Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy: Các yêu cầu cho việc hoàn thành kịch bản

Phần 1: Giới thiệu
Phần 2: Kiểm soát các thiết bị di động

Các yêu cầu cho việc hoàn thành kịch bản

Để thực hiện mỗi kịch bản, bạn phải có:

• Máy tính cài đặt Windows Vista. Hướng dẫn này dựa theo máy tính này như một DMI-Client1.

• Ổ đĩa nhớ USB. Kịch bản đã miêu tả trong hướng dẫn này sử dụng ổ nhớ USB như một thiết bị mẫu. Thiết bị này làm việc giống như một ổ đĩa có thể tháo rời và được biết đến như một ổ flash. Hầu hết các ổ nhớ USB không phụ thuộc vào bộ cài được cung cấp của nhà máy sản xuất, các thiết bị làm việc với ổ được cung cấp trong Windows Vista và Windows Server 2008.

Lưu ý

Hướng dẫn thừa nhận rằng thiết bị của bạn không cần đến các bộ cài mà có sẵn trong Windows và Windows Server 2008. Nếu thiết bị yêu cầu một bộ cài của nhà sản xuất thì bạn phải cung cấp một file cài khi Windows yêu cầu thực hiện. Bước này không có trong kịch bản này.

• Một ổ ghi CD hoặc DVD. Kịch bản cuối cùng sẽ minh chứng cách tạo các ổ đĩa di động ở chế độ chỉ đọc. Bạn có thể thiết lập chính sách máy tính mà không có ổ ghi CD hoặc DVD được cài đặt. Mặc dù vậy, nếu muốn thẩm định rằng chính sách máy tính có hiệu quả thì bạn phải có các ổ CD hoặc DVD để sử dụng cho mục đích kiểm tra.

• Truy cập vào tài khoản quản trị viên được bảo vệ trong DMI-Client1. Hướng dẫn này gọi tài khoản này là TestAdmin. Các thủ tục trong hướng dẫn này yêu cầu quyền ưu tiên mức quản trị viên trong hầu hết các bước. Bạn phải đăng nhập vào tài khoản DMI-Client1 bằng tài khoản quản trị viên này khi bắt đầu mỗi thủ tục.

Lưu ý

Windows Vista và Windows Server 2008 giới thiệu khái niệm tài khoản quản trị viên được bảo vệ. Tài khoản này là một thành viên của nhóm quản trị, nhưng mặc định ưu tiên bảo mật không được sử dụng một cách trực tiếp. Bất kỳ cố gắng nào để thực hiện một nhiệm vụ yêu cầu đến các quyền ưu tiên cao của quản trị viên sẽ hệ thống sẽ tạo ra một hộp thoại hỏi về sự cho phép để thực hiện nhiệm vụ đó. Hộp thoại này được thảo luận trong phần tài liệu nói về sự đáp trả đối với User Account Control mà chúng tôi sẽ giới thiệu cho các bạn trong phần sau. Microsoft khuyên rằng bạn nên sử dụng tài khoản quản trị viên được bảo vệ hơn là vì tài khoản quản trị viên được đính kèm bất cứ khi nào có thể.

• Truy cập vào tài khoản người dùng chuẩn trên DMI-Client1. Tài khoản người dùng này không có hội viên đặc biệt được hỗ trợ các mức cho phép cao. Hướng dẫn này gọi một tài khoản này là TestUser. Chỉ đăng nhập vào máy tính của bạn với tài khoản này khi được chỉ thị để thực hiện điều đó. Với một tài khoản người dùng chuẩn, bất kỳ sự cố gắng để thực hiện một nhiệm vụ yêu cầu đến các quyền ưu tiên mức cao của một quản trị viên, thì một hộp thoại có thể xuất hiện yêu cầu ủy nhiệm mức ưu tiên quản trị viên của tài khoản. Hộp thoại này được thảo luận trong phần tài liệu nói về sự đáp trả đối với kiểm soát tài khoản người dùng mà chúng tôi sẽ giới thiệu cho các bạn trong phần sau.

Các thủ tục tiên quyết

Trước khi có thể bổ sung các chính sách cho phép hoặc ngăn chặn người dùng cài đặt một thiết bị, bạn phải hiểu về các chuỗi nhận dạng thiết bị. Bạn cũng phải biết cách để gỡ bỏ hoàn toàn cài đặt ổ nhớ USB và phần cài đặt kết hợp của nó. Các thủ tục dưới đây cấu hình máy tính của bạn để thực thi thành công kịch bản trong hướng dẫn này.

