Đăng Nhập
Tìm kiếm
Top posting users this month
No user |
Thống Kê
Hiện có 2 người đang truy cập Diễn Đàn, gồm: 0 Thành viên, 0 Thành viên ẩn danh và 2 Khách viếng thăm Không
Số người truy cập cùng lúc nhiều nhất là 58 người, vào ngày Wed Aug 02, 2017 7:50 pm
Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy: Kiểm soát các thiết bị di động
Trang 1 trong tổng số 1 trang
20062010
Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy: Kiểm soát các thiết bị di động
Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy: Kiểm soát các thiết bị di động |
Các phần dưới đây cung cấp cho các bạn một cách nhìn tổng quan về các kỹ thuật cốt lõi sẽ được thảo luận trong hướng dẫn này. |
Tổng quan về công nghệ Các phần dưới đây cung cấp cho các bạn một cách nhìn tổng quan về các kỹ thuật cốt lõi sẽ được thảo luận trong hướng dẫn này. Cài đặt thiết bị trong Windows Một thiết bị là một phần của phần cứng mà Windows sẽ tương tác để thực hiện một số chức năng. Windows có thể truyền thông với thiết bị thông qua một phần mềm được gọi là phần mềm cài đặt (driver) của thiết bị. Để cài đặt một driver thiết bị, Windows sẽ phát hiện thiết bị, nhận dạng thiết bị là loại gì và sau đó tìm phần mềm cài đặt hợp với loại thiết bị này. Windows sử dụng hai loại nhận dạng để kiểm soát cài đặt thiết bị và cấu hình. Bạn có thể sử dụng các thiết lập Group Policy trong Windows Vista và Windows Server 2008 để chỉ ra loại nhận dạng nào cho phép, loại nào khóa. Hai loại nhận dạng đó là:
Các chuỗi nhận dạng thiết bị Khi Windows phát hiện ra một thiết bị chưa được cài đặt trên máy tính, hệ điều hành sẽ hỏi thiết bị để truy vấn trong danh sách của nó các chuỗi nhận dạng thiết bị. Một thiết bị thường có nhiều chuỗi nhận dạng, các chuỗi này được nhà máy sản xuất gán cho nó. Các chuỗi nhận dạng thiết bị đều được chứa trong file .inf có trong gói phần mềm cài đặt của thiết bị. Windows sẽ chọn gói phần mềm nào hợp với chuỗi nhận dạng thiết bị được truy vấn từ thiết bị đến các chuỗi được chứa trong gói cài đặt. Windows có thể sử dụng mỗi chuỗi ánh xạ một thiết bị với một gói cài đặt. Các chuỗi từ một mô hình riêng của thiết bị đến rất chung, đều có thể áp dụng cho toàn bộ lớp các thiết bị. Có hai loại chuỗi nhận dạng thiết bị:
Khi bạn cài đặt một thiết bị như máy in hay một ổ USB hoặc một bàn phím, Windows sẽ tìm các gói cài đặt tương ứng với thiết bị mà bạn đang muốn cài đặt. Trong suốt quá trình tìm kiếm, Windows gán một “cấp” cho mỗi một gói cài đặt mà nó khám phá có ít nhất một sự tương ứng với phần cứng hoặc ID tương thích. Cấp này chỉ thị bộ cài này tương ứng ở mức độ như thế nào đối với thiết bị. Số cấp thấp chỉ thị sự tương ứng tốt hơn giữa bộ cài và phần cứng. Cấp 0 biểu hiện sự tương thích tốt nhất. Sự tương thích với ID thiết bị đối với một gói phần mềm cài đặt có kết quả thấp hơn (tốt hơn) so với sự tương thích đối với ID phần cứng. Tương tự như vậy, một sự tương ứng với ID phần cứng có kết quả tốt hơn so với bất kỳ ID tương thích nào. Sau khi Windows sắp xếp tất cả các gói nó sẽ cài đặt một bộ cài có cấp thấp nhất trong số đó. Một số thiết bị vật lý tạo ra một hoặc một số thiết bị logic khi chúng được cài đặt. Mỗi thiết bị logic có thể quản lý một số chức năng của thiết bị vật lý. Ví dụ, một thiết bị đa chức năng như một máy có thể in, quét, fax, có thể có chuỗi nhận dạng thiết bị khác nhau đối với mỗi chức năng. Khi sử dụng các chính sách hạn chế cài đặt thiết bị để cho phép hoặc ngăn cản cài đặt của một thiết bị sử dụng các thiết bị logic thì bạn phải cho phép hoặc ngăn cản các chuỗi nhận dạng của thiết bị đó. Ví dụ: nếu người dùng cố gắng cài đặt một thiết bị đa chức năng và bạn không cho phép hoặc ngăn cản tất cả chuỗi nhận dạng cho cả thiết bị vật lý và logic, thì bạn phải có được các kết quả không như mong đợi từ sự cố gắng cài đặt. Các lớp cài đặt thiết bị Các lớp cài đặt thiết bị là một loại khác của chuỗi nhận dạng. Nhà sản xuất gán lớp cài đặt thiết bị của mỗi thiết bị trong phần mềm cài đặt của nó. Lớp cài đặt thiết bị nhóm các thiết bị được cài đặt và cấu hình theo cách giống nhau. Ví dụ, tất cả các CD drives đều nằm trong lớp cài đặt thiết bị CDROM và chúng sử dụng cùng một bộ cài khi cài đặt. Một số dài được gọi là bộ nhận dạng duy nhất tổng thể (GUID) miêu tả mỗi một lớp cài đặt thiết bị. Cùng với GUID cho lớp cài đặt thiết bị của bản thân thiết bị, Windows có thể cần phải chèn vào cây GUID lớp cài đặt thiết bị của bus đến thiết bị được gắn. Khi sử dụng các lớp cài đặt thiết bị để cho phép hoặc ngăn chặn người dùng cài đặt thì bạn phải chỉ định các GUID cho tất cả các lớp cài đặt của thiết bị hoặc có thể bạn sẽ không thực hiện được kết quả mong muốn. Sự cài đặt có thể thất bại (nếu bạn muốn nó thành công) hoặc nó có thể thành công (nếu bạn muốn nó thất bại). Ví dụ, một thiết bị đa chức năng như thiết bị có các chức năng in/quét/fax có một GUID cho loại thiết bị đa chức năng, một GUID cho chức năng in, một GUID cho chức năng quét… Các GUID cho các chức năng riêng biệt là các “nút con” nằm dưới GUID đa chức năng. Để cài đặt một nút con, Windows phải cài đặt nút cha. Bạn phải cho phép cài đặt của lớp đối với GUID cha cho thiết bị đa chức năng sau đó là các GUID con cho các chức năng riêng lẻ. Hướng dẫn này không mô tả kịch bản sử dụng các lớp cài đặt thiết bị. Mặc dù vậy, các nguyên lý cơ bản đã được giới thiệu với các chuỗi nhận dạng thiết bị trong hướng dẫn này cũng áp dụng cho lớp cài đặt. Sau khi khai thác lớp cài đặt cho thiết bị cụ thể bạn có thể sử dụng nó trong một chính sách để có thể cho phép hoặc ngăn chặn cài đặt gói phần mềm cho lớp thiết bị. Các Group Policy cho cài đặt thiết bị Để cho phép kiểm soát trên vấn đề cài đặt thiết bị, Windows Vista và Windows Server 2008 đã đưa ra một số thiết lập chính sách. Bạn có thể cấu hình những thiết lập này riêng trên các máy tính đơn lẻ hoặc có thể áp dụng chúng cho một số máy tính thông qua sử dụng Group Policy trong miền Active Directory. Nếu muốn áp dụng thiết lập đối với các máy tính riêng lẻ hay đối với nhiều máy tính trong một miền Active Directory thì bạn phải sử dụng Group Policy Object Editor để cấu hình và áp dụng các thiết lập chính sách. Dưới đây là một mô tả vắn tắt về các thiết lập chính sách cài đặt thiết bị được sử dụng trong hướng dẫn này. Lưu ý Các thiết lập chính sách này sẽ ảnh hưởng đến tất cả người dùng, những người đăng nhập vào máy tính có áp dụng nó. Bạn không thể áp dụng các chính sách này cho chính sách Allow administrators to override device installation policy (Cho phép các quản trị viên ghi đè lên chính sách cài đặt thiết bị). Chính sách này miễn cho một số nhóm quản trị viên nội bộ trong việc hạn chế cài đặt mà bạn đã áp dụng đến máy tính bằng cách cấu hình các thiết lập khác như đã miêu tả trong phần này.
Một số chính sách đó có quyền ưu tiên trên các chính sách khác. Biểu đồ dưới đây thể hiện cách Windows xử lý chúng để quyết định người dùng có thể cài đặt thiết bị hay không: Các thiết lập Group Policy cho truy cập của các thiết bị lưu trữ ngoài Trong Windows Vista và Windows Server 2008 một quản trị viên có thể áp dụng Group Policy để kiểm soát xem người dùng có thể đọc hoặc ghi các thiết bị lưu trữ ngoài. Các chính sách đó được sử dụng để ngăn chặn việc lấy trộm thông tin quan trọng hoặc nhạy cảm. Có thể áp dụng các thiết lập chính sách đó ở mức máy tính để chúng ảnh hưởng đến mỗi người dùng, người đăng nhập vào máy tính đó. Bạn có thể áp dụng chúng ở mức người dùng và giới hạn bắt buộc đối với một tài khoản người dùng cụ thể nào đó. Nếu sử dụng Group Policy trong môi trường Active Directory thì bạn có thể áp dụng các thiết lập nhóm người dùng trong tài khoản người dùng riêng lẻ. Group Policy cũng cho phép bạn áp dụng một cách hiệu quả các chính sách đó đến một số lượng lớn máy tính. Quan trọng Các chính sách truy cập vào thiết bị lưu trữ ngoài này không ảnh hưởng đến phần mềm chạy trong tài khoản hệ thống như kỹ thuật ReadyBoost trong Windows. Mặc dù vậy, các phần mềm chạy dưới nội dung bảo mật của người dùng hiện hành có thể bị ảnh hưởng bởi hạn chế đó. Ví dụ, nếu thiết lập chính sách Removable Disks: Deny write access (Các ổ di động: Hạn chế ghi) sẽ ảnh hưởng đến người dùng, thậm chí nếu người dùng có là một quản trị viên thì chương trình cài đặt BitLocker không thể ghi mã khởi động của nó đến một ổ USB. Bạn có thể áp dụng những hạn chế chỉ cho người dùng và các nhóm khác thay cho nhóm quản trị viên. Các thiết lập chính sách này cũng có một thiết lập cho phép quản trị viên bắt buộc phải khởi động lại. Nếu một thiết bị được sử dụng khi chính sách hạn chế được áp dụng thì chính sách này có thể không bị bắt buộc cho tới khi máy tính đó khởi động lại. Sử dụng thiết lập chính sách để bắt buộc khởi động lại nếu bạn không muốn đợi cho đến khi người dùng khởi động lại máy tính. Nếu các chính sách hạn chế được bắt buộc không cần khởi động lại máy tính thì tùy chọn khởi động lại bị bỏ qua. Các thiết lập chính sách có thể tìm thấy tại hai vị trí. Trong Computer ConfigurationAdministrative TemplatesSystemRemovable Storage Access ảnh hưởng lên một máy tính và những người dùng đăng nhập vào. Các chính sách trong User ConfigurationAdministrative TemplatesSystemRemovable Storage Access chỉ ảnh hưởng đến những người dùng áp dụng chính sách này, gồm có các nhóm nếu Group Policy được áp dụng sử dụng Active Directory. Theo chỉ dẫn vắn tắt dưới đây về các chính sách cho phép bạn kiểm soát việc đọc /ghi đối với các ổ di động. Mỗi một chủng loại thiết bị hỗ trợ hai chính sách: một cho từ chối đọc và một cho từ chối ghi.
Theo Microsoft |
BS Se S2T- Chuyên viên an ninh Se S2T
- Con Giáp :
Tuổi giáp Trung Hoa :
Tổng số bài gửi : 797
Điểm Se S2T : 115494
Sinh Nhật : 03/11/1990
Tham gia ngày : 29/04/2010
Tuổi : 33
Đến từ : Thành Phố Hoa Hồng
Huy chương
Sức mạnh:
(100/100)
Điểm SeS2T:
(35/50)
Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy: Kiểm soát các thiết bị di động :: Comments
No Comment.
Similar topics
» Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy: Ngặn chặn cài đặt tất cả các thiết bị
» Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy:P.Giới thiệu
» Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy: Các yêu cầu cho việc hoàn thành kịch bản
» Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy: Ngăn chặn cài đặt các thiết bị muốn ngăn cấm
» Kiểm soát việc đọc và ghi lên các thiết bị di động
» Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy:P.Giới thiệu
» Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy: Các yêu cầu cho việc hoàn thành kịch bản
» Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy: Ngăn chặn cài đặt các thiết bị muốn ngăn cấm
» Kiểm soát việc đọc và ghi lên các thiết bị di động
Permissions in this forum:
Bạn không có quyền trả lời bài viết