Опубликовано: июль 2006 г.
Автор: Дэйв Бишоп (Dave Bishop)
Редактор: Скотт Сомохано (Scott Somohano)
Технические обозреватели: Джорж Руссос (George Roussos), Эмили Хилл (Emily Hill), Джим Каваларис (Jim Cavalaris), Такаши Это (Takashi Eto)
Аннотация
Использование операционных систем Windows Vista™ и Microsoft® Windows Server® (кодовое название – «Longhorn») позволяет администраторам определять, какие аппаратные устройства могут быть установлены на компьютерах пользователей. В данном пошаговом руководстве описывается процесс установки аппаратных устройств, а также некоторые методы осуществления контроля над установкой и использованием этих устройств на клиентских компьютерах.
На этой странице
Управление разрешениями на чтение и запись информации на съемные носители |
Введение
В этом пошаговом руководстве описываются методы, которые Вы можете использовать для управления установкой и использованием устройств на клиентских компьютерах. В операционных системах Windows Vista™ и Microsoft® Windows Server® (кодовое название – «Longhorn») Вы можете применять групповые политики компьютера для того, чтобы:
Запретить пользователям установку любых устройств.
Разрешить пользователям установку только тех устройств, которые перечислены в списке разрешенных.
Запретить пользователям установку устройств, которые перечислены в списке запрещенных. Если устройство не перечислено в этом списке, пользователь может установить его.
Запретить пользователям чтение или запись информации на съемные запоминающие устройства или на устройства со съемными носителями (устройства записи компакт- и DVD-дисков, дисководы гибких дисков, внешние жесткие диски, а также переносные устройства, такие как проигрыватели мультимедиа, смартфоны или КПК).
В этом руководстве описывается процесс установки устройств, а также представлены идентификаторы оборудования, которые используются операционной системой для поиска подходящих драйверов устройств. Помимо этого в данном руководстве описаны три способа управления установкой аппаратных устройств. В каждом сценарии содержится пошаговое описание метода, который Вы можете использовать для разрешения или запрещения установки определенного устройства или класса устройств. В четвертом сценарии показано, каким образом Вы можете запретить пользователям чтение или запись информации на съемные запоминающие устройства или на устройства со съемными носителями.
При рассмотрении сценариев, содержащихся в этом руководстве, в качестве примера используется USB запоминающее устройство. Вы можете использовать любое другое устройство, однако при этом пользовательский интерфейс может отличаться от интерфейса, представленного в этом руководстве.
Важно
Рассматриваемые в этом руководстве примеры следует выполнять только в лабораторной среде. Данный документ не предназначен для использования в качестве руководства по развертыванию функциональных компонентов Windows Server без использования дополнительной сопроводительной документации. Данное руководство следует использовать по собственному усмотрению как отдельный документ.
Для кого предназначено это руководство
Данное руководство предназначено для следующих категорий ИТ-специалистов:
Для ИТ-специалистов, занимающихся планированием и анализом информационной инфраструктуры и оценивающих функциональные возможности ОС Windows Vista и Windows Server «Longhorn».
Для ИТ-специалистов, занимающихся планированием и разработкой информационной инфраструктуры на предприятиях.
Для специалистов в сфере безопасности, отвечающих за обеспечение надежной работы компьютеров в их организациях.
Для администраторов, желающих подробно ознакомиться с технологией, описываемой в этом руководстве.
Преимущества использования групповой политики для осуществления контроля над установкой аппаратных устройств
Ограничивая число устройств, доступных пользователям для установки, Вы получаете следующие преимущества:
Снижение риска утечки данных. Если пользователи не могут устанавливать на своих компьютерах неразрешенные устройства со съемными носителями, то незаконное копирование служебной информации становится для них более затруднительным. Например, если пользователи не могут установить на компьютер устройство записи компакт-дисков, они не смогут скопировать конфиденциальные данные организации на компакт-диск. Хотя этот метод не исключает возможность утечки данных, он служит дополнительным препятствием на пути незаконного использования информации. Вы также можете снизить риск утечки данных, используя групповую политику, запрещающую пользователям запись информации на съемные запоминающие устройства или на устройства со съемными носителями. Используя групповую политику, Вы можете предоставлять разрешения на доступ к устройствам для отдельных групп пользователей или компьютеров.
Снижение стоимости поддержки системы. Вы можете быть уверены в том, что пользователи устанавливают только те устройства, которые может обслуживать Ваша служба технической поддержки. При этом Вы получаете преимущество, заключающееся в снижении стоимости поддержки системы и в уменьшении вероятности возникновения затруднительных ситуаций у пользователей.
Обзор сценариев, рассматриваемых в этом руководстве
Рассматриваемые в этом руководстве сценарии демонстрируют, каким образом Вы можете управлять установкой и использованием аппаратных устройств на клиентских компьютерах. Для упрощения выполнения сценариев в лабораторной среде мы будем использовать групповую политику локального компьютера. В окружении с большим числом клиентских компьютеров следует использовать групповые политики, развертываемые с помощью службы каталогов Active Directory. С помощью доменных групповых политик Active Directory Вы можете применять заданные параметры ко всем компьютерам домена или организационного подразделения в этом домене. Для получения дополнительной информации об использовании групповой политики для управления клиентскими компьютерами обратитесь к разделу Групповая политика Group Policy (EN) на веб-узле Microsoft.
В этом руководстве будут рассмотрены сценарии, с помощью которых Вы можете:
Запретить установку любых устройств.
