Tải bản đầy đủ (.pdf) (37 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Chuyên đề phần: group policy

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.49 MB, 37 trang )

Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 1

Chuyên đề Group Policy
Mục lục
1 Group Policy Phần 1 – Giới thiệu 1
2 Group Policy Phần 2 – Kiểm soát các thiết bị di động 3
3 Group Policy Phần 3 – Các yêu cầu cho việc hoàn thành kịch bản 11
4 Group Policy phần 4 – Ngặn chặn cài đặt tất cả các thiết bị 19
5 Group Policy phần 5 – Cho phép người dùng chỉ cài đặt các thiết bị đã được phép 24
6 Group Policy phần 6 – Ngăn chặn cài đặt các thiết bị muốn ngăn cấm 28
7 Group Policy phần 7 – Kiểm soát việc đọc và ghi lên các thiết bị di động 34


1 Group Policy Phần 1 – Giới thiệu
Bài này này sẽ hướng dẫn từng bước cho bạn cách làm thế nào để kiểm soát được vấn đề
cài đặt và sử dụng thiết bị trên các máy tính mà bạn đang quản lý. Đặc biệt, trong
Microsoft Windows Server 2008 và Windows Vista™ bạn có thể áp dụng chính sách máy
tính cho việc:
• Ngăn chặn người dùng cài đặt các thiết bị
• Cho phép người dùng chỉ cài đặt các thiết bị trong danh sách “cho phép”. Nếu thiết bị nào đó
không được liệt kê trong danh sách thì người dùng không thể cài đặt nó.
• Ngăn chặn người dùng cài đặt các thiết bị trong danh sách “ngăn cấm”. Nếu một thiết bị nào đó
không có trong danh sách thì người dùng có thể cài đặt.
• Từ chối việc đọc và ghi của người dùng vào các thiết bị có thể tháo rời, hoặc sử dụng các thiết
bị dễ cầm tay như ổ ghi CD, DVD, ổ đĩa mềm, ổ cứng mở rộng và các thiết bị cầm tay khác như
điện thoại thông minh hoặc Pocket PC.
Hướng dẫn này sẽ giới thiệu quá trình cài đặt thiết bị và giới thiệu các chuỗi nhận dạng mà
Windows sử dụng để ánh xạ với mỗi gói phần mềm cài đặt thiết bị trên từng máy tính. Hướng
dẫn này cũng minh họa 3 phương pháp trong việc kiểm soát thiết bị. Mỗi một phương pháp đều


thể hiện từng bước để bạn có thể sử dụng để cho phép hoặc ngăn chặn việc cài đặt một thiết bị cụ
thể hoặc một lớp các thiết bị. Một số kịch bản thể hiện cho bạn cách làm thế nào để từ chối việc
đọc, ghi đối với các thiết bị có thể cầm tay của người dùng ví dụ như các thiết bị lưu trữ USB.
Bạn cũng có thể thực hiện các bước trong hướng dẫn này bằng sử dụng một thiết bị khác. Tuy
Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 2

nhiên nếu sử dụng một thiết bị khác thì đôi khi những hướng dẫn này sẽ không đúng một cách
chính xác với giao diện người dùng xuất hiện trên máy tính.
Quan trọng
Các bước đã cung cấp trong hướng dẫn này được dự định cho môi trường kiểm tra phòng thí
nghiệm. Hướng dẫn từng bước không có nghĩa là được sử dụng để triển khai các tính năng
Windows Server mà không cần đến các tài liệu minh chứng khác và phải được sử dụng một cách
thận trọng.
Những ai có thể sử dụng hướng dẫn này?
Hướng dẫn này nhằm vào các đối tượng dưới đây:
• Những người lập kế hoạch và phân tích CNTT, những
người đang đánh giá Windows Vista và Windows Server
2008
• Những người hoạch định kế hoạch và thiết kế CNTT
hoạt động kinh doanh.
• Các kiến trúc sư an ninh bảo mật, những người có trách
nhiệm bổ sung việc tính toán tin cậy trong tổ chức của họ.
• Các quản trị viên, người muốn tìm hiểu về công nghệ.
Lợi ích mang lại từ việc kiểm soát cài đặt thiết bị bằng Group Policy
Việc giới hạn các thiết bị mà người dùng có thể cài đặt cho phép bạn có các lợi ích sau:
• Giảm rủi ro việc mất trộm dữ liệu: nó làm khó khăn trong việc copy trái phép dữ liệu công ty
nếu máy tính của người dùng không thể cài đặt thiết bị không được phép hỗ trợ cho các phương
tiện có thể tháo rời. Ví dụ, nếu người dùng không thể cài đặt một ổ CD-R thì họ không thể ghi dữ

liệu vào đĩa CD được. Lợi thế này tuy không thể loại trừ được những tên trộm dữ liệu song nó
cũng tạo ra một hàng rào chắn đối với việc lấy dữ liệu trái phép. Bạn cũng có thể qiảm rủi ro
trong việc mất trộm dữ liệu bằng cách sử dụng Group Policy để từ chối sự truy cập có thể ghi đối
với người dùng thiết bị có thể tháo rời. Bạn có thể cho phép sự truy cập trên một nhóm cơ bản
các thiết bị khi sử dụng Group Policy.
• Giảm chi phí hỗ trợ: Bạn có thể bảo đảm rằng người dùng chỉ cài đặt các thiết bị mà bàn trợ
giúp của bạn được đào tạo và được trang bị để hỗ trợ. Lợi thế này giảm chi phí hỗ trợ và sự lộn
xộn.
Tổng quan về kịch bản (Scenario)
Kịch bản được đưa ra trong hướng dẫn này minh chứng cho bạn cách làm thế nào để kiểm soát
cài đặt thiết bị và sử dụng trên máy tính mà bạn quản lý. Kịch bản sử dụng Group Policy trên
Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 3

máy tính cục bộ để đơn giản hóa việc sử dụng các thủ tục trong môi trường thử nghiệm. Trong
môi trường quản lý nhiều máy tính client, bạn phải áp dụng các thiết lập đó bằng sử dụng Group
Policy được triển khai cho Active Directory. Với Group Policy được triển khai bởi Active
Directory bạn có thể áp dụng các thiết lập đối với tất cả máy tính là thành viên của một miền
hoặc của một tổ chức trong miền.
Dưới đây là các chỉ dẫn về kịch bản được thể hiện trong hướng dẫn này:
• Ngăn cài đặt tất cả các thiết bị
Trong kịch bản này, quản trị viên muốn ngăn chặn người dùng chuẩn cài đặt bất kỳ thiết bị nào
nhưng cho phép các quản trị viên có thể cài đặt và nâng cấp thiết bị. Để hoàn thiện kịch bản này
bạn phải cấu hình hai chính sách máy tính. Chính sách đầu tiên ngăn chặn tất cả người dùng cài
đặt thiết bị và chính sách thứ hai miễn cho quản trị viên các hạn chế đó.
• Cho phép người dùng chỉ cài đặt các thiết bị được cho phép.
Trong kịch bản này, quản trị viên muốn cho phép người dùng chỉ cài đặt các thiết bị có trong
danh sách thiết bị được phép. Kịch bản này được xây dựng trên kịch bản đầu tiên và vì vậy bạn
phải hoàn tất kịch bản đầu trước khi thực hiện kịch bản này. Để hoàn tất kịch bản này, bạn phải

