1. Trang chủ
  2. » Luận Văn - Báo Cáo

Chuyên đề phần: group policy

37 254 1

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 37
Dung lượng 1,49 MB

Nội dung

Chuyên đề phần: group policy

Chuyên đề Group Policy Án Bình Trọng sưu tầm Trang 1 Chuyên đề Group Policy Mục lục 1 Group Policy Phần 1 – Giới thiệu 1 2 Group Policy Phần 2 – Kiểm soát các thiết bị di động 3 3 Group Policy Phần 3 – Các yêu cầu cho việc hoàn thành kịch bản 11 4 Group Policy phần 4 – Ngặn chặn cài đặt tất cả các thiết bị 19 5 Group Policy phần 5 – Cho phép người dùng chỉ cài đặt các thiết bị đã được phép 24 6 Group Policy phần 6 – Ngăn chặn cài đặt các thiết bị muốn ngăn cấm 28 7 Group Policy phần 7 – Kiểm soát việc đọc và ghi lên các thiết bị di động 34 1 Group Policy Phần 1 – Giới thiệu Bài này này sẽ hướng dẫn từng bước cho bạn cách làm thế nào để kiểm soát được vấn đề cài đặt và sử dụng thiết bị trên các máy tính mà bạn đang quản lý. Đặc biệt, trong Microsoft Windows Server 2008 và Windows Vista™ bạn có thể áp dụng chính sách máy tính cho việc: • Ngăn chặn người dùng cài đặt các thiết bị • Cho phép người dùng chỉ cài đặt các thiết bị trong danh sách “cho phép”. Nếu thiết bị nào đó không được liệt kê trong danh sách thì người dùng không thể cài đặt nó. • Ngăn chặn người dùng cài đặt các thiết bị trong danh sách “ngăn cấm”. Nếu một thiết bị nào đó không có trong danh sách thì người dùng có thể cài đặt. • Từ chối việc đọc và ghi của người dùng vào các thiết bị có thể tháo rời, hoặc sử dụng các thiết bị dễ cầm tay như ổ ghi CD, DVD, ổ đĩa mềm, ổ cứng mở rộng và các thiết bị cầm tay khác như điện thoại thông minh hoặc Pocket PC. Hướng dẫn này sẽ giới thiệu quá trình cài đặt thiết bị và giới thiệu các chuỗi nhận dạng mà Windows sử dụng để ánh xạ với mỗi gói phần mềm cài đặt thiết bị trên từng máy tính. Hướng dẫn này cũng minh họa 3 phương pháp trong việc kiểm soát thiết bị. Mỗi một phương pháp đều thể hiện từng bước để bạn có thể sử dụng để cho phép hoặc ngăn chặn việc cài đặt một thiết bị cụ thể hoặc một lớp các thiết bị. Một số kịch bản thể hiện cho bạn cách làm thế nào để từ chối việc đọc, ghi đối với các thiết bị có thể cầm tay của người dùng ví dụ như các thiết bị lưu trữ USB. Bạn cũng có thể thực hiện các bước trong hướng dẫn này bằng sử dụng một thiết bị khác. Tuy Chuyên đề Group Policy Án Bình Trọng sưu tầm Trang 2 nhiên nếu sử dụng một thiết bị khác thì đôi khi những hướng dẫn này sẽ không đúng một cách chính xác với giao diện người dùng xuất hiện trên máy tính. Quan trọng Các bước đã cung cấp trong hướng dẫn này được dự định cho môi trường kiểm tra phòng thí nghiệm. Hướng dẫn từng bước không có nghĩa là được sử dụng để triển khai các tính năng Windows Server mà không cần đến các tài liệu minh chứng khác và phải được sử dụng một cách thận trọng. Những ai có thể sử dụng hướng dẫn này? Hướng dẫn này nhằm vào các đối tượng dưới đây: • Những người lập kế hoạch và phân tích CNTT, những người đang đánh giá Windows Vista và Windows Server 2008 • Những người hoạch định kế hoạch và thiết kế CNTT hoạt động kinh doanh. • Các kiến trúc sư an ninh bảo mật, những người có trách nhiệm bổ sung việc tính toán tin cậy trong tổ chức của họ. • Các quản trị viên, người muốn tìm hiểu về công nghệ. Lợi ích mang lại từ việc kiểm soát cài đặt thiết bị bằng Group Policy Việc giới hạn các thiết bị mà người dùng có thể cài đặt cho phép bạn có các lợi ích sau: • Giảm rủi ro việc mất trộm dữ liệu: nó làm khó khăn trong việc copy trái phép dữ liệu công ty nếu máy tính của người dùng không thể cài đặt thiết bị không được phép hỗ trợ cho các phương tiện có thể tháo rời. Ví dụ, nếu người dùng