В этом сценарии администратору требуется запретить установку любых устройств обычным пользователям, но разрешить установку или обновление устройств администраторам. Для этого настраиваются две групповые политики компьютера: первая из них запрещает установку устройств всем пользователям, а вторая снимает эти ограничения для администраторов.
Разрешить установку только определенных устройств.
В этом сценарии администратору требуется разрешить обычным пользователям установку только тех устройств, которые перечислены в списке разрешенных. Для этого создается список, в котором перечисляются устройства, доступные пользователям для установки. Прежде чем переходить к данному сценарию, Вам необходимо завершить выполнение первого сценария.
Запретить установку определенных устройств.
В этом сценарии администратору требуется разрешить обычным пользователям установку большинства устройств, но запретить установку тех устройств, которые перечислены в списке запрещенных. Для этого Вам необходимо удалить все политики, созданные в первых двух сценариях, а затем создать список запрещенных для установки устройств. Пользователи смогут устанавливать все устройства, кроме тех, которые перечислены в этом списке.
Осуществлять контроль над использованием устройств со съемными носителями.
В этом сценарии администратору требуется запретить обычным пользователям запись информации на съемные запоминающие устройства или на устройства со съемными носителями, такие как устройство записи компакт- или DVD-дисков, или USB-накопитель. Для этого настраивается групповая политика компьютера, которая разрешает чтение, но запрещает запись информации на используемое в Вашем примере устройство, а также на любое устройство записи компакт- или DVD-дисков, установленное на Вашем компьютере.
Обзор технологий
В следующих разделах содержится краткий обзор базовых технологий, обсуждаемых в этом руководстве.
Установка устройств в Windows
Устройство является частью аппаратной конфигурации и служит для выполнения определенных функций, взаимодействуя при этом с операционной системой. Для такого взаимодействия используется программное обеспечение, называемое драйвером устройства. Для того чтобы установить драйвер какого-либо устройства, операционная система Windows обнаруживает устройство, определяет его тип и затем ищет подходящий драйвер для данного типа устройств.
Windows использует два типа идентификаторов, с помощью которых осуществляется управление установкой и конфигурированием устройств. С помощью параметров групповой политики ОС Windows Vista и Windows Server «Longhorn» Вы можете разрешить или заблокировать следующие типы идентификаторов:
Идентификаторы оборудования
Классы настройки устройств
Идентификаторы оборудования
При обнаружении устройства, которое ранее не устанавливалось на компьютере, ОС Windows опрашивает это устройство для получения его списка идентификаторов оборудования. Обычно устройство имеет несколько идентификаторов оборудования, назначенных производителем. Те же самые идентификаторы оборудования включены в INF-файл, входящий в состав пакета драйверов для этого устройства. Во время установки устройства операционная система сопоставляет идентификаторы оборудования, полученные при опросе этого устройства, с идентификаторами оборудования, включенными в состав пакетов драйверов. На основании этого выбирается походящий драйвер для данного устройства.
Для выбора подходящего драйвера устройства Windows может использовать любой из имеющихся идентификаторов оборудования. Идентификаторы оборудования могут определять как отдельный экземпляр устройства, так и целый класс устройств, и подразделяются на два типа:
Коды (ID) оборудования. Идентификаторы устройств этого типа наиболее точно определяют соответствие между устройством и пакетом драйверов. Первая строка в списке кодов оборудования называется кодом устройства, поскольку она в точности определяет сборку, модель и версию устройства. Остальные коды содержат более общие сведения об устройстве. Например, код оборудования может идентифицировать сборку и модель устройства, но не его определенную версию. В случаях, когда ОС Windows не может найти драйвер для нужной версии устройства, такая схема позволяет использовать драйвер, предназначенный для другой версии этого устройства,
Совместимые коды (ID). Идентификаторы устройств этого типа используются для выбора драйвера устройства в случаях, когда ОС Windows не может найти драйвер, соответствующий коду устройства или другим кодам оборудования этого устройства. Совместимые коды перечислены в порядке убывания степени совместимости и их наличие не является обязательным. Если же совместимые коды устройства присутствуют, они, как правило, являются обобщенными для целого класса устройств – например Disk. Обычно при использовании драйверов совместимых устройств Вам доступны лишь базовые функции устройства.
Когда Вы устанавливаете такое устройство, как принтер, USB запоминающее устройство или клавиатуру, Windows производит поиск драйверов, соответствующих устанавливаемому устройству. Во время поиска ОС Windows присваивает «ранг» каждому обнаруженному драйверу, соответствующему хотя бы одному коду оборудования или совместимому коду устройства. Этот ранг показывает, насколько хорошо драйвер подходит для устройства. Чем ниже числовое значение ранга драйвера, тем выше степень его совместимости с устройством. Ранг со значением 0 означает наилучшую совместимость. Если драйвер соответствует коду устройства (коду оборудования, перечисленному в первой строке списка), он получает ранг с меньшим числовым значением (более высокий ранг), если же драйвер совпадает с другими кодами оборудования, его ранг будет ниже. Аналогично, драйвер, соответствующий коду оборудования, будет иметь более высокий ранг, чем драйвер, соответствующий любому совместимому коду. После ранжирования всех драйверов Windows устанавливает драйвер с наивысшим общим рангом (имеющим наименьшее числовое значение). Для получения дополнительной информации о процессе ранжирования и выбора драйверов устройств обратитесь к статье Механизм выбора драйверов программой установки Windows How Setup Selects Drivers (EN) на веб-узле Microsoft. Для получения дополнительной информации о процессе установки драйверов устройств обратитесь к разделу Обзор технологий (Technology review) статьи Пошаговое руководство по подписыванию и подготовке драйверов устройств Step-by-Step Guide to Device Driver Signing and Staging (EN).
