Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy: Kiểm soát các thiết bị di động Tổng quan về công nghệ Các phần dưới đây cung cấp cho các bạn một cách nhìn tổng quan về các kỹ thuật cốt lõi sẽ được thảo luận trong hướng dẫn này. Cài đặt thiết bị trong Windows Một thiết bị là một phần của phần cứng mà Windows sẽ tương tác để thực hiện một số chức năng. Windows có thể truyền thông với thiết bị thông qua một phần mềm được gọi là phần mềm cài đặt (driver) của thiết bị. Để cài đặt một driver thiết bị, Windows sẽ phát hiện thiết bị, nhận dạng thiết bị là loại gì và sau đó tìm phần mềm cài đặt hợp với loại thiết bị này. Windows sử dụng hai loại nhận dạng để kiểm soát cài đặt thiết bị và cấu hình. Bạn có thể sử dụng các thiết lập Group Policy trong Windows Vista và Windows Server 2008 để chỉ ra loại nhận dạng nào cho phép, loại nào khóa. Hai loại nhận dạng đó là:  Các chuỗi nhận dạng thiết bị  Các lớp thiết lập thiết bị Các chuỗi nhận dạng thiết bị Khi Windows phát hiện ra một thiết bị chưa được cài đặt trên máy tính, hệ điều hành sẽ hỏi thiết bị để truy vấn trong danh sách của nó các chuỗi nhận dạng thiết bị. Một thiết bị thường có nhiều chuỗi nhận dạng, các chuỗi này được nhà máy sản xuất gán cho nó. Các chuỗi nhận dạng thiết bị đều được chứa trong file .inf có trong gói phần mềm cài đặt của thiết bị. Windows sẽ chọn gói phần mềm nào hợp với chuỗi nhận dạng thiết bị được truy vấn từ thiết bị đến các chuỗi được chứa trong gói cài đặt. Windows có thể sử dụng mỗi chuỗi ánh xạ một thiết bị với một gói cài đặt. Các chuỗi từ một mô hình riêng của thiết bị đến rất chung, đều có thể áp dụng cho toàn bộ lớp các thiết bị. Có hai loại chuỗi nhận dạng thiết bị:  ID phần cứng. ID phần cứng là các bộ nhận dạng cung cấp sự tương ứng chính xác giữa một thiết bị và một gói cài đặt. Chuỗi đầu tiên trong danh sách ID phần cứng là ID thiết bị, bởi vì nó tương ứng với cấu tạo, mô hình và phiên bản mới của thiết bị. Các ID phần cứng khác trong danh sách tương ứng với các chi tiết của thiết bị kém chính xác hơn. Ví dụ: một ID phần cứng có thể nhận ra cấu tạo và mô hình của thiết bị nhưng không chỉ ra được phiên bản mới của nó. Biểu đồ này cho phép Windows sử dụng một bộ cài cho một phiên bản khác của thiết bị nếu bộ cài của đúng phiên bản mới là không phù hợp.  ID tương thích. Windows sử dụng các bộ nhận dạng này để chọn ra một phần mềm cài đặt nếu hệ điều hành không thể tìm được một sự tương ứng với ID thiết bị hoặc ID phần cứng. ID tương thích được liệt kê theo thứ tự giảm dần. Các chuỗi đó là không bắt buộc và khi được cung cấp chúng có đặc điểm chung, như Disk. Khi một sự tương ứng được hình thành bằng sử dụng một ID tương thích thì bạn chỉ có thể sử dụng các chức năng cơ bản nhất của thiết bị. Khi bạn cài đặt một thiết bị như máy in hay một ổ USB hoặc một bàn phím, Windows sẽ tìm các gói cài đặt tương ứng với thiết bị mà bạn đang muốn cài đặt. Trong suốt quá trình tìm kiếm, Windows gán một “cấp” cho mỗi một gói cài đặt mà nó khám phá có ít nhất một sự tương ứng với phần cứng hoặc ID tương thích. Cấp này chỉ thị bộ cài này tương ứng ở mức độ như thế nào đối với thiết bị. Số cấp thấp chỉ thị sự tương ứng tốt hơn giữa bộ cài và phần cứng. Cấp 0 biểu hiện sự tương thích tốt nhất. Sự tương thích với ID thiết bị đối với một gói phần mềm cài đặt có kết quả thấp hơn (tốt hơn) so với sự tương thích đối với ID phần cứng. Tương tự như vậy, một sự tương ứng với ID phần cứng có kết quả tốt hơn so với bất kỳ ID tương thích nào. Sau khi Windows sắp xếp tất cả các gói nó sẽ cài đặt một bộ cài có cấp thấp nhất trong số đó. Một số thiết bị vật lý tạo ra một hoặc một số thiết bị logic khi chúng được cài đặt. Mỗi thiết bị logic có thể quản lý một số