không thể cài đặt một ổ CD-R thì họ không thể ghi dữ liệu vào đĩa CD được. Lợi thế này tuy không thể loại trừ được những tên trộm dữ liệu song nó cũng tạo ra một hàng rào chắn đối với việc lấy dữ liệu trái phép. Bạn cũng có thể qiảm rủi ro trong việc mất trộm dữ liệu bằng cách sử dụng Group Policy để từ chối sự truy cập có thể ghi đối với người dùng thiết bị có thể tháo rời. Bạn có thể cho phép sự truy cập trên một nhóm cơ bản các thiết bị khi sử dụng Group Policy. • Giảm chi phí hỗ trợ: Bạn có thể bảo đảm rằng người dùng chỉ cài đặt các thiết bị mà bàn trợ giúp của bạn được đào tạo và được trang bị để hỗ trợ. Lợi thế này giảm chi phí hỗ trợ và sự lộn xộn. Tổng quan về kịch bản (Scenario) Kịch bản được đưa ra trong hướng dẫn này minh chứng cho bạn cách làm thế nào để kiểm soát cài đặt thiết bị và sử dụng trên máy tính mà bạn quản lý. Kịch bản sử dụng Group Policy trên Chuyên đề Group Policy Án Bình Trọng sưu tầm Trang 3 máy tính cục bộ để đơn giản hóa việc sử dụng các thủ tục trong môi trường thử nghiệm. Trong môi trường quản lý nhiều máy tính client, bạn phải áp dụng các thiết lập đó bằng sử dụng Group Policy được triển khai cho Active Directory. Với Group Policy được triển khai bởi Active Directory bạn có thể áp dụng các thiết lập đối với tất cả máy tính là thành viên của một miền hoặc của một tổ chức trong miền. Dưới đây là các chỉ dẫn về kịch bản được thể hiện trong hướng dẫn này: • Ngăn cài đặt tất cả các thiết bị Trong kịch bản này, quản trị viên muốn ngăn chặn người dùng chuẩn cài đặt bất kỳ thiết bị nào nhưng cho phép các quản trị viên có thể cài đặt và nâng cấp thiết bị. Để hoàn thiện kịch bản này bạn phải cấu hình hai chính sách máy tính. Chính sách đầu tiên ngăn chặn tất cả người dùng cài đặt thiết bị và chính sách thứ hai miễn cho quản trị viên các hạn chế đó. • Cho phép người dùng chỉ cài đặt các thiết bị được cho phép. Trong kịch bản này, quản trị viên muốn cho phép người dùng chỉ cài đặt các thiết bị có trong danh sách thiết bị được phép. Kịch bản này được xây dựng trên kịch bản đầu tiên và vì vậy bạn phải hoàn tất kịch bản đầu trước khi thực hiện kịch bản này. Để hoàn tất kịch bản này, bạn phải tạo một danh sách các thiết bị được phép cài để người dùng chỉ có thể cài đặt thiết bị đã chỉ rõ đó. • Ngăn chặn cài đặt các thiết bị được ngăn cấm. Trong kịch bản này, quản trị viên muốn cho phép người dùng chuẩn cài đặt hầu hết tất cả các thiết bị trừ thiết bị được liệt kê trong danh sách ngăn cấm. Để thực hiện kịch bản này bạn phải bỏ các chính sách đã tạo trong hai kịch bản đầu tiên. Sau khi đã thực hiện việc bỏ hai chính sách đầu tiên đó, bạn tạo một danh sách các thiết bị ngăn cấm để người dùng có thể cài đặt bất kỳ thiết bị nào ngoại trừ những thiết bị có trong danh sách cấm của bạn. • Kiểm soát sử dụng các thiết bị lưu trữ có thể tháo rời Trong kịch bản này, quản trị viên muốn ngăn không cho người dùng chuẩn ghi dữ liệu vào thiết bị lưu trữ có thể tháo rời như USB, các đĩa CD, DVD có thể ghi. Để thực hiện kịch bản này bạn phải cấu hình một chính sách cho phép truy cập có thể đọc nhưng từ chối truy cập, ghi đối với các thiết bị mẫu và đối với bất kỳ thiết bị ghi CD, DVD nào trên máy tính của bạn. Theo quantrimang 2 Group Policy Phần 2 – Kiểm soát các thiết bị di động Tổng quan về công nghệ Chuyên đề Group Policy Án Bình Trọng sưu tầm Trang 4 Các phần dưới đây cung cấp cho các bạn một cách nhìn tổng quan về các kỹ thuật cốt lõi sẽ được thảo luận trong hướng dẫn này. Cài đặt thiết bị trong Windows Một thiết bị là một phần của phần cứng mà Windows sẽ tương tác để thực hiện một số chức năng. Windows có thể truyền thông với thiết bị thông