tạo một danh sách các thiết bị được phép cài để người dùng chỉ có thể cài đặt thiết bị đã chỉ rõ
đó.
• Ngăn chặn cài đặt các thiết bị được ngăn cấm.
Trong kịch bản này, quản trị viên muốn cho phép người dùng chuẩn cài đặt hầu hết tất cả các
thiết bị trừ thiết bị được liệt kê trong danh sách ngăn cấm. Để thực hiện kịch bản này bạn phải bỏ
các chính sách đã tạo trong hai kịch bản đầu tiên. Sau khi đã thực hiện việc bỏ hai chính sách đầu
tiên đó, bạn tạo một danh sách các thiết bị ngăn cấm để người dùng có thể cài đặt bất kỳ thiết bị
nào ngoại trừ những thiết bị có trong danh sách cấm của bạn.
• Kiểm soát sử dụng các thiết bị lưu trữ có thể tháo rời
Trong kịch bản này, quản trị viên muốn ngăn không cho người dùng chuẩn ghi dữ liệu vào thiết
bị lưu trữ có thể tháo rời như USB, các đĩa CD, DVD có thể ghi. Để thực hiện kịch bản này bạn
phải cấu hình một chính sách cho phép truy cập có thể đọc nhưng từ chối truy cập, ghi đối với
các thiết bị mẫu và đối với bất kỳ thiết bị ghi CD, DVD nào trên máy tính của bạn.
Theo quantrimang
2 Group Policy Phần 2 – Kiểm soát các thiết bị di động
Tổng quan về công nghệ
Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 4

Các phần dưới đây cung cấp cho các bạn một cách nhìn tổng quan về các kỹ thuật cốt lõi sẽ
được thảo luận trong hướng dẫn này.

Cài đặt thiết bị trong Windows
Một thiết bị là một phần của phần cứng mà Windows sẽ tương tác để thực hiện một số chức
năng. Windows có thể truyền thông với thiết bị thông qua một phần mềm được gọi là phần mềm
cài đặt (driver) của thiết bị. Để cài đặt một driver thiết bị, Windows sẽ phát hiện thiết bị, nhận
dạng thiết bị là loại gì và sau đó tìm phần mềm cài đặt hợp với loại thiết bị này. Windows sử
dụng hai loại nhận dạng để kiểm soát cài đặt thiết bị và cấu hình. Bạn có thể sử dụng các thiết
lập Group Policy trong Windows Vista và Windows Server 2008 để chỉ ra loại nhận dạng nào

cho phép, loại nào khóa.
Hai loại nhận dạng đó là:
 Các chuỗi nhận dạng thiết bị
 Các lớp thiết lập thiết bị
Các chuỗi nhận dạng thiết bị
Khi Windows phát hiện ra một thiết bị chưa được cài đặt trên máy tính, hệ điều hành sẽ hỏi thiết
bị để truy vấn trong danh sách của nó các chuỗi nhận dạng thiết bị. Một thiết bị thường có nhiều
chuỗi nhận dạng, các chuỗi này được nhà máy sản xuất gán cho nó. Các chuỗi nhận dạng thiết bị
đều được chứa trong file .inf có trong gói phần mềm cài đặt của thiết bị. Windows sẽ chọn gói
phần mềm nào hợp với chuỗi nhận dạng thiết bị được truy vấn từ thiết bị đến các chuỗi được
chứa trong gói cài đặt.
Windows có thể sử dụng mỗi chuỗi ánh xạ một thiết bị với một gói cài đặt. Các chuỗi từ một mô
hình riêng của thiết bị đến rất chung, đều có thể áp dụng cho toàn bộ lớp các thiết bị. Có hai loại
chuỗi nhận dạng thiết bị:
 ID phần cứng. ID phần cứng là các bộ nhận dạng cung cấp sự tương ứng chính xác giữa
một thiết bị và một gói cài đặt. Chuỗi đầu tiên trong danh sách ID phần cứng là ID thiết
bị, bởi vì nó tương ứng với cấu tạo, mô hình và phiên bản mới của thiết bị. Các ID phần
cứng khác trong danh sách tương ứng với các chi tiết của thiết bị kém chính xác hơn. Ví
dụ: một ID phần cứng có thể nhận ra cấu tạo và mô hình của thiết bị nhưng không chỉ ra
được phiên bản mới của nó. Biểu đồ này cho phép Windows sử dụng một bộ cài cho một
phiên bản khác của thiết bị nếu bộ cài của đúng phiên bản mới là không phù hợp.
 ID tương thích. Windows sử dụng các bộ nhận dạng này để chọn ra một phần mềm cài
đặt nếu hệ điều hành không thể tìm được một sự tương ứng với ID thiết bị hoặc ID phần
cứng. ID tương thích được liệt kê theo thứ tự giảm dần. Các chuỗi đó là không bắt buộc
và khi được cung cấp chúng có đặc điểm chung, như Disk. Khi một sự tương ứng được
hình thành bằng sử dụng một ID tương thích thì bạn chỉ có thể sử dụng các chức năng cơ
bản nhất của thiết bị.
Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 5


