利用组策略管理硬件访问与打印机分配全攻略
1. 组策略中硬件禁用与启用选项的缘由
在组策略里,设备扩展项有禁用和启用两个选项。借助组策略对象(GPO)过滤或组策略首选项扩展的项目级别目标设定,就能灵活决定谁的哪些硬件该启用,哪些该禁用。比如,除了实验室技术员需要启用 USB 端口外,其他接收该 GPO 的用户,其 USB 端口都会被禁用。具体操作时,可在较高层级(像高级组织单位或域级别)设置 GPO 并设为禁用,然后在实验室技术员所在的组织单位将 USB 端口设为启用。测试发现,在“计算机配置 - 首选项 - 控制面板设置 - 设备”路径下使用设备组策略首选项项目时,能完美禁用硬件;但在“用户配置 - 首选项 - 控制面板设置 - 设备”路径下进行同样操作,硬件限制并非每次都能立即生效。
2. 针对 Windows Vista 及更高版本系统限制驱动访问
除了利用组策略首选项扩展禁用设备外,还可通过以下两个组策略部分进一步保障硬件安全:
- 计算机配置 - 策略 - 管理模板 - 系统 - 可移动存储访问
- 计算机配置 - 策略 - 管理模板 - 系统 - 设备安装 - 设备安装限制
“可移动存储访问”策略设置较易理解,启用该策略后,特定类型的可移动存储设备(如 CD/DVD、软盘等)将无法读写,但它无法阻止驱动程序安装。而“设备安装限制”策略则能真正限制驱动程序安装。
3. 掌握设备类和 ID
要限制硬件,首先得明确目标。既可以限制特定“类”的设备,也能精确到单个硬件类型,还能只允许特定设备类(如 USB 鼠标)。为有效限制,最好能获取要限制的硬件。若无法获取,可通过互联网查找以下信息:
