Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy: Ngăn chặn cài đặt các thiết bị muốn ngăn cấm... Trong phần trước, bạn đã ngăn chặn cài đặt cho tất cả ngoại trừ các thiết b
Trang 1Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng
Group Policy: Ngăn chặn cài đặt các thiết bị muốn
ngăn cấm
Trang 2Ngăn chặn cài đặt các thiết bị muốn ngăn cấm
Kịch bản này giới thiệu cho bạn một cách kiểm soát khác về việc cài đặt thiết bị Trong phần trước, bạn đã ngăn chặn cài đặt cho tất cả ngoại trừ các thiết bị được cho phép trong một danh sách thiết bị được cài đặt Trong kịch bản này, bạn sẽ cho phép cài đặt tất cả các thiết bị ngoại trừ thiết bị có trong danh sách bị hạn chế Bạn cũng gỡ bỏ sự ngoại trừ cho quản trị viên đã tạo trong kịch bản trước để làm cho quản trị viên có thể cũng bị ảnh hưởng bởi chính sách
Điều kiện quyết định cho việc ngăn chặn cài đặt các thiết bị muốn ngăn cấm
Nếu bạn đã thực hiện các bước “Ngăn chặn cài đặt tất cả các thiết bị” và “Cho phép người dùng chỉ cài đặt được các thiết bị cho phép” trong các phần trước, bạn
phải vô hiệu hóa các chính sách này bằng sử dụng các bước dưới đây:
Kích hoạt cài đặt đối với tất cả các thiết bị
1 Đăng nhập vào máy tính với quyền DMI-Client1\TestAdmin
Trang 32 Để mở Group Policy Object Editor, kích nút Start, đánh mmc gpedit.msc trong hộp Start Search, sau đó nhấn ENTER
3 Trong cửa sổ Group Policy Object Editor, kích đúp vào Computer
Configuration để mở nó Sau đó mở Administrative Templates > System > Device Installation > Device Installation Restrictions
4 Trong cửa sổ chi tiết, kích chuột phải vào nút Prevent installation of devices not described by other policy settings, sau đó kích Properties
Hộp thoại chính sách xuất hiện với các thiết lập hiện hành của nó
5 Kích Disabled để tắt bỏ thiết lập chính sách
6 Kích OK đề lưu thiết lập của bạn và quay trở về Group Policy Object Editor
Bước tiếp theo là gỡ bỏ chính sách đã đồng ý loại trừ các thành viên trong nhóm quản trị viên
Gỡ bỏ ngoại lệ cho quản trị viên đối với các hạn chế của Group Policy
Trang 41 Trong Group Policy Object Editor, kích chuột phải vào Allow administrators
to override device installation policy, sau đó chọn Properties
Hộp thoại chính sách xuất hiện với các thiết lập hiện hành của nó
2 Trên tab Setting, kích Disabled để tắt thiết lập chính sách
3 Kích OK để lưu thiết lập của bạn và quay trở về Group Policy Object Editor
Các bước tiếp theo là gỡ bỏ ID phần cứng từ danh sách các thiết bị được phép cài đặt mà bạn đã tạo trong kịch bản thứ hai
Gỡ bỏ ID phần cứng trong danh sách các thiết bị được phép
1 Trong Group Policy Object Editor, kích Allow installation of devices that match any of these device IDs, sau đó chọn Properties
Hộp thoại chính sách xuất hiện với các thiết lập hiện hành
Trang 52 Trong tab Setting, kích Show để xem danh sách các thiết bị được cài đặt
3 Trong hộp thoại Show Contents, chọn tên của phần cài đặt USB sau đó nhấn Remove
Windows sẽ gỡ thiết bị của bạn ra khỏi danh sách
4 Kích OK để đóng hộp thoại Show Contents và trở về hộp thoại chính sách
5 Kích Disabled để tắt thiết lập chính sách
6 Kích OK để lưu các thay đổi của bạn và trả về Group Policy Object Editor
Các bước ngăn chặn cài đặt thiết bị muốn không ngăn cấm
Để ngăn chặn người dùng cài đặt các thiết bị cụ thể nào đó, bạn tạo ra một danh sách các thiết bị bị ngăn cấm Trong kịch bản này, bạn sẽ:
Bước 1: Tạo một danh sách các thiết bị muốn ngăn cấm
Trang 6Tạo một danh sách các thiết bị muốn ngăn cấm
1 Nếu thiết bị của bạn hiện đã được cài đăt, hãy gỡ bỏ cài đặt của nó
2 Đăng nhập vào máy tính với quyền DMI-Client1\TestAdmin
3 Vào Group Policy Object Editor bằng cách kích nút the Start, đánh mmc gpedit.msc trong hộp Start Search, sau đó nhấn ENTER
4 Trong giao diện hình cây, kích đúp vào Computer Configuration để mở nó Sau đó mở Administrative Templates > System > Device Installation > Device Installation Restrictions
5 Trong cửa sổ chi tiết, kích chuột phải vào Prevent installation of devices that match these device IDs, sau đó nhấn Properties
Hộp thoại chính sách sẽ xuất hiện các thiết lập hiện hành của nó
6 Trong tab Setting, nhấn Enabled để bật chính sách này
Trang 77 Kích vào Show để xem danh sách các thiết bị được ngăn chặn
8 Trong hộp thoại Show Contents, kích Add
9 Trong hộp thoại Add Item, đánh ID thiết bị (ID thiết bị đầu tiên) mà bạn tìm
thấy cho thiết bị của bạn
10 Kích OK để quay trở về hộp thoại Show Contents
Trang 8Thiết bị của bạn bây giờ xuất hiện trong danh sách
11 Kích OK để quay trở về hộp thoại chính sách
12 Kích OK để lưu thiết lập chính sách mới
Bước 2: Kiểm tra danh sách các thiết bị muốn ngăn cấm
Giờ bạn hãy thử cài đặt thiết bị Bạn có thể cài đặt các thiết bị khác mà chính sách ngăn chặn không tác động tới, nhưng không thể cài đặt một số thiết bị đặc biệt thậm chí cả khi bạn đăng nhập với quyền thành viên của nhóm quản trị
Trang 9Kiểm tra danh sách các thiết bị muốn ngăn cấm
1 Kích nút Start, đánh gpupdate /force trong Start Search, sau đó nhấn ENTER
2 Khi lệnh “gpudate” được thực hiện xong, đóng cửa sổ lệnh
3 Để mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search, sau đó nhấn ENTER
4 Cắm USB của bạn vào
Thiết bị xuất hiện trong Device Manager dưới nút Other devices
Sự cài đặt không được hoàn tất, và thiết bị của bạn không hoạt động
Trang 105 Windows hiển thị một thông báo để đưa ra lý do tại sao sự cài đặt bị hỏng:
6 Bạn có thể cố gắng vượt qua sự hạn chế theo cách cài đặt thủ công cho thiết bị:
kích chuột phải vào thiết bị, sau đó nhấn Update Driver Software
7 Bạn phải cung cấp cho hệ điều hành bộ cài cho thiết bị
Trang 118 Để mô phỏng những gì người dùng có thể thực hiện, bạn kích vào Search automatically for updated driver software
Một thông báo sẽ xuất hiện thông báo rằng Windows không thể cài đặt bộ cài này Đoạn cuối của thông báo giải thích lý do tại sao không được cài đặt bì nó bị cấm bởi chính sách mà bạn đã tạo
Trang 129 Kích Close