Действительно — эти удобные USB-диски и съемные носители определенно делают повседневную жизнь проще, а профессиональную усложняют. adidas zx 750 Необходим способ контроля, позволяющий определить,
какие устройства можно использовать, а какие нельзя. К счастью, групповые политики в ОС Windows Vista™ и следующей версии сервера Windows Server® под кодовым именем «Longhorn» позволяют разрешить применение USB-мышей и одновременно запретить USB-накопители флэш-памяти; разрешить чтение CD-ROM, но запретить запись DVD; разрешить Bluetooth и запретить PCMCIA.
Управлением оборудованием заведуют два раздела групповой политики: Конфигурация компьютера — Административные шаблоны — Система — Доступ к съемным запоминающим устройствам (рис. 1) и Конфигурация компьютера — Административные шаблоны — Система — Установка устройств — Ограничения на установку устройств.
Рис. 1 Предопределенные ограничения использования оборудования в групповых политиках Название первого набора — доступ к съемным запоминающим устройствам — говорит само за себя. Если включить эту политику для некоего вида съемных устройств (CD или DVD, дискеты и т.п.), можно ограничить операции чтения или записи для всего класса устройств. Но у этих политик нет богатства возможностей набора «Ограничения на установку устройств». В «Доступе к съемным запоминающим устройствам» есть такие группы настроек политики: «Специальные классы: запретить чтение» и «Специальные классы: запретить запись». Выглядит полезно, но политика доступа к съемным устройствам не может предотвратить установку драйверов устройств — к моменту обнаружения оборудования драйвер уже установлен. Запрещается только чтение с устройства или запись на него. В следующем разделе, рассматривая настройки политики «Ограничения на установку устройств», мы увидим, как ограничить использование и драйвера тоже.
Самое главное — знать, что именно нужно ограничить. Ограничить широко или ограничить точечно. Можно внести ограничения в целый «класс» из многих устройств, а можно наложить сверхточный запрет только на одно из них. А можно наоборот, разрешить только отдельные устройства, например USB-мыши. Но есть проблема: ограничиваемое оборудование нужно уметь распознавать. Так что, сказав «Устанавливать драйверы джойстиков нельзя» и «А можно только USB-мыши», следует уметь определять, что начинается установка джойстика или USB-мыши. Можно использовать Интернет для поиска кода устройства (Hardware ID), совместимого кода (Compatible ID) или класса устройства. А можно просто использовать само устройство — подключить его к компьютеру и посмотреть его код, совместимый код и класс. Зная их, запретить или разрешить устройство нетрудно. Давайте, для примера, ограничим использование семейства звуковых карт Creative AutoPCI ES1371/ES1373. Если нужно запретить что-то другое (конкретные USB-устройства, USB-порты и т.п.), делайте все то же, только заменив коды устройств на свои. Nike Air Max 90 Запустим диспетчер устройств на машине, где искомое оборудование уже установлено. Найдя в нем нужное устройство, щелкаем его правой кнопкой мыши и выбираем пункт «Свойства» а затем вкладку «Сведения». По умолчанию выбран пункт «Описание устройства». Air Max 1 Интересно, но не полезно. В раскрывающемся списке свойств выберем пункт «Коды (ID) оборудования» (рис. 2).
Рис. 2 Вкладка «Сведения» Появившийся список кодов упорядочен от наиболее точно соответствующих устройству до наименее точно соответствующих. На первой строчке можно увидеть, что конкретно эта звуковая карта — ревизия 2 модели ES1371. Точнее некуда. При движении по списку вниз коды будут все менее точными, вплоть до охватывающих все семейство продуктов. Но можно еще выбрать пункт «Совместимые коды (ID)». Они тоже описывают устройство, хотя и менее точно, чем предыдущие. С помощью совместимых кодов можно составить список похожего оборудования и запретить его разом — поскольку точность ниже, совпадений будет больше. С другой стороны, так под запретом может оказаться что-то нужное. Ну и, наконец, наименее точная категория — пункт «Класс устройства». В случае с нашей звуковой картой это просто «Media». Таким классом обладает масса устройств, так что, повторюсь, чем менее точно вы определяете запрет, тем более предусмотрительным следует быть. Trolleys Mammut Выбрав, какое значение использовать для указания устройства, щелкнем его правой кнопкой мыши, выберем «Копировать» и сохраним текст в блокноте. Это нужно сделать потому, что на следующих шагах значение потребуется вводить в точности так, как оно представлено. Все буквы верхнего регистра должны остаться в верхнем, а нижнего — в нижнем.
