Chuyên đề group policy

Chuyên đề Group Policy

Án Bình Trọng sưu tầm Trang 1


Mục lục 1 Group Policy Phần 1 – Giới thiệu ...................................................................................................... 1

2 Group Policy Phần 2 – Kiểm soát các thiết bị di động ....................................................................... 3

3 Group Policy Phần 3 – Các yêu cầu cho việc hoàn thành kịch bản ................................................... 11

4 Group Policy phần 4 – Ngặn chặn cài đặt tất cả các thiết bị ............................................................ 19

5 Group Policy phần 5 – Cho phép người dùng chỉ cài đặt các thiết bị đã được phép ........................ 24

6 Group Policy phần 6 – Ngăn chặn cài đặt các thiết bị muốn ngăn cấm ............................................ 28

7 Group Policy phần 7 – Kiểm soát việc đọc và ghi lên các thiết bị di động ........................................ 34

1 Group Policy Phần 1 – Giới thiệu

Bài này này sẽ hướng dẫn từng bước cho bạn cách làm thế nào để kiểm soát được vấn đề

cài đặt và sử dụng thiết bị trên các máy tính mà bạn đang quản lý. Đặc biệt, trong

Microsoft Windows Server 2008 và Windows Vista™ bạn có thể áp dụng chính sách máy

tính cho việc:

• Ngăn chặn người dùng cài đặt các thiết bị

• Cho phép người dùng chỉ cài đặt các thiết bị trong danh sách “cho phép”. Nếu thiết bị nào đó

không được liệt kê trong danh sách thì người dùng không thể cài đặt nó.

• Ngăn chặn người dùng cài đặt các thiết bị trong danh sách “ngăn cấm”. Nếu một thiết bị nào đó

không có trong danh sách thì người dùng có thể cài đặt.

• Từ chối việc đọc và ghi của người dùng vào các thiết bị có thể tháo rời, hoặc sử dụng các thiết

bị dễ cầm tay như ổ ghi CD, DVD, ổ đĩa mềm, ổ cứng mở rộng và các thiết bị cầm tay khác như

điện thoại thông minh hoặc Pocket PC.

Hướng dẫn này sẽ giới thiệu quá trình cài đặt thiết bị và giới thiệu các chuỗi nhận dạng mà

Windows sử dụng để ánh xạ với mỗi gói phần mềm cài đặt thiết bị trên từng máy tính. Hướng

dẫn này cũng minh họa 3 phương pháp trong việc kiểm soát thiết bị. Mỗi một phương pháp đều

thể hiện từng bước để bạn có thể sử dụng để cho phép hoặc ngăn chặn việc cài đặt một thiết bị cụ

thể hoặc một lớp các thiết bị. Một số kịch bản thể hiện cho bạn cách làm thế nào để từ chối việc

đọc, ghi đối với các thiết bị có thể cầm tay của người dùng ví dụ như các thiết bị lưu trữ USB.

Bạn cũng có thể thực hiện các bước trong hướng dẫn này bằng sử dụng một thiết bị khác. Tuy

http://trtnews.wordpress.com/2007/06/28/grouppolicyp1/



nhiên nếu sử dụng một thiết bị khác thì đôi khi những hướng dẫn này sẽ không đúng một cách

chính xác với giao diện người dùng xuất hiện trên máy tính.

Quan trọng

Các bước đã cung cấp trong hướng dẫn này được dự định cho môi trường kiểm tra phòng thí

nghiệm. Hướng dẫn từng bước không có nghĩa là được sử dụng để triển khai các tính năng

Windows Server mà không cần đến các tài liệu minh chứng khác và phải được sử dụng một cách

thận trọng.

Những ai có thể sử dụng hướng dẫn này?

Hướng dẫn này nhằm vào các đối tượng dưới đây:

• Những người lập kế hoạch và phân tích CNTT, những

người đang đánh giá Windows Vista và Windows Server

2008

• Những người hoạch định kế hoạch và thiết kế CNTT

hoạt động kinh doanh.

• Các kiến trúc sư an ninh bảo mật, những người có trách

nhiệm bổ sung việc tính toán tin cậy trong tổ chức của họ.

• Các quản trị viên, người muốn tìm hiểu về công nghệ.

Lợi ích mang lại từ việc kiểm soát cài đặt thiết bị bằng Group Policy

Việc giới hạn các thiết bị mà người dùng có thể cài đặt cho phép bạn có các lợi ích sau:

• Giảm rủi ro việc mất trộm dữ liệu: nó làm khó khăn trong việc copy trái phép dữ liệu công ty

nếu máy tính của người dùng không thể cài đặt thiết bị không được phép hỗ trợ cho các phương

tiện có thể tháo rời. Ví dụ, nếu người dùng không thể cài đặt một ổ CD-R thì họ không thể ghi dữ

liệu vào đĩa CD được. Lợi thế này tuy không thể loại trừ được những tên trộm dữ liệu song nó

cũng tạo ra một hàng rào chắn đối với việc lấy dữ liệu trái phép. Bạn cũng có thể qiảm rủi ro

trong việc mất trộm dữ liệu bằng cách sử dụng Group Policy để từ chối sự truy cập có thể ghi đối

với người dùng thiết bị có thể tháo rời. Bạn có thể cho phép sự truy cập trên một nhóm cơ bản

các thiết bị khi sử dụng Group Policy.

• Giảm chi phí hỗ trợ: Bạn có thể bảo đảm rằng người dùng chỉ cài đặt các thiết bị mà bàn trợ

giúp của bạn được đào tạo và được trang bị để hỗ trợ. Lợi thế này giảm chi phí hỗ trợ và sự lộn

xộn.

Tổng quan về kịch bản (Scenario)

Kịch bản được đưa ra trong hướng dẫn này minh chứng cho bạn cách làm thế nào để kiểm soát

cài đặt thiết bị và sử dụng trên máy tính mà bạn quản lý. Kịch bản sử dụng Group Policy trên



máy tính cục bộ để đơn giản hóa việc sử dụng các thủ tục trong môi trường thử nghiệm. Trong

môi trường quản lý nhiều máy tính client, bạn phải áp dụng các thiết lập đó bằng sử dụng Group

Policy được triển khai cho Active Directory. Với Group Policy được triển khai bởi Active

Directory bạn có thể áp dụng các thiết lập đối với tất cả máy tính là thành viên của một miền

hoặc của một tổ chức trong miền.

Dưới đây là các chỉ dẫn về kịch bản được thể hiện trong hướng dẫn này:

• Ngăn cài đặt tất cả các thiết bị

Trong kịch bản này, quản trị viên muốn ngăn chặn người dùng chuẩn cài đặt bất kỳ thiết bị nào

nhưng cho phép các quản trị viên có thể cài đặt và nâng cấp thiết bị. Để hoàn thiện kịch bản này

bạn phải cấu hình hai chính sách máy tính. Chính sách đầu tiên ngăn chặn tất cả người dùng cài

đặt thiết bị và chính sách thứ hai miễn cho quản trị viên các hạn chế đó.

• Cho phép người dùng chỉ cài đặt các thiết bị được cho phép.

Trong kịch bản này, quản trị viên muốn cho phép người dùng chỉ cài đặt các thiết bị có trong

danh sách thiết bị được phép. Kịch bản này được xây dựng trên kịch bản đầu tiên và vì vậy bạn

phải hoàn tất kịch bản đầu trước khi thực hiện kịch bản này. Để hoàn tất kịch bản này, bạn phải

tạo một danh sách các thiết bị được phép cài để người dùng chỉ có thể cài đặt thiết bị đã chỉ rõ

đó.

• Ngăn chặn cài đặt các thiết bị được ngăn cấm.

Trong kịch bản này, quản trị viên muốn cho phép người dùng chuẩn cài đặt hầu hết tất cả các

thiết bị trừ thiết bị được liệt kê trong danh sách ngăn cấm. Để thực hiện kịch bản này bạn phải bỏ

các chính sách đã tạo trong hai kịch bản đầu tiên. Sau khi đã thực hiện việc bỏ hai chính sách đầu

tiên đó, bạn tạo một danh sách các thiết bị ngăn cấm để người dùng có thể cài đặt bất kỳ thiết bị

nào ngoại trừ những thiết bị có trong danh sách cấm của bạn.

