Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group Policy: Các yêu cầu cho việc hoàn thành kịch bản

Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng Group

Policy: Các yêu cầu cho việc hoàn thành kịch bản

Các yêu cầu cho việc hoàn thành kịch bản

Để thực hiện mỗi kịch bản, bạn phải có:

• Máy tính cài đặt Windows Vista. Hướng dẫn này dựa theo máy tính này như một

DMI-Client1.

• Ổ đĩa nhớ USB. Kịch bản đã miêu tả trong hướng dẫn này sử dụng ổ nhớ USB

như một thiết bị mẫu. Thiết bị này làm việc giống như một ổ đĩa có thể tháo rời và

được biết đến như một ổ flash. Hầu hết các ổ nhớ USB không phụ thuộc vào bộ cài

được cung cấp của nhà máy sản xuất, các thiết bị làm việc với ổ được cung cấp

trong Windows Vista và Windows Server 2008.

Lưu ý

Hướng dẫn thừa nhận rằng thiết bị của bạn không cần đến các bộ cài mà có sẵn

trong Windows và Windows Server 2008. Nếu thiết bị yêu cầu một bộ cài của nhà

sản xuất thì bạn phải cung cấp một file cài khi Windows yêu cầu thực hiện. Bước

này không có trong kịch bản này.

• Một ổ ghi CD hoặc DVD. Kịch bản cuối cùng sẽ minh chứng cách tạo các ổ đĩa

di động ở chế độ chỉ đọc. Bạn có thể thiết lập chính sách máy tính mà không có ổ

ghi CD hoặc DVD được cài đặt. Mặc dù vậy, nếu muốn thẩm định rằng chính sách

máy tính có hiệu quả thì bạn phải có các ổ CD hoặc DVD để sử dụng cho mục đích

kiểm tra.

• Truy cập vào tài khoản quản trị viên được bảo vệ trong DMI-Client1. Hướng dẫn

này gọi tài khoản này là TestAdmin. Các thủ tục trong hướng dẫn này yêu cầu

quyền ưu tiên mức quản trị viên trong hầu hết các bước. Bạn phải đăng nhập vào

tài khoản DMI-Client1 bằng tài khoản quản trị viên này khi bắt đầu mỗi thủ tục.

Lưu ý

Windows Vista và Windows Server 2008 giới thiệu khái niệm tài khoản quản trị

viên được bảo vệ. Tài khoản này là một thành viên của nhóm quản trị, nhưng mặc

định ưu tiên bảo mật không được sử dụng một cách trực tiếp. Bất kỳ cố gắng nào

để thực hiện một nhiệm vụ yêu cầu đến các quyền ưu tiên cao của quản trị viên sẽ

hệ thống sẽ tạo ra một hộp thoại hỏi về sự cho phép để thực hiện nhiệm vụ đó. Hộp

thoại này được thảo luận trong phần tài liệu nói về sự đáp trả đối với User Account

Control mà chúng tôi sẽ giới thiệu cho các bạn trong phần sau. Microsoft khuyên

rằng bạn nên sử dụng tài khoản quản trị viên được bảo vệ hơn là vì tài khoản quản

trị viên được đính kèm bất cứ khi nào có thể.

• Truy cập vào tài khoản người dùng chuẩn trên DMI-Client1. Tài khoản người

dùng này không có hội viên đặc biệt được hỗ trợ các mức cho phép cao. Hướng

dẫn này gọi một tài khoản này là TestUser. Chỉ đăng nhập vào máy tính của bạn

với tài khoản này khi được chỉ thị để thực hiện điều đó. Với một tài khoản người

dùng chuẩn, bất kỳ sự cố gắng để thực hiện một nhiệm vụ yêu cầu đến các quyền

ưu tiên mức cao của một quản trị viên, thì một hộp thoại có thể xuất hiện yêu cầu

ủy nhiệm mức ưu tiên quản trị viên của tài khoản. Hộp thoại này được thảo luận

trong phần tài liệu nói về sự đáp trả đối với kiểm soát tài khoản người dùng mà

chúng tôi sẽ giới thiệu cho các bạn trong phần sau.

Các thủ tục tiên quyết

Trước khi có thể bổ sung các chính sách cho phép hoặc ngăn chặn người dùng cài

đặt một thiết bị, bạn phải hiểu về các chuỗi nhận dạng thiết bị. Bạn cũng phải biết

cách để gỡ bỏ hoàn toàn cài đặt ổ nhớ USB và phần cài đặt kết hợp của nó. Các thủ

tục dưới đây cấu hình máy tính của bạn để thực thi thành công kịch bản trong

hướng dẫn này.

1, Phản ứng đối với User Account Control (UAC)

Xuyên suốt hướng dẫn này bạn sẽ được hỏi để thực hiện các nhiệm vụ mà chỉ có

thể được thực hiện bởi một thành viên của nhóm quản trị. Trong Windows Vista và

Windows Server 2008, khi bạn cố gắng thực hiện một nhiệm vụ yêu cầu đến các

quyền quản trị viên thì sẽ xuất hiện những điều dưới đây:

• Nếu đăng nhập như tài khoản quản trị viên đính kèm (không như nhắc nhở) thì

hoạt động được thực hiện khá đơn giản. Tài khoản quản trị viên đính kèm mặc

định được vô hiệu hóa.

• Nếu bạn là một thành viên của nhóm quản trị thì hộp thoại User Account Control

xuất hiện hỏi về sự cho phép để tiếp tục. Nếu nhấn Continue, thì nhiệm vụ sẽ được

tiến hành.

• Nếu đăng nhập như một người dùng chuẩn thì bạn có thể bị ngăn chặn trong việc

thực hiện nhiệm vụ. Phụ thuộc vào nhiệm vụ, bạn có thể được thể hiện với User

Account Control để cung cấp username và password cho tài khoản quản trị viên.

Nếu bạn cung cấp các thông tin hợp lệ thì nhiệm vụ được chạy trong chế độ bảo

mật của tài khoản quản trị viên. Nếu không cung cấp đúng các thông tin cần thiết

thì bạn sẽ bị ngăn chặn trong việc thực hiện nhiệm vụ.

Quan trọng

Trước khi cung cấp thông tin quan trọng hoặc sự cho phép để chạy các nhiệm vụ

quản trị viên, bạn phải bảo đảm rằng cửa sổ User Account Control được hiển thị để

đáp trả cho nhiệm vụ mà bạn đã khởi tạo. Nếu cửa sổ xuất hiện không như mong

đợi thì bạn có thể kích nút Details và bảo đảm rằng nhiệm vụ đó là một nhiệm vụ

bạn mong muốn cho phép.

2, Quyết định các chuỗi nhận dạng thiết bị cho ổ nhớ USB

Bằng các bước dưới đây bạn có thể quyết định các chuỗi nhận dạng thiết bị cho

thiết bị của bạn. Nếu ID phần cứng và ID tương thích cho thiết bị của bạn không

tương xứng với những gì thể hiện trong hình này, hãy sử dụng ID phù hợp với thiết

bị.

Lưu ý

Trong kịch bản dưới đây bạn phải cài đặt và sau đó gỡ bỏ cài đặt ổ nhớ USB. Các

hướng dẫn thừa nhận rằng thiết bị của bạn không yêu cầu phần mềm cài đặt khác

với file cài sẵn có trong Windows Vista và Windows Server 2008. Nếu thiết bị yêu

cầu một phần mềm cài đặt từ nhà sản xuất thì bạn phải cung cấp file cài đặt khi

Windows bắt bạn thực hiện điều đó. Bước này không được giới thiệu trong kịch

bản này. Bạn có thể quyết định ID phần cứng và ID tương thích cho thiết bị theo

hai cách: sử dụng Device Manager, một công cụ đồ họa có trong hệ điều hành,

hoặc DevCon, một công cụ dòng lệnh có thể tải về được như một phần của Driver

Development Kit (DDK). Sử dụng các thủ tục dưới đây để xem chuỗi nhận dạng

thiết bị cho ổ nhớ USB của bạn.

Quan trọng

Các thủ tục này là các thủ tục cụ thể cho ổ nhớ USB. Nếu bạn đang sử dụng một

loại thiết bị khác thì phải điều chính các bước theo nó. Sự khác nhau đáng kể ở

chúng là vị trí của thiết bị trong cấu trúc Device Manager. Thay vì định vị trong

nút Disk Drives bạn phải định vị ổ trong nút thích hợp.

Tìm các chuỗi nhận dạng thiết bị bằng Device Manager

1. Đăng nhập vào máy tính với quyền DMI-Client1\TestAdmin.

2. Cắm ổ nhớ USB sau đó cho phép cài đặt hoàn tất

3. Mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start

Search, sau đó nhấn ENTER.

4. Nếu hộp thoại User Account Control xuất hiện, hãy xác nhận hành động đang

thực hiện là được phép và sau đó nhấn Continue.

Device Manager xuất hiện và hiển thị theo một kiểu hình cây tất cả các thiết bị đã

được phát hiện trên máy tính. Ở phần trên là một nút có tên máy tính của bạn. Nút

thấp hơn thể hiện các mục khác nhau của phần cứng, trong đó các thiết bị của máy

tính được nhóm theo từng nhóm.

5. Kích đúp vào Disk drives để mở danh sách

6. Kích chuột phải vào mục ổ nhớ USB của bạn sau đó chọn Properties.

Hộp thoại Device Properties sẽ xuất hiện.

7. Kích tab Details

8. Trong danh sách Property, kích Hardware Ids.

Dưới Value, hãy lưu ý đến các chuỗi được hiển thị

Lưu ý

Bạn có thể copy các chuỗi này vào Clipboard bằng cách bôi đen tất cả chúng và

nhấn CTRL + C.Vì nhiều ID phần cứng có các ký tự gạch dưới nên bạn phải copy

chúng vào một file văn bản để có thể thực hiện thao tác paste khi phải chỉ rõ một

bộ nhận dạng. Phương pháp này giảm đáng kể lỗi khi phải thêm một bộ cài cụ thể

vào danh sách cho các thiết bị được ngăn chặn hoặc được cho phép.

9. Trong danh sách Property kích Compatible Ids.

Dưới Value, hãy chú ý vào các chuỗi được hiển thị

10. Kích OK để đóng hộp thoại.

Lưu ý

Bạn cũng có thể quyết định các chuỗi nhận dạng thiết bị bằng tiện ích dòng lệnh

DevCon. Có thể tải DevCon về từ trang trợ giúp của Microsoft. Để có thêm thông

tin, bạn hãy xem các chức năng tiện ích dòng lệnh DevCon tại website của

Microsoft (http://go.microsoft.com/fwlink/?LinkId=56391).

Bạn có thể tìm thêm các thông tin chi tiết về tiện ích DevCon và hoạt động của nó

trong trang Microsoft Developer Network (MSDN). Để có thêm thông tin xem

"DevCon" tại địa chỉ website của Microsoft.

Cú pháp cụ thể cần thiết để sử dụng DevCon để quyết định ID phần cứng của bạn

cũng có trên MSDN. Để có thêm thông tin chi tiết bạn hãy xem "DevCon HwIDs"

tại website của Microsoft.

3, Gỡ bỏ cài đặt cho ổ nhớ USB

Trong sử dụng hàng ngày đối với ổ flash, bạn có thể kéo ổ flash này ra khỏi cổng

USB. Trong hướng dẫn này bạn phải gỡ bỏ cài đặt phần mềm cài đặt để bảo đảm

các kịch bản được bắt đầu với máy tính trong trạng thái phù hợp. Nếu thất bại

trong việc gỡ bỏ cài đặt và tháo thiết bị thì các chính sách được kiểm tra trong kịch

bản dưới đây sẽ không có hiệu quả và bạn sẽ không nhìn thấy các kêt quả như

mong đợi. Sử dụng các bước như vậy xuyên suốt hướng dẫn này khi bạn trực tiếp

gỡ bỏ cài đặt và tháo thiết bị ra.

Quan trọng

Không hủy bỏ kết nối vật lý đối với thiết bị của bạn ra khỏi cổng USB cho tới khi

thực hiện bước cuối cùng.

Gỡ bỏ cài đặt driver của USB

1. Đăng nhập và máy tính DMI-Client1\TestAdmin.

2. Mở Device Manager, kích nút Start, đánh mmc devmgmt.msc trong hộp Start

Search, và nhấn ENTER.

3. Nếu hộp thoại User Account Control xuất hiện, hãy xác nhận hành động đang

thực hiện là được phép, sau đó nhấn Continue.

4. Kích chuột phải vào mục ổ nhớ USB, sau đó kích Uninstall.

5. Trong hộp thoại Confirm Device Removal, kích OK để cho phép quá trình gỡ

bỏ cài đặt hoàn tất.

6. Khi Windows hoàn thành xong quá trình gỡ bỏ cài đặt, nó gỡ bỏ được mục thiết

bị ra khỏi cây danh mục trong Device Manager.

7. Rút USB của bạn ra khỏi cổng USB.