Condividi tramite

GuidaBy-Step per controllare l'installazione dei dispositivi tramite Criteri di gruppo

  • Articolo

 

Dave Bishop

Aggiornamento di giugno 2007

riepilogo : utilizzando i sistemi operativi Windows Server 2008 e Windows Vista, gli amministratori possono determinare quali dispositivi possono essere installati nei computer gestiti. La guida riepiloga il processo di installazione del dispositivo e illustra diverse tecniche per controllare l'installazione dei dispositivi. (34 pagine stampate.

Contenuto

Introduzione
   Chi deve usare questa guida?
   Vantaggi del controllo dell'installazione dei dispositivi tramite Criteri di gruppo
Panoramica dello scenario
Revisione della tecnologia
   Installazione del dispositivo in Windows
   Impostazioni di Criteri di gruppo per l'installazione del dispositivo
   Impostazioni di Criteri di gruppo per l'accesso alle risorse di archiviazione rimovibili
Requisiti per il completamento degli scenari
   Procedure dei prerequisiti
Impedire l'installazione di tutti i dispositivi
   Prerequisiti per impedire l'installazione di tutti i dispositivi
   Passaggi per impedire l'installazione di tutti i dispositivi
Consentire agli utenti di installare solo i dispositivi autorizzati
   Prerequisiti per consentire agli utenti di installare solo i dispositivi autorizzati
   Passaggi per consentire agli utenti di installare solo i dispositivi autorizzati
Impedire l'installazione di dispositivi non consentiti
   Prerequisiti per impedire l'installazione di dispositivi non consentiti
   Passaggi per impedire l'installazione di dispositivi non consentiti
Controllare le autorizzazioni di lettura e scrittura su supporti rimovibili
   Prerequisiti per il controllo delle autorizzazioni di lettura e scrittura su supporti rimovibili
   Passaggi per controllare le autorizzazioni di lettura e scrittura su supporti rimovibili
Conclusione
Risorse aggiuntive
Registrazione di bug e commenti

Introduzione

Questa guida dettagliata descrive come controllare l'installazione dei dispositivi nei computer gestiti, inclusa la progettazione dei dispositivi che gli utenti possono e non possono installare. In particolare, in Windows Server 2008 e Windows Vista è possibile applicare i criteri computer a:

  • Impedire agli utenti di installare qualsiasi dispositivo.
  • Consentire agli utenti di installare solo i dispositivi presenti in un elenco "approvato". Se un dispositivo non è presente nell'elenco, l'utente non può installarlo.
  • Impedire agli utenti di installare i dispositivi presenti in un elenco "non consentito". Se un dispositivo non è presente nell'elenco, l'utente può installarlo.
  • Negare l'accesso in lettura o scrittura agli utenti per dispositivi rimovibili o che usano supporti rimovibili, ad esempio masterizzatori CD e DVD, unità disco floppy, dischi rigidi esterni e dispositivi portatili, ad esempio lettori multimediali, smartphone o dispositivi Pocket PC.

Questa guida descrive il processo di installazione del dispositivo e introduce le stringhe di identificazione usate da Windows per associare un dispositivo ai pacchetti driver di dispositivo disponibili in un computer. La guida illustra anche tre metodi per controllare l'installazione dei dispositivi. Ogni scenario mostra, passo passo, un metodo che è possibile usare per consentire o impedire l'installazione di un dispositivo specifico o di una classe di dispositivi. Il quarto scenario illustra come negare l'accesso in lettura o scrittura agli utenti per i dispositivi rimovibili o che usano supporti rimovibili.

Il dispositivo di esempio usato negli scenari è un dispositivo di archiviazione USB. È possibile eseguire i passaggi descritti in questa guida usando un dispositivo diverso. Tuttavia, se si usa un dispositivo diverso, le istruzioni nella guida non corrisponderanno esattamente all'interfaccia utente visualizzata nel computer.

Importante I passaggi forniti in questa guida sono destinati all'uso in un ambiente lab di test. Questa guida dettagliata non deve essere usata per distribuire le funzionalità di Windows Server senza documentazione associata e deve essere usata con discrezione come documento autonomo.

Chi deve usare questa guida?

Questa guida è destinata ai destinatari seguenti:

  • Strumenti di pianificazione e analisti della tecnologia informatica che valutano Windows Vista e Windows Server 2008
  • Progettisti e progettisti di tecnologie informatiche aziendali
  • Architetti della sicurezza responsabili dell'implementazione del calcolo affidabile nell'organizzazione
  • Amministratori che vogliono acquisire familiarità con la tecnologia

Vantaggi del controllo dell'installazione dei dispositivi tramite Criteri di gruppo

La limitazione dei dispositivi che gli utenti possono installare offre i vantaggi seguenti:

Ridurre il rischio di furto di dati

  • È più difficile per gli utenti creare copie non autorizzate dei dati aziendali se i computer degli utenti non possono installare dispositivi non approvati che supportano supporti rimovibili. Ad esempio, se gli utenti non possono installare un dispositivo CD-R, non possono masterizzare copie dei dati aziendali in un CD registrabile. Questo vantaggio non può eliminare il furto di dati, ma crea un'altra barriera alla rimozione non autorizzata dei dati. È anche possibile ridurre il rischio di furto di dati usando Criteri di gruppo per negare l'accesso in scrittura agli utenti per i dispositivi rimovibili o che usano supporti rimovibili. È possibile concedere l'accesso per gruppo quando si usano Criteri di gruppo.

Ridurre i costi di supporto

  • È possibile assicurarsi che gli utenti installino solo i dispositivi di cui è stato eseguito il training e che il supporto tecnico sia dotato di supporto. Questo vantaggio riduce i costi di supporto e la confusione degli utenti.

Panoramica dello scenario

Gli scenari presentati in questa guida illustrano come controllare l'installazione e l'utilizzo dei dispositivi nei computer gestiti. Gli scenari usano Criteri di gruppo in un computer locale per semplificare l'uso delle procedure in un ambiente lab. In un ambiente in cui si gestiscono più computer client, è necessario applicare queste impostazioni usando Criteri di gruppo distribuiti da Active Directory. Con Criteri di gruppo distribuiti da Active Directory, è possibile applicare le impostazioni a tutti i computer membri di un dominio o di un'unità organizzativa in un dominio. Per altre informazioni su come usare Criteri di gruppo per gestire i computer client, vedere Criteri di gruppo nel sito Web Microsoft.

