Chuyên đề group policy

13,606 views

Published on

7 bài lab ở quantrimang.com.vn

Published in: Technology
2 Comments
7 Likes
Statistics
Notes
No Downloads
Views
Total views
13,606
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
891
Comments
2
Likes
7
Embeds 0
No embeds

No notes for slide

Chuyên đề group policy

  1. 1. Chuyên đề Group PolicyChuyên đề Group PolicyMục lục1 Group Policy Phần 1 – Giới thiệu ...................................................................................................... 12 Group Policy Phần 2 – Kiểm soát các thiết bị di động ....................................................................... 33 Group Policy Phần 3 – Các yêu cầu cho việc hoàn thành kịch bản ................................................... 114 Group Policy phần 4 – Ngặn chặn cài đặt tất cả các thiết bị ............................................................ 195 Group Policy phần 5 – Cho phép người dùng chỉ cài đặt các thiết bị đã được phép ........................ 246 Group Policy phần 6 – Ngăn chặn cài đặt các thiết bị muốn ngăn cấm ............................................ 287 Group Policy phần 7 – Kiểm soát việc đọc và ghi lên các thiết bị di động ........................................ 341 Group Policy Phần 1 – Giới thiệuBài này này sẽ hướng dẫn từng bước cho bạn cách làm thế nào để kiểm soát được vấn đềcài đặt và sử dụng thiết bị trên các máy tính mà bạn đang quản lý. Đặc biệt, trongMicrosoft Windows Server 2008 và Windows Vista™ bạn có thể áp dụng chính sách máytính cho việc:• Ngăn chặn người dùng cài đặt các thiết bị• Cho phép người dùng chỉ cài đặt các thiết bị trong danh sách “cho phép”. Nếu thiết bị nào đókhông được liệt kê trong danh sách thì người dùng không thể cài đặt nó.• Ngăn chặn người dùng cài đặt các thiết bị trong danh sách “ngăn cấm”. Nếu một thiết bị nào đókhông có trong danh sách thì người dùng có thể cài đặt.• Từ chối việc đọc và ghi của người dùng vào các thiết bị có thể tháo rời, hoặc sử dụng các thiếtbị dễ cầm tay như ổ ghi CD, DVD, ổ đĩa mềm, ổ cứng mở rộng và các thiết bị cầm tay khác nhưđiện thoại thông minh hoặc Pocket PC.Hướng dẫn này sẽ giới thiệu quá trình cài đặt thiết bị và giới thiệu các chuỗi nhận dạng màWindows sử dụng để ánh xạ với mỗi gói phần mềm cài đặt thiết bị trên từng máy tính. Hướngdẫn này cũng minh họa 3 phương pháp trong việc kiểm soát thiết bị. Mỗi một phương pháp đềuthể hiện từng bước để bạn có thể sử dụng để cho phép hoặc ngăn chặn việc cài đặt một thiết bị cụthể hoặc một lớp các thiết bị. Một số kịch bản thể hiện cho bạn cách làm thế nào để từ chối việcđọc, ghi đối với các thiết bị có thể cầm tay của người dùng ví dụ như các thiết bị lưu trữ USB.Bạn cũng có thể thực hiện các bước trong hướng dẫn này bằng sử dụng một thiết bị khác. TuyÁn Bình Trọng sưu tầm Trang 1
  2. 2. Chuyên đề Group Policynhiên nếu sử dụng một thiết bị khác thì đôi khi những hướng dẫn này sẽ không đúng một cáchchính xác với giao diện người dùng xuất hiện trên máy tính.Quan trọngCác bước đã cung cấp trong hướng dẫn này được dự định cho môi trường kiểm tra phòng thínghiệm. Hướng dẫn từng bước không có nghĩa là được sử dụng để triển khai các tính năngWindows Server mà không cần đến các tài liệu minh chứng khác và phải được sử dụng một cáchthận trọng.Những ai có thể sử dụng hướng dẫn này?Hướng dẫn này nhằm vào các đối tượng dưới đây: • Những người lập kế hoạch và phân tích CNTT, những người đang đánh giá Windows Vista và Windows Server 2008 • Những người hoạch định kế hoạch và thiết kế CNTT hoạt động kinh doanh. • Các kiến trúc sư an ninh bảo mật, những người có tráchnhiệm bổ sung việc tính toán tin cậy trong tổ chức của họ.• Các quản trị viên, người muốn tìm hiểu về công nghệ.Lợi ích mang lại từ việc kiểm soát cài đặt thiết bị bằng Group PolicyViệc giới hạn các thiết bị mà người dùng có thể cài đặt cho phép bạn có các lợi ích sau:• Giảm rủi ro việc mất trộm dữ liệu: nó làm khó khăn trong việc copy trái phép dữ liệu công tynếu máy tính của người dùng không thể cài đặt thiết bị không được phép hỗ trợ cho các phươngtiện có thể tháo rời. Ví dụ, nếu người dùng không thể cài đặt một ổ CD-R thì họ không thể ghi dữliệu vào đĩa CD được. Lợi thế này tuy không thể loại trừ được những tên trộm dữ liệu song nócũng tạo ra một hàng rào chắn đối với việc lấy dữ liệu trái phép. Bạn cũng có thể qiảm rủi rotrong việc mất trộm dữ liệu bằng cách sử dụng Group Policy để từ chối sự truy cập có thể ghi đốivới người dùng thiết bị có thể tháo rời. Bạn có thể cho phép sự truy cập trên một nhóm cơ bảncác thiết bị khi sử dụng Group Policy.• Giảm chi phí hỗ trợ: Bạn có thể bảo đảm rằng người dùng chỉ cài đặt các thiết bị mà bàn trợgiúp của bạn được đào tạo và được trang bị để hỗ trợ. Lợi thế này giảm chi phí hỗ trợ và sự lộnxộn.Tổng quan về kịch bản (Scenario)Kịch bản được đưa ra trong hướng dẫn này minh chứng cho bạn cách làm thế nào để kiểm soátcài đặt thiết bị và sử dụng trên máy tính mà bạn quản lý. Kịch bản sử dụng Group Policy trênÁn Bình Trọng sưu tầm Trang 2
  3. 3. Chuyên đề Group Policymáy tính cục bộ để đơn giản hóa việc sử dụng các thủ tục trong môi trường thử nghiệm. Trongmôi trường quản lý nhiều máy tính client, bạn phải áp dụng các thiết lập đó bằng sử dụng GroupPolicy được triển khai cho Active Directory. Với Group Policy được triển khai bởi ActiveDirectory bạn có thể áp dụng các thiết lập đối với tất cả máy tính là thành viên của một miềnhoặc của một tổ chức trong miền.Dưới đây là các chỉ dẫn về kịch bản được thể hiện trong hướng dẫn này:• Ngăn cài đặt tất cả các thiết bịTrong kịch bản này, quản trị viên muốn ngăn chặn người dùng chuẩn cài đặt bất kỳ thiết bị nàonhưng cho phép các quản trị viên có thể cài đặt và nâng cấp thiết bị. Để hoàn thiện kịch bản nàybạn phải cấu hình hai chính sách máy tính. Chính sách đầu tiên ngăn chặn tất cả người dùng càiđặt thiết bị và chính sách thứ hai miễn cho quản trị viên các hạn chế đó.• Cho phép người dùng chỉ cài đặt các thiết bị được cho phép.Trong kịch bản này, quản trị viên muốn cho phép người dùng chỉ cài đặt các thiết bị có trongdanh sách thiết bị được phép. Kịch bản này được xây dựng trên kịch bản đầu tiên và vì vậy bạnphải hoàn tất kịch bản đầu trước khi thực hiện kịch bản này. Để hoàn tất kịch bản này, bạn phảitạo một danh sách các thiết bị được phép cài để người dùng chỉ có thể cài đặt thiết bị đã chỉ rõđó.• Ngăn chặn cài đặt các thiết bị được ngăn cấm.Trong kịch bản này, quản trị viên muốn cho phép người dùng chuẩn cài đặt hầu hết tất cả cácthiết bị trừ thiết bị được liệt kê trong danh sách ngăn cấm. Để thực hiện kịch bản này bạn phải bỏcác chính sách đã tạo trong hai kịch bản đầu tiên. Sau khi đã thực hiện việc bỏ hai chính sách đầutiên đó, bạn tạo một danh sách các thiết bị ngăn cấm để người dùng có thể cài đặt bất kỳ thiết bịnào ngoại trừ những thiết bị có trong danh sách cấm của bạn.• Kiểm soát sử dụng các thiết bị lưu trữ có thể tháo rờiTrong kịch bản này, quản trị viên muốn ngăn không cho người dùng chuẩn ghi dữ liệu vào thiếtbị lưu trữ có thể tháo rời như USB, các đĩa CD, DVD có thể ghi. Để thực hiện kịch bản này bạnphải cấu hình một chính sách cho phép truy cập có thể đọc nhưng từ chối truy cập, ghi đối vớicác thiết bị mẫu và đối với bất kỳ thiết bị ghi CD, DVD nào trên máy tính của bạn. Theo quantrimang2 Group Policy Phần 2 – Kiểm soát các thiết bị di độngTổng quan về công nghệÁn Bình Trọng sưu tầm Trang 3