Некоторые физические устройства при установке создают одно или несколько логических устройств. Каждое логическое устройство может отвечать за определенные функции физического устройства. Например, многофункциональное устройство, совмещающее в себе функции сканера, факса и принтера, может иметь несколько различных идентификаторов оборудования для каждой отдельной функции.
Когда с помощью групповых политик Вы разрешаете или запрещаете установку устройства с несколькими логическими устройствами, Вы должны разрешить или запретить все идентификаторы оборудования этого устройства. Например, если Вы не запретили или не разрешили все идентификаторы оборудования как для физических, так и для логических устройств, а пользователь попытается установить многофункциональное устройство, результаты могут оказаться непредсказуемыми. Для получения дополнительной информации об идентификаторах оборудования обратитесь к статье Идентификаторы оборудования Device Identification Strings (EN) на веб-узле Microsoft.
Классы настройки устройств
Классы настройки устройств являются еще одним типом идентификаторов, использующихся для установки устройств. Производитель устройства указывает его класс в пакете драйверов. Классы настройки устройств определяют группы устройств, установка которых производится одинаково. Например, все приводы компакт-дисков принадлежат классу CDROM, и для их установки используется один и тот же совместный установщик. Каждый класс устройств определяется числом, называющимся глобальным уникальным кодом (GUID). При запуске ОС Windows в оперативной памяти создается древовидная структура, содержащая коды GUID всех обнаруженных в системе устройств. Помимо кода GUID класса устройства при необходимости Windows может добавить в эту структуру код GUID шины, к которой подключено данное устройство.
Когда Вы используете классы настройки для того, чтобы разрешить или запретить пользователям установку драйверов устройств, Вы должны указать коды GUID для всех классов устанавливаемых устройств. В противном случае Вы можете не получить желаемых результатов – установка может завершиться неудачно, в то время, когда предполагалось обратное, и наоборот.
Например, многофункциональное устройство, совмещающее в себе функции сканера, факса и принтера, может иметь основной код GUID, код GUID функции принтера, код GUID функции сканера и так далее. Коды GUID отдельных функциональных компонентов являются «дочерними элементами» кода GUID многофункционального устройства. Для установки дочерних элементов ОС Windows должна иметь возможность установить родительский элемент. Поэтому для разрешения установки любого класса устройств с дочерним кодом GUID (функции принтера и сканера) Вы должны разрешить установку класса многофункционального устройства, который имеет родительский код GUID.
Для получения дополнительной информации обратитесь к разделу Классы настройки устройств Device Setup Classes (EN) на веб-узле MSDN.
В данном руководстве не рассматриваются сценарии с использованием классов настройки устройств. Тем не менее, рассматриваемые здесь основные принципы работы с идентификаторами оборудования также применимы и к классам настройки устройств. После того, как Вы определите класс устройства, Вы можете использовать его при работе с групповыми политиками, запрещая или разрешая установку драйверов устройств, принадлежащих этому классу.
Групповые политики управления установкой устройств
В состав операционных систем Windows Vista и Windows Server «Longhorn» включены несколько групповых политик, предназначенных для управления установкой устройств. Вы можете настроить эти параметры как для отдельного компьютера, так и для большого числа компьютеров домена с помощью групповой политики Active Directory. Для получения дополнительной информации об использовании групповой политики для управления клиентскими компьютерами обратитесь к разделу Групповая политика Group Policy (EN) на веб-узле Microsoft.
Независимо от того, настраиваете ли Вы групповые политики для отдельного компьютера или для большого числа компьютеров в среде Active Directory, в обоих случаях для этого используется редактор объектов групповой политики. Для получения дополнительной информации обратитесь к статье Техническое руководство по использованию редактора объектов групповой политики Group Policy Object Editor Technical Reference (EN) на веб-узле Microsoft.
Ниже представлено краткое описание используемых в этом руководстве групповых политик, предназначенных для управления установкой устройств.
Примечание
Данные политики применяются к компьютеру и действуют для всех пользователей, работающих за этим компьютером. Вы не можете применять эти политики к отдельным пользователям, за исключением политики Allow administrators to override device installation policy, которая снимает все ограничения на установку устройств для пользователей, входящих в группу локальных администраторов компьютера.
Prevent installation of devices not described by other policy settings. Эта политика управляет установкой устройств, не перечисленных в параметрах других политик. Если эта политика включена, пользователи не могут устанавливать или обновлять драйверы устройств, не перечисленных в политиках Allow installation of devices that match these device Ids или Allow installation of devices for these device classes. Если эта политика отключена или не задана, пользователи могут устанавливать и обновлять драйверы любых устройств, не перечисленных в политиках Prevent installation of devices that match these device IDs, Prevent installation of devices for these device classes или Prevent installation of removable devices.
Allow administrators to override device installation policy. Эта политика разрешает членам группы локальных администраторов устанавливать и обновлять драйверы любых устройств независимо от настроек остальных политик. Если эта политика включена, администраторы могут использовать мастер Add Hardware Wizard и мастер Update Driver Wizard для установки и обновления драйверов любого устройства. Если эта политика отключена или не задана, к локальным администраторам применяются все действующие политики управления установкой устройств.