qua một phần mềm được gọi là phần mềm cài đặt (driver) của thiết bị. Để cài đặt một driver thiết bị, Windows sẽ phát hiện thiết bị, nhận dạng thiết bị là loại gì và sau đó tìm phần mềm cài đặt hợp với loại thiết bị này. Windows sử dụng hai loại nhận dạng để kiểm soát cài đặt thiết bị và cấu hình. Bạn có thể sử dụng các thiết lập Group Policy trong Windows Vista và Windows Server 2008 để chỉ ra loại nhận dạng nào cho phép, loại nào khóa. Hai loại nhận dạng đó là:  Các chuỗi nhận dạng thiết bị  Các lớp thiết lập thiết bị Các chuỗi nhận dạng thiết bị Khi Windows phát hiện ra một thiết bị chưa được cài đặt trên máy tính, hệ điều hành sẽ hỏi thiết bị để truy vấn trong danh sách của nó các chuỗi nhận dạng thiết bị. Một thiết bị thường có nhiều chuỗi nhận dạng, các chuỗi này được nhà máy sản xuất gán cho nó. Các chuỗi nhận dạng thiết bị đều được chứa trong file .inf có trong gói phần mềm cài đặt của thiết bị. Windows sẽ chọn gói phần mềm nào hợp với chuỗi nhận dạng thiết bị được truy vấn từ thiết bị đến các chuỗi được chứa trong gói cài đặt. Windows có thể sử dụng mỗi chuỗi ánh xạ một thiết bị với một gói cài đặt. Các chuỗi từ một mô hình riêng của thiết bị đến rất chung, đều có thể áp dụng cho toàn bộ lớp các thiết bị. Có hai loại chuỗi nhận dạng thiết bị:  ID phần cứng. ID phần cứng là các bộ nhận dạng cung cấp sự tương ứng chính xác giữa một thiết bị và một gói cài đặt. Chuỗi đầu tiên trong danh sách ID phần cứng là ID thiết bị, bởi vì nó tương ứng với cấu tạo, mô hình và phiên bản mới của thiết bị. Các ID phần cứng khác trong danh sách tương ứng với các chi tiết của thiết bị kém chính xác hơn. Ví dụ: một ID phần cứng có thể nhận ra cấu tạo và mô hình của thiết bị nhưng không chỉ ra được phiên bản mới của nó. Biểu đồ này cho phép Windows sử dụng một bộ cài cho một phiên bản khác của thiết bị nếu bộ cài của đúng phiên bản mới là không phù hợp.  ID tương thích. Windows sử dụng các bộ nhận dạng này để chọn ra một phần mềm cài đặt nếu hệ điều hành không thể tìm được một sự tương ứng với ID thiết bị hoặc ID phần cứng. ID tương thích được liệt kê theo thứ tự giảm dần. Các chuỗi đó là không bắt buộc và khi được cung cấp chúng có đặc điểm chung, như Disk. Khi một sự tương ứng được hình thành bằng sử dụng một ID tương thích thì bạn chỉ có thể sử dụng các chức năng cơ bản nhất của thiết bị. Chuyên đề Group Policy Án Bình Trọng sưu tầm Trang 5 Khi bạn cài đặt một thiết bị như máy in hay một ổ USB hoặc một bàn phím, Windows sẽ tìm các gói cài đặt tương ứng với thiết bị mà bạn đang muốn cài đặt. Trong suốt quá trình tìm kiếm, Windows gán một “cấp” cho mỗi một gói cài đặt mà nó khám phá có ít nhất một sự tương ứng với phần cứng hoặc ID tương thích. Cấp này chỉ thị bộ cài này tương ứng ở mức độ như thế nào đối với thiết bị. Số cấp thấp chỉ thị sự tương ứng tốt hơn giữa bộ cài và phần cứng. Cấp 0 biểu hiện sự tương thích tốt nhất. Sự tương thích với ID thiết bị đối với một gói phần mềm cài đặt có kết quả thấp hơn (tốt hơn) so với sự tương thích đối với ID phần cứng. Tương tự như vậy, một sự tương ứng với ID phần cứng có kết quả tốt hơn so với bất kỳ ID tương thích nào. Sau khi Windows sắp xếp tất cả các gói nó sẽ cài đặt một bộ cài có cấp thấp nhất trong số đó. Một số thiết bị vật lý tạo ra một hoặc một số thiết bị logic khi chúng được cài đặt. Mỗi thiết bị logic có thể quản lý một số chức năng của thiết bị vật lý. Ví dụ, một thiết bị đa chức năng như một máy có thể in, quét, fax, có thể có chuỗi nhận dạng thiết bị khác nhau đối với mỗi chức năng. Khi sử dụng các chính sách hạn chế cài đặt thiết bị để cho phép hoặc ngăn cản cài đặt của một thiết bị sử dụng các thiết bị