• Kiểm soát sử dụng các thiết bị lưu trữ có thể tháo rời

Trong kịch bản này, quản trị viên muốn ngăn không cho người dùng chuẩn ghi dữ liệu vào thiết

bị lưu trữ có thể tháo rời như USB, các đĩa CD, DVD có thể ghi. Để thực hiện kịch bản này bạn

phải cấu hình một chính sách cho phép truy cập có thể đọc nhưng từ chối truy cập, ghi đối với

các thiết bị mẫu và đối với bất kỳ thiết bị ghi CD, DVD nào trên máy tính của bạn.

Theo quantrimang

2 Group Policy Phần 2 – Kiểm soát các thiết bị di động

Tổng quan về công nghệ




Các phần dưới đây cung cấp cho các bạn một cách nhìn tổng quan về các kỹ thuật cốt lõi sẽ

được thảo luận trong hướng dẫn này.

Cài đặt thiết bị trong Windows

Một thiết bị là một phần của phần cứng mà Windows sẽ tương tác để thực hiện một số chức

năng. Windows có thể truyền thông với thiết bị thông qua một phần mềm được gọi là phần mềm

cài đặt (driver) của thiết bị. Để cài đặt một driver thiết bị, Windows sẽ phát hiện thiết bị, nhận

dạng thiết bị là loại gì và sau đó tìm phần mềm cài đặt hợp với loại thiết bị này. Windows sử

dụng hai loại nhận dạng để kiểm soát cài đặt thiết bị và cấu hình. Bạn có thể sử dụng các thiết

lập Group Policy trong Windows Vista và Windows Server 2008 để chỉ ra loại nhận dạng nào

cho phép, loại nào khóa.

Hai loại nhận dạng đó là:

Các chuỗi nhận dạng thiết bị

Các lớp thiết lập thiết bị

Các chuỗi nhận dạng thiết bị

Khi Windows phát hiện ra một thiết bị chưa được cài đặt trên máy tính, hệ điều hành sẽ hỏi thiết

bị để truy vấn trong danh sách của nó các chuỗi nhận dạng thiết bị. Một thiết bị thường có nhiều

chuỗi nhận dạng, các chuỗi này được nhà máy sản xuất gán cho nó. Các chuỗi nhận dạng thiết bị

đều được chứa trong file .inf có trong gói phần mềm cài đặt của thiết bị. Windows sẽ chọn gói

phần mềm nào hợp với chuỗi nhận dạng thiết bị được truy vấn từ thiết bị đến các chuỗi được

chứa trong gói cài đặt.

Windows có thể sử dụng mỗi chuỗi ánh xạ một thiết bị với một gói cài đặt. Các chuỗi từ một mô

hình riêng của thiết bị đến rất chung, đều có thể áp dụng cho toàn bộ lớp các thiết bị. Có hai loại

chuỗi nhận dạng thiết bị:

ID phần cứng. ID phần cứng là các bộ nhận dạng cung cấp sự tương ứng chính xác giữa

một thiết bị và một gói cài đặt. Chuỗi đầu tiên trong danh sách ID phần cứng là ID thiết

bị, bởi vì nó tương ứng với cấu tạo, mô hình và phiên bản mới của thiết bị. Các ID phần

cứng khác trong danh sách tương ứng với các chi tiết của thiết bị kém chính xác hơn. Ví

dụ: một ID phần cứng có thể nhận ra cấu tạo và mô hình của thiết bị nhưng không chỉ ra

được phiên bản mới của nó. Biểu đồ này cho phép Windows sử dụng một bộ cài cho một

phiên bản khác của thiết bị nếu bộ cài của đúng phiên bản mới là không phù hợp.

ID tương thích. Windows sử dụng các bộ nhận dạng này để chọn ra một phần mềm cài

đặt nếu hệ điều hành không thể tìm được một sự tương ứng với ID thiết bị hoặc ID phần

cứng. ID tương thích được liệt kê theo thứ tự giảm dần. Các chuỗi đó là không bắt buộc

và khi được cung cấp chúng có đặc điểm chung, như Disk. Khi một sự tương ứng được

hình thành bằng sử dụng một ID tương thích thì bạn chỉ có thể sử dụng các chức năng cơ

bản nhất của thiết bị.



Khi bạn cài đặt một thiết bị như máy in hay một ổ USB hoặc một bàn phím, Windows sẽ tìm các

gói cài đặt tương ứng với thiết bị mà bạn đang muốn cài đặt. Trong suốt quá trình tìm kiếm,

Windows gán một “cấp” cho mỗi một gói cài đặt mà nó khám phá có ít nhất một sự tương ứng

với phần cứng hoặc ID tương thích. Cấp này chỉ thị bộ cài này tương ứng ở mức độ như thế nào

đối với thiết bị. Số cấp thấp chỉ thị sự tương ứng tốt hơn giữa bộ cài và phần cứng. Cấp 0 biểu

hiện sự tương thích tốt nhất. Sự tương thích với ID thiết bị đối với một gói phần mềm cài đặt có

kết quả thấp hơn (tốt hơn) so với sự tương thích đối với ID phần cứng.

Tương tự như vậy, một sự tương ứng với ID phần cứng có kết quả tốt hơn so với bất kỳ ID tương

thích nào. Sau khi Windows sắp xếp tất cả các gói nó sẽ cài đặt một bộ cài có cấp thấp nhất trong

số đó. Một số thiết bị vật lý tạo ra một hoặc một số thiết bị logic khi chúng được cài đặt. Mỗi

thiết bị logic có thể quản lý một số chức năng của thiết bị vật lý. Ví dụ, một thiết bị đa chức năng

như một máy có thể in, quét, fax, có thể có chuỗi nhận dạng thiết bị khác nhau đối với mỗi chức

năng.

Khi sử dụng các chính sách hạn chế cài đặt thiết bị để cho phép hoặc ngăn cản cài đặt của một

thiết bị sử dụng các thiết bị logic thì bạn phải cho phép hoặc ngăn cản các chuỗi nhận dạng của

thiết bị đó. Ví dụ: nếu người dùng cố gắng cài đặt một thiết bị đa chức năng và bạn không cho

phép hoặc ngăn cản tất cả chuỗi nhận dạng cho cả thiết bị vật lý và logic, thì bạn phải có được

các kết quả không như mong đợi từ sự cố gắng cài đặt.

Các lớp cài đặt thiết bị

Các lớp cài đặt thiết bị là một loại khác của chuỗi nhận dạng. Nhà sản xuất gán lớp cài đặt thiết

bị của mỗi thiết bị trong phần mềm cài đặt của nó. Lớp cài đặt thiết bị nhóm các thiết bị được cài

đặt và cấu hình theo cách giống nhau. Ví dụ, tất cả các CD drives đều nằm trong lớp cài đặt thiết

bị CDROM và chúng sử dụng cùng một bộ cài khi cài đặt. Một số dài được gọi là bộ nhận dạng

duy nhất tổng thể (GUID) miêu tả mỗi một lớp cài đặt thiết bị. Cùng với GUID cho lớp cài đặt

thiết bị của bản thân thiết bị, Windows có thể cần phải chèn vào cây GUID lớp cài đặt thiết bị

của bus đến thiết bị được gắn.

Khi sử dụng các lớp cài đặt thiết bị để cho phép hoặc ngăn chặn người dùng cài đặt thì bạn phải

chỉ định các GUID cho tất cả các lớp cài đặt của thiết bị hoặc có thể bạn sẽ không thực hiện được

kết quả mong muốn. Sự cài đặt có thể thất bại (nếu bạn muốn nó thành công) hoặc nó có thể

thành công (nếu bạn muốn nó thất bại). Ví dụ, một thiết bị đa chức năng như thiết bị có các chức

năng in/quét/fax có một GUID cho loại thiết bị đa chức năng, một GUID cho chức năng in, một

GUID cho chức năng quét… Các GUID cho các chức năng riêng biệt là các “nút con” nằm dưới

GUID đa chức năng. Để cài đặt một nút con, Windows phải cài đặt nút cha. Bạn phải cho phép

cài đặt của lớp đối với GUID cha cho thiết bị đa chức năng sau đó là các GUID con cho các chức

năng riêng lẻ.

