Thông tin tài liệu
Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng
Group Policy: Kiểm soát các thiết bị di động
Tổng quan về công nghệ
Các phần dưới đây cung cấp cho các bạn một cách nhìn tổng quan về các kỹ
thuật cốt lõi sẽ được thảo luận trong hướng dẫn này.
Cài đặt thiết bị trong Windows
Một thiết bị là một phần của phần cứng mà Windows sẽ tương tác để thực hiện một
số chức năng. Windows có thể truyền thông với thiết bị thông qua một phần mềm
được gọi là phần mềm cài đặt (driver) của thiết bị. Để cài đặt một driver thiết bị,
Windows sẽ phát hiện thiết bị, nhận dạng thiết bị là loại gì và sau đó tìm phần mềm
cài đặt hợp với loại thiết bị này. Windows sử dụng hai loại nhận dạng để kiểm soát
cài đặt thiết bị và cấu hình. Bạn có thể sử dụng các thiết lập Group Policy trong
Windows Vista và Windows Server 2008 để chỉ ra loại nhận dạng nào cho phép,
loại nào khóa.
Hai loại nhận dạng đó là:
Các chuỗi nhận dạng thiết bị
Các lớp thiết lập thiết bị
Các chuỗi nhận dạng thiết bị
Khi Windows phát hiện ra một thiết bị chưa được cài đặt trên máy tính, hệ điều
hành sẽ hỏi thiết bị để truy vấn trong danh sách của nó các chuỗi nhận dạng thiết
bị. Một thiết bị thường có nhiều chuỗi nhận dạng, các chuỗi này được nhà máy sản
xuất gán cho nó. Các chuỗi nhận dạng thiết bị đều được chứa trong file .inf có
trong gói phần mềm cài đặt của thiết bị. Windows sẽ chọn gói phần mềm nào hợp
với chuỗi nhận dạng thiết bị được truy vấn từ thiết bị đến các chuỗi được chứa
trong gói cài đặt.
Windows có thể sử dụng mỗi chuỗi ánh xạ một thiết bị với một gói cài đặt. Các
chuỗi từ một mô hình riêng của thiết bị đến rất chung, đều có thể áp dụng cho toàn
bộ lớp các thiết bị. Có hai loại chuỗi nhận dạng thiết bị:
ID phần cứng. ID phần cứng là các bộ nhận dạng cung cấp sự tương ứng
chính xác giữa một thiết bị và một gói cài đặt. Chuỗi đầu tiên trong danh
sách ID phần cứng là ID thiết bị, bởi vì nó tương ứng với cấu tạo, mô hình
và phiên bản mới của thiết bị. Các ID phần cứng khác trong danh sách tương
ứng với các chi tiết của thiết bị kém chính xác hơn. Ví dụ: một ID phần cứng
có thể nhận ra cấu tạo và mô hình của thiết bị nhưng không chỉ ra được
phiên bản mới của nó. Biểu đồ này cho phép Windows sử dụng một bộ cài
cho một phiên bản khác của thiết bị nếu bộ cài của đúng phiên bản mới là
không phù hợp.
ID tương thích. Windows sử dụng các bộ nhận dạng này để chọn ra một
phần mềm cài đặt nếu hệ điều hành không thể tìm được một sự tương ứng
với ID thiết bị hoặc ID phần cứng. ID tương thích được liệt kê theo thứ tự
giảm dần. Các chuỗi đó là không bắt buộc và khi được cung cấp chúng có
đặc điểm chung, như Disk. Khi một sự tương ứng được hình thành bằng sử
dụng một ID tương thích thì bạn chỉ có thể sử dụng các chức năng cơ bản
nhất của thiết bị.
Khi bạn cài đặt một thiết bị như máy in hay một ổ USB hoặc một bàn phím,
Windows sẽ tìm các gói cài đặt tương ứng với thiết bị mà bạn đang muốn cài đặt.
Trong suốt quá trình tìm kiếm, Windows gán một “cấp” cho mỗi một gói cài đặt
mà nó khám phá có ít nhất một sự tương ứng với phần cứng hoặc ID tương thích.
Cấp này chỉ thị bộ cài này tương ứng ở mức độ như thế nào đối với thiết bị. Số cấp
thấp chỉ thị sự tương ứng tốt hơn giữa bộ cài và phần cứng. Cấp 0 biểu hiện sự
tương thích tốt nhất. Sự tương thích với ID thiết bị đối với một gói phần mềm cài
đặt có kết quả thấp hơn (tốt hơn) so với sự tương thích đối với ID phần cứng.