logic thì bạn phải cho phép hoặc ngăn cản các chuỗi nhận dạng của thiết bị đó. Ví dụ: nếu người dùng cố gắng cài đặt một thiết bị đa chức năng và bạn không cho phép hoặc ngăn cản tất cả chuỗi nhận dạng cho cả thiết bị vật lý và logic, thì bạn phải có được các kết quả không như mong đợi từ sự cố gắng cài đặt. Các lớp cài đặt thiết bị Các lớp cài đặt thiết bị là một loại khác của chuỗi nhận dạng. Nhà sản xuất gán lớp cài đặt thiết bị của mỗi thiết bị trong phần mềm cài đặt của nó. Lớp cài đặt thiết bị nhóm các thiết bị được cài đặt và cấu hình theo cách giống nhau. Ví dụ, tất cả các CD drives đều nằm trong lớp cài đặt thiết bị CDROM và chúng sử dụng cùng một bộ cài khi cài đặt. Một số dài được gọi là bộ nhận dạng duy nhất tổng thể (GUID) miêu tả mỗi một lớp cài đặt thiết bị. Cùng với GUID cho lớp cài đặt thiết bị của bản thân thiết bị, Windows có thể cần phải chèn vào cây GUID lớp cài đặt thiết bị của bus đến thiết bị được gắn. Khi sử dụng các lớp cài đặt thiết bị để cho phép hoặc ngăn chặn người dùng cài đặt thì bạn phải chỉ định các GUID cho tất cả các lớp cài đặt của thiết bị hoặc có thể bạn sẽ không thực hiện được kết quả mong muốn. Sự cài đặt có thể thất bại (nếu bạn muốn nó thành công) hoặc nó có thể thành công (nếu bạn muốn nó thất bại). Ví dụ, một thiết bị đa chức năng như thiết bị có các chức năng in/quét/fax có một GUID cho loại thiết bị đa chức năng, một GUID cho chức năng in, một GUID cho chức năng quét… Các GUID cho các chức năng riêng biệt là các “nút con” nằm dưới GUID đa chức năng. Để cài đặt một nút con, Windows phải cài đặt nút cha. Bạn phải cho phép cài đặt của lớp đối với GUID cha cho thiết bị đa chức năng sau đó là các GUID con cho các chức năng riêng lẻ. Hướng dẫn này không mô tả kịch bản sử dụng các lớp cài đặt thiết bị. Mặc dù vậy, các nguyên lý cơ bản đã được giới thiệu với các chuỗi nhận dạng thiết bị trong hướng dẫn này cũng áp dụng cho lớp cài đặt. Sau khi khai thác lớp cài đặt cho thiết bị cụ thể bạn có thể sử dụng nó trong một chính sách để có thể cho phép hoặc ngăn chặn cài đặt gói phần mềm cho lớp thiết bị. Chuyên đề Group Policy Án Bình Trọng sưu tầm Trang 6 Các Group Policy cho cài đặt thiết bị Để cho phép kiểm soát trên vấn đề cài đặt thiết bị, Windows Vista và Windows Server 2008 đã đưa ra một số thiết lập chính sách. Bạn có thể cấu hình những thiết lập này riêng trên các máy tính đơn lẻ hoặc có thể áp dụng chúng cho một số máy tính thông qua sử dụng Group Policy trong miền Active Directory. Nếu muốn áp dụng thiết lập đối với các máy tính riêng lẻ hay đối với nhiều máy tính trong một miền Active Directory thì bạn phải sử dụng Group Policy Object Editor để cấu hình và áp dụng các thiết lập chính sách. Dưới đây là một mô tả vắn tắt về các thiết lập chính sách cài đặt thiết bị được sử dụng trong hướng dẫn này. Lưu ý Các thiết lập chính sách này sẽ ảnh hưởng đến tất cả người dùng, những người đăng nhập vào máy tính có áp dụng nó. Bạn không thể áp dụng các chính sách này cho chính sách Allow administrators to override device installation policy (Cho phép các quản trị viên ghi đè lên chính sách cài đặt thiết bị). Chính sách này miễn cho một số nhóm quản trị viên nội bộ trong việc hạn chế cài đặt mà bạn đã áp dụng đến máy tính bằng cách cấu hình các thiết lập khác như đã miêu tả trong phần này.  Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt các thiết bị không được miêu tả bằng các thiết lập chính sách khác). Thiết lập chính sách này kiểm soát sự cài đặt thiết bị không được miêu tả cụ thể bởi bất kỳ thiết lập chính sách khác. Nếu bạn cho phép thiết lập chính sách này thì người dùng không thể cài đặt hoặc nâng cấp phần mềm cài đặt cho các thiết bị trừ khi chúng được mô tả bởi chính sách Allow installation of devices that match these device IDs (Cho phép cài đặt các thiết bị tương ứng với ID thiết bị đó) hoặc Allow installation of devices for these device classes (Cho phép cài đặt các thiết bị cho lớp thiết bị đó). Nếu bạn vô hiệu hóa hoặc không cấu hình thiết lập chính sách này thì người dùng có thể cài đặt và nâng cấp phần mềm cài đặt cho bất kỳ thiết bị nào không được mô tả bởi chính sách Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID thiết bị đó), Prevent installation of devices for these device classes (Ngăn chặn cài đặt các thiết bị cho lớp thiết bị đó) hoặc Prevent installation of removable devices (Ngăn chặn cài đặt các thiết bị di động).  Allow administrators to override device installation policy (Cho phép các quản trị viên ghi đè lên chính sách cài đặt thiết bị). Thiết lập chính sách này cho phép các thành viên trong nhóm quản trị viên nội bộ có thể cài đặt và nâng cấp phần mềm cài đặt cho bất kỳ thiết bị nào không cần quan tâm đến các thiết lập chính sách khác. Nếu bạn kích hoạt chính thiết lập này thì các quản trị viên có thể sử dụng Add Hardware Wizard hoặc Update Driver Wizard để cài đặt và nâng cấp phần mềm cài đặt cho thiết bị. Nếu bạn vô Chuyên đề Group Policy Án Bình Trọng sưu tầm Trang 7 hiệu hóa hoặc không cấu hình chính sách này thì các quản trị viên là đối tượng của tất cả các thiết lập chính sách và sẽ bị hạn chế việc cài đặt.  Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID thiết bị đó). Thiết lập chính sách này chỉ ra một danh sách các ID phần cứng Plug and Play và các ID tương thích cho các thiết bị mà người dùng không thể cài đặt. Nếu bạn kích hoạt thiết lập chính sách này thì người dùng không thể cài đặt hoặc nâng cấp phần mềm cài đặt cho một thiết bị nếu các ID phần cứng và ID tương thích của nó tương ứng với danh sách này. Nếu bạn vô hiệu hóa hoặc không cấu hình chính sách này thì người dùng có thể cài đặt các thiết bị và nâng cấp phần mềm cài đặt như được cho phép bởi các thiết lập chính sách. Lưu ý Thiết lập chính sách này có quyền ưu tiên hơn bất kỳ thiết lập chính sách khác cho phép người dùng cài đặt một thiết bị. Thiết lập này ngăn chặn người dùng cài đặt một thiết bị thậm chí nó tương ứng với chính sách khác cho phép cài đặt thiết bị.  Prevent installation of drivers matching these device setup classes (Ngăn chặn cài đặt các driver tương ứng với lớp cài đặt thiết bị). Thiết lập này chỉ ra một danh sách các GUID lớp cài đặt thiết bị “cắm là chạy” cho các thiết bị mà người dùng không thể cài đặt. Nếu bạn cho sử dụng lập chính sách này thì người dùng sẽ không thể cài đặt hoặc nâng cấp các phần mềm cài đặt cho một thiết bị có trong các lớp cài đặt thiết bị đã được liệt kê. Nếu bạn vô hiệu hóa hoặc không cấu hình thiết lập chính sách này thì người dùng có thể cài đặt và nâng cấp các phần mềm cài đặt cho các thiết bị như được phép của các thiết lập chính sách khác. Lưu ý Thiết lập chính sách này có quyền ưu tiên trên bất kỳ các thiết lập chính sách khác cho phép người dùng cài đặt thiết bị. Thiết lập chính sách này ngăn chặn người dùng cài đặt một thiết bị thậm chí nó tương ứng với thiết lập chính sách mà sẽ cho phép cài đặt.  