Hướng dẫn kiểm soát cài đặt thiết bị và sử dụng
Group Policy: Kiểm soát các thiết bị di động Tổng quan về công nghệ
Các phần dưới đây cung cấp cho các bạn một cách nhìn tổng quan về các kỹ
thuật cốt lõi sẽ được thảo luận trong hướng dẫn này.

Cài đặt thiết bị trong Windows

Một thiết bị là một phần của phần cứng mà Windows sẽ tương tác để thực hiện một
số chức năng. Windows có thể truyền thông với thiết bị thông qua một phần mềm
được gọi là phần mềm cài đặt (driver) của thiết bị. Để cài đặt một driver thiết bị,
Windows sẽ phát hiện thiết bị, nhận dạng thiết bị là loại gì và sau đó tìm phần mềm
cài đặt hợp với loại thiết bị này. Windows sử dụng hai loại nhận dạng để kiểm soát
cài đặt thiết bị và cấu hình. Bạn có thể sử dụng các thiết lập Group Policy trong
Windows Vista và Windows Server 2008 để chỉ ra loại nhận dạng nào cho phép,
loại nào khóa.

Hai loại nhận dạng đó là:
 Các chuỗi nhận dạng thiết bị
 Các lớp thiết lập thiết bị
Các chuỗi nhận dạng thiết bị

Khi Windows phát hiện ra một thiết bị chưa được cài đặt trên máy tính, hệ điều
hành sẽ hỏi thiết bị để truy vấn trong danh sách của nó các chuỗi nhận dạng thiết
bị. Một thiết bị thường có nhiều chuỗi nhận dạng, các chuỗi này được nhà máy sản

thấp chỉ thị sự tương ứng tốt hơn giữa bộ cài và phần cứng. Cấp 0 biểu hiện sự
tương thích tốt nhất. Sự tương thích với ID thiết bị đối với một gói phần mềm cài
đặt có kết quả thấp hơn (tốt hơn) so với sự tương thích đối với ID phần cứng.

Tương tự như vậy, một sự tương ứng với ID phần cứng có kết quả tốt hơn so với
bất kỳ ID tương thích nào. Sau khi Windows sắp xếp tất cả các gói nó sẽ cài đặt
một bộ cài có cấp thấp nhất trong số đó. Một số thiết bị vật lý tạo ra một hoặc một
số thiết bị logic khi chúng được cài đặt. Mỗi thiết bị logic có thể quản lý một số
chức năng của thiết bị vật lý. Ví dụ, một thiết bị đa chức năng như một máy có thể
in, quét, fax, có thể có chuỗi nhận dạng thiết bị khác nhau đối với mỗi chức năng.

Khi sử dụng các chính sách hạn chế cài đặt thiết bị để cho phép hoặc ngăn cản cài
đặt của một thiết bị sử dụng các thiết bị logic thì bạn phải cho phép hoặc ngăn cản
các chuỗi nhận dạng của thiết bị đó. Ví dụ: nếu người dùng cố gắng cài đặt một
thiết bị đa chức năng và bạn không cho phép hoặc ngăn cản tất cả chuỗi nhận dạng
cho cả thiết bị vật lý và logic, thì bạn phải có được các kết quả không như mong
đợi từ sự cố gắng cài đặt.

Các lớp cài đặt thiết bị

Các lớp cài đặt thiết bị là một loại khác của chuỗi nhận dạng. Nhà sản xuất gán lớp
cài đặt thiết bị của mỗi thiết bị trong phần mềm cài đặt của nó. Lớp cài đặt thiết bị
nhóm các thiết bị được cài đặt và cấu hình theo cách giống nhau. Ví dụ, tất cả các
CD drives đều nằm trong lớp cài đặt thiết bị CDROM và chúng sử dụng cùng một
bộ cài khi cài đặt. Một số dài được gọi là bộ nhận dạng duy nhất tổng thể (GUID)
miêu tả mỗi một lớp cài đặt thiết bị. Cùng với GUID cho lớp cài đặt thiết bị của
bản thân thiết bị, Windows có thể cần phải chèn vào cây GUID lớp cài đặt thiết bị
của bus đến thiết bị được gắn.

Khi sử dụng các lớp cài đặt thiết bị để cho phép hoặc ngăn chặn người dùng cài đặt

dụng trong hướng dẫn này.

