Monday, December 11th, 2017

Использование групповых политик для управления менеджером устройств в Windows Longhorn (Часть 1)

Published on Февраль 20, 2009 by   ·   Комментариев нет

В этой статье я расскажу вам о том, как контролировать доступ к устройствам с помощью политики групп (group policy) на сервере Longhorn Server.

Если вы хотите ознакомиться с остальными частями этой статьи, то, пожалуйста, прочитайте: Использование групповых политик для управления менеджером устройств в Windows Longhorn (Часть 2).

Один из очень важных аспектов, относительно безопасности Windows security, всегда был контроль доступа пользователя к аппаратному обеспечению на его рабочей станции. Несколько лет назад некоторые компании, которые особенно сильно заботились о безопасности, удалили CD-ROM и флоппи дисководы из рабочих станций. Однако на сегодняшний день USB порты являются еще большей угрозой. Большинство электронных магазинов продают USB адаптеры для жестких дисков, которые позволяют внешне использовать жесткие диски. Это значит, что любой пользователь может подключить внешний жесткий диск и скопировать все данные, к которым у него есть доступ. Я знаю компании, которые отключили или физически повредили USB порты на рабочих станциях, для того чтобы избежать такого вторжения.

Если вам не нравится идея повреждения аппаратного обеспечения на рабочей станции, то тогда для вас существует большое количество продуктов сторонних производителей, которые спроектированы для того, чтобы помочь ограничить доступ пользователя к аппаратному обеспечению рабочей станции. Однако, в сервере Longhorn Server вы можете выполнять управление устройствами с помощью политик групп (group policy).

Имеющиеся настройки политики групп (Group Policy)

Сервер Longhorn Server предлагает несколько различных настроек для политик групп (group policy), которые можно использовать для контроля использования устройств на рабочих станциях. Если вы откроете редактор политики групп (Group Policy Editor), то вы можете найти настройки, касающиеся установки устройств в Computer Configuration | Administrative Templates | System | Device Installation | Device Installation Restrictions. На рисунке 1 показаны имеющиеся настройки политики групп (group policy). Однако, перед тем, как я начну рассказывать о конкретных настройках политики групп, я должен упомянуть о том, что эти настройки эффективны только на компьютере, работающем под управлением операционной системы Windows Vista или Longhorn Server. Их нельзя использовать для блокирования устройств на компьютерах, работающих под управлением операционной системы Windows XP.

Device setup class device hardware id

Рисунок 1: Это имеющиеся настройки политики групп, касающиеся установки устройств

Теперь, когда вы знаете какие существуют настройки для политики групп, я хочу уличить момент и поговорить о том, для чего используется каждая из настроек. Назначение первой настройки из списка интуитивно понятно из ее названия. Настройка Allow Administrators to Override Device Installation Policy (разрешить администратору преобладать над политикой установки устройств) позволяет любому человеку, который является членом группы локальных администраторов (Local Administrators) изменять любые, установленные вами политики установки устройств.

Следующая настройка в списке – это Allow Installation of Devices Using Drivers for These Device Classes (разрешить установку устройств с помощью драйверов для устройств этого типа). Это более сложный способ выразить ограничение устройств по категориям. Класс устройства (device class) – это то же самое, что и категория устройства (device category). Если вы когда-нибудь открывали менеджер устройств (Device Manager), то вы, вероятно, заметили, что устройства сгруппированы по категориям, что можно увидеть на рисунке 2.

Windows менеджер устройств

Рисунок 2: Менеджер устройств (Device Manager) группирует устройства по категориям

Это объединение по категориям гораздо более значительно, чем вы сперва можете подумать. Каждый класс устройств – это группа устройств, которые устанавливаются и настраиваются одинаковым способом. Устройства внутри одного класс используют при установки один и тот же установщик.

Причина, почему это важно, заключается в том, что каждое устройство имеет свой уникальный номер (Globally Unique Identifier — GUID), который идентифицирует устройство для остальной системы. Дополнительно к этому, каждое устройство также имеет GUID, который соответствует его классу. Этот GUID позволяет Windows узнать, что это за устройство, как операционная система должна взаимодействовать с этим устройством. Если вы можете выяснить номер GUID устройства, то вы можете предоставить или запретить использование устройства внутри этого класса устройств (device class).