Allow installation of devices that match any of these device IDs (Cho phép cài đặt các thiết bị tương ứng với ID thiết bị đó). Thiết lập chính sách này chỉ ra một danh sách các ID phần cứng và ID tương thích PnP, các ID này miểu tả thiết bị mà người dùng có thể cài đặt. Thiết lập này được dự định chỉ sử dụng khi thiết lập chính sách Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) được cho phép và không có quyền ưu tiên trên các thiết lập chính sách khác sẽ ngăn chặn người dùng cài đặt thiết bị. Nếu bạn sử dụng thiết lập chính sách này thì người dùng có thể cài đặt và nâng cấp bất kỳ thiết bị nào có ID phần cứng và ID tương thích tương ứng với một ID trong danh sách, nếu cài đặt đó không được chỉ rõ là bị ngăn chặn bởi thiết lập chính sách Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID thiết bị đó), Prevent installation of devices for these device classes (Ngăn chặn cài đặt các thiết bị cho lớp thiết bị đó) hoặc Prevent installation of removable devices (Ngăn chặn cài đặt các thiết bị di động). Nếu thiết lập chính sách khác ngăn chặn người dùng cài đặt thì người dùng không thể cài đặt thậm chí thiết bị cũng được miêu tả bằng một giá trị trong thiết lập chính sách. Nếu bạn vô hiệu hóa hoặc không cấu hình Chuyên đề Group Policy Án Bình Trọng sưu tầm Trang 8 thiết lập chính sách này hoặc không có chính sách khác miêu tả thiết bị thì thiết lập chính sách Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) sẽ quyết định người dùng có thể cài đặt thiết bị hay không.  Allow installation of devices using drivers for these device classes (Cho phép cài đặt thiết bị sử dụng driver cho các lớp thiết bị). Thiết lập chính sách chỉ ra một danh sách các GUID lớp cài đặt thiết bị để miêu tả thiết bị mà người dùng cài đặt. Thiết lập này được dự định chỉ sử dụng khi thiết lập chính sách Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) được cho phép và không có quyền ưu tiên trên các thiết lập ngăn chặn người dùng cài đặt thiết bị. Nếu bạn cho phép thiết lập này thì người dùng có thể cài đặt và nâng cấp thiết bị với một lớp cài đặt tương ứng với một trong các GUID lớp cài đặt trong danh sách này nếu cài đặt đó không bị ngăn chặn rõ ràng bởi thiết lập chính sách Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID thiết bị đó), Prevent installation of devices for these device classes (Ngăn chặn cài đặt các thiết bị cho lớp thiết bị đó), hoặc Prevent installation of removable devices (Ngăn chặn cài đặt các thiết bị di động). Nếu bạn vô hiệu hóa hoặc không cấu hình thiết lập chính sách này và không có thiết lập nào khác miêu tả thiết bị thì thiết lập chính sách Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) sẽ quyết định người dùng có thể cài đặt thiết bị hay không. Một số chính sách đó có quyền ưu tiên trên các chính sách khác. Biểu đồ dưới đây thể hiện cách Windows xử lý chúng để quyết định người dùng có thể cài đặt thiết bị hay không: Chuyên đề Group Policy Án Bình Trọng sưu tầm Trang 9 Các thiết lập Group Policy cho truy cập của các thiết bị lưu trữ ngoài Trong Windows Vista và Windows Server 2008 một quản trị viên có thể áp dụng Group Policy để kiểm soát xem người dùng có thể đọc hoặc ghi các thiết bị lưu trữ ngoài. Các chính sách đó được sử dụng để ngăn chặn việc lấy trộm thông tin quan trọng hoặc nhạy cảm. Có thể áp dụng các thiết lập chính sách đó ở mức máy tính để chúng ảnh hưởng đến mỗi người dùng, người đăng nhập vào máy tính đó. Bạn có thể áp dụng chúng ở mức người dùng và giới hạn bắt buộc đối với một tài khoản người dùng cụ thể nào đó. Nếu sử dụng Group Policy trong môi trường Active Directory thì bạn có thể áp dụng các thiết lập nhóm người dùng trong tài khoản người dùng riêng lẻ. Group Policy cũng cho phép bạn áp dụng một cách hiệu quả các chính sách đó đến một số lượng lớn máy tính. Chuyên đề Group Policy Án Bình Trọng sưu tầm Trang 10 Quan trọng Các chính sách truy cập vào thiết bị lưu trữ ngoài này không ảnh hưởng đến phần mềm chạy trong tài khoản hệ thống như kỹ thuật ReadyBoost trong Windows. Mặc dù