Thursday, November 23rd, 2017

Использование групповых политик для управления менеджером устройств в Windows Longhorn (Часть 2)

Published on Февраль 20, 2009 by   ·   Комментариев нет

Во второй части этой серии статей мы обсудим, как контролировать доступ к устройствам с помощью политики групп в операционной системе Longhorn Server.

Если вы хотите ознакомиться с остальными частями этой статьи, то, пожалуйста, прочитайте: Использование групповых политик для управления менеджером устройств в Windows Longhorn (Часть 1).

В первой части этого цикла статей, я показал вам множество настроек политики групп, которые можно использовать для контроля установки аппаратных устройств на рабочие станции (workstations). В этой статье, мы обсудим остальные настройки политик групп (group policy settings). Позднее я также покажу вам, как создавать чистую (политику групп), которая позволит запретить установку всех аппаратных устройств (hardware device) на рабочие станции (workstation).

Для начала

В случае, если вы пропустили первую часть этой статья, я напомню, что настройки политики групп, о которых я говорю, уникальны в операционной системе Windows Longhorn Server. Эти настройки политики групп можно использовать для обеспечения безопасности рабочих станций, работающих под управлением операционной системы Windows vista. Однако, эти настройки не имеют никакой силы для операционных систем Windows XP, Windows Server 2003, или более старых версий Windows. Вы можете найти настройки политики групп, о которых я рассказываю в дереве политик групп: Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions.

Preventing Installation of Removable Devices (запрет установки съемных устройств)

Как следует из названия этой настройки политики, настройка Prevent Installation of Removable Devices позволяет запретить пользователям устанавливать съемные устройства на компьютер. Эта политика изначально была разработана для того, чтобы запретить пользователям устанавливать устройства USB или Firewire на свои системы.

Prevent Installation of Devices Not Described By Other Policy Settings (запрет установки устройств, которые не описаны в других настройках политик)

Настройка политики групп Prevent Installation of Devices Not Described by Other Policy Settings – это настройка наподобие включить все остальные настройки. Существует два различных способа воспользоваться этой настройкой (policy setting). Во-первых, вы можете включить эту настройку, и не включать никаких других настроек, касающихся установки аппаратного обеспечения. Таким образом вы эффективно сможете запретить кому-либо устанавливать аппаратное обеспечение, которое попадает под действие этой настройки.

Во-вторых, вы можете использовать эту настройку политики групп таким образом, чтобы с помощью других настроек политики разрешить установку специфических устройств, основываясь на ID устройства (device ID) или его классе. Таким образом, вы сможете запретить установку любого устройства, которое вы специально не разрешали устанавливать пользователям.

Запрет установки всех устройств

Теперь, когда мы обсудили все различные настройки политики групп, касающиеся установки устройств, я хочу закончить эту серию статей, показав вам, как установить чистый запрет на установку всех типов устройств. Если вас волнует установка запрещенных устройств в вашей организации, то вы весьма вероятно захотите воспользоваться этой техникой.

Эта технология, которую я собираюсь вам показать, не только запрещает пользователям устанавливать аппаратные устройства, но также запрещает им устанавливать и обновлять драйвера для устройств (device drivers). Администраторы смогут по прежнему устанавливать устройства или драйвера устройств обычным способом.

Начнем нашу процедуру с того, что перейдем к консоли политики групп (group policy console) в Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions. Затем, нажмите правой кнопкой мыши на контейнере Prevent Installation of Devices Not Described by Other Policy Settings (запретить установку устройств, которые не описаны в других настройках политик) и выберите команду Properties (свойства) из выпадающего меню. После этого Windows отобразит страницу свойств настройки Prevent Installation of Devices Not Described by Other Policies, которая изображена на рисунке 1. Затем выберите опцию Enable (включить), которая находится в закладке Settings (настройки) для того, чтобы включить настройку политики (policy setting). Нажмите на кнопку OK для того, чтобы вернуться в основное окно редактора политики групп (Group Policy Editor).

3849

Рисунок 1: Окно свойств настройки Prevent Installation of Devices Not Described by Other Policies позволяет включить настройку политики групп, которая запрещает установку всех устройств, которые не разрешены другими настройками политик

То, что мы сделали – это создали политику, которая запрещает установку всех устройств. Теперь нам необходимо создать политику, которая позволит администраторам устанавливать устройства, как прежде. Для этого, щелкните правой кнопкой мыши на контейнере Allow Administrators to Override Device Installation Policies (разрешить администраторам преобладать над политиками по установке устройств) и выберите команду Properties (свойства) из выпадающего меню. После того, как вы сделали это, Windows отразит страницу свойств настройки Allow Administrators to Override Device Installation, которая показана на рисунке 2.

3950

Рисунок 2: Страница свойств настройки Allow Administrators to Override Device Installation позволяет включить политику, которая позволит администраторам работать как прежде в отношении установки аппаратных устройств

Вы должны включить эту политику, выбрав настройку Enable (подключить), которую можно найти в закладке Settings (настройки). Нажмите на кнопку OK для того, чтобы вернуться в основное окно редактора политики групп (Group Policy Editor). Когда вы посмотрите на экран редактора политики групп (Group Policy Editor), то вы должны увидеть, что обе политики, которые вы подключили, присутствуют в списке и имеют статус enabled.

Теперь, когда вы подключили необходимые настройки политики групп, пришло время протестировать эти настройки. Для этого войдите в домен с помощью рабочей станции, работающей под управлением операционной системы Windows Vista. Сначала вы должны войти под учетной записью обычного пользователя. Помните, что политики, которые вы создали, применимы только для операционной системы Windows Vista. Поэтому вы должны зайти с компьютера, который работает под управлением операционной системы Vista, и который подключен к домену Longhorn Server domain, с помощью учетной записи пользователя домена (domain user account).

После того, как вы зашли, откройте панель управления (Control Panel) и нажмите на ссылку System and Maintenance (система и поддержка). Когда появится экран System and Maintenance screen, нажмите на ссылку Device Manager (менеджер устройств). После этого появится следующее сообщение об ошибке:

You do not have sufficient privileges to uninstall devices or to change device properties or device drivers. Please contact your site administrator, or logout and log in again as an administrator and try again. (У вас нет необходимых прав для удаления устройств, изменения свойств устройств или драйверов устройств. Пожалуйста обратитесь к вашему администратору или зайдите в систему с правами администратора).

Это доказывает, что настройки политики групп, которые мы использовали запрещают пользователям устанавливать устройства. Теперь вы должны зайти в систему с помощью учетной записи администратора домена и попытаться открыть Device Manager. Мы создали политику, которая исключает администраторов и ограничения на установку устройств, поэтому вы должны без проблем открыть Device Manager (менеджер устройств).

Заключение

В этой серии статей, я объяснил вам, что пользователи, которые устанавливают неавторизованные устройства, могут стать большой проблемой для вашей корпорации. Например, если пользователь установил съемное запоминающее устройство (removable storage device), то существует вероятность того, что пользователь может скопировать на него важную корпоративную информацию. Даже если у вашей корпорации нет таких важных секретных данных, то, разрешив пользователям устанавливать собственное аппаратное обеспечение, вы можете значительно увеличить стоимость технической поддержки и усложнить инвентарный контроль (что принадлежит компании, а что пользователю).

В прошлом для решения этой проблемы часто использовались решения сторонних производителей, которые запрещали установку съемных устройств. Однако, операционная система Windows Longhorn Server позволяет вам контролировать возможность установки аппаратного обеспечения с помощью настроек политики групп. В этой статье я показал вам эти настройки и объяснил, как они работают.

www.windowsnetworking.com


Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]