Если для извлечения кодов и классов устройств вам удобнее командная строка, используйте программу Devcon, доступную на узле support.microsoft.com/kb/311272. Обратите также внимание, что корпорация Майкрософт опубликовала список идентификаторов для распространенных классов, который можно использовать, если нет доступа к самому устройству. См. go.microsoft.com/fwlink/?LinkId=52665.
Хотя дальше мы рассмотрим все настройки политик раздела Конфигурация компьютера — Административные шаблоны — Система — Установка устройств — Ограничения на установку устройств, показанного на рис. 2, только одна из них нужна для завершения нашего первого примера. Создадим объект групповой политики (GPO) и свяжем его с подразделением (OU) или с доменом и т.д., который включает целевые компьютеры под управлением Windows Vista. Начав редактирование этого объекта, пройдем в «Конфигурация компьютера — Административные шаблоны — Система — Установка устройств — Ограничения на установку устройств — Запретить установку устройств с указанными кодами устройств». В настройках политики выберем «Включено», там же нажмем «Показать» и диалоговом окне «Вывод содержания» нажмем «Добавить». В диалоговое окно «Добавление элемента» скопируем ранее сохраненные данные (рис. 3). nike air max rose
Рис.34 Вставка точного кода устройства Еще момент. Если устройство уже установлено, оно не будет чудесным образом удалено и запрещено. Так что ограничивать доступ к оборудованию нужно на ранних стадиях развертывания Windows Vista. Однако при этом Windows Vista будет проверять политику доступа при каждом удалении и повторной установке устройства. asics gel lyte iii femme Отличный пример — USB-накопители (их регулярно вставляют и вытаскивают). Поскольку проверка будет произведена только при повторном появлении устройства, ограничения доступа будут наложены тогда же (даже если драйвер устройства на компьютере уже присутствует). Сложнее с устройствами, которые поставляются вместе с компьютером и не удаляются (а потому и не устанавливаются повторно). Выход из подобной ситуации уже требует размышлений. При включении компьютера, который еще ничего не знает об устанавливаемом устройстве, Windows попытается установить драйвер и будет отображать ход выполнения этой задачи. Если включена политика, ограничивающая такие устройства, будет достигнут результат.
Выше мы запретили только одно устройство. Если бы мы хотели, мы бы могли пойти обратным путем — по умолчанию запретить все устройства и затем разрешить только нужные. Список нужных настроек групповых политик уже был приведен на рис. 2 — это ветка Конфигурация компьютера — Административные шаблоны — Система — Установка устройств — Ограничения на установку устройств. spyder pants sale Доступно несколько вариантов. Прежде всего это пункт «Разрешить администраторам игнорировать политики ограничения установки устройств». По умолчанию локальные администраторы в Windows Vista подпадают под действие таких ограничений. Если же включить эту политику, они смогут не обращать внимания на ограничения и устанавливать любое оборудование. Затем — «Разрешить установку устройств с использованием драйверов, соответствующих этим классам установки устройств». Устройства, чьи описания перечислены в этой политике, явно разрешены к установке в системе. Обратите внимание, что вводятся классы установки, а не коды устройств, как в примере выше. Обратный эффект достигается политикой «Запретить установку устройств с использованием драйверов, соответствующих этим классам установки устройств». Две настройки — «Отображать специальное сообщение, когда установка запрещена политикой (текст всплывающего уведомления)» и «Отображать специальное сообщение, когда установка запрещена политикой (заголовок всплывающего сообщения)» — позволяют использовать собственное сообщение вместо системного (рис. 5). Canada Goose Homme Как было упомянуто выше, самый неточный способ указать нужное оборудование — использование классов. Следует отметить, что политика «Разрешить установку устройств, соответствующих какому-либо из этих кодов устройств» не воспринимает коды классов.
Tags: Windows Vista