vậy, các phần mềm chạy dưới nội dung bảo mật của người dùng hiện hành có thể bị ảnh hưởng bởi hạn chế đó. Ví dụ, nếu thiết lập chính sách Removable Disks: Deny write access (Các ổ di động: Hạn chế ghi) sẽ ảnh hưởng đến người dùng, thậm chí nếu người dùng có là một quản trị viên thì chương trình cài đặt BitLocker không thể ghi mã khởi động của nó đến một ổ USB. Bạn có thể áp dụng những hạn chế chỉ cho người dùng và các nhóm khác thay cho nhóm quản trị viên. Các thiết lập chính sách này cũng có một thiết lập cho phép quản trị viên bắt buộc phải khởi động lại. Nếu một thiết bị được sử dụng khi chính sách hạn chế được áp dụng thì chính sách này có thể không bị bắt buộc cho tới khi máy tính đó khởi động lại. Sử dụng thiết lập chính sách để bắt buộc khởi động lại nếu bạn không muốn đợi cho đến khi người dùng khởi động lại máy tính. Nếu các chính sách hạn chế được bắt buộc không cần khởi động lại máy tính thì tùy chọn khởi động lại bị bỏ qua. Các thiết lập chính sách có thể tìm thấy tại hai vị trí. Trong Computer Configuration\Administrative Templates\System\Removable Storage Access ảnh hưởng lên một máy tính và những người dùng đăng nhập vào. Các chính sách trong User Configuration\Administrative Templates\System\Removable Storage Access chỉ ảnh hưởng đến những người dùng áp dụng chính sách này, gồm có các nhóm nếu Group Policy được áp dụng sử dụng Active Directory. Theo chỉ dẫn vắn tắt dưới đây về các chính sách cho phép bạn kiểm soát việc đọc /ghi đối với các ổ di động. Mỗi một chủng loại thiết bị hỗ trợ hai chính sách: một cho từ chối đọc và một cho từ chối ghi.  Time (in seconds) to force reboot. Thiết lập số lượng thời gian (bằng giây) mà hệ thống đợi khởi động lại để bắt buộc đối với sự thay đổi trong các quyền truy cập thiết bị lưu trữ ngoài. Khởi động lại chỉ bắt buộc nếu các chính sách hạn chế không được áp dụng mà không có nó. Lưu ý Nếu không bắt buộc phải khởi động lại máy tính và các chính sách không thể được áp dụng do thiết bị đang sử dụng thì sự thay đổi không gây ảnh hưởng cho tới khi hệ thống được khởi động lại. Nếu sự thay đổi của chính sách ảnh hưởng đến nhiều thiết bị thì thay đổi phải ép buộc ngay lập tức trên tất cả các thiết bị hiện không được sử dụng. Nếu bất kỳ thiết bị bị ảnh hưởng nào đang sử dụng mà sự thay đổi không được áp dụng ngay lập tức thì chính sách khởi động lại máy tính sẽ thực hiện nếu nó được kích hoạt bởi quản trị viên.  CD and DVD. Các thiết lập chính sách này cho phép bạn từ chối việc đọc, ghi đối với những thiết bị CD và DVD, gồm có cả thiết bị được kết nối USB. [...]... của nó Án Bình Trọng sưu tầm Trang 28 Chuyên đề Group Policy 5 Kích Disabled để tắt bỏ thiết lập chính sách 6 Kích OK đề lưu thiết lập của bạn và quay trở về Group Policy Object Editor Bước tiếp theo là gỡ bỏ chính sách đã đồng ý loại trừ các thành viên trong nhóm quản trị viên Gỡ bỏ ngoại lệ cho quản trị viên đối với các hạn chế của Group Policy 1 Trong Group Policy Object Editor, kích chuột phải... installation policy, sau đó kích vào Properties Hộp thoại chính sách xuất hiện cùng với các thiết lập hiện hành của nó 2 Trong tab Setting, kích Enabled để vào thiết lập chính sách 3 Kích OK để lưu thiết lập của bạn và quay trở về Group Policy Object Editor Cả hai chính sách bây giờ thể hiện trạng thái được kích hoạt của chúng Án Bình Trọng sưu tầm Trang 20 Chuyên đề Group Policy 4 Đóng Group Policy Object... tính như DMI-Client1\TestAdmin 2 Nếu thiết bị của bạn hiện thời đã được cài đặt, hãy gỡ bỏ cài đặt nó 3 Để mở Group Policy Object Editor, kích nút Start, đánh mmc gpedit.msc trong hộp Start Search, sau đó nhấn ENTER Án Bình Trọng sưu tầm Trang 