使用组策略对移动设备管理

使用组策略对移动设备管理

通过管理可移动设备，可以实现公司的安全策略。比如禁止安装可移动设备或禁止访问访问可移动存储设备。

禁止安装可移动设备

如果启用禁止安装可移动设备设置，则不会安装可移动设备，而且无法更新现有可移动设备的驱动程序。

如果未配置或禁用了此设置，那么，只要其他策略设置允许安装设备，就可以安装可移动设备和更新现有的可移动设备。

注意: 此策略设置比允许安装设备的任何其他策略设置的优先级都高。如果此策略设置禁止安装某个设备，那么，即使该设备与允许安装它的其他策略设置相匹配，也将无法安装或更新该设备。

对于此策略，当设备所链接到的设备驱动程序该设备可移动时，设备被认为是可移动设备。例如，设备链接到的 USB 集线器的驱动程序报告某个通用串行总线 (USB) 设备是可移动设备。

如果此计算机是一台终端服务器，则启用此策略还会影响指定的设备从终端服务客户端重定向到此计算机。

如果设备驱动已经在安装，则禁止安装可移动设备设置将不能禁止该设备的使用或正常工作，除非管理员将设备驱动卸载。

可移动存储的访问

在Windows Server 2008 中管理员可以应用组策略来控制用户是否可以对使用可移动介质任何设备进行读取或写入。这些策略可用于帮助禁止将敏感或机密材料写入可移动介质或包含存储区域可移动设备后带走。此策略设置可以在两个位置找到，在“计算机配置管理模板系统可移动存储访问”中找到策略设置将影响计算机和登录计算机每个用户在“用户配置管理模板系统可移动存储访问”中找到策略设置仅影响对其应用了策略设置用户包括组(如果使用 Active Directory 应用了组策略)。

每个设备类别都支持两个策略:个是拒绝读取权限另个是拒绝写入权限:

强制实施重新启动时间(以秒为单位)设置为了对可移动存储设备访问权限强制实施更改重新启动系统需要等待时间(以秒为单位)只有在不通过重新启动无法应用限制策略时才强制实施重新启动。

CD 和 DVD这些策略设置允许您拒绝对 CD 和 DVD 可移动存储类中设备(包括通过 USB 链接设备)进行读取或写入访问

3.15.1示例：使用组策略禁止安装可移动设备

微软河北技术支持中心的培训部门不允许普通用户私自接入可移动设备，但允许本地管理员组的用户能够接入可移动设备。现需要针对培训部门的计算机使用组策略禁止安装可移动设备。

任务：

u 配置组策略禁止培训部门的计算机接入可移动设备

u 管理员组的帐号可以添加移动设备

u 验证设置

步骤：

1. 如图3-331所示，在DCServer上，点击“开始”à“程序”à“管理工具”à“组策略管理”，打开组策略管理工具。

2. 如图3-332所示，在出现的组策略管理对话框，右击培训部组织单元链接的组策略eduGPO，点击“编辑”。

图 3-331 打开组策略管理 图 3-332编辑组策略

3. 如图3-333所示，在出现的组策略管理编辑器对话框，点中“计算机配置”à“策略”à“管理模板”à“系统”à“设备安装限制”，在详细窗口，可以看到“允许管理员忽略设备安装限制策略”，双击该设置。

4. 如图3-334所示，在出现的允许管理员忽略设备安装限制策略属性对话框，选中“已启用”，点击“确定”。

图 3-333 允许管理员忽略设备安装限制策略 图 3-334 启用设置

5. 如图3-335所示，双击“禁止安装可移动设备”。

6. 如图3-336所示，在出现的禁止安装可移动设备属性对话框，选中“已启用”，点击“确定”。

图 3-335 禁止安装可移动设备 图 3-336 启用设置

7. 如图3-337所示，双击“当策略阻止安装是显示自定义信息（气球标题）”。

8. 如图3-338所示，在出现的当策略阻止安装时自定义信息属性对话框，选择“已启用”，输入主文本，点击“确定”。

图 3-337 配置提示文本 图 3-338 指定提示文本

9. 如图3-339所示，双击“当策略阻止安装时显示自定义信息（气球文本）”。

10. 如图3-340所示，在出现的当策略组织安装时显示自定义信息属性对话框，选择“已启用”，输入详细文本，点击“确定”。关闭组策略管理编辑器。

图 3-339 配置自定义信息 图 3-340 指定详细文本

11. 如图3-341所示，在eduPC1上，以市场部用户张辉登录。

12. 如图3-342所示，点击“”，出现“搜索程序和文件”，输入“gpupdate /force”，回车，刷新组策略。

图 3-341 登录 图 3-342 刷新组策略

13. 如图3-343所示，在物理机上插入U盘，点击“VM”à“Removable Devices”à“Toshiba Removable Disk”à“Connect”，这样插入物理机的U盘，就能被虚拟识别。

图 3-343 链接U盘

14. 如图3-344所示，可以看到虚拟机识别插入的硬件，试图安装驱动。

15. 如图3-345所示，在出现的组策略设置的提示对话框，提示：参加培训的用户禁止安装移动设备。普通用户禁止安装驱动。

图 3-344 安装驱动 图 3-345 出现提示

16. 如图3-346所示，使用域管理员在eduPC1上登录。

17. 如图3-347所示，管理员登录后也出现提示：参加培训的用户禁止安装移动设备。管理员可以通过设备管理器安装移动设备的驱动。

图 3-346 使用管理员登录 图 3-347 提示禁止安装驱动

18. 如图3-348所示，右击桌面山的“计算机”图标，点击“管理”。

19. 如图3-349所示，在出现的计算机管理对话框，点中“设备管理”，在详细窗口，可以看到没有安装驱动的设备，右击该设备，点击“更新驱动程序软件”。

图 3-348管理计算机 图 3-349 更新驱动

20. 如图3-350所示，在出现的您想如何搜索驱动程序软件对话框，点击“自动搜索更新的驱动程序软件”。

21. 如图3-351所示，驱动安装成功后，出现“Windows已经成功地更新驱动程序文件”。点击“关闭”。完成驱动更新。

图 3-350 自动搜索更新驱动软件 图 3-351 安装驱动成功

22. 如图3-352所示，双击桌面上的计算机图标，打开计算机，可以看到添加的U盘。

本文转自 onesthan 51CTO博客，原文链接：http://blog.51cto.com/91xueit/1134006，如需转载请自行联系原作者