  4. 4. Chuyên đề Group PolicyCác phần dưới đây cung cấp cho các bạn một cách nhìn tổng quan về các kỹ thuật cốt lõi sẽđược thảo luận trong hướng dẫn này.Cài đặt thiết bị trong WindowsMột thiết bị là một phần của phần cứng mà Windows sẽ tương tác để thực hiện một số chứcnăng. Windows có thể truyền thông với thiết bị thông qua một phần mềm được gọi là phần mềmcài đặt (driver) của thiết bị. Để cài đặt một driver thiết bị, Windows sẽ phát hiện thiết bị, nhậndạng thiết bị là loại gì và sau đó tìm phần mềm cài đặt hợp với loại thiết bị này. Windows sửdụng hai loại nhận dạng để kiểm soát cài đặt thiết bị và cấu hình. Bạn có thể sử dụng các thiếtlập Group Policy trong Windows Vista và Windows Server 2008 để chỉ ra loại nhận dạng nàocho phép, loại nào khóa.Hai loại nhận dạng đó là:  Các chuỗi nhận dạng thiết bị  Các lớp thiết lập thiết bịCác chuỗi nhận dạng thiết bịKhi Windows phát hiện ra một thiết bị chưa được cài đặt trên máy tính, hệ điều hành sẽ hỏi thiếtbị để truy vấn trong danh sách của nó các chuỗi nhận dạng thiết bị. Một thiết bị thường có nhiềuchuỗi nhận dạng, các chuỗi này được nhà máy sản xuất gán cho nó. Các chuỗi nhận dạng thiết bịđều được chứa trong file .inf có trong gói phần mềm cài đặt của thiết bị. Windows sẽ chọn góiphần mềm nào hợp với chuỗi nhận dạng thiết bị được truy vấn từ thiết bị đến các chuỗi đượcchứa trong gói cài đặt.Windows có thể sử dụng mỗi chuỗi ánh xạ một thiết bị với một gói cài đặt. Các chuỗi từ một môhình riêng của thiết bị đến rất chung, đều có thể áp dụng cho toàn bộ lớp các thiết bị. Có hai loạichuỗi nhận dạng thiết bị:  ID phần cứng. ID phần cứng là các bộ nhận dạng cung cấp sự tương ứng chính xác giữa một thiết bị và một gói cài đặt. Chuỗi đầu tiên trong danh sách ID phần cứng là ID thiết bị, bởi vì nó tương ứng với cấu tạo, mô hình và phiên bản mới của thiết bị. Các ID phần cứng khác trong danh sách tương ứng với các chi tiết của thiết bị kém chính xác hơn. Ví dụ: một ID phần cứng có thể nhận ra cấu tạo và mô hình của thiết bị nhưng không chỉ ra được phiên bản mới của nó. Biểu đồ này cho phép Windows sử dụng một bộ cài cho một phiên bản khác của thiết bị nếu bộ cài của đúng phiên bản mới là không phù hợp.  ID tương thích. Windows sử dụng các bộ nhận dạng này để chọn ra một phần mềm cài đặt nếu hệ điều hành không thể tìm được một sự tương ứng với ID thiết bị hoặc ID phần cứng. ID tương thích được liệt kê theo thứ tự giảm dần. Các chuỗi đó là không bắt buộc và khi được cung cấp chúng có đặc điểm chung, như Disk. Khi một sự tương ứng được hình thành bằng sử dụng một ID tương thích thì bạn chỉ có thể sử dụng các chức năng cơ bản nhất của thiết bị.Án Bình Trọng sưu tầm Trang 4
  5. 5. Chuyên đề Group PolicyKhi bạn cài đặt một thiết bị như máy in hay một ổ USB hoặc một bàn phím, Windows sẽ tìm cácgói cài đặt tương ứng với thiết bị mà bạn đang muốn cài đặt. Trong suốt quá trình tìm kiếm,Windows gán một “cấp” cho mỗi một gói cài đặt mà nó khám phá có ít nhất một sự tương ứngvới phần cứng hoặc ID tương thích. Cấp này chỉ thị bộ cài này tương ứng ở mức độ như thế nàođối với thiết bị. Số cấp thấp chỉ thị sự tương ứng tốt hơn giữa bộ cài và phần cứng. Cấp 0 biểuhiện sự tương thích tốt nhất. Sự tương thích với ID thiết bị đối với một gói phần mềm cài đặt cókết quả thấp hơn (tốt hơn) so với sự tương thích đối với ID phần cứng.Tương tự như vậy, một sự tương ứng với ID phần cứng có kết quả tốt hơn so với bất kỳ ID tươngthích nào. Sau khi Windows sắp xếp tất cả các gói nó sẽ cài đặt một bộ cài có cấp thấp nhất trongsố đó. Một số thiết bị vật lý tạo ra một hoặc một số thiết bị logic khi chúng được cài đặt. Mỗithiết bị logic có thể quản lý một số chức năng của thiết bị vật lý. Ví dụ, một thiết bị đa chức năngnhư một máy có thể in, quét, fax, có thể có chuỗi nhận dạng thiết bị khác nhau đối với mỗi chứcnăng.Khi sử dụng các chính sách hạn chế cài đặt thiết bị để cho phép hoặc ngăn cản cài đặt của mộtthiết bị sử dụng các thiết bị logic thì bạn phải cho phép hoặc ngăn cản các chuỗi nhận dạng củathiết bị đó. Ví dụ: nếu người dùng cố gắng cài đặt một thiết bị đa chức năng và bạn không chophép hoặc ngăn cản tất cả chuỗi nhận dạng cho cả thiết bị vật lý và logic, thì bạn phải có đượccác kết quả không như mong đợi từ sự cố gắng cài đặt.Các lớp cài đặt thiết bịCác lớp cài đặt thiết bị là một loại khác của chuỗi nhận dạng. Nhà sản xuất gán lớp cài đặt thiếtbị của mỗi thiết bị trong phần mềm cài đặt của nó. Lớp cài đặt thiết bị nhóm các thiết bị được càiđặt và cấu hình theo cách giống nhau. Ví dụ, tất cả các CD drives đều nằm trong lớp cài đặt thiếtbị CDROM và chúng sử dụng cùng một bộ cài khi cài đặt. Một số dài được gọi là bộ nhận dạngduy nhất tổng thể (GUID) miêu tả mỗi một lớp cài đặt thiết bị. Cùng với GUID cho lớp cài đặtthiết bị của bản thân thiết bị, Windows có thể cần phải chèn vào cây GUID lớp cài đặt thiết bịcủa bus đến thiết bị được gắn.Khi sử dụng các lớp cài đặt thiết bị để cho phép hoặc ngăn chặn người dùng cài đặt thì bạn phảichỉ định các GUID cho tất cả các lớp cài đặt của thiết bị hoặc có thể bạn sẽ không thực hiện đượckết quả mong muốn. Sự cài đặt có thể thất bại (nếu bạn muốn nó thành công) hoặc nó có thểthành công (nếu bạn muốn nó thất bại). Ví dụ, một thiết bị đa chức năng như thiết bị có các chứcnăng in/quét/fax có một GUID cho loại thiết bị đa chức năng, một GUID cho chức năng in, mộtGUID cho chức năng quét… Các GUID cho các chức năng riêng biệt là các “nút con” nằm dướiGUID đa chức năng. Để cài đặt một nút con, Windows phải cài đặt nút cha. Bạn phải cho phépcài đặt của lớp đối với GUID cha cho thiết bị đa chức năng sau đó là các GUID con cho các chứcnăng riêng lẻ.Hướng dẫn này không mô tả kịch bản sử dụng các lớp cài đặt thiết bị. Mặc dù vậy, các nguyên lýcơ bản đã được giới thiệu với các chuỗi nhận dạng thiết bị trong hướng dẫn này cũng áp dụngcho lớp cài đặt. Sau khi khai thác lớp cài đặt cho thiết bị cụ thể bạn có thể sử dụng nó trong mộtchính sách để có thể cho phép hoặc ngăn chặn cài đặt gói phần mềm cho lớp thiết bị.Án Bình Trọng sưu tầm Trang 5
  6. 6. Chuyên đề Group Policy Các Group Policy cho cài đặt thiết bị Để cho phép kiểm soát trên vấn đề cài đặt thiết bị, Windows Vista và Windows Server 2008 đã đưa ra một số thiết lập chính sách. Bạn có thể cấu hình những thiết lập này riêng trên các máy tính đơn lẻ hoặc có thể áp dụng chúng cho một số máy tính thông qua sử dụng Group Policy trong miền Active Directory. Nếu muốn áp dụng thiết lập đối với các máy tính riêng lẻ hay đối với nhiều máy tính trong một miền Active Directory thì bạn phải sử dụng Group Policy Object Editor để cấu hình và áp dụng các thiết lập chính sách.Dưới đây là một mô tả vắn tắt về các thiết lập chính sách cài đặt thiết bị được sử dụng tronghướng dẫn này.Lưu ýCác thiết lập chính sách này sẽ ảnh hưởng đến tất cả người dùng, những người đăng nhập vàomáy tính có áp dụng nó. Bạn không thể áp dụng các chính sách này cho chính sách Allowadministrators to override device installation policy (Cho phép các quản trị viên ghi đè lênchính sách cài đặt thiết bị). Chính sách này miễn cho một số nhóm quản trị viên nội bộ trong việchạn chế cài đặt mà bạn đã áp dụng đến máy tính bằng cách cấu hình các thiết lập khác như đãmiêu tả trong phần này.  Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt các thiết bị không được miêu tả bằng các thiết lập chính sách khác). Thiết lập chính sách này kiểm soát sự cài đặt thiết bị không được miêu tả cụ thể bởi bất kỳ thiết lập chính sách khác. Nếu bạn cho phép thiết lập chính sách này thì người dùng không thể cài đặt hoặc nâng cấp phần mềm cài đặt cho các thiết bị trừ khi chúng được mô tả bởi chính sách Allow installation of devices that match these device IDs (Cho phép cài đặt các thiết bị tương ứng với ID thiết bị đó) hoặc Allow installation of devices for these device classes (Cho phép cài đặt các thiết bị cho lớp thiết bị đó). Nếu bạn vô hiệu hóa hoặc không cấu hình thiết lập chính sách này thì người dùng có thể cài đặt và nâng cấp phần mềm cài đặt cho bất kỳ thiết bị nào không được mô tả bởi chính sách Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID thiết bị đó), Prevent installation of devices for these device classes (Ngăn chặn cài đặt các thiết bị cho lớp thiết bị đó) hoặc Prevent installation of removable devices (Ngăn chặn cài đặt các thiết bị di động).  Allow administrators to override device installation policy (Cho phép các quản trị viên ghi đè lên chính sách cài đặt thiết bị). Thiết lập chính sách này cho phép các thành viên trong nhóm quản trị viên nội bộ có thể cài đặt và nâng cấp phần mềm cài đặt cho bất kỳ thiết bị nào không cần quan tâm đến các thiết lập chính sách khác. Nếu bạn kích hoạt chính thiết lập này thì các quản trị viên có thể sử dụng Add Hardware Wizard hoặc Update Driver Wizard để cài đặt và nâng cấp phần mềm cài đặt cho thiết bị. Nếu bạn vôÁn Bình Trọng sưu tầm Trang 6
  7. 7. Chuyên đề Group Policy hiệu hóa hoặc không cấu hình chính sách này thì các quản trị viên là đối tượng của tất cả các thiết lập chính sách và sẽ bị hạn chế việc cài đặt.  Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID thiết bị đó). Thiết lập chính sách này chỉ ra một danh sách các ID phần cứng Plug and Play và các ID tương thích cho các thiết bị mà người dùng không thể cài đặt. Nếu bạn kích hoạt thiết lập chính sách này thì người dùng không thể cài đặt hoặc nâng cấp phần mềm cài đặt cho một thiết bị nếu các ID phần cứng và ID tương thích của nó tương ứng với danh sách này. Nếu bạn vô hiệu hóa hoặc không cấu hình chính sách này thì người dùng có thể cài đặt các thiết bị và nâng cấp phần mềm cài đặt như được cho phép bởi các thiết lập chính sách. Lưu ý Thiết lập chính sách này có quyền ưu tiên hơn bất kỳ thiết lập chính sách khác cho phép người dùng cài đặt một thiết bị. Thiết lập này ngăn chặn người dùng cài đặt một thiết bị thậm chí nó tương ứng với chính sách khác cho phép cài đặt thiết bị.  Prevent installation of drivers matching these device setup classes (Ngăn chặn cài đặt các driver tương ứng với lớp cài đặt thiết bị). Thiết lập này chỉ ra một danh sách các GUID lớp cài đặt thiết bị “cắm là chạy” cho các thiết bị mà người dùng không thể cài đặt. Nếu bạn cho sử dụng lập chính sách này thì người dùng sẽ không thể cài đặt hoặc nâng cấp các phần mềm cài đặt cho một thiết bị có trong các lớp cài đặt thiết bị đã được liệt kê. Nếu bạn vô hiệu hóa hoặc không cấu hình thiết lập chính sách này thì người dùng có thể cài đặt và nâng cấp các phần mềm cài đặt cho các thiết bị như được phép của các thiết lập chính sách khác. Lưu ý Thiết lập chính sách này có quyền ưu tiên trên bất kỳ các thiết lập chính sách khác cho phép người dùng cài đặt thiết bị. Thiết lập chính sách này ngăn chặn người dùng cài đặt một thiết bị thậm chí nó tương ứng với thiết lập chính sách mà sẽ cho phép cài đặt.  Allow installation of devices that match any of these device IDs (Cho phép cài đặt các thiết bị tương ứng với ID thiết bị đó). Thiết lập chính sách này chỉ ra một danh sách các ID phần cứng và ID tương thích PnP, các ID này miểu tả thiết bị mà người dùng có thể cài đặt. Thiết lập này được dự định chỉ sử dụng khi thiết lập chính sách Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) được cho phép và không có quyền ưu tiên trên các thiết lập chính sách khác sẽ ngăn chặn người dùng cài đặt thiết bị. Nếu bạn sử dụng thiết lập chính sách này thì người dùng có thể cài đặt và nâng cấp bất kỳ thiết bị nào có ID phần cứng và ID tương thích tương ứng với một ID trong danh sách, nếu cài đặt đó không được chỉ rõ là bị ngăn chặn bởi thiết lập chính sách Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID thiết bị đó), Prevent installation of devices for these device classes (Ngăn chặn cài đặt các thiết bị cho lớp thiết bị đó) hoặc Prevent installation of removable devices (Ngăn chặn cài đặt các thiết bị di động). Nếu thiết lập chính sách khác ngăn chặn người dùng cài đặt thì người dùng không thể cài đặt thậm chí thiết bị cũng được miêu tả bằng một giá trị trong thiết lập chính sách. Nếu bạn vô hiệu hóa hoặc không cấu hìnhÁn Bình Trọng sưu tầm Trang 7
  8. 8. Chuyên đề Group Policy thiết lập chính sách này hoặc không có chính sách khác miêu tả thiết bị thì thiết lập chính sách Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) sẽ quyết định người dùng có thể cài đặt thiết bị hay không.  Allow installation of devices using drivers for these device classes (Cho phép cài đặt thiết bị sử dụng driver cho các lớp thiết bị). Thiết lập chính sách chỉ ra một danh sách các GUID lớp cài đặt thiết bị để miêu tả thiết bị mà người dùng cài đặt. Thiết lập này được dự định chỉ sử dụng khi thiết lập chính sách Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) được cho phép và không có quyền ưu tiên trên các thiết lập ngăn chặn người dùng cài đặt thiết bị. Nếu bạn cho phép thiết lập này thì người dùng có thể cài đặt và nâng cấp thiết bị với một lớp cài đặt tương ứng với một trong các GUID lớp cài đặt trong danh sách này nếu cài đặt đó không bị ngăn chặn rõ ràng bởi thiết lập chính sách Prevent installation of devices that match these device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID thiết bị đó), Prevent installation of devices for these device classes (Ngăn chặn cài đặt các thiết bị cho lớp thiết bị đó), hoặc Prevent installation of removable devices (Ngăn chặn cài đặt các thiết bị di động). Nếu bạn vô hiệu hóa hoặc không cấu hình thiết lập chính sách này và không có thiết lập nào khác miêu tả thiết bị thì thiết lập chính sách Prevent installation of devices not described by other policy settings (Ngăn chặn cài đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) sẽ quyết định người dùng có thể cài đặt thiết bị hay không.Một số chính sách đó có quyền ưu tiên trên các chính sách khác. Biểu đồ dưới đây thể hiện cáchWindows xử lý chúng để quyết định người dùng có thể cài đặt thiết bị hay không:Án Bình Trọng sưu tầm Trang 8
  9. 9. Chuyên đề Group PolicyCác thiết lập Group Policy cho truy cập của các thiết bị lưu trữ ngoàiTrong Windows Vista và Windows Server 2008 một quản trị viên có thể áp dụng Group Policyđể kiểm soát xem người dùng có thể đọc hoặc ghi các thiết bị lưu trữ ngoài. Các chính sách đóđược sử dụng để ngăn chặn việc lấy trộm thông tin quan trọng hoặc nhạy cảm.Có thể áp dụng các thiết lập chính sách đó ở mức máy tính để chúng ảnh hưởng đến mỗi ngườidùng, người đăng nhập vào máy tính đó. Bạn có thể áp dụng chúng ở mức người dùng và giớihạn bắt buộc đối với một tài khoản người dùng cụ thể nào đó. Nếu sử dụng Group Policy trongmôi trường Active Directory thì bạn có thể áp dụng các thiết lập nhóm người dùng trong tàikhoản người dùng riêng lẻ. Group Policy cũng cho phép bạn áp dụng một cách hiệu quả cácchính sách đó đến một số lượng lớn máy tính.Án Bình Trọng sưu tầm Trang 9
  10. 10. Chuyên đề Group PolicyQuan trọngCác chính sách truy cập vào thiết bị lưu trữ ngoài này không ảnh hưởng đến phần mềm chạytrong tài khoản hệ thống như kỹ thuật ReadyBoost trong Windows. Mặc dù vậy, các phần mềmchạy dưới nội dung bảo mật của người dùng hiện hành có thể bị ảnh hưởng bởi hạn chế đó. Vídụ, nếu thiết lập chính sách Removable Disks: Deny write access (Các ổ di động: Hạn chế ghi)sẽ ảnh hưởng đến người dùng, thậm chí nếu người dùng có là một quản trị viên thì chương trìnhcài đặt BitLocker không thể ghi mã khởi động của nó đến một ổ USB. Bạn có thể áp dụng nhữnghạn chế chỉ cho người dùng và các nhóm khác thay cho nhóm quản trị viên.Các thiết lập chính sách này cũng có một thiết lập cho phép quản trị viên bắt buộc phải khởiđộng lại. Nếu một thiết bị được sử dụng khi chính sách hạn chế được áp dụng thì chính sách nàycó thể không bị bắt buộc cho tới khi máy tính đó khởi động lại. Sử dụng thiết lập chính sách đểbắt buộc khởi động lại nếu bạn không muốn đợi cho đến khi người dùng khởi động lại máy tính.Nếu các chính sách hạn chế được bắt buộc không cần khởi động lại máy tính thì tùy chọn khởiđộng lại bị bỏ qua.Các thiết lập chính sách có thể tìm thấy tại hai vị trí. Trong ComputerConfigurationAdministrative TemplatesSystemRemovable Storage Access ảnh hưởng lênmột máy tính và những người dùng đăng nhập vào. Các chính sách trong UserConfigurationAdministrative TemplatesSystemRemovable Storage Access chỉ ảnh hưởngđến những người dùng áp dụng chính sách này, gồm có các nhóm nếu Group Policy được ápdụng sử dụng Active Directory.Theo chỉ dẫn vắn tắt dưới đây về các chính sách cho phép bạn kiểm soát việc đọc /ghi đối vớicác ổ di động. Mỗi một chủng loại thiết bị hỗ trợ hai chính sách: một cho từ chối đọc và một chotừ chối ghi.  Time (in seconds) to force reboot. Thiết lập số lượng thời gian (bằng giây) mà hệ thống đợi khởi động lại để bắt buộc đối với sự thay đổi trong các quyền truy cập thiết bị lưu trữ ngoài. Khởi động lại chỉ bắt buộc nếu các chính sách hạn chế không được áp dụng mà không có nó. Lưu ý Nếu không bắt buộc phải khởi động lại máy tính và các chính sách không thể được áp dụng do thiết bị đang sử dụng thì sự thay đổi không gây ảnh hưởng cho tới khi hệ thống được khởi động lại. Nếu sự thay đổi của chính sách ảnh hưởng đến nhiều thiết bị thì thay đổi phải ép buộc ngay lập tức trên tất cả các thiết bị hiện không được sử dụng. Nếu bất kỳ thiết bị bị ảnh hưởng nào đang sử dụng mà sự thay đổi không được áp dụng ngay lập tức thì chính sách khởi động lại máy tính sẽ thực hiện nếu nó được kích hoạt bởi quản trị viên.  CD and DVD. Các thiết lập chính sách này cho phép bạn từ chối việc đọc, ghi đối với những thiết bị CD và DVD, gồm có cả thiết bị được kết nối USB.Án Bình Trọng sưu tầm Trang 10
  11. 11. Chuyên đề Group Policy Quan trọng Một số phần mềm ghi đĩa CD và DVD của nhóm thứ ba tương tác với phần cứng theo cách tránh sự ngăn chặn của chính sách. Nếu muốn ngăn chặn tất cả việc ghi lên đĩa CD hoặc DVD thì bạn cần phải xem xét đến việc áp dụng Group Policy để ngăn chặn cài đặt phần mềm đó.  Custom Classes. Các thiết lập chính sách này cho phép bạn từ chối việc đọc và ghi đối với bất kỳ thiết bị nào mà Device Setup Class GUID của nó được tìm thấy trong danh sách bạn cung cấp.  Floppy Drives. Các chính sách này cho phép bạn từ chối việc đọc, ghi đối với các thiết bị trong lớp ổ mềm, gồm có cả thiết bị được kết nối USB.  Removable Disks. Cho phép bạn từ chối việc đọc, ghi đối với các thiết bị di động như ổ nhớ USB hay ổ cứng USB mở rộng.  Tape Drives. Cho phép bạn từ chối việc đọc hoặc ghi vào các ổ băng từ, gồm cảthiết bị được kết nối USB.  WPD Devices. Cho phép bạn từ chối việc đọc hoặc ghi đối với các thiết bị trong lớp Windows Portable Device. Các thiết bị này gồm có thiết bị thông minh như media players, mobile phones và Windows CE,…  All Removable Storage classes: Deny all access. Thiết lập này có quyền ưu tiên hơn bất kỳ thiết lập nào khác trong danh sách, từ chối việc đọc, ghi đối với thiết bị đã được chỉ định như sử dụng các thiết bị lưu trữ ngoài. Nếu bạn vô hiệu hóa hoặc không thực hiện cấu hình thiết lập này thì việc đọc và ghi trên các lớp thiết bị lưu trữ ngoài vẫn được phép theo áp đặt bởi các thiết lập chính sách khác trong danh sách. Theo quantrimang3 Group Policy Phần 3 – Các yêu cầu cho việc hoàn thành kịch bảnCác yêu cầu cho việc hoàn thành kịch bảnĐể thực hiện mỗi kịch bản, bạn phải có:• Máy tính cài đặt Windows Vista. Hướng dẫn này dựa theo máy tính này như một DMI-Client1.• Ổ đĩa nhớ USB. Kịch bản đã miêu tả trong hướng dẫn này sử dụng ổ nhớ USB như một thiết bịmẫu. Thiết bị này làm việc giống như một ổ đĩa có thể tháo rời và được biết đến như một ổ flash.Hầu hết các ổ nhớ USB không phụ thuộc vào bộ cài được cung cấp của nhà máy sản xuất, cácthiết bị làm việc với ổ được cung cấp trong Windows Vista và Windows Server 2008.Lưu ýHướng dẫn thừa nhận rằng thiết bị của bạn không cần đến các bộ cài mà có sẵn trong Windowsvà Windows Server 2008. Nếu thiết bị yêu cầu một bộ cài của nhà sản xuất thì bạn phải cung cấpmột file cài khi Windows yêu cầu thực hiện. Bước này không có trong kịch bản này.Án Bình Trọng sưu tầm Trang 11
  12. 12. Chuyên đề Group Policy• Một ổ ghi CD hoặc DVD. Kịch bản cuối cùng sẽ minh chứng cách tạo các ổ đĩa di động ở chếđộ chỉ đọc. Bạn có thể thiết lập chính sách máy tính mà không có ổ ghi CD hoặc DVD được càiđặt. Mặc dù vậy, nếu muốn thẩm định rằng chính sách máy tính có hiệu quả thì bạn phải có các ổCD hoặc DVD để sử dụng cho mục đích kiểm tra.• Truy cập vào tài khoản quản trị viên được bảo vệ trong DMI-Client1. Hướng dẫn này gọi tàikhoản này là TestAdmin. Các thủ tục trong hướng dẫn này yêu cầu quyền ưu tiên mức quản trịviên trong hầu hết các bước. Bạn phải đăng nhập vào tài khoản DMI-Client1 bằng tài khoảnquản trị viên này khi bắt đầu mỗi thủ tục.Lưu ýWindows Vista và Windows Server 2008 giới thiệu khái niệm tài khoản quản trị viên được bảovệ. Tài khoản này là một thành viên của nhóm quản trị, nhưng mặc định ưu tiên bảo mật khôngđược sử dụng một cách trực tiếp. Bất kỳ cố gắng nào để thực hiện một nhiệm vụ yêu cầu đến cácquyền ưu tiên cao của quản trị viên sẽ hệ thống sẽ tạo ra một hộp thoại hỏi về sự cho phép đểthực hiện nhiệm vụ đó. Hộp thoại này được thảo luận trong phần tài liệu nói về sự đáp trả đốivới User Account Control mà chúng tôi sẽ giới thiệu cho các bạn trong phần sau. Microsoftkhuyên rằng bạn nên sử dụng tài khoản quản trị viên được bảo vệ hơn là vì tài khoản quản trịviên được đính kèm bất cứ khi nào có thể.• Truy cập vào tài khoản người dùng chuẩn trên DMI-Client1. Tài khoản người dùng này khôngcó hội viên đặc biệt được hỗ trợ các mức cho phép cao. Hướng dẫn này gọi một tài khoản này làTestUser. Chỉ đăng nhập vào máy tính của bạn với tài khoản này khi được chỉ thị để thực hiệnđiều đó. Với một tài khoản người dùng chuẩn, bất kỳ sự cố gắng để thực hiện một nhiệm vụ yêucầu đến các quyền ưu tiên mức cao của một quản trị viên, thì một hộp thoại có thể xuất hiện yêucầu ủy nhiệm mức ưu tiên quản trị viên của tài khoản. Hộp thoại này được thảo luận trong phầntài liệu nói về sự đáp trả đối với kiểm soát tài khoản người dùng mà chúng tôi sẽ giới thiệu chocác bạn trong phần sau.Các thủ tục tiên quyếtTrước khi có thể bổ sung các chính sách cho phép hoặc ngăn chặn người dùng cài đặt một thiếtbị, bạn phải hiểu về các chuỗi nhận dạng thiết bị. Bạn cũng phải biết cách để gỡ bỏ hoàn toàn càiđặt ổ nhớ USB và phần cài đặt kết hợp của nó. Các thủ tục dưới đây cấu hình máy tính của bạnđể thực thi thành công kịch bản trong hướng dẫn này.1, Phản ứng đối với User Account Control (UAC)Xuyên suốt hướng dẫn này bạn sẽ được hỏi để thực hiện các nhiệm vụ mà chỉ có thể được thựchiện bởi một thành viên của nhóm quản trị. Trong Windows Vista và Windows Server 2008, khibạn cố gắng thực hiện một nhiệm vụ yêu cầu đến các quyền quản trị viên thì sẽ xuất hiện nhữngđiều dưới đây:• Nếu đăng nhập như tài khoản quản trị viên đính kèm (không như nhắc nhở) thì hoạt động đượcthực hiện khá đơn giản. Tài khoản quản trị viên đính kèm mặc định được vô hiệu hóa.Án Bình Trọng sưu tầm Trang 12
  13. 13. Chuyên đề Group Policy• Nếu bạn là một thành viên của nhóm quản trị thì hộp thoại User Account Control xuất hiện hỏivề sự cho phép để tiếp tục. Nếu nhấn Continue, thì nhiệm vụ sẽ được tiến hành.• Nếu đăng nhập như một người dùng chuẩn thì bạn có thể bị ngăn chặn trong việc thực hiệnnhiệm vụ. Phụ thuộc vào nhiệm vụ, bạn có thể được thể hiện với User Account Control để cungcấp username và password cho tài khoản quản trị viên. Nếu bạn cung cấp các thông tin hợp lệ thìnhiệm vụ được chạy trong chế độ bảo mật của tài khoản quản trị viên. Nếu không cung cấp đúngcác thông tin cần thiết thì bạn sẽ bị ngăn chặn trong việc thực hiện nhiệm vụ.Quan trọngTrước khi cung cấp thông tin quan trọng hoặc sự cho phép để chạy các nhiệm vụ quản trị viên,bạn phải bảo đảm rằng cửa sổ User Account Control được hiển thị để đáp trả cho nhiệm vụ màbạn đã khởi tạo. Nếu cửa sổ xuất hiện không như mong đợi thì bạn có thể kích nút Details và bảođảm rằng nhiệm vụ đó là một nhiệm vụ bạn mong muốn cho phép.2, Quyết định các chuỗi nhận dạng thiết bị cho ổ nhớ USBBằng các bước dưới đây bạn có thể quyết định các chuỗi nhận dạng thiết bị cho thiết bị của bạn.Nếu ID phần cứng và ID tương thích cho thiết bị của bạn không tương xứng với những gì thểhiện trong hình này, hãy sử dụng ID phù hợp với thiết bị.Lưu ýTrong kịch bản dưới đây bạn phải cài đặt và sau đó gỡ bỏ cài đặt ổ nhớ USB. Các hướng dẫnthừa nhận rằng thiết bị của bạn không yêu cầu phần mềm cài đặt khác với file cài sẵn có trongWindows Vista và Windows Server 2008. Nếu thiết bị yêu cầu một phần mềm cài đặt từ nhà sảnxuất thì bạn phải cung cấp file cài đặt khi Windows bắt bạn thực hiện điều đó. Bước này khôngđược giới thiệu trong kịch bản này. Bạn có thể quyết định ID phần cứng và ID tương thích chothiết bị theo hai cách: sử dụng Device Manager, một công cụ đồ họa có trong hệ điều hành, hoặcDevCon, một công cụ dòng lệnh có thể tải về được như một phần của Driver Development Kit(DDK). Sử dụng các thủ tục dưới đây để xem chuỗi nhận dạng thiết bị cho ổ nhớ USB của bạn.Quan trọngCác thủ tục này là các thủ tục cụ thể cho ổ nhớ USB. Nếu bạn đang sử dụng một loại thiết bịkhác thì phải điều chính các bước theo nó. Sự khác nhau đáng kể ở chúng là vị trí của thiết bịtrong cấu trúc Device Manager. Thay vì định vị trong nút Disk Drives bạn phải định vị ổ trongnút thích hợp.Tìm các chuỗi nhận dạng thiết bị bằng Device Manager1. Đăng nhập vào máy tính với quyền DMI-Client1TestAdmin.2. Cắm ổ nhớ USB sau đó cho phép cài đặt hoàn tấtÁn Bình Trọng sưu tầm Trang 13
  14. 14. Chuyên đề Group Policy3. Mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search, sauđó nhấn ENTER.4. Nếu hộp thoại User Account Control xuất hiện, hãy xác nhận hành động đang thực hiện làđược phép và sau đó nhấn Continue.Device Manager xuất hiện và hiển thị theo một kiểu hình cây tất cả các thiết bị đã được phát hiệntrên máy tính. Ở phần trên là một nút có tên máy tính của bạn. Nút thấp hơn thể hiện các mụckhác nhau của phần cứng, trong đó các thiết bị của máy tính được nhóm theo từng nhóm.5. Kích đúp vào Disk drives để mở danh sách6. Kích chuột phải vào mục ổ nhớ USB của bạn sau đó chọn Properties.Hộp thoại Device Properties sẽ xuất hiện.Án Bình Trọng sưu tầm Trang 14
  15. 15. Chuyên đề Group Policy7. Kích tab Details8. Trong danh sách Property, kích Hardware Ids.Dưới Value, hãy lưu ý đến các chuỗi được hiển thịÁn Bình Trọng sưu tầm Trang 15
  16. 16. Chuyên đề Group PolicyLưu ýBạn có thể copy các chuỗi này vào Clipboard bằng cách bôi đen tất cả chúng và nhấn CTRL +C.Vì nhiều ID phần cứng có các ký tự gạch dưới nên bạn phải copy chúng vào một file văn bảnđể có thể thực hiện thao tác paste khi phải chỉ rõ một bộ nhận dạng. Phương pháp này giảm đángkể lỗi khi phải thêm một bộ cài cụ thể vào danh sách cho các thiết bị được ngăn chặn hoặc đượccho phép.9. Trong danh sách Property kích Compatible Ids.Dưới Value, hãy chú ý vào các chuỗi được hiển thịÁn Bình Trọng sưu tầm Trang 16
  17. 17. Chuyên đề Group Policy10. Kích OK để đóng hộp thoại.Lưu ýBạn cũng có thể quyết định các chuỗi nhận dạng thiết bị bằng tiện ích dòng lệnh DevCon. Có thểtải DevCon về từ trang trợ giúp của Microsoft. Để có thêm thông tin, bạn hãy xem các chức năngtiện ích dòng lệnh DevCon tại website của Microsoft(http://go.microsoft.com/fwlink/?LinkId=56391).Bạn có thể tìm thêm các thông tin chi tiết về tiện ích DevCon và hoạt động của nó trong trangMicrosoft Developer Network (MSDN). Để có thêm thông tin xem “DevCon” tại địa chỉ websitecủa Microsoft.Cú pháp cụ thể cần thiết để sử dụng DevCon để quyết định ID phần cứng của bạn cũng có trênMSDN. Để có thêm thông tin chi tiết bạn hãy xem “DevCon HwIDs” tại website của Microsoft.3, Gỡ bỏ cài đặt cho ổ nhớ USBÁn Bình Trọng sưu tầm Trang 17
  18. 18. Chuyên đề Group PolicyTrong sử dụng hàng ngày đối với ổ flash, bạn có thể kéo ổ flash này ra khỏi cổng USB. Tronghướng dẫn này bạn phải gỡ bỏ cài đặt phần mềm cài đặt để bảo đảm các kịch bản được bắt đầuvới máy tính trong trạng thái phù hợp. Nếu thất bại trong việc gỡ bỏ cài đặt và tháo thiết bị thìcác chính sách được kiểm tra trong kịch bản dưới đây sẽ không có hiệu quả và bạn sẽ không nhìnthấy các kêt quả như mong đợi. Sử dụng các bước như vậy xuyên suốt hướng dẫn này khi bạntrực tiếp gỡ bỏ cài đặt và tháo thiết bị ra.Quan trọngKhông hủy bỏ kết nối vật lý đối với thiết bị của bạn ra khỏi cổng USB cho tới khi thực hiện bướccuối cùng.Gỡ bỏ cài đặt driver của USB1. Đăng nhập và máy tính DMI-Client1TestAdmin.2. Mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search, vànhấn ENTER.3. Nếu hộp thoại User Account Control xuất hiện, hãy xác nhận hành động đang thực hiện làđược phép, sau đó nhấn Continue.4. Kích chuột phải vào mục ổ nhớ USB, sau đó kích Uninstall.5. Trong hộp thoại Confirm Device Removal, kích OK để cho phép quá trình gỡ bỏ cài đặthoàn tất.6. Khi Windows hoàn thành xong quá trình gỡ bỏ cài đặt, nó gỡ bỏ được mục thiết bị ra khỏi câydanh mục trong Device Manager.Án Bình Trọng sưu tầm Trang 18
  19. 19. Chuyên đề Group Policy7. Rút USB của bạn ra khỏi cổng USB.Theo quantrimang4 Group Policy phần 4 – Ngặn chặn cài đặt tất cả các thiết bịKịch bản này giới thiệu các bước điển hình được yêu cầu để thực hiện hầu hết cấu hình hạn chế,nơi mà sự cài đặt thiết bị bị ngăn chặn và các thiết bị đang tồn tại không thể được nâng cấp phầnmềm cài đặt mới. Người dùng sẽ không thể cài đặt thiết bị và sử dụng nó mà không có sự canthiệp của quản trị viên. Các quản trị viên có thể cài đặt hoặc nâng cấp thiết bị nếu cần.Điều kiện quyết định cho việc ngăn chặn cài đặt tất cả thiết bịĐể thực hiện các thủ tục trong kịch bản này, bạn phải gỡ bỏ cài đặt ổ nhớ USB như đã mô tảtrong phần trước của hướng dẫn này.Các bước thực hiện việc ngăn chặn nàyBước 1: Cấu hình chính sách ngăn chặn cài đặt đối với bất kỳ thiết bị nàoCấu hình chính sách ngăn chặn cài đặt hoặc nâng cấp đối với các thiết bị1. Đăng nhập vào máy tính như DMI-Client1TestAdmin.2. Mở Group Policy Object Editor, kích nút Start, đánh mmc gpedit.msc trong hộp StartSearch, và sau đó nhấn ENTER.3. Nếu hộp thoại User Account Control xuất hiện, hãy xác nhận rằng hoạt động đang hiển thị lànhững gì bạn muốn, sau đó nhấn Continue để tiếp tục.4. Trong cửa sổ trình soạn thảo Group Policy Object Editor, kích đúp vào ComputerConfiguration để mở. Sau đó mở Administrative Templates > System > Device Installation >Device Installation Restrictions.Án Bình Trọng sưu tầm Trang 19
  20. 20. Chuyên đề Group Policy5. Trong cửa sổ chi tiết, kích chuột phải vào Prevent installation of devices not described byother policy settings, chọn Properties.Hộp thoại chính sách xuất hiện với các thiết lập hiện thời của nó.6. Trên tab Setting, bạn kích Enabled để vào chính sách.7. Kích OK để lưu các thiết lập của bạn và quay trở lại Group Policy Object Editor.Bước 2: Cấu hình chính sách cho phép các quản trị viên có thể ghi đè trong việc cài đặt thiếtbịChính sách tiếp theo cho phép các quản trị viên có thể ghi đè lên những hạn chế được áp đặt đốivới các thiết lập chính sách cài đặt thiết bị, gồm có chính sách bạn vừa kích hoạt.Cấu hình chính sách cho phép các quản trị viên ghi đè1. Trong cửa sổ chi tiết, kích chuột phải vào Allow administrators to override deviceinstallation policy, sau đó kích vào Properties.Hộp thoại chính sách xuất hiện cùng với các thiết lập hiện hành của nó.2. Trong tab Setting, kích Enabled để vào thiết lập chính sách.3. Kích OK để lưu thiết lập của bạn và quay trở về Group Policy Object Editor.Cả hai chính sách bây giờ thể hiện trạng thái được kích hoạt của chúng.Án Bình Trọng sưu tầm Trang 20
  21. 21. Chuyên đề Group Policy4. Đóng Group Policy Object Editor.Bước 3: Kiểm tra tác động của các thiết lập hạn chế đối với người dùngVới cả hai chính sách được kích hoạt, bạn có thể áp dụng chúng cho máy tính và cố gắng cài đặtthiết bị để xem các hạn chế mà bạn thiết lập làm việc thế nàoKiểm tra kết quả thu được đối với người dùng1. Nếu thiết bị của bạn được cài đặt, để gỡ bỏ cài đặt, thực hiện theo các bước trong phần “Gỡ bỏcài đặt ổ nhớ USB” trong phần trước của tài liệu này.2. Kích vào nút Start, đánh gpupdate /force trong hộp Start Search sau đó nhấn ENTER.3. Khi lệnh GPUdate kết thúc, log off máy tính của bạn, sau đó đăng nhập như DMI-Client1TestUser.4. Để mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search,sau đó nhấn ENTER.Thông báo dưới đây sẽ xuất hiện cho biết rằng bạn không có quyền tạo bất kỳ thay đổi nào trongDevice Manager5. Kích OK để thừa nhận thông báo.Án Bình Trọng sưu tầm Trang 21
  22. 22. Chuyên đề Group PolicyDevice Manager bắt đầu và bạn có thể xem được các thiết bị trong máy tính.6. Cắm ổ USB của bạn vàoCho tới khi sự cài đặt được hoàn tất, thiết bị sẽ xuất hiện trong Device Manager dưới nút Otherdevices7. Vì bạn đã đăng nhập như một người dùng chuẩn không có các quyền quản trị viên và sự càiđặt thiết bị bị giới hạn, do đó xuất hiện hộp thoại sau:Án Bình Trọng sưu tầm Trang 22
  23. 23. Chuyên đề Group Policy8. Để mô phỏng sự đáp trả đối với người dùng điển hình, kích Locate and install driversoftware (recommended).Một biến thể của hộp thoại User Account Control xuất hiện yêu cầu bạn cấp tên người dùng vàpassword cho tài khoản có quyền quản trị viên.9. Vì người dùng không có quyền quản trị viên nên kích Cancel để bỏ qua.Việc cài đặt bộ cài thất bại và thiết bị duy trì dưới nút Other devices không có tác dụng.Án Bình Trọng sưu tầm Trang 23
  24. 24. Chuyên đề Group Policy Theo quantrimang5 Group Policy phần 5 – Cho phép người dùng chỉ cài đặt các thiết bị đã được phépKịch bản này được xây dựng dựa trên kịch bản trước -”Ngăn chặn cài đặt tất cả các thiết bị” –khi bạn ngăn chặn cài đặt bất kỳ thiết bị nào. Trong kịch bản này, bạn thêm một danh sách cácthiết bị được cho phép vào chính sách và gồm có ID phần cứng cho ổ nhớ USB.Mức ưu tiên của việc cho phép người dùng chỉ cài đặt các thiết bị đã được phépĐể thực hiện nhiệm vụ này, bạn phải thực hiện được tất cả các bước trong kịch bản đầu tiên,Ngăn chặn cài đặt tất cả thiết bị.Các bước cho phép người dùng cài đặt các thiết bị được phépTrong phần này, bạn thêm các thiết bị được cho phép vào hạn chế được áp đặt trong phần trướcbằng các tạo một danh sách các thiết bị được phép cài đặt.Bước 1: Tạo một danh sách các thiết bị được phép cài đặtTạo một danh sách cách thiết bị được cho phép cài đặt1. Đăng nhập vào máy tính như DMI-Client1TestAdmin.2. Nếu thiết bị của bạn hiện thời đã được cài đặt, hãy gỡ bỏ cài đặt nó.3. Để mở Group Policy Object Editor, kích nút Start, đánh mmc gpedit.msc trong hộp StartSearch, sau đó nhấn ENTER.Án Bình Trọng sưu tầm Trang 24
  25. 25. Chuyên đề Group Policy4. Trong cửa sổ Group Policy Object Editor, kích đúp Computer Configuration để mở nó. Sauđó mở Administrative Templates > System > Device Installation> Device InstallationRestrictions.5. Trong cửa sổ chi tiết, kích chuột phải vào Allow installation of devices that match any ofthese device IDs, sau đó kích Properties.Hộp thoại chính sách xuất hiện với các thiết lập hiện tại của nó.6. Trên tab Setting, kích Enabled để bật chính sách này7. Kích Show để xem danh sách các thiết bị được cho phép trong hộp thoại Show ContentsMặc định, danh sách này là chưa có gì8. Kích Add để mở hộp thoại Add Item.9. Nhập vào ID thiết bị (ID phần cứng thiết bị trước) cho thiết bị của bạn.Án Bình Trọng sưu tầm Trang 25
  26. 26. Chuyên đề Group Policy10. Kích OK để quay trở về hộp thoại Show Contents.Thiết bị của bạn bây giờ xuất hiện trong danh sách.11. Kích OK để quay trở về hộp thoại chính sách.12. Kích OK để lưu thiết lập chính sách mới của bạn.Bước 2: Kiểm tra danh sách các thiết bị được cho phépVới thiết lập chính sách vừa cho phép, bạn có thể áp dụng nó cho máy tính và thử cài đặt thiết bị.Kiểm tra danh sách các thiết bị được cho phép1. Kích nút Start, đánh gpupdate /force trong hộp Start Search, sau đó nhấn ENTER.2. Khi lệnh “gpudate” được thực hiện, log off máy tính, sau đó đăng nhập vào như DMI-Client1TestUser.3. Để mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search,sau đó nhấn ENTER.Án Bình Trọng sưu tầm Trang 26
  27. 27. Chuyên đề Group PolicyThông báo dưới đây sẽ xuất hiện, thông báo này chỉ thị rằng bạn không có quyền thực hiện bấtcứ thay đổi nào trong Device Manager.4. Kích OK để đóng thông báo này.Device Manager bắt đầu và bạn có thể xem được các thiết bị trong máy tính.5. Cắm USB của bạn vàoThiết bị xuất hiện trong Device Manager nằm trong nút Other devices cho tới khi Windowshoàn thành xong việc cài đặt.6. Sau khi Windows hoàn tất việc cài đặt, thiết bị chuyển sang nút Disk Drives trong DeviceManager và có các chức năng đầy đủ.Án Bình Trọng sưu tầm Trang 27
  28. 28. Chuyên đề Group Policy Theo quantrimang6 Group Policy phần 6 – Ngăn chặn cài đặt các thiết bị muốn ngăn cấmKịch bản này giới thiệu cho bạn một cách kiểm soát khác về việc cài đặt thiết bị. Trong phầntrước, bạn đã ngăn chặn cài đặt cho tất cả ngoại trừ các thiết bị được cho phép trong một danhsách thiết bị được cài đặt. Trong kịch bản này, bạn sẽ cho phép cài đặt tất cả các thiết bị ngoại trừthiết bị có trong danh sách bị hạn chế. Bạn cũng gỡ bỏ sự ngoại trừ cho quản trị viên đã tạo trongkịch bản trước để làm cho quản trị viên có thể cũng bị ảnh hưởng bởi chính sách.Điều kiện quyết định cho việc ngăn chặn cài đặt các thiết bị muốn ngăn cấmNếu bạn đã thực hiện các bước “Ngăn chặn cài đặt tất cả các thiết bị” và “Cho phép người dùngchỉ cài đặt được các thiết bị cho phép” trong các phần trước, bạn phải vô hiệu hóa các chính sáchnày bằng sử dụng các bước dưới đây:Kích hoạt cài đặt đối với tất cả các thiết bị1. Đăng nhập vào máy tính với quyền DMI-Client1TestAdmin.2. Để mở Group Policy Object Editor, kích nút Start, đánh mmc gpedit.msc trong hộp StartSearch, sau đó nhấn ENTER.3. Trong cửa sổ Group Policy Object Editor, kích đúp vào Computer Configuration để mở nó.Sau đó mở Administrative Templates > System > Device Installation > Device InstallationRestrictions.4. Trong cửa sổ chi tiết, kích chuột phải vào nút Prevent installation of devices not describedby other policy settings, sau đó kích Properties.Hộp thoại chính sách xuất hiện với các thiết lập hiện hành của nó.Án Bình Trọng sưu tầm Trang 28
  29. 29. Chuyên đề Group Policy5. Kích Disabled để tắt bỏ thiết lập chính sách.6. Kích OK đề lưu thiết lập của bạn và quay trở về Group Policy Object Editor.Bước tiếp theo là gỡ bỏ chính sách đã đồng ý loại trừ các thành viên trong nhóm quản trị viên.Gỡ bỏ ngoại lệ cho quản trị viên đối với các hạn chế của Group Policy1. Trong Group Policy Object Editor, kích chuột phải vào Allow administrators to overridedevice installation policy, sau đó chọn Properties.Hộp thoại chính sách xuất hiện với các thiết lập hiện hành của nó.2. Trên tab Setting, kích Disabled để tắt thiết lập chính sách.3. Kích OK để lưu thiết lập của bạn và quay trở về Group Policy Object Editor.Các bước tiếp theo là gỡ bỏ ID phần cứng từ danh sách các thiết bị được phép cài đặt mà bạn đãtạo trong kịch bản thứ hai.Gỡ bỏ ID phần cứng trong danh sách các thiết bị được phép1. Trong Group Policy Object Editor, kích Allow installation of devices that match any ofthese device IDs, sau đó chọn Properties.Hộp thoại chính sách xuất hiện với các thiết lập hiện hành.2. Trong tab Setting, kích Show để xem danh sách các thiết bị được cài đặt.3. Trong hộp thoại Show Contents, chọn tên của phần cài đặt USB sau đó nhấn Remove.Windows sẽ gỡ thiết bị của bạn ra khỏi danh sách.4. Kích OK để đóng hộp thoại Show Contents và trở về hộp thoại chính sách.5. Kích Disabled để tắt thiết lập chính sách.6. Kích OK để lưu các thay đổi của bạn và trả về Group Policy Object Editor.Các bước ngăn chặn cài đặt thiết bị muốn không ngăn cấmĐể ngăn chặn người dùng cài đặt các thiết bị cụ thể nào đó, bạn tạo ra một danh sách các thiết bịbị ngăn cấm. Trong kịch bản này, bạn sẽ:Bước 1: Tạo một danh sách các thiết bị muốn ngăn cấmÁn Bình Trọng sưu tầm Trang 29
