нескольким устройствам, они незамедлительно вступят в силу для всех неиспользуемых в данный момент устройств. Если какое-либо из устройств будет использоваться системой, то в случае включения администратором политики Time (in seconds) to force reboot компьютер будет перезагружен. Важно Некоторые программы для записи компакт- и DVD-дисков, разрабатываемые сторонними разработчиками, могут обходить ограничения данной политики в силу своих особенностей работы с аппаратным обеспечением. Поэтому для того, чтобы исключить любую возможность записи информации на компакт- или DVD-диски, Вы можете воспользоваться групповыми политиками, запрещающими установку этих программ. Custom Classes. Эта политика позволяет запретить доступ на чтение или запись ко всем устройствам, код GUID класса которых содержится в созданном Вами списке. Floppy Drives. Эта политика позволяет запретить доступ на чтение или запись ко всем дисководам гибких дисков, включая внешние дисководы, подключаемые через интерфейс USB. Removable Disks. Эта политика позволяет запретить доступ на чтение или запись ко всем съемным устройствам хранения данных, таким как USB-накопители или внешние жесткие диски с интерфейсом USB. Tape Drives. Эта политика позволяет запретить доступ на чтение или запись ко всем ленточным накопителям, включая внешние накопители, подключаемые через интерфейс USB. WPD Devices. Эта политика позволяет запретить доступ на чтение или запись ко всем переносным устройствам класса Windows Portable Device, таким как проигрыватели мультимедиа, мобильные телефоны, устройства Windows CE и так далее. All Removable Storage classes: Deny all access. Эта политика имеет самый высокий приоритет среди политик, представленных в данном списке. Если эта политика включена, она запрещает доступ на чтение и запись информации для всех устройств, определяющихся как устройства со съемными носителями. Если эта политика отключена или не задана, доступ на чтение и запись информации для классов таких устройств разрешен, а ограничения определяются остальными политиками, представленными в данном списке. Наверх страницы
Требования, необходимые для успешного выполнения сценариев Для успешного выполнения каждого сценария Вам необходимо иметь: Клиентский компьютер под управлением ОС Windows Vista. В данном руководстве этот компьютер будет называться DMI-Client1. USB-накопитель. В рассматриваемых сценариях USB-накопитель (обычно называемый «флэш-диском») используется в качестве примера. Большинство USB-накопителей не требуют установки отдельных драйверов и работают с драйверами, встроенными в ОС Windows Vista и Windows Server «Longhorn». Примечание В данном руководстве предполагается, что Ваше устройство не требует установки отдельных драйверов и использует драйверы, встроенные в ОС Windows Vista и Windows Server «Longhorn». В противном случае Вы должны будете самостоятельно установить драйверы устройства, предоставленные производителем (этот шаг не включен в сценарии). Устройство записи компакт- или DVD-дисков (необязательно). В последнем сценарии показано, каким образом можно запретить запись данных на устройства со съемными носителями. Вы можете настроить соответствующие политики компьютера, даже не имея установленного устройства записи компакт- или DVD-дисков. Тем не менее, если Вы хотите проверить работу политик, Вы должны установить такое устройство. Доступ к защищенной административной учетной записи на компьютере DMI-Client1. В данном руководстве эта учетная запись будет называться TestAdmin. Учетная запись с административными полномочиями требуется для выполнения большинства действий описанных в этом руководстве. Выполнение каждого действия предполагает, что Вы работаете на компьютере DMI-Client1 под этой учетной записью, если не оговариваются другие условия. Примечание Новая функция контроля учетных записей, включенная в состав ОС Windows Vista и Windows Server «Longhorn», предлагает новую концепцию защищенной административной учетной записи. Административная учетная запись входит в состав группы Administrators, но по умолчанию прямое использование административных полномочий для этой учетной записи отключено. При попытке выполнить любую задачу, требующую административных полномочий, на экран выводится диалоговое окно, в котором у пользователя запрашивается разрешение на выполнение этой задачи. Это диалоговое окно обсуждается ниже, в разделе «Работа с диалоговым окном User Account Control» данного руководства. Корпорация Microsoft рекомендует использовать защищенную административную учетную запись вместо встроенной учетной записи Administrator всегда, когда это возможно.
Доступ к учетной записи обычного пользователя на компьютере DMI-Client1. Данная учетная запись не имеет каких-либо административных полномочий. В данном руководстве эта учетная запись будет называться TestUser. Вы должны входить в систему под учетной записью TestUser только в отдельно оговоренных случаях. При попытке выполнить любую задачу, требующую административных полномочий, на экран выводится диалоговое окно, в котором у пользователя запрашиваются данные учетной записи, которая имеет такие полномочия. Это диалоговое окно обсуждается ниже в разделе «Работа с диалоговым окном User Account Control» данного руководства.
Продолжение>>
|
|
Фильмы |
Парней 1261 
Девушек 404 