Khi bạn cài đặt một thiết bị như máy in hay một ổ USB hoặc một bàn phím, Windows sẽ tìm các
gói cài đặt tương ứng với thiết bị mà bạn đang muốn cài đặt. Trong suốt quá trình tìm kiếm,
Windows gán một “cấp” cho mỗi một gói cài đặt mà nó khám phá có ít nhất một sự tương ứng
với phần cứng hoặc ID tương thích. Cấp này chỉ thị bộ cài này tương ứng ở mức độ như thế nào
đối với thiết bị. Số cấp thấp chỉ thị sự tương ứng tốt hơn giữa bộ cài và phần cứng. Cấp 0 biểu
hiện sự tương thích tốt nhất. Sự tương thích với ID thiết bị đối với một gói phần mềm cài đặt có
kết quả thấp hơn (tốt hơn) so với sự tương thích đối với ID phần cứng.
Tương tự như vậy, một sự tương ứng với ID phần cứng có kết quả tốt hơn so với bất kỳ ID tương
thích nào. Sau khi Windows sắp xếp tất cả các gói nó sẽ cài đặt một bộ cài có cấp thấp nhất trong
số đó. Một số thiết bị vật lý tạo ra một hoặc một số thiết bị logic khi chúng được cài đặt. Mỗi
thiết bị logic có thể quản lý một số chức năng của thiết bị vật lý. Ví dụ, một thiết bị đa chức năng
như một máy có thể in, quét, fax, có thể có chuỗi nhận dạng thiết bị khác nhau đối với mỗi chức
năng.
Khi sử dụng các chính sách hạn chế cài đặt thiết bị để cho phép hoặc ngăn cản cài đặt của một
thiết bị sử dụng các thiết bị logic thì bạn phải cho phép hoặc ngăn cản các chuỗi nhận dạng của
thiết bị đó. Ví dụ: nếu người dùng cố gắng cài đặt một thiết bị đa chức năng và bạn không cho
phép hoặc ngăn cản tất cả chuỗi nhận dạng cho cả thiết bị vật lý và logic, thì bạn phải có được
các kết quả không như mong đợi từ sự cố gắng cài đặt.
Các lớp cài đặt thiết bị

Các lớp cài đặt thiết bị là một loại khác của chuỗi nhận dạng. Nhà sản xuất gán lớp cài đặt thiết
bị của mỗi thiết bị trong phần mềm cài đặt của nó. Lớp cài đặt thiết bị nhóm các thiết bị được cài
đặt và cấu hình theo cách giống nhau. Ví dụ, tất cả các CD drives đều nằm trong lớp cài đặt thiết
bị CDROM và chúng sử dụng cùng một bộ cài khi cài đặt. Một số dài được gọi là bộ nhận dạng
duy nhất tổng thể (GUID) miêu tả mỗi một lớp cài đặt thiết bị. Cùng với GUID cho lớp cài đặt
thiết bị của bản thân thiết bị, Windows có thể cần phải chèn vào cây GUID lớp cài đặt thiết bị
của bus đến thiết bị được gắn.
Khi sử dụng các lớp cài đặt thiết bị để cho phép hoặc ngăn chặn người dùng cài đặt thì bạn phải
chỉ định các GUID cho tất cả các lớp cài đặt của thiết bị hoặc có thể bạn sẽ không thực hiện được

kết quả mong muốn. Sự cài đặt có thể thất bại (nếu bạn muốn nó thành công) hoặc nó có thể
thành công (nếu bạn muốn nó thất bại). Ví dụ, một thiết bị đa chức năng như thiết bị có các chức
năng in/quét/fax có một GUID cho loại thiết bị đa chức năng, một GUID cho chức năng in, một
GUID cho chức năng quét… Các GUID cho các chức năng riêng biệt là các “nút con” nằm dưới
GUID đa chức năng. Để cài đặt một nút con, Windows phải cài đặt nút cha. Bạn phải cho phép
cài đặt của lớp đối với GUID cha cho thiết bị đa chức năng sau đó là các GUID con cho các chức
năng riêng lẻ.
Hướng dẫn này không mô tả kịch bản sử dụng các lớp cài đặt thiết bị. Mặc dù vậy, các nguyên lý
cơ bản đã được giới thiệu với các chuỗi nhận dạng thiết bị trong hướng dẫn này cũng áp dụng
cho lớp cài đặt. Sau khi khai thác lớp cài đặt cho thiết bị cụ thể bạn có thể sử dụng nó trong một
chính sách để có thể cho phép hoặc ngăn chặn cài đặt gói phần mềm cho lớp thiết bị.
Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 6

Các Group Policy cho cài đặt thiết bị
Để cho phép kiểm soát trên vấn đề cài đặt thiết bị,
Windows Vista và Windows Server 2008 đã đưa ra một
số thiết lập chính sách. Bạn có thể cấu hình những thiết
lập này riêng trên các máy tính đơn lẻ hoặc có thể áp
dụng chúng cho một số máy tính thông qua sử dụng
Group Policy trong miền Active Directory.
Nếu muốn áp dụng thiết lập đối với các máy tính riêng lẻ
hay đối với nhiều máy tính trong một miền Active
Directory thì bạn phải sử dụng Group Policy Object
Editor để cấu hình và áp dụng các thiết lập chính sách.
Dưới đây là một mô tả vắn tắt về các thiết lập chính sách cài đặt thiết bị được sử dụng trong
hướng dẫn này.
Lưu ý
Các thiết lập chính sách này sẽ ảnh hưởng đến tất cả người dùng, những người đăng nhập vào

máy tính có áp dụng nó. Bạn không thể áp dụng các chính sách này cho chính sách Allow
administrators to override device installation policy (Cho phép các quản trị viên ghi đè lên
chính sách cài đặt thiết bị). Chính sách này miễn cho một số nhóm quản trị viên nội bộ trong việc
hạn chế cài đặt mà bạn đã áp dụng đến máy tính bằng cách cấu hình các thiết lập khác như đã
miêu tả trong phần này.
 Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt
các thiết bị không được miêu tả bằng các thiết lập chính sách khác). Thiết lập chính sách
này kiểm soát sự cài đặt thiết bị không được miêu tả cụ thể bởi bất kỳ thiết lập chính sách
khác. Nếu bạn cho phép thiết lập chính sách này thì người dùng không thể cài đặt hoặc
nâng cấp phần mềm cài đặt cho các thiết bị trừ khi chúng được mô tả bởi chính
sách Allow installation of devices that match these device IDs (Cho phép cài đặt các
thiết bị tương ứng với ID thiết bị đó) hoặc Allow installation of devices for these device
classes (Cho phép cài đặt các thiết bị cho lớp thiết bị đó). Nếu bạn vô hiệu hóa hoặc
không cấu hình thiết lập chính sách này thì người dùng có thể cài đặt và nâng cấp phần
mềm cài đặt cho bất kỳ thiết bị nào không được mô tả bởi chính sách Prevent installation
of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID
thiết bị đó), Prevent installation of devices for these device classes (Ngăn chặn cài đặt
các thiết bị cho lớp thiết bị đó) hoặc Prevent installation of removable devices (Ngăn
chặn cài đặt các thiết bị di động).
 Allow administrators to override device installation policy (Cho phép các quản trị viên
ghi đè lên chính sách cài đặt thiết bị). Thiết lập chính sách này cho phép các thành viên
trong nhóm quản trị viên nội bộ có thể cài đặt và nâng cấp phần mềm cài đặt cho bất kỳ
thiết bị nào không cần quan tâm đến các thiết lập chính sách khác. Nếu bạn kích hoạt
chính thiết lập này thì các quản trị viên có thể sử dụng Add Hardware Wizard hoặc
Update Driver Wizard để cài đặt và nâng cấp phần mềm cài đặt cho thiết bị. Nếu bạn vô
Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 7