  30. 30. Chuyên đề Group PolicyTạo một danh sách các thiết bị muốn ngăn cấm1. Nếu thiết bị của bạn hiện đã được cài đăt, hãy gỡ bỏ cài đặt của nó.2. Đăng nhập vào máy tính với quyền DMI-Client1TestAdmin.3. Vào Group Policy Object Editor bằng cách kích nút the Start, đánh mmc gpedit.msc tronghộp Start Search, sau đó nhấn ENTER.4. Trong giao diện hình cây, kích đúp vào Computer Configuration để mở nó. Sau đó mởAdministrative Templates > System > Device Installation > Device Installation Restrictions.5. Trong cửa sổ chi tiết, kích chuột phải vào Prevent installation of devices that match thesedevice IDs, sau đó nhấn Properties.Hộp thoại chính sách sẽ xuất hiện các thiết lập hiện hành của nó.6. Trong tab Setting, nhấn Enabled để bật chính sách này.Án Bình Trọng sưu tầm Trang 30
  31. 31. Chuyên đề Group Policy7. Kích vào Show để xem danh sách các thiết bị được ngăn chặn.8. Trong hộp thoại Show Contents, kích Add.9. Trong hộp thoại Add Item, đánh ID thiết bị (ID thiết bị đầu tiên) mà bạn tìm thấy cho thiết bịcủa bạn.10. Kích OK để quay trở về hộp thoại Show Contents.Thiết bị của bạn bây giờ xuất hiện trong danh sách.11. Kích OK để quay trở về hộp thoại chính sách.12. Kích OK để lưu thiết lập chính sách mới.Bước 2: Kiểm tra danh sách các thiết bị muốn ngăn cấmGiờ bạn hãy thử cài đặt thiết bị. Bạn có thể cài đặt các thiết bị khác mà chính sách ngăn chặnkhông tác động tới, nhưng không thể cài đặt một số thiết bị đặc biệt thậm chí cả khi bạn đăngnhập với quyền thành viên của nhóm quản trị.Kiểm tra danh sách các thiết bị muốn ngăn cấm1. Kích nút Start, đánh gpupdate /force trong Start Search, sau đó nhấn ENTER.2. Khi lệnh “gpudate” được thực hiện xong, đóng cửa sổ lệnh.3. Để mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start Search, sauđó nhấn ENTER.Án Bình Trọng sưu tầm Trang 31
  32. 32. Chuyên đề Group Policy4. Cắm USB của bạn vàoThiết bị xuất hiện trong Device Manager dưới nút Other devices.Sự cài đặt không được hoàn tất, và thiết bị của bạn không hoạt động.5. Windows hiển thị một thông báo để đưa ra lý do tại sao sự cài đặt bị hỏng:6. Bạn có thể cố gắng vượt qua sự hạn chế theo cách cài đặt thủ công cho thiết bị: kích chuộtphải vào thiết bị, sau đó nhấn Update Driver Software.7. Bạn phải cung cấp cho hệ điều hành bộ cài cho thiết bị.Án Bình Trọng sưu tầm Trang 32
  33. 33. Chuyên đề Group Policy8. Để mô phỏng những gì người dùng có thể thực hiện, bạn kích vào Search automatically forupdated driver software.Một thông báo sẽ xuất hiện thông báo rằng Windows không thể cài đặt bộ cài này. Đoạn cuối củathông báo giải thích lý do tại sao không được cài đặt bì nó bị cấm bởi chính sách mà bạn đã tạo.Án Bình Trọng sưu tầm Trang 33
  34. 34. Chuyên đề Group Policy9. Kích Close. Theo quantrimang7 Group Policy phần 7 – Kiểm soát việc đọc và ghi lên các thiết bị di độngKịch bản này giới thiệu cách bạn có thể kiểm soát việc đọc, ghi đối với các thiết bị di độngtrên máy tính đang chạy Windows Vista và Windows Server 2008. Trong kịch bản này,bạn phải thiết lập Group Policy để cho USB ở chế độ chỉ đọc. Bạn cũng có thể thiết lậpGroup Policy để cho các ổ CD, DVD của máy tính ở chế độ chỉ đọc bằng cách vô hiệu hóachức năng ghi.Các điều kiện quyết địnhTrước khi có thể thử các thủ tục trong phần này, bạn phải vô hiệu hóa chính sách ngăn chặn càiđặt các ổ USB.Vô hiệu hóa chính sách ngăn chặn cài đặt các ổ USBÁn Bình Trọng sưu tầm Trang 34
  35. 35. Chuyên đề Group Policy1. Nếu thiết bị của bạn hiện đã được cài đặt, hãy gỡ bỏ cài đặt nó.2. Trong cửa sổ chi tiết của Group Policy Object Editor, kích Prevent installation of devicesthat match these device IDs, sau đó kích Properties.Hộp thoại chính sách sẽ xuất hiện với các thiết lập hiện hành của nó.3. Trên tab Settings, kích Show để xem danh sách các thiết bị bị ngăn cấm4. Trong hộp thoại Show Contents, kích vào ổ nhớ USB, chọn Remove sau đó kích OK.5. Trong tab Setting, kích Disabled để tắt thiết lập chính sách này.6. Kích OK để lưu thay đổi của bạn.Các bước kiểm soát việc đọc, ghi đối với thiết bị di độngBước 1: Thiết lập chính sách máy tính để từ chối việc ghi đối với các lớp thiết bị di độngCác chính sách mà bạn thiết lập trong thủ tục này sẽ khóa không cho phép ghi đối với nhiều thiếtbị lưu trữ di động. Mặc dù vậy, chính xác nó khóa việc ghi lên các thiết bị có thể thay đổi dựavào cấu tạo cụ thể và mô hình thiết bị. Bạn cũng có thể sử dụng chính sách Custom Classes,nhưng nó yêu cầu bạn phải chỉ ra GUID lớp cài đặt thiết bị cho thiết bị cụ thể.Từ chối việc ghi đối với các lớp thiết bị di động1. Trong Group Policy Object Editor, mở Computer Configuration > AdministrativeTemplates > System > Removable Storage Access.2. Kích chuột phải vào CD and DVD: Deny write access sau đó kích Properties.3. Trong hộp thoại Properties, kích Enabled để bật sự hạn chế sau đó kích OK.4. Lặp lại các bước 2 và 3 cho các chính sách dưới đây:  Removable Disks: Deny write access  Floppy Drives: Deny write access  WPD Devices: Deny write access5. Đóng Group Policy Object Editor.Bước 2: Kiểm tra các thiết lập chính sách máy tính của bạnNếu thiết bị đang được sử dụng, việc hạn chế ghi không thể được thi hành ngay lập tức. Để ápdụng chính sách đó bạn phải khởi động lại máy tính.Án Bình Trọng sưu tầm Trang 35
  36. 36. Chuyên đề Group PolicyKiểm tra các thiết lập1. Kích nút Start, đánh gpupdate /force trong hộp Start Search, sau đó nhấn ENTER.2. Khi lệnh “gpudate” được thực hiện, khởi động lại máy tính của bạn.3. Đăng nhập vào máy tính với quyền DMI-Client1TestAdmin.4. Cắm USB, sau đó đợi cho đến khi Windows đưa ra thông báo rằng nó đã hoạt động.5. Kích Start > Computer, sau đó kích đúp vào ổ USB6. Trong Windows Explorer, kích chuột phải vào vùng mở của cửa sổ chi tiết, kích New, sau đókích Folder.Windows sẽ hiển thị thông báo lỗi giải thích tại sao việc tạo thư mục gặp lỗi.7. Kích Continue8. Nếu hộp thoại User Account Control xuất hiện, bạn hãy xác nhận rằng hoạt động đang thựchiện là hợp lệ, sau đó nhấn Continue.9. Windows sẽ hiển thị ra một thông báo thứ hai chỉ thị lý do không thể ghi cho thư mục đó.Án Bình Trọng sưu tầm Trang 36
  37. 37. Chuyên đề Group Policy10. Kích Cancel để đóng hộp thoại.Kết luậnTrong hướng dẫn này bạn đã sử dụng một thiết bị mẫu trong môi trường thí nghiệm để học vềcách kiểm soát người dùng có được cài đặt thiết bị hay không. Bạn cũng được học về cách hạnchế truy cập đối với các thiết bị lưu trữ di động. Việc kiểm soát cài đặt và sử dụng thiết bị theocách này sẽ làm tăng tính bảo mật và nâng cao hiệu quả vai trò trợ giúp bằng cách hạn chế cácthiết bị mà người dùng có thể cài đặt vào tổ chức của bạn. Theo quantrimangÁn Bình Trọng sưu tầm Trang 37

×