24 Chuyên đề Group Policy 4 Trong cửa sổ Group Policy Object Editor, kích đúp Computer Configuration để mở nó Sau đó mở Administrative Templates > System > Device... nhớ USB của bạn sau đó chọn Properties Hộp thoại Device Properties sẽ xuất hiện Án Bình Trọng sưu tầm Trang 14 Chuyên đề Group Policy 7 Kích tab Details 8 Trong danh sách Property, kích Hardware Ids Dưới Value, hãy lưu ý đến các chuỗi được hiển thị Án Bình Trọng sưu tầm Trang 15 Chuyên đề Group Policy Lưu ý Bạn có thể copy các chuỗi này vào Clipboard bằng cách bôi đen tất cả chúng và nhấn CTRL + C.Vì... sưu tầm Trang 32 Chuyên đề Group Policy 8 Để mô phỏng những gì người dùng có thể thực hiện, bạn kích vào Search automatically for updated driver software Một thông báo sẽ xuất hiện thông báo rằng Windows không thể cài đặt bộ cài này Đoạn cuối của thông báo giải thích lý do tại sao không được cài đặt bì nó bị cấm bởi chính sách mà bạn đã tạo Án Bình Trọng sưu tầm Trang 33 Chuyên đề Group Policy 9 Kích... Án Bình Trọng sưu tầm Trang 19 Chuyên đề Group Policy 5 Trong cửa sổ chi tiết, kích chuột phải vào Prevent installation of devices not described by other policy settings, chọn Properties Hộp thoại chính sách xuất hiện với các thiết lập hiện thời của nó 6 Trên tab Setting, bạn kích Enabled để vào chính sách 7 Kích OK để lưu các thiết lập của bạn và quay trở lại Group Policy Object Editor Bước 2: Cấu.. .Chuyên đề Group Policy Quan trọng Một số phần mềm ghi đĩa CD và DVD của nhóm thứ ba tương tác với phần cứng theo cách tránh sự ngăn chặn của chính sách Nếu muốn ngăn chặn tất cả việc ghi lên đĩa CD hoặc DVD thì bạn cần phải xem xét đến việc áp dụng Group Policy để ngăn chặn cài đặt phần mềm đó       Custom Classes Các thiết... thành xong việc cài đặt 6 Sau khi Windows hoàn tất việc cài đặt, thiết bị chuyển sang nút Disk Drives trong Device Manager và có các chức năng đầy đủ Án Bình Trọng sưu tầm Trang 27 Chuyên đề Group Policy Theo quantrimang 6 Group Policy phần 6 – Ngăn chặn cài đặt các thiết bị muốn ngăn cấm Kịch bản này giới thiệu cho bạn một cách kiểm soát khác về việc cài đặt thiết bị Trong phần trước, bạn đã ngăn chặn... tất 6 Khi Windows hoàn thành xong quá trình gỡ bỏ cài đặt, nó gỡ bỏ được mục thiết bị ra khỏi cây danh mục trong Device Manager Án Bình Trọng sưu tầm Trang 18 Chuyên đề Group Policy 7 Rút USB của bạn ra khỏi cổng USB Theo quantrimang 4 Group Policy phần 4 – Ngặn chặn cài đặt tất cả các thiết bị Kịch bản này giới thiệu các bước điển hình được yêu cầu để thực hiện hầu hết cấu hình hạn chế, nơi mà sự... OK để lưu các thay đổi của bạn và trả về Group Policy Object Editor Các bước ngăn chặn cài đặt thiết bị muốn không ngăn cấm Để ngăn chặn người dùng cài đặt các thiết bị cụ thể nào đó, bạn tạo ra một danh sách các thiết bị bị ngăn cấm Trong kịch bản này, bạn sẽ: Bước 1: Tạo một danh sách các thiết bị muốn ngăn cấm Án Bình Trọng sưu tầm Trang 29 Chuyên đề Group Policy Tạo một danh sách các thiết bị muốn . Chuyên đề Group Policy Án Bình Trọng sưu tầm Trang 1 Chuyên đề Group Policy Mục lục 1 Group Policy Phần 1 – Giới thiệu 1 2 Group Policy Phần 2 – Kiểm soát các thiết bị di động 3 3 Group. gói phần mềm cho lớp thiết bị. Chuyên đề Group Policy Án Bình Trọng sưu tầm Trang 6 Các Group Policy cho cài đặt thiết bị Để cho phép kiểm soát trên vấn đề cài đặt thiết bị, Windows Vista. soát cài đặt thiết bị và sử dụng trên máy tính mà bạn quản lý. Kịch bản sử dụng Group Policy trên Chuyên đề Group Policy Án Bình Trọng sưu tầm Trang 3 máy tính cục bộ để đơn giản hóa việc

Ngày đăng: 20/10/2014, 15:50

TỪ KHÓA LIÊN QUAN

TRÍCH ĐOẠN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w