Prevent installation of devices that match these device IDs. Эта политика определяет список кодов оборудования и совместимых кодов устройств типа Plug and Play (PnP), запрещенных для установки пользователями. Если эта политика включена, пользователи не могут устанавливать или обновлять драйверы устройств, коды которых перечислены в данном списке. Если эта политика отключена или не задана, пользователи могут устанавливать устройства и обновлять их драйверы в соответствии с разрешениями других политик управления установкой устройств.
Примечание
Эта политика имеет более высокий приоритет, чем любая другая политика, разрешающая пользователям установку устройства. Эта политика запрещает пользователям установку устройства независимо от разрешений, определенных в других политиках.
Prevent installation of drivers matching these device setup classes. Эта политика определяет список кодов GUID классов устройств типа Plug and Play, запрещенных пользователям для установки. Если эта политика включена, пользователи не могут устанавливать или обновлять драйверы устройств, принадлежащих к перечисленным в данном списке классам. Если эта политика отключена или не задана, пользователи могут устанавливать устройства и обновлять их драйверы в соответствии с разрешениями других политик управления установкой устройств.
Примечание
Эта политика имеет более высокий приоритет, чем любая другая политика, разрешающая пользователям установку устройства. Эта политика запрещает пользователям установку устройства независимо от разрешений, определенных в других политиках.
Allow installation of devices that match any of these device IDs. Эта политика определяет список кодов оборудования и совместимых кодов устройств типа Plug and Play, разрешенных для установки пользователями. Данная политика предназначена только для совместного использования с политикой Prevent installation of devices not described by other policy settings и имеет более низкий приоритет, чем любая другая политика, запрещающая пользователям установку устройства. Если эта политика включена, пользователи могут устанавливать и обновлять драйверы устройств, коды которых перечислены в ее списке и установка которых явно не запрещена политиками Prevent installation of devices that match these device IDs, Prevent installation of devices for these device classes или Prevent installation of removable devices. Если же установка устройства запрещена какой-либо другой политикой, пользователи не могут устанавливать это устройство независимо от разрешений данной политики. Если эта политика отключена или не задана, и устройство не перечислено в других политиках, возможность установки устройства определяется политикой Prevent installation of devices not described by other policy settings.
Allow installation of devices using drivers for these device classes. Эта политика определяет список кодов GUID классов устройств типа Plug and Play, разрешенных для установки пользователями. Данная политика предназначена только для совместного использования с политикой Prevent installation of devices not described by other policy settings и имеет более низкий приоритет, чем любая другая политика, запрещающая пользователям установку устройства. Если эта политика включена, пользователи могут устанавливать и обновлять драйверы устройств, принадлежащих к перечисленным в ее списке классам, установка которых явно не запрещена политиками Prevent installation of devices that match these device IDs, Prevent installation of devices for these device classes или Prevent installation of removable devices. Если же установка устройства запрещена какой-либо другой политикой, пользователи не могут устанавливать это устройство независимо от разрешений данной политики. Если эта политика отключена или не задана, и устройство не перечислено в других политиках, возможность установки устройства определяется политикой Prevent installation of devices not described by other policy settings.
Некоторые политики обладают более высоким приоритетом по сравнению с другими политиками. На следующий блок-схеме показано, каким образом ОС Windows обрабатывает политики и определяет итоговые разрешения на установку устройств.
Групповые политики управления доступом к съемным носителям
В операционных системах Windows Vista и Windows Server «Longhorn» администратор с помощью групповых политик может управлять разрешениями на чтение и запись информации на любые устройства со съемными носителями. Эти политики помогают предотвратить утечку важных или конфиденциальных данных, которые могут быть записаны на съемные запоминающие устройства или на устройства со съемными носителями.
Вы можете применять эти политики как к компьютеру (одновременно ко всем пользователям компьютера), так и к отдельным пользователям. В дополнение к этому, в среде Active Directory Вы можете применять эти политики к группам пользователей, а также к большому числу компьютеров. Для получения дополнительной информации об использовании групповой политики для управления клиентскими компьютерами обратитесь к странице Групповая политика Group Policy (EN) на веб-узле Microsoft.
Важно
Групповые политики управления доступом к съемным носителям не влияют на работу приложений, выполняющихся в контексте системной учетной записи (System). К такому программному обеспечению относится, например, технология Windows ReadyBoost. Однако ограничения этих политик могут применяться к любым приложениям, выполняющимся в контексте безопасности текущей учетной записи пользователя. Например, даже если пользователь является локальным администратором, но к нему применяется политика Removable Disks: Deny write access, программа установки средства шифрования диска BitLocker не сможет использовать USB дисковод для записи ключа запуска. Во избежание подобных ситуаций Вы можете рассмотреть вариант, исключающий применение политик к пользователям, входящим в группу локальных администраторов.
В число политик группы Removable Storage Access входит параметр, позволяющий администратору выполнить принудительную перезагрузку компьютера. Если в момент применения ограничивающей политики для какого-либо устройства это устройство используется системой, данная политика может не вступить в силу до перезагрузки компьютера. Поэтому, если Вы не хотите ждать следующей перезагрузки компьютера, Вы можете использовать этот параметр для принудительной перезагрузки. Если для вступления в действие ограничивающих политик перезагрузка компьютера не требуется, данный параметр игнорируется.
Политики управления доступом к съемным носителям располагаются в двух разделах редактора объектов групповой политики. Политики раздела Computer Configuration\Administrative Templates\System\Removable Storage Access применяются к компьютеру и ко всем пользователям, работающим за ним. Политики раздела User Configuration\Administrative Templates\System\Removable Storage Access применяются к отдельным пользователям, а также к группам пользователей домена Active Directory.
