Hvis du gikk glipp av første del i denne artikkelserien kan du lese Windows Longhorn. Ved hjelp av Group Policy for å kontrollere Device Management (del 1)

I del 1 av denne artikkelen serien, jeg viste du de fleste av gruppepolicyinnstillinger som kan brukes til å kontrollere installasjonen av maskinvareenheter på arbeidsstasjoner. I denne artikkelen vil jeg diskutere de resterende gruppepolicyinnstillinger. Senere vil jeg også vise deg hvordan du oppretter et teppe gruppe politikk som hindrer installasjon av alle maskinvareenheter på arbeidsstasjoner.

Før jeg begynner

Bare i tilfelle du gikk glipp av del 1 av denne artikkelen serien, gruppepolicyinnstillinger som jeg diskuterer er unike for Windows Longhorn Server. Disse gruppepolicyinnstillingene kan brukes til å sikre arbeidsstasjoner som kjører Windows Vista. Men disse innstillingene har ingen innvirkning på systemer som kjører Windows XP, Windows Server 2003 eller eldre versjoner av Windows. Du kan finne gruppepolicyinnstillinger som jeg vil diskutere i gruppen policy treet på. Datamaskinkonfigurasjon \\ Administrative maler \\ System \\ Installasjons Device \\ installasjons Restriksjoner

Hindre Installasjon av Avtagbare Devices

Som navnet på denne policyinnstillingen antyder, forhindre installasjon av flyttbare enheter innstillingen hindrer brukere fra å installere flyttbare enheter. Denne politikken er primært utviklet for å hindre brukere fra å feste USB eller Firewire baserte enheter til sine systemer.

forhindre installasjon av enhetene ikke beskrevet av andre Regler Settings

Forhindre Installasjon av enhetene ikke beskrevet av andre Policyinnstillinger gruppepolicyinnstillingen er slag av en fange alle omgivelser. Det er et par forskjellige måter du kan bruke denne policyinnstillingen. En ting som du kan gjøre er å aktivere denne innstillingen, men ikke aktivere noen andre installasjons hardware relaterte innstillinger. Ved å gjøre det, vil du effektivt hindre noen fra å installere noe maskinvare inn i systemer som politikken gjelder.

En annen ting du kan gjøre med denne gruppen policyinnstillingen er å bruke andre policyinnstillinger for å tillate bestemte enheter basert på enhet ID eller klasse og deretter aktivere denne policyinnstillingen. Ved å gjøre det, vil du hindre installasjon av en enhet som du ikke har spesielt tillot brukere å installere.
Hindre Installasjon av alle enheter
Nå som jeg har diskutert alle de ulike gruppepolicyinnstillinger knyttet til installasjons Jeg ønsker å avslutte denne serien ved å vise deg hvordan du utfører et teppe fornektelse av alle installasjoner enhets. Hvis du er bekymret for installasjon av forbudte enheter i din egen organisasjon, så dette er den teknikken som du vil mest sannsynlig bruke.
teknikk som jeg er i ferd med å vise deg ikke bare hindrer sluttbrukere fra å installere maskinvareenheter, men det hindrer dem også fra å installere eller oppdatere enhetsdrivere. Administratorer kan likevel installere enheter og /eller enhetsdrivere på vanlig måte.

Begynn prosedyren ved å navigere gjennom group policy konsollen til Datamaskinkonfigurasjon \\ Administrative maler \\ System \\ Installasjon Device \\ Installasjons Device restriksjoner. Deretter høyreklikker du på Hindre Installasjon av enhetene ikke beskrevet av andre Policyinnstillinger container og velg Egenskaper kommando fra den resulterende hurtigmenyen. Når du gjør det, vil Windows vise forhindre installasjon av enheter som ikke er beskrevet av politikken på andre egenskaper ark, vist i figur A. Nå velger alternativet Aktiver funnet på kategorien Innstillinger for å aktivere policyinnstillingen. Klikk OK for å gå tilbake til hoved Group Policy Editor-skjermen

Figur A:. Forhindre Installasjon av enhetene ikke beskrevet av andre Politikk egenskaper ark er en slags fange alle policyinnstillingen som begrenser installasjon av alt enheter som ikke er spesifikt tillatt av andre policyinnstillinger

Hva vi har gjort så langt er å skape en politikk som hindrer installasjon av alle enheter. Nå må vi justere politikken slik at administratorer har fortsatt rett til å installere enheter. For å gjøre dette, høyreklikk på de tillater administratorer å Styrer installasjons Device Politikk container og velg Egenskaper kommando fra den resulterende hurtigmenyen. Når du gjør det, vil Windows vise tillater administratorer å Styr installasjonsegenskaper ark, vist i figur B.

Figur B: Den tillater administratorer å Styr installasjonsegenskaper ark kan brukes for å sikre at administratorer er fortsatt lov å installere maskinvareenheter

Nå må du aktivere policyen ved å velge alternativet Aktiver funnet på kategorien Innstillinger. Klikk OK for å gå tilbake til hoved Group Policy Editor-skjermen. Når du ser på hoved Group Policy Editor-skjermen, etter

Nå som du har aktivert de nødvendige gruppepolicyinnstillinger, er begge av den politikken som du har aktivert bør være oppført som blir aktivert. Det på tide å teste disse innstillingene . For å gjøre dette, kan du logge inn i domenet ved hjelp av en arbeidsstasjon som kjører Windows Vista. Først bør du logge deg inn som en vanlig bruker. Husk at den politikken som du har opprettet gjelder bare for Windows Vista. Derfor bør du logge deg inn i en maskin som kjører Vista, og er koblet til en Longhorn Server domene med et domene brukerkonto.

Når du har logget inn, åpner du Kontrollpanel og klikk deretter System og vedlikehold link. Når System og vedlikehold vises, klikker du på linken Device Manager. Når du gjør det, bør du få følgende feilmelding:

Du har ikke tilstrekkelige rettigheter for å avinstallere enheter eller endre enhetsegenskaper eller enhetsdrivere. Ta kontakt med nettstedets administrator, eller logge ut og inn igjen som en administrator og prøv igjen.
Dette beviser at gruppepolicyinnstillinger som du har implementert forhindrer brukere fra å installere enheter. Nå må du logge inn som et domene administrator og prøv å åpne Enhetsbehandling. Vi har laget en policy som sier at administratorer er unntatt fra restriksjonene installasjons, så du bør være i stand til å åpne Enhetsbehandling uten problem.
Konklusjon
I denne artikkelserien, har jeg forklart at brukere installerer uautoriserte enheter kan være et stort problem for et aksjeselskap. Hvis for eksempel en bruker var å installere en flyttbar lagringsenhet, det er mulighet for brukeren å kopiere sensitive data til den flyttbare enheten. Selv om bedriftens data er ikke følsom, til slik at brukerne installere sin egen maskinvare kan øke støtten kostnader og kan gjøre det vanskelig å opprettholde en nøyaktig maskinvare inventar (det som tilhører selskapet og hva som hører til brukeren).
I det siste har løsninger inkludert tredjeparts sikkerhetsprodukter eller gjøre modifikasjoner på arbeidsstasjon hardware som gjør installasjonen av flyttbare enheter umulig. Imidlertid lar Windows Longhorn Server deg kontrollere hvem som gjør og ikke har muligheten til å installere hardware via gruppepolicyinnstillinger. I denne artikkelserien har jeg vist deg disse gruppepolicyinnstillinger og forklarte hvordan de fungerer
Hvis du gikk glipp av første del i denne artikkelserien kan du lese
Windows Longhorn. Ved hjelp av Group Policy for å kontrollere Device Management (del 1)
.