Конечно, настоящий фокус заключается в определении GUID класса устройств. Чтобы это сделать, откройте менеджер устройств (Device Manager) и нажмите правой кнопкой мыши на устройстве внутри класса, для которого вы хотите узнать GUID. Выберите команду Properties из выпадающего меню и вы увидите таблицу свойств для выбранного устройства. Теперь перейдите к закладке Details и выберите настройку Device Class GUID из выпадающего списка, как показано на Рисунке 3.

Windows менеджер устройств

Рисунок 3: Вы можете узнать GUID класса устройства из таблицы свойств устройства

Теперь вернитесь в редактор политики группы (Group Policy Editor), дважды щелкните на настройку Allow Installation of Devices Using Drivers for These Device Classes setting. После того, как вы сделает это, появится диалоговое окно, как показано на Рисунке 4.

Менеджер устройств Windows

Рисунок 4: Это диалоговое окно содержит кнопку Show, которую вы можете использовать для просмотра разрешенных классов устройств

Эта настройка подразумевает, что вы выполнили установку основных устройств, но вы хотите разрешить установку одного или нескольких особых классов устройств (device classes). Если вы нажмете на кнопку Show, то вы увидите список классов устройств, которые в настоящее время являются исключениями для ограничений по установке. Конечно, по умолчанию в этом списке не должны присутствовать никакие устройства. Поэтому, нажмите на кнопку Add у вас появится возможность для ввода GUID класса устройств, выбранного вами. Нажмите на кнопку OK три раза, для того чтобы закрыть различные диалоговые окна и вы все установили.

Я только что показал вам, как разрешить установку устройств, основываясь на их классе. Однако, вы также можете сделать противоположное действие. Следующая настройка политики групп (group policy) из списка – это Prevent Installation of Drivers Matching these Device Setup Classes (запретить установку устройств, входящих в этот класс). Эта политика групп (group policy) работает точно также, как и та, что я показал вам выше, за исключением, что вы используете ее для запрещения установки устройств из этого класса.

Следующие две имеющиеся настройки политики групп — это Allow (prevent) Installation of Devices that Match any of these Device IDs (разрешить (запретить) установку устройств, которые соответствуют этим ID). Когда мы работаем с классами устройств (device class), то мы должны полагаться на использование GUID. Однако, существуют GUID класса устройств, которые по некоторым причинам не используются в соответствующих настройках политик групп. Вместо этого они используют «plug and play ID» устройства.

Вы можете узнать «plug and play ID» устройства, щелкнув правой кнопкой мыши на устройстве в менеджере устройств (Device Manager) и выбрав команду Properties из выпадающего меню, которая в свою очередь откроет таблицу свойств устройства. В окне свойств устройства перейдите к закладке Details и выберите настройку Hardware IDs из выпадающего списка Property. Hardware IDs выглядит, как представлено на рисунке 5.

Менеджер устройств Windows

Рисунок 5: Вы можете использовать менеджер устройств (Device Manager) для получения доступа к hardware ID устройства

Как вы можете увидеть на рисунке, это нормально, чтобы устройство имело несколько hardware IDs. К тому же, иногда одно физическое устройство будет представлено в списке в виде нескольких логических устройств. Звуковая плата (Sound card) – это классический пример такого устройства. Звуковая плата имеет свой собственный hardware IDs, но то же самое происходит с другими логическими устройствами, которые представляю звуковую плату. Не важно, разрешаете ли вы или запрещаете установку устройства, очень важно добавить в список все hardware Ids устройства.

Для процесса разрешения или запрещения установки устройства, просто дважды щелкните на соответствующей настройке политики групп, и вы увидите диалоговое окно , похожее на то, что представлено на рисунке 6. Как вы можете увидеть на рисунке, это диалоговое окно идентично тому, что мы видели, когда говорили о классах устройств (device classes), за исключением того, что в этом примере оно изменилось для отображения hardware ID устройства.

Классы устройств

Рисунок 6: Это диалоговое окно, связанное с вводом ID аппаратного обеспечения

Заключение

Как вы могли увидеть, новые политики групп (group policy), касающиеся установки устройств, очень мощные. Во второй части я расскажу об остальных настройках политик групп, а также покажу, как их использовать.

www.windowsnetworking.com


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]