Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy: Ngăn chặn cài đặt các thiết bị muốn ngăn cấm Ngăn chặn cài đặt các thiết bị muốn ngăn cấm Kịch bản này giới thiệu cho bạn một cách kiểm soát khác về việc cài đặt thiết bị. Trong phần trước, bạn đã ngăn chặn cài đặt cho tất cả ngoại trừ các thiết bị được cho phép trong một danh sách thiết bị được cài đặt. Trong kịch bản này, bạn sẽ cho phép cài đặt tất cả các thiết bị ngoại trừ thiết bị có trong danh sách bị hạn chế. Bạn cũng gỡ bỏ sự ngoại trừ cho quản trị viên đã tạo trong kịch bản trước để làm cho quản trị viên có thể cũng bị ảnh hưởng bởi chính sách. Điều kiện quyết định cho việc ngăn chặn cài đặt các thiết bị muốn ngăn cấm Nếu bạn đã thực hiện các bước “Ngăn chặn cài đặt tất cả các thiết bị” và “Cho phép người dùng chỉ cài đặt được các thiết bị cho phép” trong các phần trước, bạn phải vô hiệu hóa các chính sách này bằng sử dụng các bước dưới đây: Kích hoạt cài đặt đối với tất cả các thiết bị 1. Đăng nhập vào máy tính với quyền DMI-Client1\TestAdmin. 2. Để mở Group Policy Object Editor, kích nút Start, đánh mmc gpedit.msc trong hộp Start Search, sau đó nhấn ENTER. 3. Trong cửa sổ Group Policy Object Editor, kích đúp vào Computer Configuration để mở nó. Sau đó mở Administrative Templates > System > Device Installation > Device Installation Restrictions. 4. Trong cửa sổ chi tiết, kích chuột phải vào nút Prevent installation of devices not described by other policy settings, sau đó kích Properties. Hộp thoại chính sách xuất hiện với các thiết lập hiện hành của nó. 5. Kích Disabled để tắt bỏ thiết lập chính sách. 6. Kích OK đề lưu thiết lập của bạn và quay trở về Group Policy Object Editor. Bước tiếp theo là gỡ bỏ chính sách đã đồng ý loại trừ các thành viên trong nhóm quản trị viên. Gỡ bỏ ngoại lệ cho quản trị viên đối với các hạn chế của Group Policy 1. Trong Group Policy Object Editor, kích chuột phải vào Allow administrators to override device installation policy, sau đó chọn Properties. Hộp thoại chính sách xuất hiện với các thiết lập hiện hành của nó. 2. Trên tab Setting, kích Disabled để tắt thiết lập chính sách. 3. Kích OK để lưu thiết lập của bạn và quay trở về Group Policy Object Editor. Các bước tiếp theo là gỡ bỏ ID phần cứng từ danh sách các thiết bị được phép cài đặt mà bạn đã tạo trong kịch bản thứ hai. Gỡ bỏ ID phần cứng trong danh sách các thiết bị được phép 1. Trong Group Policy Object Editor, kích Allow installation of devices that match any of these device IDs, sau đó chọn Properties. Hộp thoại chính sách xuất hiện với các thiết lập hiện hành. 2. Trong tab Setting, kích Show để xem danh sách các thiết bị được cài đặt. 3. Trong hộp thoại Show Contents, chọn tên của phần cài đặt USB sau đó nhấn Remove. Windows sẽ gỡ thiết bị của bạn ra khỏi danh sách. 4. Kích OK để đóng hộp thoại Show Contents và trở về hộp thoại chính sách. 5. Kích Disabled để tắt thiết lập chính sách. 6. Kích OK để lưu các thay đổi của bạn và trả về Group Policy Object Editor. Các bước ngăn chặn cài đặt thiết bị muốn không ngăn cấm Để ngăn chặn người dùng cài đặt các thiết bị cụ thể nào đó, bạn tạo ra một danh sách các thiết bị bị ngăn cấm. Trong kịch bản này, bạn sẽ: Bước 1: Tạo một danh sách các thiết bị muốn ngăn cấm Tạo một danh sách các thiết bị muốn ngăn cấm 1. Nếu thiết bị của bạn hiện đã được cài đăt, hãy gỡ bỏ cài đặt của nó. 2. Đăng nhập vào máy tính với quyền DMI-Client1\TestAdmin. 