Tương tự như vậy, một sự tương ứng với ID phần cứng có kết quả tốt hơn so với
bất kỳ ID tương thích nào. Sau khi Windows sắp xếp tất cả các gói nó sẽ cài đặt
một bộ cài có cấp thấp nhất trong số đó. Một số thiết bị vật lý tạo ra một hoặc một
số thiết bị logic khi chúng được cài đặt. Mỗi thiết bị logic có thể quản lý một số
chức năng của thiết bị vật lý. Ví dụ, một thiết bị đa chức năng như một máy có thể
in, quét, fax, có thể có chuỗi nhận dạng thiết bị khác nhau đối với mỗi chức năng.
Khi sử dụng các chính sách hạn chế cài đặt thiết bị để cho phép hoặc ngăn cản cài
đặt của một thiết bị sử dụng các thiết bị logic thì bạn phải cho phép hoặc ngăn cản
các chuỗi nhận dạng của thiết bị đó. Ví dụ: nếu người dùng cố gắng cài đặt một
thiết bị đa chức năng và bạn không cho phép hoặc ngăn cản tất cả chuỗi nhận dạng
cho cả thiết bị vật lý và logic, thì bạn phải có được các kết quả không như mong
đợi từ sự cố gắng cài đặt.
Các lớp cài đặt thiết bị
Các lớp cài đặt thiết bị là một loại khác của chuỗi nhận dạng. Nhà sản xuất gán lớp
cài đặt thiết bị của mỗi thiết bị trong phần mềm cài đặt của nó. Lớp cài đặt thiết bị
nhóm các thiết bị được cài đặt và cấu hình theo cách giống nhau. Ví dụ, tất cả các
CD drives đều nằm trong lớp cài đặt thiết bị CDROM và chúng sử dụng cùng một
bộ cài khi cài đặt. Một số dài được gọi là bộ nhận dạng duy nhất tổng thể (GUID)
miêu tả mỗi một lớp cài đặt thiết bị. Cùng với GUID cho lớp cài đặt thiết bị của
bản thân thiết bị, Windows có thể cần phải chèn vào cây GUID lớp cài đặt thiết bị
của bus đến thiết bị được gắn.
Khi sử dụng các lớp cài đặt thiết bị để cho phép hoặc ngăn chặn người dùng cài đặt
thì bạn phải chỉ định các GUID cho tất cả các lớp cài đặt của thiết bị hoặc có thể
bạn sẽ không thực hiện được kết quả mong muốn. Sự cài đặt có thể thất bại (nếu
bạn muốn nó thành công) hoặc nó có thể thành công (nếu bạn muốn nó thất bại).
Ví dụ, một thiết bị đa chức năng như thiết bị có các chức năng in/quét/fax có một
GUID cho loại thiết bị đa chức năng, một GUID cho chức năng in, một GUID cho
chức năng quét… Các GUID cho các chức năng riêng biệt là các “nút con” nằm
dưới GUID đa chức năng. Để cài đặt một nút con, Windows phải cài đặt nút cha.
Bạn phải cho phép cài đặt của lớp đối với GUID cha cho thiết bị đa chức năng sau
đó là các GUID con cho các chức năng riêng lẻ.
Hướng dẫn này không mô tả kịch bản sử dụng các lớp cài đặt thiết bị. Mặc dù vậy,
các nguyên lý cơ bản đã được giới thiệu với các chuỗi nhận dạng thiết bị trong
hướng dẫn này cũng áp dụng cho lớp cài đặt. Sau khi khai thác lớp cài đặt cho thiết
bị cụ thể bạn có thể sử dụng nó trong một chính sách để có thể cho phép hoặc ngăn
chặn cài đặt gói phần mềm cho lớp thiết bị.
Các Group Policy cho cài đặt thiết bị
Để cho phép kiểm soát trên vấn đề cài đặt thiết
bị, Windows Vista và Windows Server 2008 đã
đưa ra một số thiết lập chính sách. Bạn có thể cấu
hình những thiết lập này riêng trên các máy tính
đơn lẻ hoặc có thể áp dụng chúng cho một số máy tính thông qua sử dụng Group
Policy trong miền Active Directory.
Nếu muốn áp dụng thiết lập đối với các máy tính riêng lẻ hay đối với nhiều máy
tính trong một miền Active Directory thì bạn phải sử dụng Group Policy Object
Editor để cấu hình và áp dụng các thiết lập chính sách.
Dưới đây là một mô tả vắn tắt về các thiết lập chính sách cài đặt thiết bị được sử
dụng trong hướng dẫn này.
Lưu ý
Các thiết lập chính sách này sẽ ảnh hưởng đến tất cả người dùng, những người
đăng nhập vào máy tính có áp dụng nó. Bạn không thể áp dụng các chính sách này
cho chính sách Allow administrators to override device installation policy (Cho
phép các quản trị viên ghi đè lên chính sách cài đặt thiết bị). Chính sách này miễn
cho một số nhóm quản trị viên nội bộ trong việc hạn chế cài đặt mà bạn đã áp dụng
đến máy tính bằng cách cấu hình các thiết lập khác như đã miêu tả trong phần này.