Lưu ý
Các thiết lập chính sách này sẽ ảnh hưởng đến tất cả người dùng, những người
đăng nhập vào máy tính có áp dụng nó. Bạn không thể áp dụng các chính sách này
cho chính sách Allow administrators to override device installation policy (Cho
phép các quản trị viên ghi đè lên chính sách cài đặt thiết bị). Chính sách này miễn
cho một số nhóm quản trị viên nội bộ trong việc hạn chế cài đặt mà bạn đã áp dụng
đến máy tính bằng cách cấu hình các thiết lập khác như đã miêu tả trong phần này.
 Prevent installation of devices not described by other policy settings (Ngăn
chặn cài đặt các thiết bị không được miêu tả bằng các thiết lập chính sách
khác). Thiết lập chính sách này kiểm soát sự cài đặt thiết bị không được
miêu tả cụ thể bởi bất kỳ thiết lập chính sách khác. Nếu bạn cho phép thiết
lập chính sách này thì người dùng không thể cài đặt hoặc nâng cấp phần
mềm cài đặt cho các thiết bị trừ khi chúng được mô tả bởi chính sách Allow
installation of devices that match these device IDs (Cho phép cài đặt các
thiết bị tương ứng với ID thiết bị đó) hoặc Allow installation of devices for
these device classes (Cho phép cài đặt các thiết bị cho lớp thiết bị đó). Nếu
bạn vô hiệu hóa hoặc không cấu hình thiết lập chính sách này thì người dùng
có thể cài đặt và nâng cấp phần mềm cài đặt cho bất kỳ thiết bị nào không
được mô tả bởi chính sách Prevent installation of devices that match these
device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID thiết bị đó),
Prevent installation of devices for these device classes (Ngăn chặn cài đặt
các thiết bị cho lớp thiết bị đó) hoặc Prevent installation of removable
devices (Ngăn chặn cài đặt các thiết bị di động).

 Allow administrators to override device installation policy (Cho phép các
quản trị viên ghi đè lên chính sách cài đặt thiết bị). Thiết lập chính sách này
cho phép các thành viên trong nhóm quản trị viên nội bộ có thể cài đặt và
nâng cấp phần mềm cài đặt cho bất kỳ thiết bị nào không cần quan tâm đến

các thiết lập chính sách khác.

Lưu ý
Thiết lập chính sách này có quyền ưu tiên trên bất kỳ các thiết lập chính sách
khác cho phép người dùng cài đặt thiết bị. Thiết lập chính sách này ngăn
chặn người dùng cài đặt một thiết bị thậm chí nó tương ứng với thiết lập
chính sách mà sẽ cho phép cài đặt.

 Allow installation of devices that match any of these device IDs (Cho phép
cài đặt các thiết bị tương ứng với ID thiết bị đó). Thiết lập chính sách này
chỉ ra một danh sách các ID phần cứng và ID tương thích PnP, các ID này
miểu tả thiết bị mà người dùng có thể cài đặt. Thiết lập này được dự định chỉ
sử dụng khi thiết lập chính sách Prevent installation of devices not
described by other policy settings (Ngăn chặn cài đặt thiết bị không được
mô tả bởi các thiết lập chính sách khác) được cho phép và không có quyền
ưu tiên trên các thiết lập chính sách khác sẽ ngăn chặn người dùng cài đặt
thiết bị. Nếu bạn sử dụng thiết lập chính sách này thì người dùng có thể cài
đặt và nâng cấp bất kỳ thiết bị nào có ID phần cứng và ID tương thích tương
ứng với một ID trong danh sách, nếu cài đặt đó không được chỉ rõ là bị ngăn
chặn bởi thiết lập chính sách Prevent installation of devices that match
these device IDs (Ngăn chặn cài đặt các thiết bị tương ứng với ID thiết bị
đó), Prevent installation of devices for these device classes (Ngăn chặn cài
đặt các thiết bị cho lớp thiết bị đó) hoặc Prevent installation of removable
devices (Ngăn chặn cài đặt các thiết bị di động). Nếu thiết lập chính sách
khác ngăn chặn người dùng cài đặt thì người dùng không thể cài đặt thậm
chí thiết bị cũng được miêu tả bằng một giá trị trong thiết lập chính sách.
Nếu bạn vô hiệu hóa hoặc không cấu hình thiết lập chính sách này hoặc
không có chính sách khác miêu tả thiết bị thì thiết lập chính sách Prevent
installation of devices not described by other policy settings (Ngăn chặn cài
đặt thiết bị không được mô tả bởi các thiết lập chính sách khác) sẽ quyết

ngoài. Các chính sách đó được sử dụng để ngăn chặn việc lấy trộm thông tin quan
trọng hoặc nhạy cảm.