Di seguito sono riportate le descrizioni degli scenari presentati in questa guida:

  • Impedire l'installazione di tutti i dispositivi

    In questo scenario, l'amministratore vuole impedire agli utenti standard di installare qualsiasi dispositivo, ma consentire agli amministratori di installare o aggiornare i dispositivi. Per completare questo scenario, configurare due criteri computer. Il primo criterio computer impedisce a tutti gli utenti di installare i dispositivi e il secondo criterio esenta gli amministratori dalle restrizioni.

  • Consentire agli utenti di installare solo i dispositivi autorizzati

    In questo scenario, l'amministratore vuole consentire agli utenti di installare solo i dispositivi inclusi in un elenco di dispositivi autorizzati. Questo scenario si basa sul primo scenario ed è quindi necessario completare il primo scenario prima di tentare questo scenario. Per completare questo scenario, creare un elenco di dispositivi autorizzati in modo che gli utenti possano installare solo i dispositivi specificati.

  • Impedire l'installazione di dispositivi non consentiti

    In questo scenario, l'amministratore vuole consentire agli utenti standard di installare la maggior parte dei dispositivi, ma impedire loro di installare i dispositivi inclusi in un elenco di dispositivi non consentiti. Per completare questo scenario, è necessario rimuovere i criteri creati nei primi due scenari. Dopo aver rimosso tali criteri, si crea un elenco di dispositivi non consentiti in modo che gli utenti possano installare qualsiasi dispositivo, ad eccezione di quelli specificati.

  • Controllare l'uso di dispositivi di archiviazione supporti rimovibili

    In questo scenario, l'amministratore vuole impedire agli utenti standard di scrivere dati in dispositivi di archiviazione rimovibili o dispositivi con supporti rimovibili, ad esempio un'unità di memoria USB o un masterizzatore CD o DVD. Per completare questo scenario, è necessario configurare un criterio computer per consentire l'accesso in lettura, ma negare l'accesso in scrittura al dispositivo di esempio e a qualsiasi dispositivo master cd o DVD nel computer.

Revisione della tecnologia

Le sezioni seguenti forniscono una breve panoramica delle tecnologie di base illustrate in questa guida.

Installazione del dispositivo in Windows

Un dispositivo è un componente hardware con cui Windows interagisce per eseguire alcune funzioni. Windows può comunicare con un dispositivo solo tramite un software denominato driver di dispositivo. Per installare un driver di dispositivo, Windows rileva il dispositivo, ne riconosce il tipo e quindi trova il driver di dispositivo che corrisponde a tale tipo.

Windows usa due tipi di identificatori per controllare l'installazione e la configurazione del dispositivo. È possibile utilizzare le impostazioni di Criteri di gruppo in Windows Vista e Windows Server 2008 per specificare quali di questi identificatori consentire o bloccare.

I due tipi di identificatori sono:

  • Stringhe di identificazione del dispositivo
  • Classi di installazione del dispositivo

Stringhe di identificazione del dispositivo

Quando Windows rileva un dispositivo che non è mai stato installato nel computer, il sistema operativo esegue una query sul dispositivo per recuperare il relativo elenco di stringhe di identificazione del dispositivo. Un dispositivo ha in genere più stringhe di identificazione del dispositivo, che il produttore del dispositivo assegna. Le stesse stringhe di identificazione del dispositivo sono incluse nel file inf che fa parte del pacchetto del driver di dispositivo. Windows sceglie il pacchetto driver di dispositivo da installare associando le stringhe di identificazione del dispositivo recuperate dal dispositivo a quelle incluse nei pacchetti driver.

Windows può usare ogni stringa per associare un dispositivo a un pacchetto driver. Le stringhe vanno dall'elemento molto specifico, che corrisponde a un singolo make e modello di un dispositivo, al molto generale, eventualmente applicando a un'intera classe di dispositivi. Esistono due tipi di stringhe di identificazione del dispositivo: ID hardware e ID compatibili.

ID hardware

Gli ID hardware sono gli identificatori che forniscono la corrispondenza più esatta tra un dispositivo e un pacchetto driver. La prima stringa nell'elenco degli ID hardware viene definita ID dispositivo, perché corrisponde all'esatta make, al modello e alla revisione del dispositivo. Gli altri ID hardware nell'elenco corrispondono ai dettagli del dispositivo meno esattamente. Ad esempio, un ID hardware potrebbe identificare il make e il modello del dispositivo, ma non la revisione specifica. Questo schema consente a Windows di usare un driver per una revisione diversa del dispositivo, se il driver per la revisione corretta non è disponibile.

id compatibili

Windows usa questi identificatori per selezionare un driver di dispositivo se il sistema operativo non riesce a trovare una corrispondenza con l'ID dispositivo o con qualsiasi altro ID hardware. Gli ID compatibili sono elencati in ordine di idoneità decrescente. Queste stringhe sono facoltative e, se specificate, sono molto generiche, ad esempio Disk. Quando viene eseguita una corrispondenza usando un ID compatibile, in genere è possibile usare solo le funzioni più di base del dispositivo.

Quando si installa un dispositivo, ad esempio una stampante, un dispositivo di archiviazione USB o una tastiera, Windows cerca i pacchetti driver corrispondenti al dispositivo che si sta tentando di installare. Durante questa ricerca, Windows assegna un "rank" a ogni pacchetto driver che individua con almeno una corrispondenza con un ID hardware o compatibile. La classificazione indica il livello di corrispondenza del driver con il dispositivo. I numeri di classificazione inferiori indicano corrispondenze migliori tra il driver e il dispositivo. Un rango pari a zero rappresenta la corrispondenza migliore possibile. Una corrispondenza con l'ID dispositivo a uno nel pacchetto driver comporta una classificazione inferiore (migliore) rispetto a una corrispondenza con uno degli altri ID hardware. Analogamente, una corrispondenza con un ID hardware comporta una classificazione migliore rispetto a una corrispondenza con uno qualsiasi degli ID compatibili. Dopo che Windows classifica tutti i pacchetti driver, viene installato quello con la classificazione complessiva più bassa. Per altre informazioni sul processo di classificazione e selezione dei pacchetti driver, vedere How Setup Selects Drivers in MSDN Library.