Prevent installation of devices not described by other policy settings (Ngăn
chặn cài đặt các thiết bị không được miêu tả bằng các thiết lập chính sách
khác). Thiết lập chính sách này kiểm soát sự cài đặt thiết bị không được
miêu tả cụ thể bởi bất kỳ thiết lập chính sách khác. Nếu bạn cho phép thiết
lập chính sách này thì người dùng không thể cài đặt hoặc nâng cấp phần
mềm cài đặt cho các thiết bị trừ khi chúng được mô tả bởi chính sách Allow
installation of devices that match these device IDs (Cho phép cài đặt các
thiết bị tương ứng với ID thiết bị đó) hoặc Allow installation of devices for
these device classes (Cho phép cài đặt các thiết bị cho lớp thiết bị đó). Nếu
bạn vô hiệu hóa hoặc không cấu hình thiết lập chính sách này thì người dùng
có thể cài đặt và nâng cấp phần mềm cài đặt cho bất kỳ thiết bị nào không
được mô tả bởi chính sách Prevent installation of devices that match these
device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID thiết bị đó),
Prevent installation of devices for these device classes (Ngăn chặn cài đặt
các thiết bị cho lớp thiết bị đó) hoặc Prevent installation of removable
devices (Ngăn chặn cài đặt các thiết bị di động).
Allow administrators to override device installation policy (Cho phép các
quản trị viên ghi đè lên chính sách cài đặt thiết bị). Thiết lập chính sách này
cho phép các thành viên trong nhóm quản trị viên nội bộ có thể cài đặt và
nâng cấp phần mềm cài đặt cho bất kỳ thiết bị nào không cần quan tâm đến
các thiết lập chính sách khác. Nếu bạn kích hoạt chính thiết lập này thì các
quản trị viên có thể sử dụng Add Hardware Wizard hoặc Update Driver
Wizard để cài đặt và nâng cấp phần mềm cài đặt cho thiết bị. Nếu bạn vô
hiệu hóa hoặc không cấu hình chính sách này thì các quản trị viên là đối
tượng của tất cả các thiết lập chính sách và sẽ bị hạn chế việc cài đặt.
Prevent installation of devices that match these device IDs (Ngăn chặn cài
đặt các thiết bị tương ứng với ID thiết bị đó). Thiết lập chính sách này chỉ ra
một danh sách các ID phần cứng Plug and Play và các ID tương thích cho
các thiết bị mà người dùng không thể cài đặt. Nếu bạn kích hoạt thiết lập
chính sách này thì người dùng không thể cài đặt hoặc nâng cấp phần mềm
cài đặt cho một thiết bị nếu các ID phần cứng và ID tương thích của nó
tương ứng với danh sách này. Nếu bạn vô hiệu hóa hoặc không cấu hình
chính sách này thì người dùng có thể cài đặt các thiết bị và nâng cấp phần
mềm cài đặt như được cho phép bởi các thiết lập chính sách.
Lưu ý
Thiết lập chính sách này có quyền ưu tiên hơn bất kỳ thiết lập chính sách
khác cho phép người dùng cài đặt một thiết bị. Thiết lập này ngăn chặn
người dùng cài đặt một thiết bị thậm chí nó tương ứng với chính sách khác
cho phép cài đặt thiết bị.
Prevent installation of drivers matching these device setup classes (Ngăn
chặn cài đặt các driver tương ứng với lớp cài đặt thiết bị). Thiết lập này chỉ
ra một danh sách các GUID lớp cài đặt thiết bị “cắm là chạy” cho các thiết
bị mà người dùng không thể cài đặt. Nếu bạn cho sử dụng lập chính sách này
thì người dùng sẽ không thể cài đặt hoặc nâng cấp các phần mềm cài đặt cho
một thiết bị có trong các lớp cài đặt thiết bị đã được liệt kê. Nếu bạn vô hiệu
hóa hoặc không cấu hình thiết lập chính sách này thì người dùng có thể cài
đặt và nâng cấp các phần mềm cài đặt cho các thiết bị như được phép của
các thiết lập chính sách khác.