Hướng dẫn này không mô tả kịch bản sử dụng các lớp cài đặt thiết bị. Mặc dù vậy, các nguyên lý

cơ bản đã được giới thiệu với các chuỗi nhận dạng thiết bị trong hướng dẫn này cũng áp dụng

cho lớp cài đặt. Sau khi khai thác lớp cài đặt cho thiết bị cụ thể bạn có thể sử dụng nó trong một

chính sách để có thể cho phép hoặc ngăn chặn cài đặt gói phần mềm cho lớp thiết bị.



Các Group Policy cho cài đặt thiết bị

Để cho phép kiểm soát trên vấn đề cài đặt thiết bị,

Windows Vista và Windows Server 2008 đã đưa ra một

số thiết lập chính sách. Bạn có thể cấu hình những thiết

lập này riêng trên các máy tính đơn lẻ hoặc có thể áp

dụng chúng cho một số máy tính thông qua sử dụng

Group Policy trong miền Active Directory.

Nếu muốn áp dụng thiết lập đối với các máy tính riêng lẻ

hay đối với nhiều máy tính trong một miền Active

Directory thì bạn phải sử dụng Group Policy Object

Editor để cấu hình và áp dụng các thiết lập chính sách.

Dưới đây là một mô tả vắn tắt về các thiết lập chính sách cài đặt thiết bị được sử dụng trong

hướng dẫn này.

Lưu ý Các thiết lập chính sách này sẽ ảnh hưởng đến tất cả người dùng, những người đăng nhập vào

máy tính có áp dụng nó. Bạn không thể áp dụng các chính sách này cho chính sách Allow

administrators to override device installation policy (Cho phép các quản trị viên ghi đè lên

chính sách cài đặt thiết bị). Chính sách này miễn cho một số nhóm quản trị viên nội bộ trong việc

hạn chế cài đặt mà bạn đã áp dụng đến máy tính bằng cách cấu hình các thiết lập khác như đã

miêu tả trong phần này.

Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt

các thiết bị không được miêu tả bằng các thiết lập chính sách khác). Thiết lập chính sách

này kiểm soát sự cài đặt thiết bị không được miêu tả cụ thể bởi bất kỳ thiết lập chính sách

khác. Nếu bạn cho phép thiết lập chính sách này thì người dùng không thể cài đặt hoặc

nâng cấp phần mềm cài đặt cho các thiết bị trừ khi chúng được mô tả bởi chính

sách Allow installation of devices that match these device IDs (Cho phép cài đặt các

thiết bị tương ứng với ID thiết bị đó) hoặc Allow installation of devices for these device

classes (Cho phép cài đặt các thiết bị cho lớp thiết bị đó). Nếu bạn vô hiệu hóa hoặc

không cấu hình thiết lập chính sách này thì người dùng có thể cài đặt và nâng cấp phần

mềm cài đặt cho bất kỳ thiết bị nào không được mô tả bởi chính sách Prevent installation

of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID

thiết bị đó), Prevent installation of devices for these device classes (Ngăn chặn cài đặt

các thiết bị cho lớp thiết bị đó) hoặc Prevent installation of removable devices (Ngăn

chặn cài đặt các thiết bị di động).

Allow administrators to override device installation policy (Cho phép các quản trị viên

ghi đè lên chính sách cài đặt thiết bị). Thiết lập chính sách này cho phép các thành viên

trong nhóm quản trị viên nội bộ có thể cài đặt và nâng cấp phần mềm cài đặt cho bất kỳ

thiết bị nào không cần quan tâm đến các thiết lập chính sách khác. Nếu bạn kích hoạt

chính thiết lập này thì các quản trị viên có thể sử dụng Add Hardware Wizard hoặc

Update Driver Wizard để cài đặt và nâng cấp phần mềm cài đặt cho thiết bị. Nếu bạn vô



hiệu hóa hoặc không cấu hình chính sách này thì các quản trị viên là đối tượng của tất cả

các thiết lập chính sách và sẽ bị hạn chế việc cài đặt.

Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết

bị tương ứng với ID thiết bị đó). Thiết lập chính sách này chỉ ra một danh sách các ID

phần cứng Plug and Play và các ID tương thích cho các thiết bị mà người dùng không thể

cài đặt. Nếu bạn kích hoạt thiết lập chính sách này thì người dùng không thể cài đặt hoặc

nâng cấp phần mềm cài đặt cho một thiết bị nếu các ID phần cứng và ID tương thích của

nó tương ứng với danh sách này. Nếu bạn vô hiệu hóa hoặc không cấu hình chính sách

này thì người dùng có thể cài đặt các thiết bị và nâng cấp phần mềm cài đặt như được cho

phép bởi các thiết lập chính sách.

Lưu ý

Thiết lập chính sách này có quyền ưu tiên hơn bất kỳ thiết lập chính sách khác cho phép

người dùng cài đặt một thiết bị. Thiết lập này ngăn chặn người dùng cài đặt một thiết bị

thậm chí nó tương ứng với chính sách khác cho phép cài đặt thiết bị.

Prevent installation of drivers matching these device setup classes (Ngăn chặn cài

đặt các driver tương ứng với lớp cài đặt thiết bị). Thiết lập này chỉ ra một danh sách các

GUID lớp cài đặt thiết bị “cắm là chạy” cho các thiết bị mà người dùng không thể cài đặt.

Nếu bạn cho sử dụng lập chính sách này thì người dùng sẽ không thể cài đặt hoặc nâng

cấp các phần mềm cài đặt cho một thiết bị có trong các lớp cài đặt thiết bị đã được liệt kê.

Nếu bạn vô hiệu hóa hoặc không cấu hình thiết lập chính sách này thì người dùng có thể

cài đặt và nâng cấp các phần mềm cài đặt cho các thiết bị như được phép của các thiết lập

chính sách khác.

Lưu ý Thiết lập chính sách này có quyền ưu tiên trên bất kỳ các thiết lập chính sách khác cho

phép người dùng cài đặt thiết bị. Thiết lập chính sách này ngăn chặn người dùng cài đặt

một thiết bị thậm chí nó tương ứng với thiết lập chính sách mà sẽ cho phép cài đặt.

Allow installation of devices that match any of these device IDs (Cho phép cài đặt các

thiết bị tương ứng với ID thiết bị đó). Thiết lập chính sách này chỉ ra một danh sách các

ID phần cứng và ID tương thích PnP, các ID này miểu tả thiết bị mà người dùng có thể

cài đặt. Thiết lập này được dự định chỉ sử dụng khi thiết lập chính sách Prevent

installation of devices not described by other policy settings (Ngăn chặn cài đặt thiết bị

không được mô tả bởi các thiết lập chính sách khác) được cho phép và không có quyền

ưu tiên trên các thiết lập chính sách khác sẽ ngăn chặn người dùng cài đặt thiết bị. Nếu

bạn sử dụng thiết lập chính sách này thì người dùng có thể cài đặt và nâng cấp bất kỳ

thiết bị nào có ID phần cứng và ID tương thích tương ứng với một ID trong danh sách,

nếu cài đặt đó không được chỉ rõ là bị ngăn chặn bởi thiết lập chính sách Prevent

installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương

ứng với ID thiết bị đó), Prevent installation of devices for these device classes (Ngăn

chặn cài đặt các thiết bị cho lớp thiết bị đó) hoặc Prevent installation of removable

devices (Ngăn chặn cài đặt các thiết bị di động). Nếu thiết lập chính sách khác ngăn chặn

người dùng cài đặt thì người dùng không thể cài đặt thậm chí thiết bị cũng được miêu tả

bằng một giá trị trong thiết lập chính sách. Nếu bạn vô hiệu hóa hoặc không cấu hình



thiết lập chính sách này hoặc không có chính sách khác miêu tả thiết bị thì thiết lập chính

sách Prevent installation of devices not described by other policy settings (Ngăn chặn

cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) sẽ quyết định người

dùng có thể cài đặt thiết bị hay không.