hiệu hóa hoặc không cấu hình chính sách này thì các quản trị viên là đối tượng của tất cả

các thiết lập chính sách và sẽ bị hạn chế việc cài đặt.
 Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết
bị tương ứng với ID thiết bị đó). Thiết lập chính sách này chỉ ra một danh sách các ID
phần cứng Plug and Play và các ID tương thích cho các thiết bị mà người dùng không thể
cài đặt. Nếu bạn kích hoạt thiết lập chính sách này thì người dùng không thể cài đặt hoặc
nâng cấp phần mềm cài đặt cho một thiết bị nếu các ID phần cứng và ID tương thích của
nó tương ứng với danh sách này. Nếu bạn vô hiệu hóa hoặc không cấu hình chính sách
này thì người dùng có thể cài đặt các thiết bị và nâng cấp phần mềm cài đặt như được cho
phép bởi các thiết lập chính sách.
Lưu ý
Thiết lập chính sách này có quyền ưu tiên hơn bất kỳ thiết lập chính sách khác cho phép
người dùng cài đặt một thiết bị. Thiết lập này ngăn chặn người dùng cài đặt một thiết bị
thậm chí nó tương ứng với chính sách khác cho phép cài đặt thiết bị.
 Prevent installation of drivers matching these device setup classes (Ngăn chặn cài
đặt các driver tương ứng với lớp cài đặt thiết bị). Thiết lập này chỉ ra một danh sách các
GUID lớp cài đặt thiết bị “cắm là chạy” cho các thiết bị mà người dùng không thể cài đặt.
Nếu bạn cho sử dụng lập chính sách này thì người dùng sẽ không thể cài đặt hoặc nâng
cấp các phần mềm cài đặt cho một thiết bị có trong các lớp cài đặt thiết bị đã được liệt kê.
Nếu bạn vô hiệu hóa hoặc không cấu hình thiết lập chính sách này thì người dùng có thể
cài đặt và nâng cấp các phần mềm cài đặt cho các thiết bị như được phép của các thiết lập
chính sách khác.
Lưu ý
Thiết lập chính sách này có quyền ưu tiên trên bất kỳ các thiết lập chính sách khác cho
phép người dùng cài đặt thiết bị. Thiết lập chính sách này ngăn chặn người dùng cài đặt
một thiết bị thậm chí nó tương ứng với thiết lập chính sách mà sẽ cho phép cài đặt.
 Allow installation of devices that match any of these device IDs (Cho phép cài đặt các
thiết bị tương ứng với ID thiết bị đó). Thiết lập chính sách này chỉ ra một danh sách các
ID phần cứng và ID tương thích PnP, các ID này miểu tả thiết bị mà người dùng có thể
cài đặt. Thiết lập này được dự định chỉ sử dụng khi thiết lập chính sách Prevent
installation of devices not described by other policy settings (Ngăn chặn cài đặt thiết bị

không được mô tả bởi các thiết lập chính sách khác) được cho phép và không có quyền
ưu tiên trên các thiết lập chính sách khác sẽ ngăn chặn người dùng cài đặt thiết bị. Nếu
bạn sử dụng thiết lập chính sách này thì người dùng có thể cài đặt và nâng cấp bất kỳ
thiết bị nào có ID phần cứng và ID tương thích tương ứng với một ID trong danh sách,
nếu cài đặt đó không được chỉ rõ là bị ngăn chặn bởi thiết lập chính sách Prevent
installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương
ứng với ID thiết bị đó), Prevent installation of devices for these device classes (Ngăn
chặn cài đặt các thiết bị cho lớp thiết bị đó) hoặc Prevent installation of removable
devices (Ngăn chặn cài đặt các thiết bị di động). Nếu thiết lập chính sách khác ngăn chặn
người dùng cài đặt thì người dùng không thể cài đặt thậm chí thiết bị cũng được miêu tả
bằng một giá trị trong thiết lập chính sách. Nếu bạn vô hiệu hóa hoặc không cấu hình
Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 8

thiết lập chính sách này hoặc không có chính sách khác miêu tả thiết bị thì thiết lập chính
sách Prevent installation of devices not described by other policy settings (Ngăn chặn
cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) sẽ quyết định người
dùng có thể cài đặt thiết bị hay không.
 Allow installation of devices using drivers for these device classes (Cho phép cài đặt
thiết bị sử dụng driver cho các lớp thiết bị). Thiết lập chính sách chỉ ra một danh sách các
GUID lớp cài đặt thiết bị để miêu tả thiết bị mà người dùng cài đặt. Thiết lập này được
dự định chỉ sử dụng khi thiết lập chính sách Prevent installation of devices not described
by other policy settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập
chính sách khác) được cho phép và không có quyền ưu tiên trên các thiết lập ngăn chặn
người dùng cài đặt thiết bị. Nếu bạn cho phép thiết lập này thì người dùng có thể cài đặt
và nâng cấp thiết bị với một lớp cài đặt tương ứng với một trong các GUID lớp cài đặt
trong danh sách này nếu cài đặt đó không bị ngăn chặn rõ ràng bởi thiết lập chính
sách Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các
thiết bị tương ứng với ID thiết bị đó), Prevent installation of devices for these device

classes (Ngăn chặn cài đặt các thiết bị cho lớp thiết bị đó), hoặc Prevent installation of
removable devices (Ngăn chặn cài đặt các thiết bị di động). Nếu bạn vô hiệu hóa hoặc
không cấu hình thiết lập chính sách này và không có thiết lập nào khác miêu tả thiết bị thì
thiết lập chính sách Prevent installation of devices not described by other policy settings
(Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) sẽ quyết
định người dùng có thể cài đặt thiết bị hay không.
Một số chính sách đó có quyền ưu tiên trên các chính sách khác. Biểu đồ dưới đây thể hiện cách
Windows xử lý chúng để quyết định người dùng có thể cài đặt thiết bị hay không:
Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 9


Các thiết lập Group Policy cho truy cập của các thiết bị lưu trữ ngoài

Trong Windows Vista và Windows Server 2008 một quản trị viên có thể áp dụng Group Policy
để kiểm soát xem người dùng có thể đọc hoặc ghi các thiết bị lưu trữ ngoài. Các chính sách đó
được sử dụng để ngăn chặn việc lấy trộm thông tin quan trọng hoặc nhạy cảm.
Có thể áp dụng các thiết lập chính sách đó ở mức máy tính để chúng ảnh hưởng đến mỗi người
dùng, người đăng nhập vào máy tính đó. Bạn có thể áp dụng chúng ở mức người dùng và giới
hạn bắt buộc đối với một tài khoản người dùng cụ thể nào đó. Nếu sử dụng Group Policy trong
môi trường Active Directory thì bạn có thể áp dụng các thiết lập nhóm người dùng trong tài
khoản người dùng riêng lẻ. Group Policy cũng cho phép bạn áp dụng một cách hiệu quả các
chính sách đó đến một số lượng lớn máy tính.
Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 10

Quan trọng
Các chính sách truy cập vào thiết bị lưu trữ ngoài này không ảnh hưởng đến phần mềm chạy

trong tài khoản hệ thống như kỹ thuật ReadyBoost trong Windows. Mặc dù vậy, các phần mềm
chạy dưới nội dung bảo mật của người dùng hiện hành có thể bị ảnh hưởng bởi hạn chế đó. Ví
dụ, nếu thiết lập chính sách Removable Disks: Deny write access (Các ổ di động: Hạn chế ghi)
sẽ ảnh hưởng đến người dùng, thậm chí nếu người dùng có là một quản trị viên thì chương trình
cài đặt BitLocker không thể ghi mã khởi động của nó đến một ổ USB. Bạn có thể áp dụng những
hạn chế chỉ cho người dùng và các nhóm khác thay cho nhóm quản trị viên.
Các thiết lập chính sách này cũng có một thiết lập cho phép quản trị viên bắt buộc phải khởi
động lại. Nếu một thiết bị được sử dụng khi chính sách hạn chế được áp dụng thì chính sách này
có thể không bị bắt buộc cho tới khi máy tính đó khởi động lại. Sử dụng thiết lập chính sách để
bắt buộc khởi động lại nếu bạn không muốn đợi cho đến khi người dùng khởi động lại máy tính.
Nếu các chính sách hạn chế được bắt buộc không cần khởi động lại máy tính thì tùy chọn khởi
động lại bị bỏ qua.
Các thiết lập chính sách có thể tìm thấy tại hai vị trí. Trong Computer
Configuration\Administrative Templates\System\Removable Storage Access ảnh hưởng lên
một máy tính và những người dùng đăng nhập vào. Các chính sách trong User
Configuration\Administrative Templates\System\Removable Storage Access chỉ ảnh hưởng
đến những người dùng áp dụng chính sách này, gồm có các nhóm nếu Group Policy được áp
dụng sử dụng Active Directory.
Theo chỉ dẫn vắn tắt dưới đây về các chính sách cho phép bạn kiểm soát việc đọc /ghi đối với
các ổ di động. Mỗi một chủng loại thiết bị hỗ trợ hai chính sách: một cho từ chối đọc và một cho
từ chối ghi.
 Time (in seconds) to force reboot. Thiết lập số lượng thời gian (bằng giây) mà hệ thống
đợi khởi động lại để bắt buộc đối với sự thay đổi trong các quyền truy cập thiết bị lưu trữ
ngoài. Khởi động lại chỉ bắt buộc nếu các chính sách hạn chế không được áp dụng mà
không có nó.
Lưu ý

Nếu không bắt buộc phải khởi động lại máy tính và các chính sách không thể được áp
dụng do thiết bị đang sử dụng thì sự thay đổi không gây ảnh hưởng cho tới khi hệ thống
được khởi động lại. Nếu sự thay đổi của chính sách ảnh hưởng đến nhiều thiết bị thì thay

đổi phải ép buộc ngay lập tức trên tất cả các thiết bị hiện không được sử dụng. Nếu bất kỳ
thiết bị bị ảnh hưởng nào đang sử dụng mà sự thay đổi không được áp dụng ngay lập tức
thì chính sách khởi động lại máy tính sẽ thực hiện nếu nó được kích hoạt bởi quản trị
viên.
 CD and DVD. Các thiết lập chính sách này cho phép bạn từ chối việc đọc, ghi đối với
những thiết bị CD và DVD, gồm có cả thiết bị được kết nối USB.
Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 11

Quan trọng
Một số phần mềm ghi đĩa CD và DVD của nhóm thứ ba tương tác với phần cứng theo
cách tránh sự ngăn chặn của chính sách. Nếu muốn ngăn chặn tất cả việc ghi lên đĩa CD
hoặc DVD thì bạn cần phải xem xét đến việc áp dụng Group Policy để ngăn chặn cài đặt
phần mềm đó.
 Custom Classes. Các thiết lập chính sách này cho phép bạn từ chối việc đọc và ghi đối
với bất kỳ thiết bị nào mà Device Setup Class GUID của nó được tìm thấy trong danh
sách bạn cung cấp.
 Floppy Drives. Các chính sách này cho phép bạn từ chối việc đọc, ghi đối với các thiết bị
trong lớp ổ mềm, gồm có cả thiết bị được kết nối USB.
 Removable Disks. Cho phép bạn từ chối việc đọc, ghi đối với các thiết bị di động như ổ
nhớ USB hay ổ cứng USB mở rộng.
 Tape Drives. Cho phép bạn từ chối việc đọc hoặc ghi vào các ổ băng từ, gồm cảthiết bị
được kết nối USB.
 WPD Devices. Cho phép bạn từ chối việc đọc hoặc ghi đối với các thiết bị trong lớp
Windows Portable Device. Các thiết bị này gồm có thiết bị thông minh như media
players, mobile phones và Windows CE,…
 All Removable Storage classes: Deny all access. Thiết lập này có quyền ưu tiên hơn bất
kỳ thiết lập nào khác trong danh sách, từ chối việc đọc, ghi đối với thiết bị đã được chỉ
định như sử dụng các thiết bị lưu trữ ngoài. Nếu bạn vô hiệu hóa hoặc không thực hiện

cấu hình thiết lập này thì việc đọc và ghi trên các lớp thiết bị lưu trữ ngoài vẫn được phép
theo áp đặt bởi các thiết lập chính sách khác trong danh sách.
Theo quantrimang
3 Group Policy Phần 3 – Các yêu cầu cho việc hoàn thành kịch bản
Các yêu cầu cho việc hoàn thành kịch bản
Để thực hiện mỗi kịch bản, bạn phải có:
• Máy tính cài đặt Windows Vista. Hướng dẫn này dựa theo máy tính này như một DMI-
Client1.
• Ổ đĩa nhớ USB. Kịch bản đã miêu tả trong hướng dẫn này sử dụng ổ nhớ USB như một thiết bị
mẫu. Thiết bị này làm việc giống như một ổ đĩa có thể tháo rời và được biết đến như một ổ flash.
Hầu hết các ổ nhớ USB không phụ thuộc vào bộ cài được cung cấp của nhà máy sản xuất, các
thiết bị làm việc với ổ được cung cấp trong Windows Vista và Windows Server 2008.
Lưu ý
Hướng dẫn thừa nhận rằng thiết bị của bạn không cần đến các bộ cài mà có sẵn trong Windows
và Windows Server 2008. Nếu thiết bị yêu cầu một bộ cài của nhà sản xuất thì bạn phải cung cấp
một file cài khi Windows yêu cầu thực hiện. Bước này không có trong kịch bản này.
Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 12