Nota Per altre informazioni sul processo di installazione dei driver di dispositivo, vedere la sezione "Revisione della tecnologia" della guida dettagliata alla firma dei driver di dispositivo e alla gestione temporanea.

Alcuni dispositivi fisici creano uno o più dispositivi logici quando vengono installati. Ogni dispositivo logico può gestire parte della funzionalità del dispositivo fisico. Ad esempio, un dispositivo a più funzioni, ad esempio uno scanner/fax/stampante all-in-one, potrebbe avere una stringa di identificazione del dispositivo diversa per ogni funzione.

Quando si usa DMI per consentire o impedire l'installazione di un dispositivo che usa dispositivi logici, è necessario consentire o impedire tutte le stringhe di identificazione del dispositivo per tale dispositivo. Ad esempio, se un utente tenta di installare un dispositivo multifunzione e non è stato consentito o impedito tutte le stringhe di identificazione per entrambi i dispositivi fisici e logici, è possibile ottenere risultati imprevisti dal tentativo di installazione. Per informazioni più dettagliate sugli ID hardware, vedere stringhe di identificazione dei dispositivi in MSDN Library.

Classi di installazione del dispositivo

Le classi di installazione del dispositivo sono un altro tipo di stringa di identificazione. Il produttore assegna la classe di installazione del dispositivo a un dispositivo nel pacchetto del driver di dispositivo. La classe di installazione del dispositivo raggruppa i dispositivi installati e configurati nello stesso modo. Ad esempio, tutte le unità CD appartengono alla classe di installazione del dispositivo CDROM e usano lo stesso co-programma di installazione quando è installato. Un numero lungo denominato identificatore univoco globale (GUID) rappresenta ogni classe di installazione del dispositivo. All'avvio di Windows, compila una struttura ad albero in memoria con i GUID per tutti i dispositivi rilevati. Insieme al GUID per la classe di installazione del dispositivo stesso, Windows potrebbe dover inserire nell'albero il GUID per la classe di installazione del dispositivo del bus a cui è collegato il dispositivo.

Quando si usano le classi di installazione del dispositivo per consentire o impedire agli utenti di installare driver di dispositivo, è necessario specificare i GUID per tutte le classi di installazione del dispositivo del dispositivo oppure non ottenere i risultati desiderati. L'installazione potrebbe non riuscire (se si vuole che abbia esito positivo) o potrebbe avere esito positivo (se si vuole che abbia esito negativo).

Ad esempio, un dispositivo a più funzioni, ad esempio uno scanner/fax/stampante all-in-one, ha un GUID per un dispositivo generico a più funzioni, un GUID per la funzione della stampante, un GUID per la funzione scanner e così via. I GUID per le singole funzioni sono "nodi figlio" nel GUID del dispositivo a più funzioni. Per installare un nodo figlio, Windows deve anche essere in grado di installare il nodo padre. È necessario consentire l'installazione della classe di installazione del dispositivo del GUID padre per il dispositivo a più funzioni oltre a qualsiasi GUID figlio per le funzioni della stampante e dello scanner.

Per altre informazioni, vedere classi di installazione dei dispositivi in MSDN Library.

Questa guida non illustra scenari che usano classi di installazione del dispositivo. Tuttavia, i principi di base illustrati con le stringhe di identificazione dei dispositivi in questa guida si applicano anche alle classi di installazione dei dispositivi. Dopo aver rilevato la classe di installazione del dispositivo per un dispositivo specifico, è quindi possibile usarla in un criterio per consentire o impedire l'installazione dei driver di dispositivo per tale classe di dispositivi.

Impostazioni di Criteri di gruppo per l'installazione del dispositivo

Per abilitare il controllo sull'installazione del dispositivo, Windows Vista e Windows Server 2008 introducono diverse impostazioni dei criteri. È possibile configurare queste impostazioni dei criteri singolarmente in un singolo computer oppure applicarle a un numero elevato di computer tramite l'uso di Criteri di gruppo in un dominio di Active Directory. Per altre informazioni su come usare Criteri di gruppo per gestire i computer client, vedere Criteri di gruppo.

Se si desidera applicare le impostazioni a un computer autonomo o a molti computer in un dominio di Active Directory, utilizzare l'Editor oggetti Criteri di gruppo per configurare e applicare le impostazioni dei criteri. Per altre informazioni, vedere Guida tecnicaEditor oggetti Criteri di gruppo.

Di seguito è riportata una breve descrizione delle impostazioni dei criteri DMI usate in questa guida.

Nota Queste impostazioni dei criteri influiscono su tutti gli utenti che accedono al computer in cui vengono applicate le impostazioni dei criteri. Non è possibile applicare questi criteri a utenti o gruppi specifici, ad eccezione dei criteri Consenti agli amministratori di eseguire l'override dei criteri di installazione dei dispositivi. Questo criterio esenta i membri del gruppo Administrators locale da qualsiasi restrizione di installazione del dispositivo applicata al computer configurando altre impostazioni dei criteri, come descritto in questa sezione.

  • Impedisci l'installazione dei dispositivi non descritta da altre impostazioni dei criteri.

    Questa impostazione di criterio controlla l'installazione dei dispositivi non descritti in modo specifico da altre impostazioni dei criteri. Se si abilita questa impostazione di criterio, gli utenti non possono installare o aggiornare il driver per i dispositivi a meno che non siano descritti dalla Consenti l'installazione di dispositivi che corrispondono a questi ID dispositivo impostazione dei criteri o Consenti l'installazione dei dispositivi per queste classi di dispositivi impostazione dei criteri. Se si disabilita o non si configura questa impostazione di criterio, gli utenti possono installare e aggiornare il driver per qualsiasi dispositivo non descritto dall 'impostazione di criteri impedisci l'installazione di dispositivi che corrispondono a questi ID dispositivo impostazione dei criteri, Impedisci l'installazione dei dispositivi per queste classi di dispositivi'impostazione dei criteri o l'impostazione dei criteri di Impedisci l'installazione di dispositivi rimovibili.

