Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group
Policy: Các yêu cầu cho việc hoàn thành kịch bản


Các yêu cầu cho việc hoàn thành kịch bản

Để thực hiện mỗi kịch bản, bạn phải có:

• Máy tính cài đặt Windows Vista. Hướng dẫn này dựa theo máy tính này như một
DMI-Client1.

• Ổ đĩa nhớ USB. Kịch bản đã miêu tả trong hướng dẫn này sử dụng ổ nhớ USB
như một thiết bị mẫu. Thiết bị này làm việc giống như một ổ đĩa có thể tháo rời và
được biết đến như một ổ flash. Hầu hết các ổ nhớ USB không phụ thuộc vào bộ cài
được cung cấp của nhà máy sản xuất, các thiết bị làm việc với ổ được cung cấp
trong Windows Vista và Windows Server 2008.

Lưu ý

Hướng dẫn thừa nhận rằng thiết bị của bạn không cần đến các bộ cài mà có sẵn
trong Windows và Windows Server 2008. Nếu thiết bị yêu cầu một bộ cài của nhà
sản xuất thì bạn phải cung cấp một file cài khi Windows yêu cầu thực hiện. Bước
này không có trong kịch bản này.

• Một ổ ghi CD hoặc DVD. Kịch bản cuối cùng sẽ minh chứng cách tạo các ổ đĩa
di động ở chế độ chỉ đọc. Bạn có thể thiết lập chính sách máy tính mà không có ổ

ghi CD hoặc DVD được cài đặt. Mặc dù vậy, nếu muốn thẩm định rằng chính sách
máy tính có hiệu quả thì bạn phải có các ổ CD hoặc DVD để sử dụng cho mục đích
kiểm tra.

• Truy cập vào tài khoản quản trị viên được bảo vệ trong DMI-Client1. Hướng dẫn
này gọi tài khoản này là TestAdmin. Các thủ tục trong hướng dẫn này yêu cầu
quyền ưu tiên mức quản trị viên trong hầu hết các bước. Bạn phải đăng nhập vào
tài khoản DMI-Client1 bằng tài khoản quản trị viên này khi bắt đầu mỗi thủ tục.

Lưu ý

Windows Vista và Windows Server 2008 giới thiệu khái niệm tài khoản quản trị
viên được bảo vệ. Tài khoản này là một thành viên của nhóm quản trị, nhưng mặc
định ưu tiên bảo mật không được sử dụng một cách trực tiếp. Bất kỳ cố gắng nào
để thực hiện một nhiệm vụ yêu cầu đến các quyền ưu tiên cao của quản trị viên sẽ
hệ thống sẽ tạo ra một hộp thoại hỏi về sự cho phép để thực hiện nhiệm vụ đó. Hộp
thoại này được thảo luận trong phần tài liệu nói về sự đáp trả đối với User Account
Control mà chúng tôi sẽ giới thiệu cho các bạn trong phần sau. Microsoft khuyên
rằng bạn nên sử dụng tài khoản quản trị viên được bảo vệ hơn là vì tài khoản quản
trị viên được đính kèm bất cứ khi nào có thể.

• Truy cập vào tài khoản người dùng chuẩn trên DMI-Client1. Tài khoản người
dùng này không có hội viên đặc biệt được hỗ trợ các mức cho phép cao. Hướng
dẫn này gọi một tài khoản này là TestUser. Chỉ đăng nhập vào máy tính của bạn
với tài khoản này khi được chỉ thị để thực hiện điều đó. Với một tài khoản người
dùng chuẩn, bất kỳ sự cố gắng để thực hiện một nhiệm vụ yêu cầu đến các quyền
ưu tiên mức cao của một quản trị viên, thì một hộp thoại có thể xuất hiện yêu cầu
ủy nhiệm mức ưu tiên quản trị viên của tài khoản. Hộp thoại này được thảo luận
trong phần tài liệu nói về sự đáp trả đối với kiểm soát tài khoản người dùng mà
chúng tôi sẽ giới thiệu cho các bạn trong phần sau.


Các thủ tục tiên quyết

Trước khi có thể bổ sung các chính sách cho phép hoặc ngăn chặn người dùng cài
đặt một thiết bị, bạn phải hiểu về các chuỗi nhận dạng thiết bị. Bạn cũng phải biết
cách để gỡ bỏ hoàn toàn cài đặt ổ nhớ USB và phần cài đặt kết hợp của nó. Các thủ
tục dưới đây cấu hình máy tính của bạn để thực thi thành công kịch bản trong
hướng dẫn này.