• Một ổ ghi CD hoặc DVD. Kịch bản cuối cùng sẽ minh chứng cách tạo các ổ đĩa di động ở chế
độ chỉ đọc. Bạn có thể thiết lập chính sách máy tính mà không có ổ ghi CD hoặc DVD được cài
đặt. Mặc dù vậy, nếu muốn thẩm định rằng chính sách máy tính có hiệu quả thì bạn phải có các ổ
CD hoặc DVD để sử dụng cho mục đích kiểm tra.
• Truy cập vào tài khoản quản trị viên được bảo vệ trong DMI-Client1. Hướng dẫn này gọi tài
khoản này là TestAdmin. Các thủ tục trong hướng dẫn này yêu cầu quyền ưu tiên mức quản trị
viên trong hầu hết các bước. Bạn phải đăng nhập vào tài khoản DMI-Client1 bằng tài khoản
quản trị viên này khi bắt đầu mỗi thủ tục.
Lưu ý
Windows Vista và Windows Server 2008 giới thiệu khái niệm tài khoản quản trị viên được bảo

vệ. Tài khoản này là một thành viên của nhóm quản trị, nhưng mặc định ưu tiên bảo mật không
được sử dụng một cách trực tiếp. Bất kỳ cố gắng nào để thực hiện một nhiệm vụ yêu cầu đến các
quyền ưu tiên cao của quản trị viên sẽ hệ thống sẽ tạo ra một hộp thoại hỏi về sự cho phép để
thực hiện nhiệm vụ đó. Hộp thoại này được thảo luận trong phần tài liệu nói về sự đáp trả đối
với User Account Control mà chúng tôi sẽ giới thiệu cho các bạn trong phần sau. Microsoft
khuyên rằng bạn nên sử dụng tài khoản quản trị viên được bảo vệ hơn là vì tài khoản quản trị
viên được đính kèm bất cứ khi nào có thể.
• Truy cập vào tài khoản người dùng chuẩn trên DMI-Client1. Tài khoản người dùng này không
có hội viên đặc biệt được hỗ trợ các mức cho phép cao. Hướng dẫn này gọi một tài khoản này là
TestUser. Chỉ đăng nhập vào máy tính của bạn với tài khoản này khi được chỉ thị để thực hiện
điều đó. Với một tài khoản người dùng chuẩn, bất kỳ sự cố gắng để thực hiện một nhiệm vụ yêu
cầu đến các quyền ưu tiên mức cao của một quản trị viên, thì một hộp thoại có thể xuất hiện yêu
cầu ủy nhiệm mức ưu tiên quản trị viên của tài khoản. Hộp thoại này được thảo luận trong phần
tài liệu nói về sự đáp trả đối với kiểm soát tài khoản người dùng mà chúng tôi sẽ giới thiệu cho
các bạn trong phần sau.
Các thủ tục tiên quyết
Trước khi có thể bổ sung các chính sách cho phép hoặc ngăn chặn người dùng cài đặt một thiết
bị, bạn phải hiểu về các chuỗi nhận dạng thiết bị. Bạn cũng phải biết cách để gỡ bỏ hoàn toàn cài
đặt ổ nhớ USB và phần cài đặt kết hợp của nó. Các thủ tục dưới đây cấu hình máy tính của bạn
để thực thi thành công kịch bản trong hướng dẫn này.
1, Phản ứng đối với User Account Control (UAC)

Xuyên suốt hướng dẫn này bạn sẽ được hỏi để thực hiện các nhiệm vụ mà chỉ có thể được thực
hiện bởi một thành viên của nhóm quản trị. Trong Windows Vista và Windows Server 2008, khi
bạn cố gắng thực hiện một nhiệm vụ yêu cầu đến các quyền quản trị viên thì sẽ xuất hiện những
điều dưới đây:
• Nếu đăng nhập như tài khoản quản trị viên đính kèm (không như nhắc nhở) thì hoạt động được
thực hiện khá đơn giản. Tài khoản quản trị viên đính kèm mặc định được vô hiệu hóa.
Chuyên đề Group Policy


Án Bình Trọng sưu tầm Trang 13

• Nếu bạn là một thành viên của nhóm quản trị thì hộp thoại User Account Control xuất hiện hỏi
về sự cho phép để tiếp tục. Nếu nhấn Continue, thì nhiệm vụ sẽ được tiến hành.
• Nếu đăng nhập như một người dùng chuẩn thì bạn có thể bị ngăn chặn trong việc thực hiện
nhiệm vụ. Phụ thuộc vào nhiệm vụ, bạn có thể được thể hiện với User Account Control để cung
cấp username và password cho tài khoản quản trị viên. Nếu bạn cung cấp các thông tin hợp lệ thì
nhiệm vụ được chạy trong chế độ bảo mật của tài khoản quản trị viên. Nếu không cung cấp đúng
các thông tin cần thiết thì bạn sẽ bị ngăn chặn trong việc thực hiện nhiệm vụ.
Quan trọng
Trước khi cung cấp thông tin quan trọng hoặc sự cho phép để chạy các nhiệm vụ quản trị viên,
bạn phải bảo đảm rằng cửa sổ User Account Control được hiển thị để đáp trả cho nhiệm vụ mà
bạn đã khởi tạo. Nếu cửa sổ xuất hiện không như mong đợi thì bạn có thể kích nút Details và bảo
đảm rằng nhiệm vụ đó là một nhiệm vụ bạn mong muốn cho phép.
2, Quyết định các chuỗi nhận dạng thiết bị cho ổ nhớ USB
Bằng các bước dưới đây bạn có thể quyết định các chuỗi nhận dạng thiết bị cho thiết bị của bạn.
Nếu ID phần cứng và ID tương thích cho thiết bị của bạn không tương xứng với những gì thể
hiện trong hình này, hãy sử dụng ID phù hợp với thiết bị.
Lưu ý
Trong kịch bản dưới đây bạn phải cài đặt và sau đó gỡ bỏ cài đặt ổ nhớ USB. Các hướng dẫn
thừa nhận rằng thiết bị của bạn không yêu cầu phần mềm cài đặt khác với file cài sẵn có trong
Windows Vista và Windows Server 2008. Nếu thiết bị yêu cầu một phần mềm cài đặt từ nhà sản
xuất thì bạn phải cung cấp file cài đặt khi Windows bắt bạn thực hiện điều đó. Bước này không
được giới thiệu trong kịch bản này. Bạn có thể quyết định ID phần cứng và ID tương thích cho
thiết bị theo hai cách: sử dụng Device Manager, một công cụ đồ họa có trong hệ điều hành, hoặc
DevCon, một công cụ dòng lệnh có thể tải về được như một phần của Driver Development Kit
(DDK). Sử dụng các thủ tục dưới đây để xem chuỗi nhận dạng thiết bị cho ổ nhớ USB của bạn.
Quan trọng
Các thủ tục này là các thủ tục cụ thể cho ổ nhớ USB. Nếu bạn đang sử dụng một loại thiết bị
khác thì phải điều chính các bước theo nó. Sự khác nhau đáng kể ở chúng là vị trí của thiết bị