  • Consenti agli amministratori di eseguire l'override dei criteri di installazione dei dispositivi.

    Questa impostazione di criterio consente ai membri del gruppo Administrators locale di installare e aggiornare i driver per qualsiasi dispositivo, indipendentemente dalle altre impostazioni dei criteri. Se si abilita questa impostazione di criterio, gli amministratori possono usare l'Aggiunta guidata hardware o l'Aggiornamento guidato driver per installare e aggiornare i driver per qualsiasi dispositivo. Se si disabilita o non si configura questa impostazione di criterio, gli amministratori sono soggetti a tutte le impostazioni dei criteri che limitano l'installazione del dispositivo.

  • Impedisci l'installazione di dispositivi che corrispondono a questi ID dispositivo.

    Questa impostazione di criterio specifica un elenco di ID hardware Plug and Play e ID compatibili per i dispositivi che gli utenti non possono installare. Se si abilita questa impostazione di criterio, gli utenti non possono installare o aggiornare il driver per un dispositivo se l'ID hardware o l'ID compatibile corrispondono a uno in questo elenco. Se si disabilita o non si configura questa impostazione di criterio, gli utenti possono installare i dispositivi e aggiornare i driver, come consentito da altre impostazioni dei criteri per l'installazione del dispositivo.

    Nota Questa impostazione di criterio ha la precedenza su qualsiasi altra impostazione dei criteri che consente agli utenti di installare un dispositivo. Questa impostazione di criterio impedisce agli utenti di installare un dispositivo anche se corrisponde a un'altra impostazione di criteri che consenta l'installazione di tale dispositivo.

  • Impedisci l'installazione dei driver corrispondenti a queste classi di installazione del dispositivo.

    Questa impostazione di criterio specifica un elenco di GUID della classe di installazione del dispositivo Plug and Play per i dispositivi che gli utenti non possono installare. Se si abilita questa impostazione di criterio, gli utenti non possono installare o aggiornare i dispositivi appartenenti a una delle classi di installazione dei dispositivi elencate. Se si disabilita o non si configura questa impostazione di criterio, gli utenti possono installare e aggiornare i dispositivi come consentito da altre impostazioni dei criteri per l'installazione del dispositivo.

    Nota Questa impostazione di criterio ha la precedenza su qualsiasi altra impostazione dei criteri che consente agli utenti di installare un dispositivo. Questa impostazione di criterio impedisce agli utenti di installare un dispositivo anche se corrisponde a un'altra impostazione di criteri che consenta l'installazione di tale dispositivo.

  • Consenti l'installazione di dispositivi che corrispondono a uno di questi ID dispositivo.

    Questa impostazione di criterio specifica un elenco di ID hardware Plug and Play e ID compatibili che descrivono i dispositivi che gli utenti possono installare. Questa impostazione deve essere usata solo quando la Impedisci l'installazione dei dispositivi non descritta da altre impostazioni dei criteri'impostazione dei criteri è abilitata e non ha la precedenza su qualsiasi impostazione dei criteri che impedisce agli utenti di installare un dispositivo. Se si abilita questa impostazione di criterio, gli utenti possono installare e aggiornare qualsiasi dispositivo con un ID hardware o un ID compatibile corrispondente a un ID in questo elenco se l'installazione non è stata impedita specificamente dalla Impedisci l'installazione di dispositivi che corrispondono a questi ID dispositivo impostazione dei criteri, la Impedisci l'installazione dei dispositivi per queste classi di dispositivi impostazione dei criteri, o la Impedisci l'installazione di dispositivi rimovibili impostazione dei criteri. Se un'altra impostazione dei criteri impedisce agli utenti di installare un dispositivo, gli utenti non possono installarlo anche se il dispositivo è descritto anche da un valore in questa impostazione di criterio. Se si disabilita o non si configura questa impostazione di criterio e nessun altro criterio descrive il dispositivo, la Impedisci l'installazione dei dispositivi non descritta da altre impostazioni dei criteri'impostazione dei criteri determina se gli utenti possono installare il dispositivo.

  • Consenti l'installazione dei dispositivi usando i driver per queste classi di dispositivi.

    Questa impostazione di criterio specifica un elenco di GUID della classe di installazione del dispositivo che descrivono i dispositivi che gli utenti possono installare. Questa impostazione deve essere usata solo quando la Impedisci l'installazione dei dispositivi non descritta da altre impostazioni dei criteri'impostazione dei criteri è abilitata e non ha la precedenza su qualsiasi impostazione dei criteri che impedisce agli utenti di installare un dispositivo. Se si abilita questa impostazione, gli utenti possono installare e aggiornare qualsiasi dispositivo con un ID hardware o un ID compatibile che corrisponda a uno degli ID in questo elenco se l'installazione non è stata impedita specificamente dalla Impedisci l'installazione di dispositivi che corrispondono a questi ID dispositivo impostazione dei criteri, la Impedisci l'installazione di dispositivi per queste classi di dispositivi impostazione dei criteri, o la Impedisci l'installazione di dispositivi rimovibili impostazione dei criteri. Se un'altra impostazione dei criteri impedisce agli utenti di installare un dispositivo, gli utenti non possono installarlo anche se il dispositivo è descritto anche da un valore in questa impostazione di criterio. Se si disabilita o non si configura questa impostazione di criterio e nessun'altra impostazione di criteri descrive il dispositivo, la Impedisci l'installazione dei dispositivi non descritta da altre impostazioni dei criteri impostazione dei criteri determina se gli utenti possono installare il dispositivo.

Alcuni di questi criteri hanno la precedenza su altri criteri. Il diagramma di flusso illustrato di seguito illustra come Windows li elabora per determinare se un utente può installare o meno un dispositivo, come illustrato nella figura 1 (di seguito).

Bb530324.grouppolicydeviceinstall01(en-us,MSDN.10).gif

Figura 1. Modalità di elaborazione dei criteri di Windows per determinare se un utente può installare un dispositivo

Impostazioni di Criteri di gruppo per l'accesso alle risorse di archiviazione rimovibili

In Windows Vista e Windows Server 2008, un amministratore può applicare criteri computer per controllare se gli utenti possono leggere o scrivere in qualsiasi dispositivo con supporti rimovibili. Questi criteri possono essere usati per impedire la scrittura di materiale sensibile o riservato in supporti rimovibili o in un dispositivo rimovibile contenente lo spazio di archiviazione e quindi trasportato dall'ambiente locale.