Allow installation of devices using drivers for these device classes (Cho phép cài đặt

thiết bị sử dụng driver cho các lớp thiết bị). Thiết lập chính sách chỉ ra một danh sách các

GUID lớp cài đặt thiết bị để miêu tả thiết bị mà người dùng cài đặt. Thiết lập này được

dự định chỉ sử dụng khi thiết lập chính sách Prevent installation of devices not described

by other policy settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập

chính sách khác) được cho phép và không có quyền ưu tiên trên các thiết lập ngăn chặn

người dùng cài đặt thiết bị. Nếu bạn cho phép thiết lập này thì người dùng có thể cài đặt

và nâng cấp thiết bị với một lớp cài đặt tương ứng với một trong các GUID lớp cài đặt

trong danh sách này nếu cài đặt đó không bị ngăn chặn rõ ràng bởi thiết lập chính

sách Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các

thiết bị tương ứng với ID thiết bị đó), Prevent installation of devices for these device

classes (Ngăn chặn cài đặt các thiết bị cho lớp thiết bị đó), hoặc Prevent installation of

removable devices (Ngăn chặn cài đặt các thiết bị di động). Nếu bạn vô hiệu hóa hoặc

không cấu hình thiết lập chính sách này và không có thiết lập nào khác miêu tả thiết bị thì

thiết lập chính sách Prevent installation of devices not described by other policy settings

(Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) sẽ quyết

định người dùng có thể cài đặt thiết bị hay không.

Một số chính sách đó có quyền ưu tiên trên các chính sách khác. Biểu đồ dưới đây thể hiện cách

Windows xử lý chúng để quyết định người dùng có thể cài đặt thiết bị hay không:



Các thiết lập Group Policy cho truy cập của các thiết bị lưu trữ ngoài

Trong Windows Vista và Windows Server 2008 một quản trị viên có thể áp dụng Group Policy

để kiểm soát xem người dùng có thể đọc hoặc ghi các thiết bị lưu trữ ngoài. Các chính sách đó

được sử dụng để ngăn chặn việc lấy trộm thông tin quan trọng hoặc nhạy cảm.

Có thể áp dụng các thiết lập chính sách đó ở mức máy tính để chúng ảnh hưởng đến mỗi người

dùng, người đăng nhập vào máy tính đó. Bạn có thể áp dụng chúng ở mức người dùng và giới

hạn bắt buộc đối với một tài khoản người dùng cụ thể nào đó. Nếu sử dụng Group Policy trong

môi trường Active Directory thì bạn có thể áp dụng các thiết lập nhóm người dùng trong tài

khoản người dùng riêng lẻ. Group Policy cũng cho phép bạn áp dụng một cách hiệu quả các

chính sách đó đến một số lượng lớn máy tính.



Quan trọng Các chính sách truy cập vào thiết bị lưu trữ ngoài này không ảnh hưởng đến phần mềm chạy

trong tài khoản hệ thống như kỹ thuật ReadyBoost trong Windows. Mặc dù vậy, các phần mềm

chạy dưới nội dung bảo mật của người dùng hiện hành có thể bị ảnh hưởng bởi hạn chế đó. Ví

dụ, nếu thiết lập chính sách Removable Disks: Deny write access (Các ổ di động: Hạn chế ghi)

sẽ ảnh hưởng đến người dùng, thậm chí nếu người dùng có là một quản trị viên thì chương trình

cài đặt BitLocker không thể ghi mã khởi động của nó đến một ổ USB. Bạn có thể áp dụng những

hạn chế chỉ cho người dùng và các nhóm khác thay cho nhóm quản trị viên.

Các thiết lập chính sách này cũng có một thiết lập cho phép quản trị viên bắt buộc phải khởi

động lại. Nếu một thiết bị được sử dụng khi chính sách hạn chế được áp dụng thì chính sách này

có thể không bị bắt buộc cho tới khi máy tính đó khởi động lại. Sử dụng thiết lập chính sách để

bắt buộc khởi động lại nếu bạn không muốn đợi cho đến khi người dùng khởi động lại máy tính.

Nếu các chính sách hạn chế được bắt buộc không cần khởi động lại máy tính thì tùy chọn khởi

động lại bị bỏ qua.

Các thiết lập chính sách có thể tìm thấy tại hai vị trí. Trong Computer

Configuration\Administrative Templates\System\Removable Storage Access ảnh hưởng lên

một máy tính và những người dùng đăng nhập vào. Các chính sách trong User

Configuration\Administrative Templates\System\Removable Storage Access chỉ ảnh hưởng

đến những người dùng áp dụng chính sách này, gồm có các nhóm nếu Group Policy được áp

dụng sử dụng Active Directory.

Theo chỉ dẫn vắn tắt dưới đây về các chính sách cho phép bạn kiểm soát việc đọc /ghi đối với

các ổ di động. Mỗi một chủng loại thiết bị hỗ trợ hai chính sách: một cho từ chối đọc và một cho

từ chối ghi.

Time (in seconds) to force reboot. Thiết lập số lượng thời gian (bằng giây) mà hệ thống

đợi khởi động lại để bắt buộc đối với sự thay đổi trong các quyền truy cập thiết bị lưu trữ

ngoài. Khởi động lại chỉ bắt buộc nếu các chính sách hạn chế không được áp dụng mà

không có nó.

Lưu ý

Nếu không bắt buộc phải khởi động lại máy tính và các chính sách không thể được áp

dụng do thiết bị đang sử dụng thì sự thay đổi không gây ảnh hưởng cho tới khi hệ thống

được khởi động lại. Nếu sự thay đổi của chính sách ảnh hưởng đến nhiều thiết bị thì thay

đổi phải ép buộc ngay lập tức trên tất cả các thiết bị hiện không được sử dụng. Nếu bất kỳ

thiết bị bị ảnh hưởng nào đang sử dụng mà sự thay đổi không được áp dụng ngay lập tức

thì chính sách khởi động lại máy tính sẽ thực hiện nếu nó được kích hoạt bởi quản trị

viên.

CD and DVD. Các thiết lập chính sách này cho phép bạn từ chối việc đọc, ghi đối với

những thiết bị CD và DVD, gồm có cả thiết bị được kết nối USB.



Quan trọng Một số phần mềm ghi đĩa CD và DVD của nhóm thứ ba tương tác với phần cứng theo

cách tránh sự ngăn chặn của chính sách. Nếu muốn ngăn chặn tất cả việc ghi lên đĩa CD

hoặc DVD thì bạn cần phải xem xét đến việc áp dụng Group Policy để ngăn chặn cài đặt

phần mềm đó.

Custom Classes. Các thiết lập chính sách này cho phép bạn từ chối việc đọc và ghi đối

với bất kỳ thiết bị nào mà Device Setup Class GUID của nó được tìm thấy trong danh

sách bạn cung cấp.

Floppy Drives. Các chính sách này cho phép bạn từ chối việc đọc, ghi đối với các thiết bị

trong lớp ổ mềm, gồm có cả thiết bị được kết nối USB.

Removable Disks. Cho phép bạn từ chối việc đọc, ghi đối với các thiết bị di động như ổ

nhớ USB hay ổ cứng USB mở rộng.

Tape Drives. Cho phép bạn từ chối việc đọc hoặc ghi vào các ổ băng từ, gồm cảthiết bị

được kết nối USB.

WPD Devices. Cho phép bạn từ chối việc đọc hoặc ghi đối với các thiết bị trong lớp

Windows Portable Device. Các thiết bị này gồm có thiết bị thông minh như media

players, mobile phones và Windows CE,…

All Removable Storage classes: Deny all access. Thiết lập này có quyền ưu tiên hơn bất

kỳ thiết lập nào khác trong danh sách, từ chối việc đọc, ghi đối với thiết bị đã được chỉ

định như sử dụng các thiết bị lưu trữ ngoài. Nếu bạn vô hiệu hóa hoặc không thực hiện

cấu hình thiết lập này thì việc đọc và ghi trên các lớp thiết bị lưu trữ ngoài vẫn được phép

theo áp đặt bởi các thiết lập chính sách khác trong danh sách.

Theo quantrimang

3 Group Policy Phần 3 – Các yêu cầu cho việc hoàn thành kịch bản

Các yêu cầu cho việc hoàn thành kịch bản

Để thực hiện mỗi kịch bản, bạn phải có:

• Máy tính cài đặt Windows Vista. Hướng dẫn này dựa theo máy tính này như một DMI-

Client1.

• Ổ đĩa nhớ USB. Kịch bản đã miêu tả trong hướng dẫn này sử dụng ổ nhớ USB như một thiết bị

mẫu. Thiết bị này làm việc giống như một ổ đĩa có thể tháo rời và được biết đến như một ổ flash.