trong cấu trúc Device Manager. Thay vì định vị trong nút Disk Drives bạn phải định vị ổ trong
nút thích hợp.
Tìm các chuỗi nhận dạng thiết bị bằng Device Manager

1. Đăng nhập vào máy tính với quyền DMI-Client1\TestAdmin.
2. Cắm ổ nhớ USB sau đó cho phép cài đặt hoàn tất
Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 14

3. Mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search, sau
đó nhấn ENTER.
4. Nếu hộp thoại User Account Control xuất hiện, hãy xác nhận hành động đang thực hiện là
được phép và sau đó nhấn Continue.
Device Manager xuất hiện và hiển thị theo một kiểu hình cây tất cả các thiết bị đã được phát hiện
trên máy tính. Ở phần trên là một nút có tên máy tính của bạn. Nút thấp hơn thể hiện các mục
khác nhau của phần cứng, trong đó các thiết bị của máy tính được nhóm theo từng nhóm.
5. Kích đúp vào Disk drives để mở danh sách

6. Kích chuột phải vào mục ổ nhớ USB của bạn sau đó chọn Properties.
Hộp thoại Device Properties sẽ xuất hiện.
Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 15


7. Kích tab Details
8. Trong danh sách Property, kích Hardware Ids.
Dưới Value, hãy lưu ý đến các chuỗi được hiển thị
Chuyên đề Group Policy


Án Bình Trọng sưu tầm Trang 16


Lưu ý
Bạn có thể copy các chuỗi này vào Clipboard bằng cách bôi đen tất cả chúng và nhấn CTRL +
C.Vì nhiều ID phần cứng có các ký tự gạch dưới nên bạn phải copy chúng vào một file văn bản
để có thể thực hiện thao tác paste khi phải chỉ rõ một bộ nhận dạng. Phương pháp này giảm đáng
kể lỗi khi phải thêm một bộ cài cụ thể vào danh sách cho các thiết bị được ngăn chặn hoặc được
cho phép.
9. Trong danh sách Property kích Compatible Ids.
Dưới Value, hãy chú ý vào các chuỗi được hiển thị
Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 17


10. Kích OK để đóng hộp thoại.
Lưu ý
Bạn cũng có thể quyết định các chuỗi nhận dạng thiết bị bằng tiện ích dòng lệnh DevCon. Có thể
tải DevCon về từ trang trợ giúp của Microsoft. Để có thêm thông tin, bạn hãy xem các chức năng
tiện ích dòng lệnh DevCon tại website của Microsoft
(
Bạn có thể tìm thêm các thông tin chi tiết về tiện ích DevCon và hoạt động của nó trong trang
Microsoft Developer Network (MSDN). Để có thêm thông tin xem “DevCon” tại địa chỉ website
của Microsoft.
Cú pháp cụ thể cần thiết để sử dụng DevCon để quyết định ID phần cứng của bạn cũng có trên
MSDN. Để có thêm thông tin chi tiết bạn hãy xem “DevCon HwIDs” tại website của Microsoft.
3, Gỡ bỏ cài đặt cho ổ nhớ USB
Chuyên đề Group Policy


Án Bình Trọng sưu tầm Trang 18

Trong sử dụng hàng ngày đối với ổ flash, bạn có thể kéo ổ flash này ra khỏi cổng USB. Trong
hướng dẫn này bạn phải gỡ bỏ cài đặt phần mềm cài đặt để bảo đảm các kịch bản được bắt đầu
với máy tính trong trạng thái phù hợp. Nếu thất bại trong việc gỡ bỏ cài đặt và tháo thiết bị thì
các chính sách được kiểm tra trong kịch bản dưới đây sẽ không có hiệu quả và bạn sẽ không nhìn
thấy các kêt quả như mong đợi. Sử dụng các bước như vậy xuyên suốt hướng dẫn này khi bạn
trực tiếp gỡ bỏ cài đặt và tháo thiết bị ra.
Quan trọng
Không hủy bỏ kết nối vật lý đối với thiết bị của bạn ra khỏi cổng USB cho tới khi thực hiện bước
cuối cùng.
Gỡ bỏ cài đặt driver của USB

1. Đăng nhập và máy tính DMI-Client1\TestAdmin.
2. Mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search, và
nhấn ENTER.
3. Nếu hộp thoại User Account Control xuất hiện, hãy xác nhận hành động đang thực hiện là
được phép, sau đó nhấn Continue.
4. Kích chuột phải vào mục ổ nhớ USB, sau đó kích Uninstall.

5. Trong hộp thoại Confirm Device Removal, kích OK để cho phép quá trình gỡ bỏ cài đặt
hoàn tất.
6. Khi Windows hoàn thành xong quá trình gỡ bỏ cài đặt, nó gỡ bỏ được mục thiết bị ra khỏi cây
danh mục trong Device Manager.
Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 19

7. Rút USB của bạn ra khỏi cổng USB.

Theo quantrimang
4 Group Policy phần 4 – Ngặn chặn cài đặt tất cả các thiết bị
Kịch bản này giới thiệu các bước điển hình được yêu cầu để thực hiện hầu hết cấu hình hạn chế,
nơi mà sự cài đặt thiết bị bị ngăn chặn và các thiết bị đang tồn tại không thể được nâng cấp phần
mềm cài đặt mới. Người dùng sẽ không thể cài đặt thiết bị và sử dụng nó mà không có sự can
thiệp của quản trị viên. Các quản trị viên có thể cài đặt hoặc nâng cấp thiết bị nếu cần.
Điều kiện quyết định cho việc ngăn chặn cài đặt tất cả thiết bị
Để thực hiện các thủ tục trong kịch bản này, bạn phải gỡ bỏ cài đặt ổ nhớ USB như đã mô tả
trong phần trước của hướng dẫn này.
Các bước thực hiện việc ngăn chặn này
Bước 1: Cấu hình chính sách ngăn chặn cài đặt đối với bất kỳ thiết bị nào
Cấu hình chính sách ngăn chặn cài đặt hoặc nâng cấp đối với các thiết bị
1. Đăng nhập vào máy tính như DMI-Client1\TestAdmin.
2. Mở Group Policy Object Editor, kích nút Start, đánh mmc gpedit.msc trong hộp Start
Search, và sau đó nhấn ENTER.
3. Nếu hộp thoại User Account Control xuất hiện, hãy xác nhận rằng hoạt động đang hiển thị là
những gì bạn muốn, sau đó nhấn Continue để tiếp tục.
4. Trong cửa sổ trình soạn thảo Group Policy Object Editor, kích đúp vào Computer
Configuration để mở. Sau đó mở Administrative Templates > System > Device Installation >
Device Installation Restrictions.
Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 20