È possibile applicare queste impostazioni dei criteri a livello di computer in modo che influiscano su ogni utente che accede al computer. È anche possibile applicarli a livello di utente e limitare l'imposizione a un account utente specifico. Se si usano Criteri di gruppo in un ambiente Active Directory, è possibile applicare le impostazioni dei criteri ai gruppi di utenti oltre ai singoli account utente. Criteri di gruppo consente inoltre di applicare efficacemente questi criteri a un numero elevato di computer. Per altre informazioni su come usare Criteri di gruppo per gestire i computer client, vedere Criteri di gruppo.

Le impostazioni dei criteri di accesso alle risorse di archiviazione rimovibili includono anche un'impostazione per consentire a un amministratore di forzare un riavvio. Se un dispositivo è in uso quando viene applicato un criterio di limitazione, il criterio potrebbe non essere applicato fino al riavvio del computer.

Le impostazioni dei criteri sono disponibili in due posizioni. Le impostazioni dei criteri disponibili in configurazione computer \Modelli amministrativi\Sistema\Accesso alle risorse di archiviazione rimovibili influiscono su un computer e su ogni utente che accede. Le impostazioni dei criteri disponibili in Configurazione utente\Modelli amministrativi\Sistema\Accesso alle risorse di archiviazione rimovibili influiscono solo sugli utenti a cui viene applicata l'impostazione dei criteri, inclusi i gruppi se i Criteri di gruppo vengono applicati tramite Active Directory.

Di seguito è riportata una breve descrizione dei criteri che consentono di controllare l'accesso in lettura o scrittura alle unità di archiviazione rimovibili. Ogni categoria di dispositivi supporta due criteri: uno per negare l'accesso in lettura e uno per negare l'accesso in scrittura:

  • Tempo (in secondi) per forzare il riavvio

    Impostare la quantità di tempo (in secondi) che il sistema attenderà il riavvio per applicare una modifica dei diritti di accesso ai dispositivi di archiviazione rimovibili.

    Nota Se non viene forzato alcun riavvio, la modifica non avrà effetto fino al riavvio del sistema.

  • CD e DVD

    Queste impostazioni dei criteri consentono di negare l'accesso in lettura o scrittura ai dispositivi nella classe di archiviazione rimovibile CD e DVD, inclusi i dispositivi connessi usb.

  • classi personalizzate

    Queste impostazioni dei criteri consentono di negare l'accesso in lettura o scrittura a qualsiasi dispositivo il cui GUID della classe di installazione del dispositivo si trova negli elenchi specificati.

  • unità floppy

    Queste impostazioni dei criteri consentono di negare l'accesso in lettura o scrittura ai dispositivi nella classe Floppy Drive, inclusi i dispositivi usb connessi.

  • dischi rimovibili

    Queste impostazioni dei criteri consentono di negare l'accesso in lettura o scrittura ai dispositivi rimovibili che sono o emulano dischi rigidi, ad esempio unità di memoria USB o dischi rigidi USB esterni.

  • unità nastro

    Queste impostazioni dei criteri consentono di negare l'accesso in lettura o scrittura alle unità nastro, inclusi i dispositivi usb connessi.

  • dispositivi WPD

    Queste impostazioni dei criteri consentono di negare l'accesso in lettura o scrittura ai dispositivi nella classe Dispositivo portatile Windows. Questi dispositivi includono dispositivi "intelligenti", ad esempio lettori multimediali, telefoni cellulari, dispositivi Windows CE e così via.

  • tutte le classi di archiviazione rimovibili: nega tutti gli accessi

    Questa impostazione di criterio ha la precedenza su una qualsiasi delle impostazioni dei criteri in questo elenco e, se abilitata, nega l'accesso in lettura e scrittura a qualsiasi dispositivo identificato come tramite l'archiviazione rimovibile. Se si disabilita o non si configura questa impostazione di criterio, l'accesso in lettura e scrittura alle classi di archiviazione rimovibili è consentito, soggetto a eventuali restrizioni imposte dalle altre impostazioni dei criteri in questo elenco.

Requisiti per il completamento degli scenari

Per completare ognuno degli scenari, è necessario disporre di:

  • Un computer client che esegue Windows Vista. Questa guida fa riferimento a questo computer come DMI-Client1.

  • Un'unità di memoria USB. Gli scenari descritti in questa guida usano un'unità di memoria USB come dispositivo di esempio. Questo dispositivo agisce come un'unità disco rimovibile ed è noto anche come "unità thumb", "unità flash" o "unità di keyring". La maggior parte delle unità di memoria USB non richiede driver forniti dal produttore e questi dispositivi funzionano con i driver forniti con Windows Vista e Windows Server 2008.

    Nota Le istruzioni presuppongono che il dispositivo non richieda driver diversi dai driver inclusi in Windows Vista e Windows Server 2008. Se il dispositivo richiede un driver dal produttore, devi fornire il file del driver quando Windows ti chiede di farlo. Questo passaggio non è incluso negli scenari.

  • (Facoltativo) Un masterizzatore CD o DVD. L'ultimo scenario illustra come rendere i dispositivi con supporti rimovibili di sola lettura. È possibile impostare i criteri del computer senza avere effettivamente installato un masterizzatore CD o DVD. Tuttavia, se si desidera verificare che i criteri del computer siano efficaci, è necessario disporre di un dispositivo di masterizzazione CD o DVD da utilizzare.

  • Accesso a un account amministratore protetto in DMI-Client1. Questa guida chiama questo account TestAdmin. Le procedure descritte in questa guida richiedono privilegi di amministratore per la maggior parte dei passaggi. È necessario essere connessi DMI-Client1 usando questo account amministratore all'inizio di ogni procedura, a meno che non venga indicato diversamente.

    Nota Windows Vista e Windows Server 2008 introducono il concetto di account amministratore protetto. Questo account è un membro del gruppo Administrators, ma per impostazione predefinita tale privilegio di sicurezza non viene usato direttamente. Qualsiasi tentativo di eseguire un'attività che richiede i diritti elevati di un amministratore genera una finestra di dialogo che richiede l'autorizzazione per eseguire l'attività. Questa finestra di dialogo viene illustrata nella sezione Risposta alla pagina Controllo account utente. Microsoft consiglia di usare un account amministratore protetto, anziché l'account amministratore predefinito, quando possibile.