1, Phản ứng đối với User Account Control (UAC)

Xuyên suốt hướng dẫn này bạn sẽ được hỏi để thực hiện các nhiệm vụ mà chỉ có thể được thực hiện bởi một thành viên của nhóm quản trị. Trong Windows Vista và Windows Server 2008, khi bạn cố gắng thực hiện một nhiệm vụ yêu cầu đến các quyền quản trị viên thì sẽ xuất hiện những điều dưới đây:

• Nếu đăng nhập như tài khoản quản trị viên đính kèm (không như nhắc nhở) thì hoạt động được thực hiện khá đơn giản. Tài khoản quản trị viên đính kèm mặc định được vô hiệu hóa.

• Nếu bạn là một thành viên của nhóm quản trị thì hộp thoại User Account Control xuất hiện hỏi về sự cho phép để tiếp tục. Nếu nhấn Continue, thì nhiệm vụ sẽ được tiến hành.

• Nếu đăng nhập như một người dùng chuẩn thì bạn có thể bị ngăn chặn trong việc thực hiện nhiệm vụ. Phụ thuộc vào nhiệm vụ, bạn có thể được thể hiện với User Account Control để cung cấp username và password cho tài khoản quản trị viên. Nếu bạn cung cấp các thông tin hợp lệ thì nhiệm vụ được chạy trong chế độ bảo mật của tài khoản quản trị viên. Nếu không cung cấp đúng các thông tin cần thiết thì bạn sẽ bị ngăn chặn trong việc thực hiện nhiệm vụ.

Quan trọng

Trước khi cung cấp thông tin quan trọng hoặc sự cho phép để chạy các nhiệm vụ quản trị viên, bạn phải bảo đảm rằng cửa sổ User Account Control được hiển thị để đáp trả cho nhiệm vụ mà bạn đã khởi tạo. Nếu cửa sổ xuất hiện không như mong đợi thì bạn có thể kích nút Details và bảo đảm rằng nhiệm vụ đó là một nhiệm vụ bạn mong muốn cho phép.

2, Quyết định các chuỗi nhận dạng thiết bị cho ổ nhớ USB

Bằng các bước dưới đây bạn có thể quyết định các chuỗi nhận dạng thiết bị cho thiết bị của bạn. Nếu ID phần cứng và ID tương thích cho thiết bị của bạn không tương xứng với những gì thể hiện trong hình này, hãy sử dụng ID phù hợp với thiết bị.

Lưu ý

Trong kịch bản dưới đây bạn phải cài đặt và sau đó gỡ bỏ cài đặt ổ nhớ USB. Các hướng dẫn thừa nhận rằng thiết bị của bạn không yêu cầu phần mềm cài đặt khác với file cài sẵn có trong Windows Vista và Windows Server 2008. Nếu thiết bị yêu cầu một phần mềm cài đặt từ nhà sản xuất thì bạn phải cung cấp file cài đặt khi Windows bắt bạn thực hiện điều đó. Bước này không được giới thiệu trong kịch bản này. Bạn có thể quyết định ID phần cứng và ID tương thích cho thiết bị theo hai cách: sử dụng Device Manager, một công cụ đồ họa có trong hệ điều hành, hoặc DevCon, một công cụ dòng lệnh có thể tải về được như một phần của Driver Development Kit (DDK). Sử dụng các thủ tục dưới đây để xem chuỗi nhận dạng thiết bị cho ổ nhớ USB của bạn.

Quan trọng

Các thủ tục này là các thủ tục cụ thể cho ổ nhớ USB. Nếu bạn đang sử dụng một loại thiết bị khác thì phải điều chính các bước theo nó. Sự khác nhau đáng kể ở chúng là vị trí của thiết bị trong cấu trúc Device Manager. Thay vì định vị trong nút Disk Drives bạn phải định vị ổ trong nút thích hợp.

Tìm các chuỗi nhận dạng thiết bị bằng Device Manager

1. Đăng nhập vào máy tính với quyền DMI-Client1\TestAdmin.

2. Cắm ổ nhớ USB sau đó cho phép cài đặt hoàn tất

3. Mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search, sau đó nhấn ENTER.

4. Nếu hộp thoại User Account Control xuất hiện, hãy xác nhận hành động đang thực hiện là được phép và sau đó nhấn Continue.