1, Phản ứng đối với User Account Control (UAC)

Xuyên suốt hướng dẫn này bạn sẽ được hỏi để thực hiện các nhiệm vụ mà chỉ có
thể được thực hiện bởi một thành viên của nhóm quản trị. Trong Windows Vista và
Windows Server 2008, khi bạn cố gắng thực hiện một nhiệm vụ yêu cầu đến các
quyền quản trị viên thì sẽ xuất hiện những điều dưới đây:

• Nếu đăng nhập như tài khoản quản trị viên đính kèm (không như nhắc nhở) thì
hoạt động được thực hiện khá đơn giản. Tài khoản quản trị viên đính kèm mặc
định được vô hiệu hóa.

• Nếu bạn là một thành viên của nhóm quản trị thì hộp thoại User Account Control
xuất hiện hỏi về sự cho phép để tiếp tục. Nếu nhấn Continue, thì nhiệm vụ sẽ được
tiến hành.

• Nếu đăng nhập như một người dùng chuẩn thì bạn có thể bị ngăn chặn trong việc
thực hiện nhiệm vụ. Phụ thuộc vào nhiệm vụ, bạn có thể được thể hiện với User
Account Control để cung cấp username và password cho tài khoản quản trị viên.
Nếu bạn cung cấp các thông tin hợp lệ thì nhiệm vụ được chạy trong chế độ bảo
mật của tài khoản quản trị viên. Nếu không cung cấp đúng các thông tin cần thiết
thì bạn sẽ bị ngăn chặn trong việc thực hiện nhiệm vụ.


Quan trọng

Trước khi cung cấp thông tin quan trọng hoặc sự cho phép để chạy các nhiệm vụ
quản trị viên, bạn phải bảo đảm rằng cửa sổ User Account Control được hiển thị để
đáp trả cho nhiệm vụ mà bạn đã khởi tạo. Nếu cửa sổ xuất hiện không như mong
đợi thì bạn có thể kích nút Details và bảo đảm rằng nhiệm vụ đó là một nhiệm vụ
bạn mong muốn cho phép.

2, Quyết định các chuỗi nhận dạng thiết bị cho ổ nhớ USB

Bằng các bước dưới đây bạn có thể quyết định các chuỗi nhận dạng thiết bị cho
thiết bị của bạn. Nếu ID phần cứng và ID tương thích cho thiết bị của bạn không
tương xứng với những gì thể hiện trong hình này, hãy sử dụng ID phù hợp với thiết
bị.

Lưu ý

Trong kịch bản dưới đây bạn phải cài đặt và sau đó gỡ bỏ cài đặt ổ nhớ USB. Các
hướng dẫn thừa nhận rằng thiết bị của bạn không yêu cầu phần mềm cài đặt khác
với file cài sẵn có trong Windows Vista và Windows Server 2008. Nếu thiết bị yêu
cầu một phần mềm cài đặt từ nhà sản xuất thì bạn phải cung cấp file cài đặt khi
Windows bắt bạn thực hiện điều đó. Bước này không được giới thiệu trong kịch
bản này. Bạn có thể quyết định ID phần cứng và ID tương thích cho thiết bị theo
hai cách: sử dụng Device Manager, một công cụ đồ họa có trong hệ điều hành,
hoặc DevCon, một công cụ dòng lệnh có thể tải về được như một phần của Driver
Development Kit (DDK). Sử dụng các thủ tục dưới đây để xem chuỗi nhận dạng
thiết bị cho ổ nhớ USB của bạn.

Quan trọng


Các thủ tục này là các thủ tục cụ thể cho ổ nhớ USB. Nếu bạn đang sử dụng một
loại thiết bị khác thì phải điều chính các bước theo nó. Sự khác nhau đáng kể ở
chúng là vị trí của thiết bị trong cấu trúc Device Manager. Thay vì định vị trong
nút Disk Drives bạn phải định vị ổ trong nút thích hợp.

Tìm các chuỗi nhận dạng thiết bị bằng Device Manager

1. Đăng nhập vào máy tính với quyền DMI-Client1\TestAdmin.

2. Cắm ổ nhớ USB sau đó cho phép cài đặt hoàn tất

3. Mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start
Search, sau đó nhấn ENTER.

4. Nếu hộp thoại User Account Control xuất hiện, hãy xác nhận hành động đang
thực hiện là được phép và sau đó nhấn Continue.

Device Manager xuất hiện và hiển thị theo một kiểu hình cây tất cả các thiết bị đã
được phát hiện trên máy tính. Ở phần trên là một nút có tên máy tính của bạn. Nút
thấp hơn thể hiện các mục khác nhau của phần cứng, trong đó các thiết bị của máy
tính được nhóm theo từng nhóm.

5. Kích đúp vào Disk drives để mở danh sách

6. Kích chuột phải vào mục ổ nhớ USB của bạn sau đó chọn Properties.

Hộp thoại Device Properties sẽ xuất hiện.

7. Kích tab Details


8. Trong danh sách Property, kích Hardware Ids.

Dưới Value, hãy lưu ý đến các chuỗi được hiển thị

Lưu ý

Bạn có thể copy các chuỗi này vào Clipboard bằng cách bôi đen tất cả chúng và
nhấn CTRL + C.Vì nhiều ID phần cứng có các ký tự gạch dưới nên bạn phải copy
chúng vào một file văn bản để có thể thực hiện thao tác paste khi phải chỉ rõ một
bộ nhận dạng. Phương pháp này giảm đáng kể lỗi khi phải thêm một bộ cài cụ thể
vào danh sách cho các thiết bị được ngăn chặn hoặc được cho phép.

9. Trong danh sách Property kích Compatible Ids.

Dưới Value, hãy chú ý vào các chuỗi được hiển thị

10. Kích OK để đóng hộp thoại.

Lưu ý

Bạn cũng có thể quyết định các chuỗi nhận dạng thiết bị bằng tiện ích dòng lệnh
DevCon. Có thể tải DevCon về từ trang trợ giúp của Microsoft. Để có thêm thông
tin, bạn hãy xem các chức năng tiện ích dòng lệnh DevCon tại website của
Microsoft (

Bạn có thể tìm thêm các thông tin chi tiết về tiện ích DevCon và hoạt động của nó
trong trang Microsoft Developer Network (MSDN). Để có thêm thông tin xem
"DevCon" tại địa chỉ website của Microsoft.


Cú pháp cụ thể cần thiết để sử dụng DevCon để quyết định ID phần cứng của bạn
cũng có trên MSDN. Để có thêm thông tin chi tiết bạn hãy xem "DevCon HwIDs"
tại website của Microsoft.

3, Gỡ bỏ cài đặt cho ổ nhớ USB

Trong sử dụng hàng ngày đối với ổ flash, bạn có thể kéo ổ flash này ra khỏi cổng
USB. Trong hướng dẫn này bạn phải gỡ bỏ cài đặt phần mềm cài đặt để bảo đảm
các kịch bản được bắt đầu với máy tính trong trạng thái phù hợp. Nếu thất bại
trong việc gỡ bỏ cài đặt và tháo thiết bị thì các chính sách được kiểm tra trong kịch
bản dưới đây sẽ không có hiệu quả và bạn sẽ không nhìn thấy các kêt quả như
mong đợi. Sử dụng các bước như vậy xuyên suốt hướng dẫn này khi bạn trực tiếp
gỡ bỏ cài đặt và tháo thiết bị ra.

Quan trọng

Không hủy bỏ kết nối vật lý đối với thiết bị của bạn ra khỏi cổng USB cho tới khi
thực hiện bước cuối cùng.

Gỡ bỏ cài đặt driver của USB

1. Đăng nhập và máy tính DMI-Client1\TestAdmin.

2. Mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start
Search, và nhấn ENTER.

3. Nếu hộp thoại User Account Control xuất hiện, hãy xác nhận hành động đang
thực hiện là được phép, sau đó nhấn Continue.

4. Kích chuột phải vào mục ổ nhớ USB, sau đó kích Uninstall.


5. Trong hộp thoại Confirm Device Removal, kích OK để cho phép quá trình gỡ
bỏ cài đặt hoàn tất.

6. Khi Windows hoàn thành xong quá trình gỡ bỏ cài đặt, nó gỡ bỏ được mục thiết
bị ra khỏi cây danh mục trong Device Manager.

7. Rút USB của bạn ra khỏi cổng USB.