Ниже представлено краткое описание групповых политик управления доступом к съемным носителям. Для каждой категории устройств существует две политики: одна запрещает доступ на чтение, другая – на запись.
Time (in seconds) to force reboot. Эта политика задает интервал времени в секундах, после которого компьютер будет перезагружен, и выполняется только при необходимости перезагрузки, которая может потребоваться для вступления в силу политик, управляющих доступом к устройствам со съемными носителями. Принудительная перезагрузка выполняется лишь в тех случаях, когда это необходимо для вступления в силу ограничивающих политик.
Примечание
Если в момент применения политик к какому-либо устройству это устройство используется системой, а принудительная перезагрузка компьютера не задана, изменения не вступят в силу, пока компьютер не будет перезагружен. Если политики применяются к нескольким устройствам, они незамедлительно вступят в силу для всех неиспользуемых в данный момент устройств. Если какое-либо из устройств будет использоваться системой, то в случае включения администратором политики Time (in seconds) to force reboot компьютер будет перезагружен.
CD and DVD. Эта политика позволяет запретить доступ на чтение или запись ко всем приводам компакт- или DVD-дисков, включая внешние приводы, подключаемые через интерфейс USB.
Важно
Некоторые программы для записи компакт- и DVD-дисков, разрабатываемые сторонними разработчиками, могут обходить ограничения данной политики в силу своих особенностей работы с аппаратным обеспечением. Поэтому для того, чтобы исключить любую возможность записи информации на компакт- или DVD-диски, Вы можете воспользоваться групповыми политиками, запрещающими установку этих программ.
Custom Classes. Эта политика позволяет запретить доступ на чтение или запись ко всем устройствам, код GUID класса которых содержится в созданном Вами списке.
Floppy Drives. Эта политика позволяет запретить доступ на чтение или запись ко всем дисководам гибких дисков, включая внешние дисководы, подключаемые через интерфейс USB.
Removable Disks. Эта политика позволяет запретить доступ на чтение или запись ко всем съемным устройствам хранения данных, таким как USB-накопители или внешние жесткие диски с интерфейсом USB.
Tape Drives. Эта политика позволяет запретить доступ на чтение или запись ко всем ленточным накопителям, включая внешние накопители, подключаемые через интерфейс USB.
WPD Devices. Эта политика позволяет запретить доступ на чтение или запись ко всем переносным устройствам класса Windows Portable Device, таким как проигрыватели мультимедиа, мобильные телефоны, устройства Windows CE и так далее.
All Removable Storage classes: Deny all access. Эта политика имеет самый высокий приоритет среди политик, представленных в данном списке. Если эта политика включена, она запрещает доступ на чтение и запись информации для всех устройств, определяющихся как устройства со съемными носителями. Если эта политика отключена или не задана, доступ на чтение и запись информации для классов таких устройств разрешен, а ограничения определяются остальными политиками, представленными в данном списке.
Требования, необходимые для успешного выполнения сценариев
Для успешного выполнения каждого сценария Вам необходимо иметь:
Клиентский компьютер под управлением ОС Windows Vista. В данном руководстве этот компьютер будет называться DMI-Client1.
USB-накопитель. В рассматриваемых сценариях USB-накопитель (обычно называемый «флэш-диском») используется в качестве примера. Большинство USB-накопителей не требуют установки отдельных драйверов и работают с драйверами, встроенными в ОС Windows Vista и Windows Server «Longhorn».
Примечание
В данном руководстве предполагается, что Ваше устройство не требует установки отдельных драйверов и использует драйверы, встроенные в ОС Windows Vista и Windows Server «Longhorn». В противном случае Вы должны будете самостоятельно установить драйверы устройства, предоставленные производителем (этот шаг не включен в сценарии).
Устройство записи компакт- или DVD-дисков (необязательно). В последнем сценарии показано, каким образом можно запретить запись данных на устройства со съемными носителями. Вы можете настроить соответствующие политики компьютера, даже не имея установленного устройства записи компакт- или DVD-дисков. Тем не менее, если Вы хотите проверить работу политик, Вы должны установить такое устройство.
Доступ к защищенной административной учетной записи на компьютере DMI-Client1. В данном руководстве эта учетная запись будет называться TestAdmin. Учетная запись с административными полномочиями требуется для выполнения большинства действий описанных в этом руководстве. Выполнение каждого действия предполагает, что Вы работаете на компьютере DMI-Client1 под этой учетной записью, если не оговариваются другие условия.
Примечание
Новая функция контроля учетных записей, включенная в состав ОС Windows Vista и Windows Server «Longhorn», предлагает новую концепцию защищенной административной учетной записи. Административная учетная запись входит в состав группы Administrators, но по умолчанию прямое использование административных полномочий для этой учетной записи отключено. При попытке выполнить любую задачу, требующую административных полномочий, на экран выводится диалоговое окно, в котором у пользователя запрашивается разрешение на выполнение этой задачи. Это диалоговое окно обсуждается ниже, в разделе «Работа с диалоговым окном User Account Control» данного руководства. Корпорация Microsoft рекомендует использовать защищенную административную учетную запись вместо встроенной учетной записи Administrator всегда, когда это возможно.