  • Accesso a un account utente standard in DMI-Client1 . Questo account utente non dispone di appartenenze speciali che concedono alcun tipo di autorizzazioni elevate. Questa guida chiama questo account TestUser. Accedere solo al computer con questo account quando viene richiesto di farlo. Con un account utente standard, qualsiasi tentativo di eseguire un'attività che richiede i diritti elevati di un amministratore può causare una finestra di dialogo che richiede le credenziali di un account con privilegi di amministratore. Questa finestra di dialogo viene illustrata nella sezione Risposta alla pagina Controllo account utente.

Procedure dei prerequisiti

Prima di poter implementare qualsiasi criterio per consentire o impedire agli utenti di installare un dispositivo, è necessario conoscere le stringhe di identificazione del dispositivo per il dispositivo. Devi anche sapere come disinstallare completamente l'unità di memoria USB e il driver associato. Le procedure seguenti consentono di configurare il computer per eseguire correttamente gli scenari in questa guida:

  1. Risposta alla pagina Controllo account utente
  2. Determinazione delle stringhe di identificazione del dispositivo per l'unità di memoria USB
  3. Disinstallazione dell'unità di memoria USB

Risposta alla pagina Controllo account utente

In questa guida viene chiesto di eseguire attività che possono essere eseguite solo da un membro del gruppo Administrators. In Windows Vista e Windows Server 2008, quando si tenta di eseguire un'attività che richiede diritti di amministratore, si verifica quanto segue:

  • Se si è connessi come account amministratore predefinito (non consigliato), l'operazione procede semplicemente. L'account amministratore predefinito è disabilitato per impostazione predefinita.
  • Se si è membri del gruppo Administrators che non è l'account Amministratore predefinito, viene visualizzata una finestra di dialogo AccountAccountControllo che richiede l'autorizzazione per continuare. Se si fa clic su Continua, l'attività procede.
  • Se si è connessi come utente standard, è possibile impedire l'esecuzione dell'attività. A seconda dell'attività, è possibile visualizzare una pagina accountutente per specificare il nome utente e la password per un account amministratore. Se si specificano credenziali valide, l'attività viene eseguita nel contesto di sicurezza dell'account amministratore specificato. Se non è possibile fornire tali credenziali, non è possibile eseguire l'attività.

Importante: Prima di fornire credenziali o autorizzazioni per eseguire qualsiasi attività amministrativa, assicurarsi che la pagina controllo account utente venga visualizzata in risposta a un'attività avviata. Se la pagina viene visualizzata in modo imprevisto, fare clic sul pulsante Dettagli e assicurarsi che l'attività che si desidera consentire.

Questa guida non documenta tutte le occorrenze della finestra di dialogo controllo dell'account utente che verrà visualizzata durante l'esecuzione di queste procedure. Quando sono necessari passaggi speciali per eseguire attività specifiche come amministratore, questi passaggi sono documentati nella guida.

Determinazione delle stringhe di identificazione del dispositivo per l'unità di memoria USB

Seguendo questa procedura, è possibile determinare le stringhe di identificazione del dispositivo per il dispositivo. Se gli ID hardware e gli ID compatibili per il dispositivo non corrispondono a quelli visualizzati in questa guida, usare gli ID appropriati per il dispositivo.

Nota Negli scenari seguenti è necessario installare e quindi disinstallare l'unità di memoria USB. Le istruzioni presuppongono che il dispositivo non richieda driver diversi dai driver inclusi in Windows Vista e Windows Server 2008. Se il dispositivo richiede un driver dal produttore, devi fornire il file del driver quando Windows ti chiede di farlo. Questo passaggio non è incluso negli scenari.

È possibile determinare gli ID hardware e gli ID compatibili per il dispositivo in due modi. È possibile usare Gestione dispositivi, uno strumento grafico incluso nel sistema operativo o DevCon, uno strumento da riga di comando disponibile per il download come parte di Driver Development Kit (DDK). Usare la procedura seguente per visualizzare le stringhe di identificazione del dispositivo per l'unità di memoria USB.

Importante Queste procedure sono specifiche di un'unità di memoria USB. Se si usa un tipo diverso di dispositivo, è necessario modificare i passaggi di conseguenza. La differenza significativa sarà la posizione del dispositivo nella gerarchia di Gestione dispositivi. Anziché trovarsi nel nodo unità disco , è necessario individuare il dispositivo nel nodo appropriato.

Per trovare le stringhe di identificazione dei dispositivi con Gestione dispositivi

  1. Accedere al computer come DMI-Client1\TestAdmin.

  2. Collegare l'unità di memoria USB e quindi consentire il completamento dell'installazione.

  3. Per aprire Gestione dispositivi, fare clic sul pulsante start , digitare mmc devmgmt.msc nella casella Avvia ricerca, quindi premere INVIO.

  4. Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata e quindi fare clic su Continua.

    Gestione dispositivi avvia e visualizza un albero che rappresenta tutti i dispositivi rilevati nel computer. Nella parte superiore dell'albero è presente un nodo con il nome dei computer accanto a esso. I nodi inferiori rappresentano le varie categorie di hardware in cui sono raggruppati i dispositivi dei computer.

  5. Fare doppio clic su unità disco per aprire l'elenco.

    Bb530324.grouppolicydeviceinstall02(en-us,MSDN.10).gif

    Figura 2. Aprire l'unità disco USB facendo doppio clic

  6. Fare clic con il pulsante destro del mouse sulla voce per l'unità di memoria USB e quindi scegliere Proprietà. Viene visualizzata la finestra di dialogo proprietà dispositivo .