Hầu hết các ổ nhớ USB không phụ thuộc vào bộ cài được cung cấp của nhà máy sản xuất, các

thiết bị làm việc với ổ được cung cấp trong Windows Vista và Windows Server 2008.

Lưu ý

Hướng dẫn thừa nhận rằng thiết bị của bạn không cần đến các bộ cài mà có sẵn trong Windows

và Windows Server 2008. Nếu thiết bị yêu cầu một bộ cài của nhà sản xuất thì bạn phải cung cấp

một file cài khi Windows yêu cầu thực hiện. Bước này không có trong kịch bản này.




• Một ổ ghi CD hoặc DVD. Kịch bản cuối cùng sẽ minh chứng cách tạo các ổ đĩa di động ở chế

độ chỉ đọc. Bạn có thể thiết lập chính sách máy tính mà không có ổ ghi CD hoặc DVD được cài

đặt. Mặc dù vậy, nếu muốn thẩm định rằng chính sách máy tính có hiệu quả thì bạn phải có các ổ

CD hoặc DVD để sử dụng cho mục đích kiểm tra.

• Truy cập vào tài khoản quản trị viên được bảo vệ trong DMI-Client1. Hướng dẫn này gọi tài

khoản này là TestAdmin. Các thủ tục trong hướng dẫn này yêu cầu quyền ưu tiên mức quản trị

viên trong hầu hết các bước. Bạn phải đăng nhập vào tài khoản DMI-Client1 bằng tài khoản

quản trị viên này khi bắt đầu mỗi thủ tục.

Lưu ý

Windows Vista và Windows Server 2008 giới thiệu khái niệm tài khoản quản trị viên được bảo

vệ. Tài khoản này là một thành viên của nhóm quản trị, nhưng mặc định ưu tiên bảo mật không

được sử dụng một cách trực tiếp. Bất kỳ cố gắng nào để thực hiện một nhiệm vụ yêu cầu đến các

quyền ưu tiên cao của quản trị viên sẽ hệ thống sẽ tạo ra một hộp thoại hỏi về sự cho phép để

thực hiện nhiệm vụ đó. Hộp thoại này được thảo luận trong phần tài liệu nói về sự đáp trả đối

với User Account Control mà chúng tôi sẽ giới thiệu cho các bạn trong phần sau. Microsoft

khuyên rằng bạn nên sử dụng tài khoản quản trị viên được bảo vệ hơn là vì tài khoản quản trị

viên được đính kèm bất cứ khi nào có thể.

• Truy cập vào tài khoản người dùng chuẩn trên DMI-Client1. Tài khoản người dùng này không

có hội viên đặc biệt được hỗ trợ các mức cho phép cao. Hướng dẫn này gọi một tài khoản này là

TestUser. Chỉ đăng nhập vào máy tính của bạn với tài khoản này khi được chỉ thị để thực hiện

điều đó. Với một tài khoản người dùng chuẩn, bất kỳ sự cố gắng để thực hiện một nhiệm vụ yêu

cầu đến các quyền ưu tiên mức cao của một quản trị viên, thì một hộp thoại có thể xuất hiện yêu

cầu ủy nhiệm mức ưu tiên quản trị viên của tài khoản. Hộp thoại này được thảo luận trong phần

tài liệu nói về sự đáp trả đối với kiểm soát tài khoản người dùng mà chúng tôi sẽ giới thiệu cho

các bạn trong phần sau.

Các thủ tục tiên quyết

Trước khi có thể bổ sung các chính sách cho phép hoặc ngăn chặn người dùng cài đặt một thiết

bị, bạn phải hiểu về các chuỗi nhận dạng thiết bị. Bạn cũng phải biết cách để gỡ bỏ hoàn toàn cài

đặt ổ nhớ USB và phần cài đặt kết hợp của nó. Các thủ tục dưới đây cấu hình máy tính của bạn

để thực thi thành công kịch bản trong hướng dẫn này.

1, Phản ứng đối với User Account Control (UAC)

Xuyên suốt hướng dẫn này bạn sẽ được hỏi để thực hiện các nhiệm vụ mà chỉ có thể được thực

hiện bởi một thành viên của nhóm quản trị. Trong Windows Vista và Windows Server 2008, khi

bạn cố gắng thực hiện một nhiệm vụ yêu cầu đến các quyền quản trị viên thì sẽ xuất hiện những

điều dưới đây:

• Nếu đăng nhập như tài khoản quản trị viên đính kèm (không như nhắc nhở) thì hoạt động được

thực hiện khá đơn giản. Tài khoản quản trị viên đính kèm mặc định được vô hiệu hóa.



• Nếu bạn là một thành viên của nhóm quản trị thì hộp thoại User Account Control xuất hiện hỏi

về sự cho phép để tiếp tục. Nếu nhấn Continue, thì nhiệm vụ sẽ được tiến hành.

• Nếu đăng nhập như một người dùng chuẩn thì bạn có thể bị ngăn chặn trong việc thực hiện

nhiệm vụ. Phụ thuộc vào nhiệm vụ, bạn có thể được thể hiện với User Account Control để cung

cấp username và password cho tài khoản quản trị viên. Nếu bạn cung cấp các thông tin hợp lệ thì

nhiệm vụ được chạy trong chế độ bảo mật của tài khoản quản trị viên. Nếu không cung cấp đúng

các thông tin cần thiết thì bạn sẽ bị ngăn chặn trong việc thực hiện nhiệm vụ.

Quan trọng

Trước khi cung cấp thông tin quan trọng hoặc sự cho phép để chạy các nhiệm vụ quản trị viên,

bạn phải bảo đảm rằng cửa sổ User Account Control được hiển thị để đáp trả cho nhiệm vụ mà

bạn đã khởi tạo. Nếu cửa sổ xuất hiện không như mong đợi thì bạn có thể kích nút Details và bảo

đảm rằng nhiệm vụ đó là một nhiệm vụ bạn mong muốn cho phép.

2, Quyết định các chuỗi nhận dạng thiết bị cho ổ nhớ USB

Bằng các bước dưới đây bạn có thể quyết định các chuỗi nhận dạng thiết bị cho thiết bị của bạn.

Nếu ID phần cứng và ID tương thích cho thiết bị của bạn không tương xứng với những gì thể

hiện trong hình này, hãy sử dụng ID phù hợp với thiết bị.

Lưu ý

Trong kịch bản dưới đây bạn phải cài đặt và sau đó gỡ bỏ cài đặt ổ nhớ USB. Các hướng dẫn

thừa nhận rằng thiết bị của bạn không yêu cầu phần mềm cài đặt khác với file cài sẵn có trong

Windows Vista và Windows Server 2008. Nếu thiết bị yêu cầu một phần mềm cài đặt từ nhà sản

xuất thì bạn phải cung cấp file cài đặt khi Windows bắt bạn thực hiện điều đó. Bước này không

được giới thiệu trong kịch bản này. Bạn có thể quyết định ID phần cứng và ID tương thích cho

thiết bị theo hai cách: sử dụng Device Manager, một công cụ đồ họa có trong hệ điều hành, hoặc

DevCon, một công cụ dòng lệnh có thể tải về được như một phần của Driver Development Kit

(DDK). Sử dụng các thủ tục dưới đây để xem chuỗi nhận dạng thiết bị cho ổ nhớ USB của bạn.

Quan trọng

Các thủ tục này là các thủ tục cụ thể cho ổ nhớ USB. Nếu bạn đang sử dụng một loại thiết bị

khác thì phải điều chính các bước theo nó. Sự khác nhau đáng kể ở chúng là vị trí của thiết bị

trong cấu trúc Device Manager. Thay vì định vị trong nút Disk Drives bạn phải định vị ổ trong

nút thích hợp.

Tìm các chuỗi nhận dạng thiết bị bằng Device Manager

1. Đăng nhập vào máy tính với quyền DMI-Client1\TestAdmin.

2. Cắm ổ nhớ USB sau đó cho phép cài đặt hoàn tất



3. Mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search, sau

đó nhấn ENTER.

4. Nếu hộp thoại User Account Control xuất hiện, hãy xác nhận hành động đang thực hiện là

được phép và sau đó nhấn Continue.