Доступ к учетной записи обычного пользователя на компьютере DMI-Client1. Данная учетная запись не имеет каких-либо административных полномочий. В данном руководстве эта учетная запись будет называться TestUser. Вы должны входить в систему под учетной записью TestUser только в отдельно оговоренных случаях. При попытке выполнить любую задачу, требующую административных полномочий, на экран выводится диалоговое окно, в котором у пользователя запрашиваются данные учетной записи, которая имеет такие полномочия. Это диалоговое окно обсуждается ниже в разделе «Работа с диалоговым окном User Account Control» данного руководства.
Подготовительные действия
Прежде чем настраивать политики контроля над установкой того или иного устройства, Вы должны знать идентификаторы оборудования этого устройства. Также вам необходимо знать о том, каким образом выполняется полное удаление из системы USB-накопителя и его драйверов. Следующие действия помогут Вам подготовить Ваш компьютер к успешному выполнению сценариев данного руководства:
Работа с диалоговым окном «User Account Control»
Работая с данным руководством, Вы часто будете сталкиваться с задачами, которые могут быть выполнены только членами группы Administrators. При попытке выполнения такой задачи в ОС Windows Vista или Windows Server «Longhorn» происходит следующее:
Если Вы вошли в систему подо встроенной административной учетной записью (Administrator), Вы не получите никаких дополнительных запросов во время выполнения задачи. Встроенная административная учетная запись отключена по умолчанию, и использовать ее не рекомендуется.
Если Вы вошли в систему под учетной записью, входящую в состав группы Administrators, но не являющуюся встроенной административной учетной записью, то в момент запуска задачи выводится диалоговое окно, в котором у Вас запрашивается разрешение на выполнение этой задачи. Если Вы нажимаете на кнопку Continue, выполнение задачи продолжается.
Если Вы вошли в систему под учетной записью обычного пользователя, Вам может быть отказано в возможности выполнения задачи. В зависимости от задачи Вы можете получить запрос на ввод учетных данных административной учетной записи в диалоговом окне User Account Control. Если Вы вводите правильные учетные данные, задача выполняется в контексте безопасности этой административной учетной записи, в противном случае Вам будет отказано в возможности выполнения задачи.
Важно
Прежде чем вводить учетные данные или разрешать выполнение любой административной задачи, убедитесь, что диалоговое окно User Account Control появляется в ответ на инициированную Вами попытку запуска этой задачи. Если же диалоговое окно появляется неожиданно, нажмите кнопку Details и выясните, какая задача вызвала это окно, прежде чем разрешить ее выполнение.
В процессе выполнения сценариев, рассматриваемых в этом руководстве, каждый случай появления диалогового окна User Account Control не рассматривается. Если для выполнения определенных административных задач требуются дополнительные действия, они будут рассмотрены.
Определение идентификаторов оборудования Вашего USB-накопителя
Ниже перечислены шаги, с помощью которых Вы можете определить идентификаторы оборудования Вашего устройства. Если коды оборудования или совместимые коды Вашего устройства не совпадают с кодами, рассматриваемые в этом руководстве, используйте коды, соответствующие Вашему устройству.
Примечание
В следующих сценариях Вам будет необходимо установить и затем удалить USB-накопитель. В данном руководстве предполагается, что Ваше устройство не требует установки отдельных драйверов и использует драйверы, встроенные в ОС Windows Vista и Windows Server «Longhorn». В противном случае Вы должны будете самостоятельно установить драйверы устройства, предоставленные производителем (этот шаг не описывается в сценариях).
Вы можете использовать два способа для определения идентификаторов оборудования Вашего устройства: с помощью диспетчера устройств – графического средства, включенного в состав операционной системы, или с помощью утилиты командной строки DevCon, доступной для загрузки в составе пакета разработки драйверов (Driver Development Kit, DDK). Ниже описываются шаги для просмотра идентификаторов оборудования Вашего USB-накопителя.
Важно
Рассматриваемые ниже действия ориентированы на работу с USB-накопителем. Если Вы используете устройство другого типа, Вы должны сделать соответствующие поправки в процессе выполнения этих действий. Наиболее значимым отличием будет являться расположение устройства в иерархии диспетчера устройств (Device Manager). Вы должны будете найти свое устройство в соответствующем узле диспетчера устройств, который может не являться узлом Disk Drives.
Определение идентификаторов оборудования с помощью диспетчера устройств
В результате Ваших действий откроется диспетчер устройств, отображающий древовидную структуру, в которой перечислены все устройства, обнаруженные на Вашем компьютере. Наверху этой структуры расположен узел с именем Вашего компьютера. Под этим узлом расположены другие узлы, соответствующие различным категориям оборудования, по которым сгруппированы все установленные на компьютере устройства.
Запишите все строки, содержащиеся в списке Value.
Вы можете скопировать эти строки в буфер обмена, выделив их и нажав комбинацию клавиш CTRL+C. Поскольку многие коды оборудования содержат несколько знаков подчеркивания, проще всего скопировать их в текстовый файл. Это позволит избежать ошибок, а в случае необходимости Вы всегда сможете указать эти коды, вставив их из файла.
Запишите все строки, содержащиеся в списке Value.
|
Примечание
Для определения идентификаторов оборудования Вашего устройства Вы можете использовать утилиту командной строки DevCon, доступную для загрузки с веб-узла справки и поддержки Microsoft. Для получения дополнительной информации по работе с этой утилитой обратитесь к статье Использование программы с интерфейсом командной строки DevCon в качестве альтернативы диспетчеру устройств на веб-узле Microsoft или посетите веб-узел сети разработчиков Microsoft (MSDN).
Синтаксис утилиты DevCon для определения кодов оборудования описан в разделе DevCon HwIDs (EN) на веб-узле MSDN.