5. Trong cửa sổ chi tiết, kích chuột phải vào Prevent installation of devices not described by
other policy settings, chọn Properties.
Hộp thoại chính sách xuất hiện với các thiết lập hiện thời của nó.
6. Trên tab Setting, bạn kích Enabled để vào chính sách.
7. Kích OK để lưu các thiết lập của bạn và quay trở lại Group Policy Object Editor.

Bước 2: Cấu hình chính sách cho phép các quản trị viên có thể ghi đè trong việc cài đặt thiết
bị
Chính sách tiếp theo cho phép các quản trị viên có thể ghi đè lên những hạn chế được áp đặt đối
với các thiết lập chính sách cài đặt thiết bị, gồm có chính sách bạn vừa kích hoạt.
Cấu hình chính sách cho phép các quản trị viên ghi đè
1. Trong cửa sổ chi tiết, kích chuột phải vào Allow administrators to override device
installation policy, sau đó kích vào Properties.
Hộp thoại chính sách xuất hiện cùng với các thiết lập hiện hành của nó.
2. Trong tab Setting, kích Enabled để vào thiết lập chính sách.
3. Kích OK để lưu thiết lập của bạn và quay trở về Group Policy Object Editor.
Cả hai chính sách bây giờ thể hiện trạng thái được kích hoạt của chúng.
Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 21


4. Đóng Group Policy Object Editor.
Bước 3: Kiểm tra tác động của các thiết lập hạn chế đối với người dùng
Với cả hai chính sách được kích hoạt, bạn có thể áp dụng chúng cho máy tính và cố gắng cài đặt
thiết bị để xem các hạn chế mà bạn thiết lập làm việc thế nào
Kiểm tra kết quả thu được đối với người dùng
1. Nếu thiết bị của bạn được cài đặt, để gỡ bỏ cài đặt, thực hiện theo các bước trong phần “Gỡ bỏ
cài đặt ổ nhớ USB” trong phần trước của tài liệu này.
2. Kích vào nút Start, đánh gpupdate /force trong hộp Start Search sau đó nhấn ENTER.
3. Khi lệnh GPUdate kết thúc, log off máy tính của bạn, sau đó đăng nhập như DMI-
Client1\TestUser.
4. Để mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search,
sau đó nhấn ENTER.
Thông báo dưới đây sẽ xuất hiện cho biết rằng bạn không có quyền tạo bất kỳ thay đổi nào trong
Device Manager


5. Kích OK để thừa nhận thông báo.
Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 22

Device Manager bắt đầu và bạn có thể xem được các thiết bị trong máy tính.
6. Cắm ổ USB của bạn vào
Cho tới khi sự cài đặt được hoàn tất, thiết bị sẽ xuất hiện trong Device Manager dưới nút Other
devices

7. Vì bạn đã đăng nhập như một người dùng chuẩn không có các quyền quản trị viên và sự cài
đặt thiết bị bị giới hạn, do đó xuất hiện hộp thoại sau:
Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 23


8. Để mô phỏng sự đáp trả đối với người dùng điển hình, kích Locate and install driver
software (recommended).
Một biến thể của hộp thoại User Account Control xuất hiện yêu cầu bạn cấp tên người dùng và
password cho tài khoản có quyền quản trị viên.
9. Vì người dùng không có quyền quản trị viên nên kích Cancel để bỏ qua.
Việc cài đặt bộ cài thất bại và thiết bị duy trì dưới nút Other devices không có tác dụng.
Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 24


Theo quantrimang

5 Group Policy phần 5 – Cho phép người dùng chỉ cài đặt các thiết bị đã
được phép
Kịch bản này được xây dựng dựa trên kịch bản trước -”Ngăn chặn cài đặt tất cả các thiết bị” –
khi bạn ngăn chặn cài đặt bất kỳ thiết bị nào. Trong kịch bản này, bạn thêm một danh sách các
thiết bị được cho phép vào chính sách và gồm có ID phần cứng cho ổ nhớ USB.
Mức ưu tiên của việc cho phép người dùng chỉ cài đặt các thiết bị đã được phép

Để thực hiện nhiệm vụ này, bạn phải thực hiện được tất cả các bước trong kịch bản đầu tiên,
Ngăn chặn cài đặt tất cả thiết bị.
Các bước cho phép người dùng cài đặt các thiết bị được phép
Trong phần này, bạn thêm các thiết bị được cho phép vào hạn chế được áp đặt trong phần trước
bằng các tạo một danh sách các thiết bị được phép cài đặt.
Bước 1: Tạo một danh sách các thiết bị được phép cài đặt

Tạo một danh sách cách thiết bị được cho phép cài đặt
1. Đăng nhập vào máy tính như DMI-Client1\TestAdmin.
2. Nếu thiết bị của bạn hiện thời đã được cài đặt, hãy gỡ bỏ cài đặt nó.
3. Để mở Group Policy Object Editor, kích nút Start, đánh mmc gpedit.msc trong hộp Start
Search, sau đó nhấn ENTER.
Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 25

4. Trong cửa sổ Group Policy Object Editor, kích đúp Computer Configuration để mở nó. Sau
đó mở Administrative Templates > System > Device Installation> Device Installation
Restrictions.
5. Trong cửa sổ chi tiết, kích chuột phải vào Allow installation of devices that match any of
these device IDs, sau đó kích Properties.
Hộp thoại chính sách xuất hiện với các thiết lập hiện tại của nó.
6. Trên tab Setting, kích Enabled để bật chính sách này


7. Kích Show để xem danh sách các thiết bị được cho phép trong hộp thoại Show Contents
Mặc định, danh sách này là chưa có gì
8. Kích Add để mở hộp thoại Add Item.
9. Nhập vào ID thiết bị (ID phần cứng thiết bị trước) cho thiết bị của bạn.

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×