Lưu ý
Thiết lập chính sách này có quyền ưu tiên trên bất kỳ các thiết lập chính sách
[...]... settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) sẽ quyết định người dùng có thể cài đặt thiết bị hay không Allow installation of devices using drivers for these device classes (Cho phép cài đặt thiết bị sử dụng driver cho các lớp thiết bị) Thiết lập chính sách chỉ ra một danh sách các GUID lớp cài đặt thiết bị để miêu tả thiết bị mà người dùng cài đặt Thiết lập này... dùng cài đặt thiết bị Thiết lập chính sách này ngăn chặn người dùng cài đặt một thiết bị thậm chí nó tương ứng với thiết lập chính sách mà sẽ cho phép cài đặt Allow installation of devices that match any of these device IDs (Cho phép cài đặt các thiết bị tương ứng với ID thiết bị đó) Thiết lập chính sách này chỉ ra một danh sách các ID phần cứng và ID tương thích PnP, các ID này miểu tả thiết bị mà... dự định chỉ sử dụng khi thiết lập chính sách Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) được cho phép và không có quyền ưu tiên trên các thiết lập ngăn chặn người dùng cài đặt thiết bị Nếu bạn cho phép thiết lập này thì người dùng có thể cài đặt và nâng cấp thiết bị với một lớp cài đặt tương ứng... trên các chính sách khác Biểu đồ dưới đây thể hiện cách Windows xử lý chúng để quyết định người dùng có thể cài đặt thiết bị hay không: Các thiết lập Group Policy cho truy cập của các thiết bị lưu trữ ngoài Trong Windows Vista và Windows Server 2008 một quản trị viên có thể áp dụng Group Policy để kiểm soát xem người dùng có thể đọc hoặc ghi các thiết bị lưu trữ ngoài Các chính sách đó được sử dụng. .. thể cài đặt và nâng cấp bất kỳ thiết bị nào có ID phần cứng và ID tương thích tương ứng với một ID trong danh sách, nếu cài đặt đó không được chỉ rõ là bị ngăn chặn bởi thiết lập chính sách Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID thiết bị đó), Prevent installation of devices for these device classes (Ngăn chặn cài đặt các thiết bị. .. các GUID lớp cài đặt trong danh sách này nếu cài đặt đó không bị ngăn chặn rõ ràng bởi thiết lập chính sách Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID thiết bị đó), Prevent installation of devices for these device classes (Ngăn chặn cài đặt các thiết bị cho lớp thiết bị đó), hoặc Prevent installation of removable devices (Ngăn chặn cài. .. devices (Ngăn chặn cài đặt các thiết bị di động) Nếu bạn vô hiệu hóa hoặc không cấu hình thiết lập chính sách này và không có thiết lập nào khác miêu tả thiết bị thì thiết lập chính sách Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) sẽ quyết định người dùng có thể cài đặt thiết bị hay không Một số... bị mà người dùng có thể cài đặt Thiết lập này được dự định chỉ sử dụng khi thiết lập chính sách Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) được cho phép và không có quyền ưu tiên trên các thiết lập chính sách khác sẽ ngăn chặn người dùng cài đặt thiết bị Nếu bạn sử dụng thiết lập chính sách này... cho lớp thiết bị đó) hoặc Prevent installation of removable devices (Ngăn chặn cài đặt các thiết bị di động) Nếu thiết lập chính sách khác ngăn chặn người dùng cài đặt thì người dùng không thể cài đặt thậm chí thiết bị cũng được miêu tả bằng một giá trị trong thiết lập chính sách Nếu bạn vô hiệu hóa hoặc không cấu hình thiết lập chính sách này hoặc không có chính sách khác miêu tả thiết bị thì thiết. .. tính và những người dùng đăng nhập vào Các chính sách trong User Configuration\Administrative Templates\System\Removable Storage Access chỉ ảnh hưởng đến những người dùng áp dụng chính sách này, gồm có các nhóm nếu Group Policy được áp dụng sử dụng Active Directory Theo chỉ dẫn vắn tắt dưới đây về các chính sách cho phép bạn kiểm soát việc đọc /ghi đối với các ổ di động Mỗi một chủng loại thiết bị hỗ . Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy: Kiểm soát các thiết bị di động Tổng quan về công nghệ Các phần dưới đây cung cấp cho các bạn một cách nhìn tổng quan về các. cố gắng cài đặt. Các lớp cài đặt thiết bị Các lớp cài đặt thiết bị là một loại khác của chuỗi nhận dạng. Nhà sản xuất gán lớp cài đặt thiết bị của mỗi thiết bị trong phần mềm cài đặt của. Lớp cài đặt thiết bị nhóm các thiết bị được cài đặt và cấu hình theo cách giống nhau. Ví dụ, tất cả các CD drives đều nằm trong lớp cài đặt thiết bị CDROM và chúng sử dụng cùng một bộ cài
Ngày đăng: 25/03/2014, 10:22
Xem thêm: Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy: Kiểm soát các thiết bị di động pptx, Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy: Kiểm soát các thiết bị di động pptx