Có thể áp dụng các thiết lập chính sách đó ở mức máy tính để chúng ảnh hưởng
đến mỗi người dùng, người đăng nhập vào máy tính đó. Bạn có thể áp dụng chúng
ở mức người dùng và giới hạn bắt buộc đối với một tài khoản người dùng cụ thể
nào đó. Nếu sử dụng Group Policy trong môi trường Active Directory thì bạn có
thể áp dụng các thiết lập nhóm người dùng trong tài khoản người dùng riêng lẻ.
Group Policy cũng cho phép bạn áp dụng một cách hiệu quả các chính sách đó đến
một số lượng lớn máy tính.

Quan trọng
Các chính sách truy cập vào thiết bị lưu trữ ngoài này không ảnh hưởng đến phần
mềm chạy trong tài khoản hệ thống như kỹ thuật ReadyBoost trong Windows. Mặc
dù vậy, các phần mềm chạy dưới nội dung bảo mật của người dùng hiện hành có
thể bị ảnh hưởng bởi hạn chế đó. Ví dụ, nếu thiết lập chính sách Removable Disks:
Deny write access (Các ổ di động: Hạn chế ghi) sẽ ảnh hưởng đến người dùng,
thậm chí nếu người dùng có là một quản trị viên thì chương trình cài đặt BitLocker
không thể ghi mã khởi động của nó đến một ổ USB. Bạn có thể áp dụng những hạn
chế chỉ cho người dùng và các nhóm khác thay cho nhóm quản trị viên.

Các thiết lập chính sách này cũng có một thiết lập cho phép quản trị viên bắt buộc
phải khởi động lại. Nếu một thiết bị được sử dụng khi chính sách hạn chế được áp
dụng thì chính sách này có thể không bị bắt buộc cho tới khi máy tính đó khởi
động lại. Sử dụng thiết lập chính sách để bắt buộc khởi động lại nếu bạn không
muốn đợi cho đến khi người dùng khởi động lại máy tính. Nếu các chính sách hạn
chế được bắt buộc không cần khởi động lại máy tính thì tùy chọn khởi động lại bị
bỏ qua.

Các thiết lập chính sách có thể tìm thấy tại hai vị trí. Trong Computer

cứng theo cách tránh sự ngăn chặn của chính sách. Nếu muốn ngăn chặn tất
cả việc ghi lên đĩa CD hoặc DVD thì bạn cần phải xem xét đến việc áp dụng
Group Policy để ngăn chặn cài đặt phần mềm đó.

 Custom Classes. Các thiết lập chính sách này cho phép bạn từ chối việc đọc
và ghi đối với bất kỳ thiết bị nào mà Device Setup Class GUID của nó được
tìm thấy trong danh sách bạn cung cấp.

 Floppy Drives. Các chính sách này cho phép bạn từ chối việc đọc, ghi đối
với các thiết bị trong lớp ổ mềm, gồm có cả thiết bị được kết nối USB.

 Removable Disks. Cho phép bạn từ chối việc đọc, ghi đối với các thiết bị di
động như ổ nhớ USB hay ổ cứng USB mở rộng.

 Tape Drives. Cho phép bạn từ chối việc đọc hoặc ghi vào các ổ băng từ,
gồm cảthiết bị được kết nối USB.

 WPD Devices. Cho phép bạn từ chối việc đọc hoặc ghi đối với các thiết bị
trong lớp Windows Portable Device. Các thiết bị này gồm có thiết bị thông
minh như media players, mobile phones và Windows CE,…

 All Removable Storage classes: Deny all access. Thiết lập này có quyền ưu
tiên hơn bất kỳ thiết lập nào khác trong danh sách, từ chối việc đọc, ghi đối
với thiết bị đã được chỉ định như sử dụng các thiết bị lưu trữ ngoài. Nếu bạn
vô hiệu hóa hoặc không thực hiện cấu hình thiết lập này thì việc đọc và ghi
trên các lớp thiết bị lưu trữ ngoài vẫn được phép theo áp đặt bởi các thiết lập
chính sách khác trong danh sách.