3. Vào Group Policy Object Editor bằng cách kích nút the Start, đánh mmc gpedit.msc trong hộp Start Search, sau đó nhấn ENTER. 4. Trong giao diện hình cây, kích đúp vào Computer Configuration để mở nó. Sau đó mở Administrative Templates > System > Device Installation > Device Installation Restrictions. 5. Trong cửa sổ chi tiết, kích chuột phải vào Prevent installation of devices that match these device IDs, sau đó nhấn Properties. Hộp thoại chính sách sẽ xuất hiện các thiết lập hiện hành của nó. 6. Trong tab Setting, nhấn Enabled để bật chính sách này. 7. Kích vào Show để xem danh sách các thiết bị được ngăn chặn. 8. Trong hộp thoại Show Contents, kích Add. 9. Trong hộp thoại Add Item, đánh ID thiết bị (ID thiết bị đầu tiên) mà bạn tìm thấy cho thiết bị của bạn. 10. Kích OK để quay trở về hộp thoại Show Contents. Thiết bị của bạn bây giờ xuất hiện trong danh sách. 11. Kích OK để quay trở về hộp thoại chính sách. 12. Kích OK để lưu thiết lập chính sách mới. Bước 2: Kiểm tra danh sách các thiết bị muốn ngăn cấm Giờ bạn hãy thử cài đặt thiết bị. Bạn có thể cài đặt các thiết bị khác mà chính sách ngăn chặn không tác động tới, nhưng không thể cài đặt một số thiết bị đặc biệt thậm chí cả khi bạn đăng nhập với quyền thành viên của nhóm quản trị. Kiểm tra danh sách các thiết bị muốn ngăn cấm 1. Kích nút Start, đánh gpupdate /force trong Start Search, sau đó nhấn ENTER. 2. Khi lệnh “gpudate” được thực hiện xong, đóng cửa sổ lệnh. 3. Để mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search, sau đó nhấn ENTER. 4. Cắm USB của bạn vào Thiết bị xuất hiện trong Device Manager dưới nút Other devices. Sự cài đặt không được hoàn tất, và thiết bị của bạn không hoạt động. 5. Windows hiển thị một thông báo để đưa ra lý do tại sao sự cài đặt bị hỏng: 6. Bạn có thể cố gắng vượt qua sự hạn chế theo cách cài đặt thủ công cho thiết bị: kích chuột phải vào thiết bị, sau đó nhấn Update Driver Software. 7. Bạn phải cung cấp cho hệ điều hành bộ cài cho thiết bị. [...]...8 Để mô phỏng những gì người dùng có thể thực hiện, bạn kích vào Search automatically for updated driver software Một thông báo sẽ xuất hiện thông báo rằng Windows không thể cài đặt bộ cài này Đoạn cuối của thông báo giải thích lý do tại sao không được cài đặt bì nó bị cấm bởi chính sách mà bạn đã tạo 9 Kích Close . Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy: Ngăn chặn cài đặt các thiết bị muốn ngăn cấm Ngăn chặn cài đặt các thiết bị muốn ngăn cấm Kịch bản này. và trả về Group Policy Object Editor. Các bước ngăn chặn cài đặt thiết bị muốn không ngăn cấm Để ngăn chặn người dùng cài đặt các thiết bị cụ thể nào đó, bạn tạo ra một danh sách các thiết. cũng bị ảnh hưởng bởi chính sách. Điều kiện quyết định cho việc ngăn chặn cài đặt các thiết bị muốn ngăn cấm Nếu bạn đã thực hiện các bước Ngăn chặn cài đặt tất cả các thiết bị và “Cho