chức năng của thiết bị vật lý. Ví dụ, một thiết bị đa chức năng như một máy có thể in, quét, fax, có thể có chuỗi nhận dạng thiết bị khác nhau đối với mỗi chức năng. Khi sử dụng các chính sách hạn chế cài đặt thiết bị để cho phép hoặc ngăn cản cài đặt của một thiết bị sử dụng các thiết bị logic thì bạn phải cho phép hoặc ngăn cản các chuỗi nhận dạng của thiết bị đó. Ví dụ: nếu người dùng cố gắng cài đặt một thiết bị đa chức năng và bạn không cho phép hoặc ngăn cản tất cả chuỗi nhận dạng cho cả thiết bị vật lý và logic, thì bạn phải có được các kết quả không như mong đợi từ sự cố gắng cài đặt. Các lớp cài đặt thiết bị Các lớp cài đặt thiết bị là một loại khác của chuỗi nhận dạng. Nhà sản xuất gán lớp cài đặt thiết bị của mỗi thiết bị trong phần mềm cài đặt của nó. Lớp cài đặt thiết bị nhóm các thiết bị được cài đặt và cấu hình theo cách giống nhau. Ví dụ, tất cả các CD drives đều nằm trong lớp cài đặt thiết bị CDROM và chúng sử dụng cùng một bộ cài khi cài đặt. Một số dài được gọi là bộ nhận dạng duy nhất tổng thể (GUID) miêu tả mỗi một lớp cài đặt thiết bị. Cùng với GUID cho lớp cài đặt thiết bị của bản thân thiết bị, Windows có thể cần phải chèn vào cây GUID lớp cài đặt thiết bị của bus đến thiết bị được gắn. Khi sử dụng các lớp cài đặt thiết bị để cho phép hoặc ngăn chặn người dùng cài đặt thì bạn phải chỉ định các GUID cho tất cả các lớp cài đặt của thiết bị hoặc có thể bạn sẽ không thực hiện được kết quả mong muốn. Sự cài đặt có thể thất bại (nếu bạn muốn nó thành công) hoặc nó có thể thành công (nếu bạn muốn nó thất bại). Ví dụ, một thiết bị đa chức năng như thiết bị có các chức năng in/quét/fax có một GUID cho loại thiết bị đa chức năng, một GUID cho chức năng in, một GUID cho chức năng quét… Các GUID cho các chức năng riêng biệt là các “nút con” nằm dưới GUID đa chức năng. Để cài đặt một nút con, Windows phải cài đặt nút cha. Bạn phải cho phép cài đặt của lớp đối với GUID cha cho thiết bị đa chức năng sau đó là các GUID con cho các chức năng riêng lẻ. Hướng dẫn này không mô tả kịch bản sử dụng các lớp cài đặt thiết bị. Mặc dù vậy, các nguyên lý cơ bản đã được giới thiệu với các chuỗi nhận dạng thiết bị trong hướng dẫn này cũng áp dụng cho lớp cài đặt. Sau khi khai thác lớp cài đặt cho thiết bị cụ thể bạn có thể sử dụng nó trong một chính sách để có thể cho phép hoặc ngăn chặn cài đặt gói phần mềm cho lớp thiết bị. Các Group Policy cho cài đặt thiết bị Để cho phép kiểm soát trên vấn đề cài đặt thiết bị, Windows Vista và Windows Server 2008 đã đưa ra một số thiết lập chính sách. Bạn có thể cấu hình những thiết lập này riêng trên các máy tính đơn lẻ hoặc có thể áp dụng chúng cho một số máy tính thông qua sử dụng Group Policy trong miền Active Directory. Nếu muốn áp dụng thiết lập đối với các máy tính riêng lẻ hay đối với nhiều máy tính trong một miền Active Directory thì bạn phải sử dụng Group Policy Object Editor để cấu hình và áp dụng các thiết lập chính sách. Dưới đây là một mô tả vắn tắt về các thiết lập chính sách cài đặt thiết bị được sử dụng trong hướng dẫn này. Lưu ý Các thiết lập chính sách này sẽ ảnh hưởng đến tất cả người dùng, những người đăng nhập vào máy tính có áp dụng nó. Bạn không thể áp dụng các chính sách này cho chính sách Allow administrators to override device installation policy (Cho phép các quản trị viên ghi đè lên chính sách cài đặt thiết bị). Chính sách này miễn cho một số nhóm quản trị viên nội bộ trong việc hạn chế cài đặt mà bạn đã áp dụng đến máy tính bằng cách cấu hình các thiết lập khác như đã miêu tả trong phần này.  Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt các thiết bị không được miêu tả bằng các thiết lập chính sách khác). Thiết lập chính sách này kiểm soát sự cài đặt thiết bị không được miêu tả cụ thể bởi bất kỳ thiết lập chính sách khác. Nếu bạn cho phép thiết lập chính sách này thì người dùng không thể cài đặt hoặc nâng cấp phần mềm cài đặt cho các thiết bị trừ khi chúng được mô tả bởi chính sách Allow installation of devices that match these device IDs (Cho phép cài đặt các thiết bị tương ứng với ID thiết bị đó) hoặc Allow installation of devices for these device classes (Cho phép cài đặt các thiết bị cho lớp thiết bị đó). Nếu bạn vô hiệu hóa hoặc không cấu hình thiết lập chính sách này thì người dùng có thể cài đặt và nâng cấp phần mềm cài đặt cho bất kỳ thiết bị nào không được mô tả bởi chính sách Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID thiết bị đó), Prevent installation of devices for these device classes (Ngăn chặn cài đặt các thiết bị cho lớp thiết bị đó) hoặc Prevent installation of removable devices (Ngăn chặn cài đặt các thiết bị di động).  Allow administrators to override device installation policy (Cho phép các quản trị viên ghi đè lên chính sách cài đặt thiết bị). Thiết lập chính sách này cho phép các thành viên trong nhóm quản trị viên nội bộ có thể cài đặt và nâng cấp phần mềm cài đặt cho bất kỳ thiết bị nào không cần quan tâm đến các thiết lập chính sách khác. Nếu bạn kích hoạt chính thiết lập này thì các quản trị viên có thể sử dụng Add Hardware Wizard hoặc Update Driver Wizard để cài đặt và nâng cấp phần mềm cài đặt cho thiết bị. Nếu bạn vô hiệu hóa hoặc không cấu hình chính sách này thì các quản trị viên là đối tượng của tất cả các thiết lập chính sách và sẽ bị hạn chế việc cài đặt.  Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID thiết bị đó). Thiết lập chính sách này chỉ ra một danh sách các ID phần cứng Plug and Play và các ID tương thích cho các thiết bị mà người dùng không thể cài đặt. Nếu bạn kích hoạt thiết lập chính sách này thì người dùng không thể cài đặt hoặc nâng cấp phần mềm cài đặt cho một thiết bị nếu các ID phần cứng và ID tương thích của nó tương ứng với danh sách này. Nếu bạn vô hiệu hóa hoặc không cấu hình chính sách này thì người dùng có thể cài đặt các thiết bị và nâng cấp phần mềm cài đặt như được cho phép bởi các thiết lập chính sách. Lưu ý Thiết lập chính sách này có quyền ưu tiên hơn bất kỳ thiết lập chính sách khác cho phép người dùng cài đặt một thiết bị. Thiết lập này ngăn chặn người dùng cài đặt một thiết bị thậm chí nó tương ứng với chính sách khác cho phép cài đặt thiết bị.  Prevent installation of drivers matching these device setup classes (Ngăn chặn cài đặt các driver tương ứng với lớp cài đặt thiết bị). Thiết lập này chỉ ra một danh sách các GUID lớp cài đặt thiết bị “cắm là chạy” cho các thiết bị mà người dùng không thể cài đặt. Nếu bạn cho sử dụng lập chính sách này thì người dùng sẽ không thể cài đặt hoặc nâng cấp các phần mềm cài đặt cho một thiết bị có trong các lớp cài đặt thiết bị đã được liệt kê. Nếu bạn vô hiệu hóa hoặc không cấu hình thiết lập chính sách này thì người dùng có thể cài đặt và nâng cấp các phần mềm cài đặt cho các thiết bị như được phép của các thiết lập chính sách khác. Lưu ý Thiết lập chính sách này có quyền ưu tiên trên bất kỳ các thiết lập chính sách [...]... settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) sẽ quyết định người dùng có thể cài đặt thiết bị hay không  Allow installation of devices using drivers for these device classes (Cho phép cài đặt thiết bị sử dụng driver cho các lớp thiết bị) Thiết lập chính sách chỉ ra một danh sách các GUID lớp cài đặt thiết bị để miêu tả thiết bị mà người dùng cài đặt Thiết lập này... dùng cài đặt thiết bị Thiết lập chính sách này ngăn chặn người dùng cài đặt một thiết bị thậm chí nó tương ứng với thiết lập chính sách mà sẽ cho phép cài đặt  Allow installation of devices that match any of these device IDs (Cho phép cài đặt các thiết bị tương ứng với ID thiết bị đó) Thiết lập chính sách này chỉ ra một danh sách các ID phần cứng và ID tương thích PnP, các ID này miểu tả thiết bị mà... dự định chỉ sử dụng khi thiết lập chính sách Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) được cho phép và không có quyền ưu tiên trên các thiết lập ngăn chặn người dùng cài đặt thiết bị Nếu bạn cho phép thiết lập này thì người dùng có thể cài đặt và nâng cấp thiết bị với một lớp cài đặt tương ứng... trên các chính sách khác Biểu đồ dưới đây thể hiện cách Windows xử lý chúng để quyết định người dùng có thể cài đặt thiết bị hay không: Các thiết lập Group Policy cho truy cập của các thiết bị lưu trữ ngoài Trong Windows Vista và Windows Server 2008 một quản trị viên có thể áp dụng Group Policy để kiểm soát xem người dùng có thể đọc hoặc ghi các thiết bị lưu trữ ngoài Các chính sách đó được sử dụng. .. thể cài đặt và nâng cấp bất kỳ thiết bị nào có ID phần cứng và ID tương thích tương ứng với một ID trong danh sách, nếu cài đặt đó không được chỉ rõ là bị ngăn chặn bởi thiết lập chính sách Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID thiết bị đó), Prevent installation of devices for these device classes (Ngăn chặn cài đặt các thiết bị. .. các GUID lớp cài đặt trong danh sách này nếu cài đặt đó không bị ngăn chặn rõ ràng bởi thiết lập chính sách Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID thiết bị đó), Prevent installation of devices for these device classes (Ngăn chặn cài đặt các thiết bị cho lớp thiết bị đó), hoặc Prevent installation of removable devices (Ngăn chặn cài. .. devices (Ngăn chặn cài đặt các thiết bị di động) Nếu bạn vô hiệu hóa hoặc không cấu hình thiết lập chính sách này và không có thiết lập nào khác miêu tả thiết bị thì thiết lập chính sách Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) sẽ quyết định người dùng có thể cài đặt thiết bị hay không Một số... bị mà người dùng có thể cài đặt Thiết lập này được dự định chỉ sử dụng khi thiết lập chính sách Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) được cho phép và không có quyền ưu tiên trên các thiết lập chính sách khác sẽ ngăn chặn người dùng cài đặt thiết bị Nếu bạn sử dụng thiết lập chính sách này... cho lớp thiết bị đó) hoặc Prevent installation of removable devices (Ngăn chặn cài đặt các thiết bị di động) Nếu thiết lập chính sách khác ngăn chặn người dùng cài đặt thì người dùng không thể cài đặt thậm chí thiết bị cũng được miêu tả bằng một giá trị trong thiết lập chính sách Nếu bạn vô hiệu hóa hoặc không cấu hình thiết lập chính sách này hoặc không có chính sách khác miêu tả thiết bị thì thiết. .. tính và những người dùng đăng nhập vào Các chính sách trong User Configuration\Administrative Templates\System\Removable Storage Access chỉ ảnh hưởng đến những người dùng áp dụng chính sách này, gồm có các nhóm nếu Group Policy được áp dụng sử dụng Active Directory Theo chỉ dẫn vắn tắt dưới đây về các chính sách cho phép bạn kiểm soát việc đọc /ghi đối với các ổ di động Mỗi một chủng loại thiết bị hỗ . Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy: Kiểm soát các thiết bị di động Tổng quan về công nghệ Các phần dưới đây cung cấp cho các bạn một cách nhìn tổng quan về các. cố gắng cài đặt. Các lớp cài đặt thiết bị Các lớp cài đặt thiết bị là một loại khác của chuỗi nhận dạng. Nhà sản xuất gán lớp cài đặt thiết bị của mỗi thiết bị trong phần mềm cài đặt của. Lớp cài đặt thiết bị nhóm các thiết bị được cài đặt và cấu hình theo cách giống nhau. Ví dụ, tất cả các CD drives đều nằm trong lớp cài đặt thiết bị CDROM và chúng sử dụng cùng một bộ cài