Device Manager xuất hiện và hiển thị theo một kiểu hình cây tất cả các thiết bị đã được phát hiện

trên máy tính. Ở phần trên là một nút có tên máy tính của bạn. Nút thấp hơn thể hiện các mục

khác nhau của phần cứng, trong đó các thiết bị của máy tính được nhóm theo từng nhóm.

5. Kích đúp vào Disk drives để mở danh sách

6. Kích chuột phải vào mục ổ nhớ USB của bạn sau đó chọn Properties.

Hộp thoại Device Properties sẽ xuất hiện.



7. Kích tab Details

8. Trong danh sách Property, kích Hardware Ids.

Dưới Value, hãy lưu ý đến các chuỗi được hiển thị



Lưu ý

Bạn có thể copy các chuỗi này vào Clipboard bằng cách bôi đen tất cả chúng và nhấn CTRL +

C.Vì nhiều ID phần cứng có các ký tự gạch dưới nên bạn phải copy chúng vào một file văn bản

để có thể thực hiện thao tác paste khi phải chỉ rõ một bộ nhận dạng. Phương pháp này giảm đáng

kể lỗi khi phải thêm một bộ cài cụ thể vào danh sách cho các thiết bị được ngăn chặn hoặc được

cho phép.

9. Trong danh sách Property kích Compatible Ids.

Dưới Value, hãy chú ý vào các chuỗi được hiển thị



10. Kích OK để đóng hộp thoại.

Lưu ý

Bạn cũng có thể quyết định các chuỗi nhận dạng thiết bị bằng tiện ích dòng lệnh DevCon. Có thể

tải DevCon về từ trang trợ giúp của Microsoft. Để có thêm thông tin, bạn hãy xem các chức năng

tiện ích dòng lệnh DevCon tại website của Microsoft

(http://go.microsoft.com/fwlink/?LinkId=56391).

Bạn có thể tìm thêm các thông tin chi tiết về tiện ích DevCon và hoạt động của nó trong trang

Microsoft Developer Network (MSDN). Để có thêm thông tin xem “DevCon” tại địa chỉ website

của Microsoft.

Cú pháp cụ thể cần thiết để sử dụng DevCon để quyết định ID phần cứng của bạn cũng có trên

MSDN. Để có thêm thông tin chi tiết bạn hãy xem “DevCon HwIDs” tại website của Microsoft.

3, Gỡ bỏ cài đặt cho ổ nhớ USB

http://go.microsoft.com/fwlink/?LinkId=56391



Trong sử dụng hàng ngày đối với ổ flash, bạn có thể kéo ổ flash này ra khỏi cổng USB. Trong

hướng dẫn này bạn phải gỡ bỏ cài đặt phần mềm cài đặt để bảo đảm các kịch bản được bắt đầu

với máy tính trong trạng thái phù hợp. Nếu thất bại trong việc gỡ bỏ cài đặt và tháo thiết bị thì

các chính sách được kiểm tra trong kịch bản dưới đây sẽ không có hiệu quả và bạn sẽ không nhìn

thấy các kêt quả như mong đợi. Sử dụng các bước như vậy xuyên suốt hướng dẫn này khi bạn

trực tiếp gỡ bỏ cài đặt và tháo thiết bị ra.

Quan trọng

Không hủy bỏ kết nối vật lý đối với thiết bị của bạn ra khỏi cổng USB cho tới khi thực hiện bước

cuối cùng.

Gỡ bỏ cài đặt driver của USB

1. Đăng nhập và máy tính DMI-Client1\TestAdmin.

2. Mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search, và

nhấn ENTER.

3. Nếu hộp thoại User Account Control xuất hiện, hãy xác nhận hành động đang thực hiện là

được phép, sau đó nhấn Continue.

4. Kích chuột phải vào mục ổ nhớ USB, sau đó kích Uninstall.

5. Trong hộp thoại Confirm Device Removal, kích OK để cho phép quá trình gỡ bỏ cài đặt

hoàn tất.

6. Khi Windows hoàn thành xong quá trình gỡ bỏ cài đặt, nó gỡ bỏ được mục thiết bị ra khỏi cây

danh mục trong Device Manager.



7. Rút USB của bạn ra khỏi cổng USB.

Theo quantrimang

4 Group Policy phần 4 – Ngặn chặn cài đặt tất cả các thiết bị

Kịch bản này giới thiệu các bước điển hình được yêu cầu để thực hiện hầu hết cấu hình hạn chế,

nơi mà sự cài đặt thiết bị bị ngăn chặn và các thiết bị đang tồn tại không thể được nâng cấp phần

mềm cài đặt mới. Người dùng sẽ không thể cài đặt thiết bị và sử dụng nó mà không có sự can

thiệp của quản trị viên. Các quản trị viên có thể cài đặt hoặc nâng cấp thiết bị nếu cần.

Điều kiện quyết định cho việc ngăn chặn cài đặt tất cả thiết bị

Để thực hiện các thủ tục trong kịch bản này, bạn phải gỡ bỏ cài đặt ổ nhớ USB như đã mô tả

trong phần trước của hướng dẫn này.

Các bước thực hiện việc ngăn chặn này

Bước 1: Cấu hình chính sách ngăn chặn cài đặt đối với bất kỳ thiết bị nào

Cấu hình chính sách ngăn chặn cài đặt hoặc nâng cấp đối với các thiết bị

1. Đăng nhập vào máy tính như DMI-Client1\TestAdmin.

2. Mở Group Policy Object Editor, kích nút Start, đánh mmc gpedit.msc trong hộp Start

Search, và sau đó nhấn ENTER.

3. Nếu hộp thoại User Account Control xuất hiện, hãy xác nhận rằng hoạt động đang hiển thị là

những gì bạn muốn, sau đó nhấn Continue để tiếp tục.

4. Trong cửa sổ trình soạn thảo Group Policy Object Editor, kích đúp vào Computer

Configuration để mở. Sau đó mở Administrative Templates > System > Device Installation >

Device Installation Restrictions.




5. Trong cửa sổ chi tiết, kích chuột phải vào Prevent installation of devices not described by

other policy settings, chọn Properties.

Hộp thoại chính sách xuất hiện với các thiết lập hiện thời của nó.

6. Trên tab Setting, bạn kích Enabled để vào chính sách.

7. Kích OK để lưu các thiết lập của bạn và quay trở lại Group Policy Object Editor.

Bước 2: Cấu hình chính sách cho phép các quản trị viên có thể ghi đè trong việc cài đặt thiết

bị

Chính sách tiếp theo cho phép các quản trị viên có thể ghi đè lên những hạn chế được áp đặt đối

với các thiết lập chính sách cài đặt thiết bị, gồm có chính sách bạn vừa kích hoạt.

Cấu hình chính sách cho phép các quản trị viên ghi đè

1. Trong cửa sổ chi tiết, kích chuột phải vào Allow administrators to override device

installation policy, sau đó kích vào Properties.

Hộp thoại chính sách xuất hiện cùng với các thiết lập hiện hành của nó.

2. Trong tab Setting, kích Enabled để vào thiết lập chính sách.

3. Kích OK để lưu thiết lập của bạn và quay trở về Group Policy Object Editor.

Cả hai chính sách bây giờ thể hiện trạng thái được kích hoạt của chúng.



4. Đóng Group Policy Object Editor.

Bước 3: Kiểm tra tác động của các thiết lập hạn chế đối với người dùng

Với cả hai chính sách được kích hoạt, bạn có thể áp dụng chúng cho máy tính và cố gắng cài đặt

thiết bị để xem các hạn chế mà bạn thiết lập làm việc thế nào

Kiểm tra kết quả thu được đối với người dùng

1. Nếu thiết bị của bạn được cài đặt, để gỡ bỏ cài đặt, thực hiện theo các bước trong phần “Gỡ bỏ

cài đặt ổ nhớ USB” trong phần trước của tài liệu này.

2. Kích vào nút Start, đánh gpupdate /force trong hộp Start Search sau đó nhấn ENTER.

3. Khi lệnh GPUdate kết thúc, log off máy tính của bạn, sau đó đăng nhập như DMI-

Client1\TestUser.

4. Để mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search,

sau đó nhấn ENTER.

Thông báo dưới đây sẽ xuất hiện cho biết rằng bạn không có quyền tạo bất kỳ thay đổi nào trong

Device Manager

5. Kích OK để thừa nhận thông báo.



Device Manager bắt đầu và bạn có thể xem được các thiết bị trong máy tính.