    Bb530324.grouppolicydeviceinstall03(en-us,MSDN.10).gif

    Figura 3. Verrà visualizzata la finestra di dialogo Proprietà dispositivo per l'unità USB

  7. Fare clic sulla scheda Dettagli .

  8. Nell'elenco proprietà fare clic su ID hardware.

  9. In Valoreprendere nota delle stringhe visualizzate.

    Bb530324.grouppolicydeviceinstall04(en-us,MSDN.10).gif

    Figura 4. Ricordare le stringhe visualizzate in Valore nella finestra di dialogo Proprietà per l'unità USB

    Nota: È possibile copiare le stringhe negli Appunti evidenziando il testo e premendo CTRL-C. Poiché molti ID hardware hanno più caratteri di sottolineatura, è utile copiarli in un file di testo da cui è possibile incollare quando è necessario specificare un identificatore. Questo approccio riduce notevolmente la probabilità di un errore quando è necessario aggiungere un identificatore specifico a un elenco di dispositivi approvati o vietati.

  10. Nell'elenco proprietà fare clic su ID compatibili.

  11. In Valoreprendere nota delle stringhe visualizzate.

    Bb530324.grouppolicydeviceinstall05(en-us,MSDN.10).gif

    Figura 5. Ricordare le stringhe visualizzate in Valore nella finestra di dialogo Proprietà per l'unità USB

Nota È anche possibile determinare le stringhe di identificazione del dispositivo usando l'utilità della riga di comando DevCon. È possibile scaricare DevCon dal sito guida e supporto tecnico Microsoft. Per altre informazioni, vedere L'utilità della riga di comando DevCon come alternativa a Gestione dispositivi.

DevCon

DevCon HwIDs

Disinstallazione dell'unità di memoria USB

Nell'uso quotidiano normale di un'unità di memoria USB, in genere si potrebbe semplicemente estrarre l'unità dalla porta USB. Tuttavia, per questa guida, è necessario disinstallare anche il driver di dispositivo per assicurarsi che ogni scenario venga avviato con il computer in uno stato appropriato. Se non si disinstalla e si rimuove il dispositivo quando viene indirizzato, i criteri testati negli scenari seguenti non avranno alcun effetto e non verranno visualizzati i risultati previsti. Usare questi stessi passaggi in questa guida quando si viene indirizzati alla disinstallazione e alla rimozione del dispositivo.

Importante Non disconnettere fisicamente il dispositivo dalla porta USB fino a quando non si arriva all'ultimo passaggio.

Per disinstallare l'unità di memoria USB

  1. Accedere al computer DMI-Client1\TestAdmin.

  2. Per aprire Gestione dispositivi, fare clic sul pulsante start , digitare mmc devmgmt.msc nella casella Avvia ricerca e quindi premere INVIO.

  3. Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata e quindi fare clic su Continua.

  4. Fare clic con il pulsante destro del mouse sulla voce per l'unità di memoria USB e quindi scegliere Disinstalla.

    Bb530324.grouppolicydeviceinstall06(en-us,MSDN.10).gif

    Figura 6. Fare clic con il pulsante destro del mouse per disinstallare l'unità di memoria USB

  5. Nella finestra di dialogo Conferma rimozione dispositivo della fare clic su OK per consentire il completamento del processo di disinstallazione.

  6. Quando Windows completa il processo di disinstallazione, rimuove la voce del dispositivo dall'albero di Gestione dispositivi.

  7. Scollegare l'unità di memoria USB dalla porta USB.

Impedire l'installazione di tutti i dispositivi

Questo scenario documenta i passaggi tipici necessari per implementare la configurazione più restrittiva, in cui tutte le installazioni di dispositivi vengono impedite e i dispositivi esistenti non possono essere aggiornati con nuovi driver di dispositivo. Gli utenti non potranno installare un dispositivo e usarlo senza intervento da parte di un amministratore. Gli amministratori possono comunque installare o aggiornare qualsiasi dispositivo in base alle esigenze.

Prerequisiti per impedire l'installazione di tutti i dispositivi

Per completare le procedure in questo scenario, è necessario disinstallare l'unità di memoria USB come descritto nella sezione Disinstallazione dell'unità di memoria USB più indietro in questo documento.

Passaggi per impedire l'installazione di tutti i dispositivi

  1. Configurare i criteri per impedire l'installazione di qualsiasi dispositivo
  2. Configurare i criteri per consentire agli amministratori di ignorare le restrizioni di installazione dei dispositivi
  3. Testare gli effetti delle impostazioni di restrizione come utente

Configurare i criteri per impedire l'installazione di qualsiasi dispositivo

Per configurare i criteri che impediscono l'installazione o l'aggiornamento di qualsiasi dispositivo

  1. Accedere al computer come DMI-Client1\TestAdmin.

  2. Per aprire Editor oggetti Criteri di gruppo, fare clic sul pulsante start , digitare mmc gpedit.msc nella casella Avvia ricerca e quindi premere INVIO.

  3. Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata e quindi fare clic su Continua.

  4. Nel riquadro di spostamento Editor oggetti Criteri di gruppo fare doppio clic su Configurazione computer per aprirlo. Aprire quindi Modelli amministrativi, aprire System, aprire Device Installatione quindi aprire Restrizioni di installazione del dispositivo.

    Bb530324.grouppolicydeviceinstall07(en-us,MSDN.10).gif

    Figura 7. Riquadro di spostamento Editor oggetti Criteri di gruppo

  5. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Impedisci l'installazione dei dispositivi non descritti da altre impostazioni dei criterie scegliere proprietà .

  6. Viene visualizzata la finestra di dialogo criteri con le impostazioni correnti.

  7. Nella scheda Impostazione fare clic su Abilitato per attivare il criterio.

  8. Fare clic su OK per salvare le impostazioni e tornare all'Editor oggetti Criteri di gruppo.

Configurare i criteri per consentire agli amministratori di ignorare le restrizioni di installazione dei dispositivi

Il criterio successivo consente agli amministratori di ignorare le restrizioni imposte dalle altre impostazioni dei criteri di installazione del dispositivo, incluso il criterio appena abilitato.

Per configurare i criteri per consentire agli amministratori di ignorare le restrizioni di installazione dei dispositivi

  1. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Consenti agli amministratori di eseguire l'override dei criteri di installazione dei dispositivie quindi fare clic su Proprietà.