Device Manager xuất hiện và hiển thị theo một kiểu hình cây tất cả các thiết bị đã được phát hiện trên máy tính. Ở phần trên là một nút có tên máy tính của bạn. Nút thấp hơn thể hiện các mục khác nhau của phần cứng, trong đó các thiết bị của máy tính được nhóm theo từng nhóm.

5. Kích đúp vào Disk drives để mở danh sách

6. Kích chuột phải vào mục ổ nhớ USB của bạn sau đó chọn Properties.

Hộp thoại Device Properties sẽ xuất hiện.

7. Kích tab Details

8. Trong danh sách Property, kích Hardware Ids.

Dưới Value, hãy lưu ý đến các chuỗi được hiển thị

Lưu ý

Bạn có thể copy các chuỗi này vào Clipboard bằng cách bôi đen tất cả chúng và nhấn CTRL + C.Vì nhiều ID phần cứng có các ký tự gạch dưới nên bạn phải copy chúng vào một file văn bản để có thể thực hiện thao tác paste khi phải chỉ rõ một bộ nhận dạng. Phương pháp này giảm đáng kể lỗi khi phải thêm một bộ cài cụ thể vào danh sách cho các thiết bị được ngăn chặn hoặc được cho phép.

9. Trong danh sách Property kích Compatible Ids.

Dưới Value, hãy chú ý vào các chuỗi được hiển thị

10. Kích OK để đóng hộp thoại.

Lưu ý

Bạn cũng có thể quyết định các chuỗi nhận dạng thiết bị bằng tiện ích dòng lệnh DevCon. Có thể tải DevCon về từ trang trợ giúp của Microsoft. Để có thêm thông tin, bạn hãy xem các chức năng tiện ích dòng lệnh DevCon tại website của Microsoft (http://go.microsoft.com/fwlink/?LinkId=56391).

Bạn có thể tìm thêm các thông tin chi tiết về tiện ích DevCon và hoạt động của nó trong trang Microsoft Developer Network (MSDN). Để có thêm thông tin xem "DevCon" tại địa chỉ website của Microsoft.

Cú pháp cụ thể cần thiết để sử dụng DevCon để quyết định ID phần cứng của bạn cũng có trên MSDN. Để có thêm thông tin chi tiết bạn hãy xem "DevCon HwIDs" tại website của Microsoft.

3, Gỡ bỏ cài đặt cho ổ nhớ USB

Trong sử dụng hàng ngày đối với ổ flash, bạn có thể kéo ổ flash này ra khỏi cổng USB. Trong hướng dẫn này bạn phải gỡ bỏ cài đặt phần mềm cài đặt để bảo đảm các kịch bản được bắt đầu với máy tính trong trạng thái phù hợp. Nếu thất bại trong việc gỡ bỏ cài đặt và tháo thiết bị thì các chính sách được kiểm tra trong kịch bản dưới đây sẽ không có hiệu quả và bạn sẽ không nhìn thấy các kêt quả như mong đợi. Sử dụng các bước như vậy xuyên suốt hướng dẫn này khi bạn trực tiếp gỡ bỏ cài đặt và tháo thiết bị ra.

Quan trọng

Không hủy bỏ kết nối vật lý đối với thiết bị của bạn ra khỏi cổng USB cho tới khi thực hiện bước cuối cùng.

Gỡ bỏ cài đặt driver của USB

1. Đăng nhập và máy tính DMI-Client1\TestAdmin.

2. Mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search, và nhấn ENTER.

3. Nếu hộp thoại User Account Control xuất hiện, hãy xác nhận hành động đang thực hiện là được phép, sau đó nhấn Continue.

4. Kích chuột phải vào mục ổ nhớ USB, sau đó kích Uninstall.

5. Trong hộp thoại Confirm Device Removal, kích OK để cho phép quá trình gỡ bỏ cài đặt hoàn tất.

6. Khi Windows hoàn thành xong quá trình gỡ bỏ cài đặt, nó gỡ bỏ được mục thiết bị ra khỏi cây danh mục trong Device Manager.

7. Rút USB của bạn ra khỏi cổng USB.

Phần 4: Ngặn chặn cài đặt tất cả các thiết bị
Phần 5: Cho phép người dùng chỉ cài đặt các thiết bị đã được phép
Phần 6: Ngăn chặn cài đặt các thiết bị muốn ngăn cấm
Phần 7: Kiểm soát việc đọc và ghi lên các thiết bị di động

Thứ Hai, 21/05/2007 15:47
31 👨 850
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp