Запрещение установки определенных устройств
В этом сценарии рассматривается альтернативный способ обеспечения контроля над установкой аппаратных устройств. В предыдущих сценариях Вы запретили установку всех устройств, кроме тех, которые перечислены в списке разрешенных. В этом сценарии Вы разрешите установку всех устройств, кроме тех, которые перечислены в списке запрещенных. Также Вы удалите все исключения для администраторов, созданные в первом сценарии, из-за чего политика будет применяться к ним точно так же, как и к обычным пользователям.
Предварительные условия, необходимые для успешного выполнения этого сценария
Если Вы выполнили все шаги, описанные в сценариях "Запрещение установки любых устройств" и "Разрешение установки только определенных устройств", Вы должны отключить политики, настроенные в этих сценариях. Для этого Вам необходимо:
- Разрешить установку всех устройств.
- Удалить определенные для администраторов исключения, разрешающие им установку устройств.
- Удалить код оборудования USB-накопителя из списка разрешенных устройств.
Для разрешения установки всех устройств выполните следующие действия:
- Войдите в систему под учетной записью DMI-Client1\TestAdmin.
- Запустите редактор объектов групповой политики. Для этого откройте меню Start, в поле быстрого поиска Start Search наберите команду mmc gpedit.msc и нажмите клавишу ENTER.
- В дереве консоли редактора объектов групповой политики раскройте узел Computer Configuration – Administrative Templates – System – Device Installation – Device Installation Restrictions.
- В области сведений щелкните правой кнопкой мыши на политике Prevent installation of devices not described by other policy settings и в контекстном меню выберите пункт Properties. Откроется диалоговое окно с текущими параметрами политики.
- Для выключения политики установите переключатель, расположенный на вкладке Setting, в положение Disabled.
- Нажмите кнопку OK для сохранения изменений и возврата в редактор объектов групповой политики.
Следующим шагом является удаление политики, снимающей ограничения на установку устройств для администраторов.
Для удаления исключений для администраторов выполните следующие действия:
- В области сведений редактора объектов групповой политики щелкните правой кнопкой мыши на политике Allow administrators to override device installation policy и в контекстном меню выберите пункт Properties. Откроется диалоговое окно с текущими параметрами политики.
- Для выключения политики установите переключатель, расположенный на вкладке Setting, в положение Disabled.
- Нажмите кнопку OK для сохранения изменений и возврата в редактор объектов групповой политики.
Следующим шагом является удаление кода оборудования Вашего USB-накопителя из списка разрешенных устройств, созданном Вами во втором сценарии.
Для удаления кода оборудования выполните следующие действия:
- В области сведений редактора объектов групповой политики щелкните правой кнопкой мыши на политике Allow installation of devices that match any of these device IDs и в контекстном меню выберите пункт Properties. Откроется диалоговое окно с текущими параметрами политики.
- Нажмите кнопку Show, расположенную на вкладке Setting, для просмотра списка разрешенных устройств в диалоговом окне Show Contents.
- В диалоговом окне Show Contents выберите название Вашего USB-накопителя и нажмите кнопку Remove.
Устройство будет удалено из списка.
- Нажмите кнопку OK для закрытия диалогового окна Show Contents и возврата в диалоговое окно политики.
- Для выключения политики установите переключатель, расположенный на вкладке Setting, в положение Disabled.
- Нажмите кнопку OK для сохранения изменений и возврата в редактор объектов групповой политики.
Следующим шагом является создание списка устройств, запрещенных для установки пользователями.
Для запрещения установки определенных устройств необходимо выполнить следующие шаги:
- Создание списка запрещенных устройств
- Проверка работы списка запрещенных устройств