6. Cắm ổ USB của bạn vào

Cho tới khi sự cài đặt được hoàn tất, thiết bị sẽ xuất hiện trong Device Manager dưới nút Other

devices

7. Vì bạn đã đăng nhập như một người dùng chuẩn không có các quyền quản trị viên và sự cài

đặt thiết bị bị giới hạn, do đó xuất hiện hộp thoại sau:



8. Để mô phỏng sự đáp trả đối với người dùng điển hình, kích Locate and install driver

software (recommended).

Một biến thể của hộp thoại User Account Control xuất hiện yêu cầu bạn cấp tên người dùng và

password cho tài khoản có quyền quản trị viên.

9. Vì người dùng không có quyền quản trị viên nên kích Cancel để bỏ qua.

Việc cài đặt bộ cài thất bại và thiết bị duy trì dưới nút Other devices không có tác dụng.



Theo quantrimang

5 Group Policy phần 5 – Cho phép người dùng chỉ cài đặt các thiết bị đã

được phép

Kịch bản này được xây dựng dựa trên kịch bản trước -”Ngăn chặn cài đặt tất cả các thiết bị” –

khi bạn ngăn chặn cài đặt bất kỳ thiết bị nào. Trong kịch bản này, bạn thêm một danh sách các

thiết bị được cho phép vào chính sách và gồm có ID phần cứng cho ổ nhớ USB.

Mức ưu tiên của việc cho phép người dùng chỉ cài đặt các thiết bị đã được phép

Để thực hiện nhiệm vụ này, bạn phải thực hiện được tất cả các bước trong kịch bản đầu tiên,

Ngăn chặn cài đặt tất cả thiết bị.

Các bước cho phép người dùng cài đặt các thiết bị được phép

Trong phần này, bạn thêm các thiết bị được cho phép vào hạn chế được áp đặt trong phần trước

bằng các tạo một danh sách các thiết bị được phép cài đặt.

Bước 1: Tạo một danh sách các thiết bị được phép cài đặt

Tạo một danh sách cách thiết bị được cho phép cài đặt

1. Đăng nhập vào máy tính như DMI-Client1\TestAdmin.

2. Nếu thiết bị của bạn hiện thời đã được cài đặt, hãy gỡ bỏ cài đặt nó.

3. Để mở Group Policy Object Editor, kích nút Start, đánh mmc gpedit.msc trong hộp Start

Search, sau đó nhấn ENTER.





4. Trong cửa sổ Group Policy Object Editor, kích đúp Computer Configuration để mở nó. Sau

đó mở Administrative Templates > System > Device Installation> Device Installation

Restrictions.

5. Trong cửa sổ chi tiết, kích chuột phải vào Allow installation of devices that match any of

these device IDs, sau đó kích Properties.

Hộp thoại chính sách xuất hiện với các thiết lập hiện tại của nó.

6. Trên tab Setting, kích Enabled để bật chính sách này

7. Kích Show để xem danh sách các thiết bị được cho phép trong hộp thoại Show Contents

Mặc định, danh sách này là chưa có gì

8. Kích Add để mở hộp thoại Add Item.

9. Nhập vào ID thiết bị (ID phần cứng thiết bị trước) cho thiết bị của bạn.



10. Kích OK để quay trở về hộp thoại Show Contents.

Thiết bị của bạn bây giờ xuất hiện trong danh sách.

11. Kích OK để quay trở về hộp thoại chính sách.

12. Kích OK để lưu thiết lập chính sách mới của bạn.

Bước 2: Kiểm tra danh sách các thiết bị được cho phép

Với thiết lập chính sách vừa cho phép, bạn có thể áp dụng nó cho máy tính và thử cài đặt thiết bị.

Kiểm tra danh sách các thiết bị được cho phép

1. Kích nút Start, đánh gpupdate /force trong hộp Start Search, sau đó nhấn ENTER.

2. Khi lệnh “gpudate” được thực hiện, log off máy tính, sau đó đăng nhập vào như DMI-

Client1\TestUser.

3. Để mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search,

sau đó nhấn ENTER.



Thông báo dưới đây sẽ xuất hiện, thông báo này chỉ thị rằng bạn không có quyền thực hiện bất

cứ thay đổi nào trong Device Manager.

4. Kích OK để đóng thông báo này.

Device Manager bắt đầu và bạn có thể xem được các thiết bị trong máy tính.

5. Cắm USB của bạn vào

Thiết bị xuất hiện trong Device Manager nằm trong nút Other devices cho tới khi Windows

hoàn thành xong việc cài đặt.

6. Sau khi Windows hoàn tất việc cài đặt, thiết bị chuyển sang nút Disk Drives trong Device

Manager và có các chức năng đầy đủ.



Theo quantrimang

6 Group Policy phần 6 – Ngăn chặn cài đặt các thiết bị muốn ngăn cấm

Kịch bản này giới thiệu cho bạn một cách kiểm soát khác về việc cài đặt thiết bị. Trong phần

trước, bạn đã ngăn chặn cài đặt cho tất cả ngoại trừ các thiết bị được cho phép trong một danh

sách thiết bị được cài đặt. Trong kịch bản này, bạn sẽ cho phép cài đặt tất cả các thiết bị ngoại trừ

thiết bị có trong danh sách bị hạn chế. Bạn cũng gỡ bỏ sự ngoại trừ cho quản trị viên đã tạo trong

kịch bản trước để làm cho quản trị viên có thể cũng bị ảnh hưởng bởi chính sách.

Điều kiện quyết định cho việc ngăn chặn cài đặt các thiết bị muốn ngăn cấm

Nếu bạn đã thực hiện các bước “Ngăn chặn cài đặt tất cả các thiết bị” và “Cho phép người dùng

chỉ cài đặt được các thiết bị cho phép” trong các phần trước, bạn phải vô hiệu hóa các chính sách

này bằng sử dụng các bước dưới đây:

Kích hoạt cài đặt đối với tất cả các thiết bị


2. Để mở Group Policy Object Editor, kích nút Start, đánh mmc gpedit.msc trong hộp Start

Search, sau đó nhấn ENTER.

3. Trong cửa sổ Group Policy Object Editor, kích đúp vào Computer Configuration để mở nó.

Sau đó mở Administrative Templates > System > Device Installation > Device Installation

Restrictions.

4. Trong cửa sổ chi tiết, kích chuột phải vào nút Prevent installation of devices not described

by other policy settings, sau đó kích Properties.

Hộp thoại chính sách xuất hiện với các thiết lập hiện hành của nó.




5. Kích Disabled để tắt bỏ thiết lập chính sách.

6. Kích OK đề lưu thiết lập của bạn và quay trở về Group Policy Object Editor.

Bước tiếp theo là gỡ bỏ chính sách đã đồng ý loại trừ các thành viên trong nhóm quản trị viên.

Gỡ bỏ ngoại lệ cho quản trị viên đối với các hạn chế của Group Policy

1. Trong Group Policy Object Editor, kích chuột phải vào Allow administrators to override

device installation policy, sau đó chọn Properties.

Hộp thoại chính sách xuất hiện với các thiết lập hiện hành của nó.

2. Trên tab Setting, kích Disabled để tắt thiết lập chính sách.

3. Kích OK để lưu thiết lập của bạn và quay trở về Group Policy Object Editor.

Các bước tiếp theo là gỡ bỏ ID phần cứng từ danh sách các thiết bị được phép cài đặt mà bạn đã

tạo trong kịch bản thứ hai.

Gỡ bỏ ID phần cứng trong danh sách các thiết bị được phép

1. Trong Group Policy Object Editor, kích Allow installation of devices that match any of

these device IDs, sau đó chọn Properties.

Hộp thoại chính sách xuất hiện với các thiết lập hiện hành.

2. Trong tab Setting, kích Show để xem danh sách các thiết bị được cài đặt.

3. Trong hộp thoại Show Contents, chọn tên của phần cài đặt USB sau đó nhấn Remove.

Windows sẽ gỡ thiết bị của bạn ra khỏi danh sách.

4. Kích OK để đóng hộp thoại Show Contents và trở về hộp thoại chính sách.

5. Kích Disabled để tắt thiết lập chính sách.

6. Kích OK để lưu các thay đổi của bạn và trả về Group Policy Object Editor.

Các bước ngăn chặn cài đặt thiết bị muốn không ngăn cấm

Để ngăn chặn người dùng cài đặt các thiết bị cụ thể nào đó, bạn tạo ra một danh sách các thiết bị

bị ngăn cấm. Trong kịch bản này, bạn sẽ:

Bước 1: Tạo một danh sách các thiết bị muốn ngăn cấm



Tạo một danh sách các thiết bị muốn ngăn cấm

1. Nếu thiết bị của bạn hiện đã được cài đăt, hãy gỡ bỏ cài đặt của nó.


3. Vào Group Policy Object Editor bằng cách kích nút the Start, đánh mmc gpedit.msc trong

hộp Start Search, sau đó nhấn ENTER.

4. Trong giao diện hình cây, kích đúp vào Computer Configuration để mở nó. Sau đó mở

Administrative Templates > System > Device Installation > Device Installation Restrictions.

5. Trong cửa sổ chi tiết, kích chuột phải vào Prevent installation of devices that match these

device IDs, sau đó nhấn Properties.

Hộp thoại chính sách sẽ xuất hiện các thiết lập hiện hành của nó.

6. Trong tab Setting, nhấn Enabled để bật chính sách này.



7. Kích vào Show để xem danh sách các thiết bị được ngăn chặn.

8. Trong hộp thoại Show Contents, kích Add.

9. Trong hộp thoại Add Item, đánh ID thiết bị (ID thiết bị đầu tiên) mà bạn tìm thấy cho thiết bị

của bạn.

10. Kích OK để quay trở về hộp thoại Show Contents.

Thiết bị của bạn bây giờ xuất hiện trong danh sách.

11. Kích OK để quay trở về hộp thoại chính sách.

12. Kích OK để lưu thiết lập chính sách mới.

Bước 2: Kiểm tra danh sách các thiết bị muốn ngăn cấm

Giờ bạn hãy thử cài đặt thiết bị. Bạn có thể cài đặt các thiết bị khác mà chính sách ngăn chặn

không tác động tới, nhưng không thể cài đặt một số thiết bị đặc biệt thậm chí cả khi bạn đăng

nhập với quyền thành viên của nhóm quản trị.

Kiểm tra danh sách các thiết bị muốn ngăn cấm

1. Kích nút Start, đánh gpupdate /force trong Start Search, sau đó nhấn ENTER.

2. Khi lệnh “gpudate” được thực hiện xong, đóng cửa sổ lệnh.

3. Để mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search, sau

đó nhấn ENTER.



4. Cắm USB của bạn vào

Thiết bị xuất hiện trong Device Manager dưới nút Other devices.

Sự cài đặt không được hoàn tất, và thiết bị của bạn không hoạt động.

5. Windows hiển thị một thông báo để đưa ra lý do tại sao sự cài đặt bị hỏng:

6. Bạn có thể cố gắng vượt qua sự hạn chế theo cách cài đặt thủ công cho thiết bị: kích chuột

phải vào thiết bị, sau đó nhấn Update Driver Software.

7. Bạn phải cung cấp cho hệ điều hành bộ cài cho thiết bị.



8. Để mô phỏng những gì người dùng có thể thực hiện, bạn kích vào Search automatically for

updated driver software.

Một thông báo sẽ xuất hiện thông báo rằng Windows không thể cài đặt bộ cài này. Đoạn cuối của

thông báo giải thích lý do tại sao không được cài đặt bì nó bị cấm bởi chính sách mà bạn đã tạo.



9. Kích Close.

Theo quantrimang

7 Group Policy phần 7 – Kiểm soát việc đọc và ghi lên các thiết bị

di động

Kịch bản này giới thiệu cách bạn có thể kiểm soát việc đọc, ghi đối với các thiết bị di động

trên máy tính đang chạy Windows Vista và Windows Server 2008. Trong kịch bản này,

bạn phải thiết lập Group Policy để cho USB ở chế độ chỉ đọc. Bạn cũng có thể thiết lập

Group Policy để cho các ổ CD, DVD của máy tính ở chế độ chỉ đọc bằng cách vô hiệu hóa

chức năng ghi.

Các điều kiện quyết định

Trước khi có thể thử các thủ tục trong phần này, bạn phải vô hiệu hóa chính sách ngăn chặn cài

đặt các ổ USB.

Vô hiệu hóa chính sách ngăn chặn cài đặt các ổ USB





1. Nếu thiết bị của bạn hiện đã được cài đặt, hãy gỡ bỏ cài đặt nó.

2. Trong cửa sổ chi tiết của Group Policy Object Editor, kích Prevent installation of devices

that match these device IDs, sau đó kích Properties.

Hộp thoại chính sách sẽ xuất hiện với các thiết lập hiện hành của nó.

3. Trên tab Settings, kích Show để xem danh sách các thiết bị bị ngăn cấm

4. Trong hộp thoại Show Contents, kích vào ổ nhớ USB, chọn Remove sau đó kích OK.

5. Trong tab Setting, kích Disabled để tắt thiết lập chính sách này.

6. Kích OK để lưu thay đổi của bạn.

Các bước kiểm soát việc đọc, ghi đối với thiết bị di động

Bước 1: Thiết lập chính sách máy tính để từ chối việc ghi đối với các lớp thiết bị di động

Các chính sách mà bạn thiết lập trong thủ tục này sẽ khóa không cho phép ghi đối với nhiều thiết

bị lưu trữ di động. Mặc dù vậy, chính xác nó khóa việc ghi lên các thiết bị có thể thay đổi dựa

vào cấu tạo cụ thể và mô hình thiết bị. Bạn cũng có thể sử dụng chính sách Custom Classes,

nhưng nó yêu cầu bạn phải chỉ ra GUID lớp cài đặt thiết bị cho thiết bị cụ thể.

Từ chối việc ghi đối với các lớp thiết bị di động

1. Trong Group Policy Object Editor, mở Computer Configuration > Administrative

Templates > System > Removable Storage Access.

2. Kích chuột phải vào CD and DVD: Deny write access sau đó kích Properties.

3. Trong hộp thoại Properties, kích Enabled để bật sự hạn chế sau đó kích OK.

4. Lặp lại các bước 2 và 3 cho các chính sách dưới đây:

Removable Disks: Deny write access

Floppy Drives: Deny write access

WPD Devices: Deny write access

5. Đóng Group Policy Object Editor.

Bước 2: Kiểm tra các thiết lập chính sách máy tính của bạn

Nếu thiết bị đang được sử dụng, việc hạn chế ghi không thể được thi hành ngay lập tức. Để áp

dụng chính sách đó bạn phải khởi động lại máy tính.



Kiểm tra các thiết lập

1. Kích nút Start, đánh gpupdate /force trong hộp Start Search, sau đó nhấn ENTER.

2. Khi lệnh “gpudate” được thực hiện, khởi động lại máy tính của bạn.


4. Cắm USB, sau đó đợi cho đến khi Windows đưa ra thông báo rằng nó đã hoạt động.

5. Kích Start > Computer, sau đó kích đúp vào ổ USB

6. Trong Windows Explorer, kích chuột phải vào vùng mở của cửa sổ chi tiết, kích New, sau đó

kích Folder.

Windows sẽ hiển thị thông báo lỗi giải thích tại sao việc tạo thư mục gặp lỗi.

7. Kích Continue

8. Nếu hộp thoại User Account Control xuất hiện, bạn hãy xác nhận rằng hoạt động đang thực

hiện là hợp lệ, sau đó nhấn Continue.

9. Windows sẽ hiển thị ra một thông báo thứ hai chỉ thị lý do không thể ghi cho thư mục đó.



10. Kích Cancel để đóng hộp thoại.

Kết luận

Trong hướng dẫn này bạn đã sử dụng một thiết bị mẫu trong môi trường thí nghiệm để học về

cách kiểm soát người dùng có được cài đặt thiết bị hay không. Bạn cũng được học về cách hạn

chế truy cập đối với các thiết bị lưu trữ di động. Việc kiểm soát cài đặt và sử dụng thiết bị theo

cách này sẽ làm tăng tính bảo mật và nâng cao hiệu quả vai trò trợ giúp bằng cách hạn chế các

thiết bị mà người dùng có thể cài đặt vào tổ chức của bạn.

Theo quantrimang

Technology

Chuyên đề group policy