Удаление Вашего USB-накопителя
В условиях обычного повседневного использования достаточно просто извлечь USB-накопитель из USB-порта. Тем не менее, в этом руководстве Вам будет необходимо также удалить все драйверы устройства, чтобы обеспечить исходные условия для выполнения последующих сценариев. Если Вы не удалите из системы устройство в указанный момент, политики, рассматриваемые в следующих сценариях, не вступят в действие, и Вы не получите ожидаемых результатов. Во всех случаях, когда Вам потребуется удалить из системы устройство, выполните следующие шаги.
Важно
Не извлекайте устройство из USB-порта, пока не дойдете до последнего шага.
Удаление Вашего USB-накопителя
|
Запрещение установки любых устройств
В этом сценарии описаны обычные действия, которые необходимо выполнить для создания конфигурации с максимальными ограничениями, запрещающей установку и обновление драйверов любых устройств. Пользователи не могут устанавливать и использовать устройства без вмешательства администратора. Администраторы могут устанавливать и обновлять любые устройства по мере необходимости.
Предварительные условия, необходимые для успешного выполнения этого сценария
Для успешного выполнения этого сценария Вы должны удалить Ваш USB-накопитель в соответствии с инструкциями, изложенными в разделе «Удаление Вашего USB-накопителя» этого документа.
Для запрещения установки любых устройств необходимо выполнить следующие шаги:
Шаг 1. Настройка политики, запрещающей установку любых устройств
Для настройки политики, запрещающей установку любых устройств, выполните следующие действия:
|
Шаг 2. Настройка политики, снимающей ограничения на установку устройств для администраторов
Следующая политика снимает для администраторов все ограничения на установку устройств, включая ограничения, установленные предыдущей политикой.
Для настройки политики, снимающей ограничения на установку устройств для администраторов, выполните следующие действия:
Обе политики теперь включены (находятся в состоянии Enabled).
|
Шаг 3. Проверка установленных для пользователей ограничений
После включения обеих политик Вы можете применить их на Вашем компьютере. Затем Вы можете попытаться установить любое устройство, чтобы проверить действие политик и убедиться, что все установленные ограничения действуют.
Для проверки установленных для пользователя ограничений выполните следующие действия:
Вы должны увидеть окно сообщения с информацией о том, что у Вас недостаточно прав для внесения каких-либо изменений в конфигурацию оборудования при работе с диспетчером устройств.
До тех пор, пока установка устройства не будет успешно завершена, устройство будет отображаться в узле Other Devices диспетчера устройств.
|
Разрешение установки только определенных устройств
В основе этого сценария лежит предыдущий сценарий («Запрещение установки любых устройств»), в котором была запрещена установка пользователями любых устройств. В этом сценарии Вы создадите список разрешенных устройств, которые будут доступны пользователям для установки, и добавите в него коды оборудования Вашего USB-накопителя. Данные устройства будут являться исключениями из правил, установленных в сценарии «Запрещение установки любых устройств».
Предварительные условия, необходимые для успешного выполнения этого сценария
Для успешного выполнения этого сценария Вы должны выполнить все шаги, описанные в предыдущем сценарии – «Запрещение установки любых устройств».
Для разрешения установки только определенных устройств необходимо выполнить следующие шаги:
Шаг 1. Создание списка разрешенных устройств
Для создания списка разрешенных устройств выполните следующие действия:
По умолчанию этот список пуст.
Теперь Ваше устройство отображено в списке разрешенных устройств.
|
Шаг 2. Проверка работы списка разрешенных устройств
После того, как политика включена, Вы можете применить ее на Вашем компьютере и попытаться установить Ваше USB-устройство.
Для проверки работы списка разрешенных устройств выполните следующие действия:
Вы должны увидеть окно сообщения с информацией о том, что у Вас недостаточно прав для внесения каких-либо изменений в конфигурацию оборудования при работе с диспетчером устройств.
До тех пор, пока установка устройства не будет успешно завершена, устройство будет отображаться в узле Other Devices диспетчера устройств.
|
Запрещение установки определенных устройств
В этом сценарии рассматривается альтернативный способ обеспечения контроля над установкой аппаратных устройств. В предыдущих сценариях Вы запретили установку всех устройств, кроме тех, которые перечислены в списке разрешенных. В этом сценарии Вы разрешите установку всех устройств, кроме тех, которые перечислены в списке запрещенных. Также Вы удалите все исключения для администраторов, созданные в первом сценарии, из-за чего политика будет применяться к ним точно так же, как и к обычным пользователям.
Предварительные условия, необходимые для успешного выполнения этого сценария
Если Вы выполнили все шаги, описанные в сценариях «Запрещение установки любых устройств» и «Разрешение установки только определенных устройств», Вы должны отключить политики, настроенные в этих сценариях. Для этого Вам необходимо:
Разрешить установку всех устройств.
Удалить определенные для администраторов исключения, разрешающие им установку устройств.
Удалить код оборудования USB-накопителя из списка разрешенных устройств.
Для разрешения установки всех устройств выполните следующие действия:
|
Следующим шагом является удаление политики, снимающей ограничения на установку устройств для администраторов.
Для удаления исключений для администраторов выполните следующие действия:
|
Следующим шагом является удаление кода оборудования Вашего USB-накопителя из списка разрешенных устройств, созданном Вами во втором сценарии.
Для удаления кода оборудования выполните следующие действия:
Устройство будет удалено из списка.
|
Следующим шагом является создание списка устройств, запрещенных для установки пользователями.
Для запрещения установки определенных устройств необходимо выполнить следующие шаги:
Шаг 1. Создание списка запрещенных устройств
Для создания списка запрещенных устройств выполните следующие действия:
Теперь Ваше устройство отображено в списке запрещенных устройств.
|
Шаг 2. Проверка работы списка запрещенных устройств
Теперь Вы можете попытаться установить Ваше USB-устройство. Вы можете устанавливать другие устройства, поскольку политика больше не запрещает их установку, но Вы не сможете установить Ваш USB-накопитель, даже войдя в систему под административной учетной записью.
Для проверки работы списка запрещенных устройств выполните следующие действия:
Установка устройства не сможет успешно завершиться, и устройство будет отображаться в узле Other Devices диспетчера устройств.
|
Управление разрешениями на чтение и запись информации на съемные носители
В этом сценарии описывается, каким образом Вы можете управлять разрешениями на чтение или запись информации на съемные запоминающие устройства или на устройства со съемными носителями на компьютерах, работающих под управлением операционных систем Windows Vista и Windows Server «Longhorn». В этом сценарии Вы настраиваете групповую политику таким образом, чтобы обеспечить работу Вашего USB-накопителя, а также любых устройств записи компакт- или DVD-дисков только в режиме чтения.
Предварительные условия, необходимые для успешного выполнения этого сценария
Прежде чем приступить к выполнению этого сценария, Вам необходимо отключить политику, запрещающую установку USB-накопителя.
Для отключения политики, запрещающей установку USB-накопителей, выполните следующие действия:
|
Для управления разрешениями на чтение и запись информации на съемные носители необходимо выполнить следующие шаги:
Шаг 1. Настройка групповых политик, запрещающих запись информации на устройства определенных классов
Политики, которые Вы настроите в этом сценарии, запрещают запись информации на большинство устройств со съемными носителями. Однако, конкретная политика, ограничивающая использование именно Вашего устройства, может зависеть от определенной сборки или модели этого устройства. Вы также можете использовать политику Custom Classes, но для этого потребуется определить код GUID класса настройки устройств для Вашего устройства.
Для запрещения записи информации на съемные устройства определенных классов выполните следующие шаги:
|
Шаг 2. Проверка работы настроенных групповых политик
Если в момент применения политики устройство используется системой, политика, запрещающая запись на это устройство, не вступит в силу до перезагрузки компьютера. Поэтому для применения этой политики Вам будет необходимо перезагрузить компьютер.
Для проверки работы настроенных групповых политик выполните следующие шаги:
Вы должны увидеть окно сообщения с информацией о причине, по которой попытка создания папки окончилась неудачей.
|
Заключение
В этом руководстве Вы использовали USB-накопитель в качестве тестового экземпляра устройства для работы в лабораторной среде и научились управлять установкой аппаратных устройств. Также Вы узнали, каким образом можно ограничить доступ к устройствам со съемными носителями. Управление установкой и использованием аппаратных устройств при помощи описанных методов повышает безопасность работы пользователей, а также эффективность работы службы технической поддержки. Это достигается благодаря ограничениям, определяющим, какие устройства могут быть установлены пользователями, а какие – нет. Вы можете разрешить пользователям устанавливать только те устройства, которые разрешены для использования в Вашей организации. В этом руководстве были рассмотрены следующие сценарии:
Запрещение установки любых устройств.
В этом сценарии Вы запретили установку любых устройств обычным пользователям, но разрешили установку или обновление устройств администраторам.
Разрешение установки только определенных устройств.
В этом сценарии Вы разрешили пользователям установку только тех устройств, которые перечислены в списке разрешенных.
Запрещение установки определенных устройств.
В этом сценарии Вы разрешили пользователям установку большинства устройств, но запретили установку тех устройств, которые перечислены в списке запрещенных.
Осуществление контроля над использованием устройств со съемными носителями.
В этом сценарии Вы запретили обычным пользователям запись информации на съемные запоминающие устройства или на устройства со съемными носителями, такие как устройство записи компакт- и DVD-дисков или USB-накопитель.
Замечания и отзывы
Корпорация Microsoft будет рада получить Ваши отзывы об этом документе. Если сценарии работают не так, как описано в данном руководстве, или не отвечают Вашим потребностям, пожалуйста сообщите об этом. Корпорация Microsoft будет использовать полученную от Вас информацию для улучшения данного документа. Присылайте Ваши замечания по адресу электронной почты Vista Feedback (vistafb@microsoft.com).
Чтобы оставить свой отзыв, перейдите по ссылке Контактные сведения, расположенной на веб-странице операционной системы Windows Vista.
Дополнительные ресурсы
Дополнительная информация по установке устройств:
Установка устройств и управление ими
Device Management and Installation (EN)Статья Механизм выбора драйверов программой установки Windows
How Setup Selects Device Drivers (EN)Статья Идентификаторы оборудования
DevCon HwIDs (EN)
Дополнительная информация об утилите командной строки DevCon:
Раздел DevCon на веб-узле MSDN
DevCon (EN)Статья на русском языке Использование программы с интерфейсом командной строки DevCon в качестве альтернативы диспетчеру устройств
Раздел DevCon HwIDs на веб-узле MSDN
DevCon HwIDs (EN)
Дополнительная информация о функции User Account Control в Windows Vista:
Статья User Account Control
User Account Control (EN)
Дополнительная информация о групповой политике:
Раздел Групповая политика на веб-узле Microsoft
Group Policy (EN)
Обсуждение статьи на форуме