  2. Viene visualizzata la finestra di dialogo criteri con le impostazioni correnti.

  3. Nella scheda impostazione fare clic su Abilitato per attivare l'impostazione dei criteri.

  4. Fare clic OK per salvare l'impostazione e tornare all'Editor oggetti Criteri di gruppo.

  5. Entrambi i criteri ora mostrano il proprio stato come abilitato.

    Bb530324.grouppolicydeviceinstall08s(en-us,MSDN.10).gif

    Figura 8. Entrambi i criteri visualizzeranno lo stato come abilitato

Testare gli effetti delle impostazioni di restrizione come utente

Con entrambi i criteri abilitati, è possibile applicarli al computer e tentare di installare il dispositivo per visualizzare le restrizioni.

Per testare gli effetti delle impostazioni di restrizione come utente

  1. Se il dispositivo è installato, disinstallarlo e rimuoverlo seguendo la procedura descritta nella sezione Disinstallazione dell'unità di memoria USB più indietro in questo documento.

  2. Fare clic sul pulsante start , digitare gpupdate /force nella casella Avvia ricerca e quindi premere INVIO.

  3. Al termine del comando GPUdate, disconnettersi dal computer e quindi accedere come DMI-Client1\TestUser.

  4. Per aprire Gestione dispositivi, fare clic sul pulsante start , digitare mmc devmgmt.msc nella casella Avvia ricerca e quindi premere INVIO.

  5. Viene visualizzato il messaggio seguente che indica che non si dispone delle autorizzazioni necessarie per apportare modifiche in Gestione dispositivi.

    Bb530324.grouppolicydeviceinstall09(en-us,MSDN.10).gif

    Figura 9. Verrà visualizzato un messaggio che indica che non si dispone delle autorizzazioni

  6. Fare clic su OK per confermare il messaggio. Gestione dispositivi verrà avviato e sarà possibile visualizzare i dispositivi nel computer.

  7. Collegare l'unità di memoria USB.

  8. Finché l'installazione non viene completata correttamente, il dispositivo viene visualizzato in Gestione dispositivi nel nodo Altri dispositivi.

    Bb530324.grouppolicydeviceinstall10(en-us,MSDN.10).gif

    Figura 10. Il dispositivo verrà visualizzato in Altri dispositivi fino al completamento dell'installazione

  9. Poiché si è connessi come utente standard senza diritti amministrativi e l'installazione del dispositivo è ora limitata, viene visualizzata la finestra di dialogo seguente:

    Bb530324.grouppolicydeviceinstall11(en-us,MSDN.10).gif

    Figura 11. Finestra di dialogo visualizzata quando è stato eseguito l'accesso come utente standard senza diritti amministrativi

  10. Per simulare una risposta utente tipica, fare clic su Individuare e installare il software driver (scelta consigliata).

  11. Viene visualizzata una variante della finestra di dialogo Controllo account utente, richiedendo un nome utente e una password per un account con diritti di amministratore.

  12. Poiché un utente non dispone delle credenziali di amministratore da fornire, fare clic su Annulla per interrompere il tentativo come farebbe un utente.

  13. L'installazione del driver di dispositivo non riesce e il dispositivo rimane nella Altri dispositivi nodo e non funziona.

    Bb530324.grouppolicydeviceinstall12(en-us,MSDN.10).gif

    Figura 12. L'installazione del dispositivo non riesce e il dispositivo non funziona

Consentire agli utenti di installare solo i dispositivi autorizzati

Questo scenario si basa sul primo scenario, Impedisci l'installazione di tutti i dispositivi, in cui è stata impedita l'installazione di qualsiasi dispositivo. In questo scenario si aggiunge un elenco di dispositivi consentiti ai criteri e si include l'ID hardware per l'unità di memoria USB.

Prerequisiti per consentire agli utenti di installare solo i dispositivi autorizzati

Per completare questa attività, è prima necessario completare tutti i passaggi del primo scenario, Impedire l'installazione di tutti i dispositivi.

Passaggi per consentire agli utenti di installare solo i dispositivi autorizzati

In questa sezione vengono aggiunti i dispositivi consentiti alle restrizioni imposte in Impedire l'installazione di tutti i dispositivi creando un elenco di dispositivi autorizzati.

  1. Creare un elenco di dispositivi autorizzati
  2. Testare gli effetti dei dispositivi autorizzati

Creare un elenco di dispositivi autorizzati

Per creare un elenco di dispositivi approvato

  1. Accedere al computer come DMI-Client1\TestAdmin.

  2. Se il dispositivo è attualmente installato, disinstallarlo e rimuoverlo seguendo la procedura descritta nella sezione Disinstallazione dell'unità memoria USB più indietro in questo documento.

  3. Per aprire Editor oggetti Criteri di gruppo, fare clic sul pulsante start , digitare mmc gpedit.msc nella casella Avvia ricerca e quindi premere INVIO.

  4. Nel riquadro di spostamento Editor oggetti Criteri di gruppo fare doppio clic su Configurazione computer per aprirlo. Aprire quindi Modelli amministrativi, aprire System, aprire Device Installatione quindi aprire Restrizioni di installazione del dispositivo.

  5. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Consenti l'installazione dei dispositivi che corrispondono a uno qualsiasi di questi ID dispositivoe quindi fare clic su Proprietà.

  6. Viene visualizzata la finestra di dialogo criteri con le impostazioni correnti.

  7. Nella scheda Impostazioni fare clic su Abilitato per attivare questo criterio.

    Bb530324.grouppolicydeviceinstall13(en-us,MSDN.10).gif

    Figura 13. Fare clic su Abilitato per attivare il criterio

  8. Fare clic su Mostra per visualizzare l'elenco dei dispositivi consentiti nella finestra di dialogo Mostra contenuto. Per impostazione predefinita, l'elenco è vuoto.

  9. Fare clic Aggiungi per aprire la finestra di dialogo Aggiungi elemento.

  10. Immettere l'ID dispositivo (il primo ID hardware) per il dispositivo.

    Bb530324.grouppolicydeviceinstall14(en-us,MSDN.10).gif

    Figura 14. Immettere l'ID dispositivo per il dispositivo USB

  11. Fare clic OK per tornare alla finestra di dialogo Mostra contenuto. Il dispositivo viene ora visualizzato nell'elenco.

    Bb530324.grouppolicydeviceinstall15(en-us,MSDN.10).gif

    Figura 15. Il dispositivo è ora approvato per l'installazione

  12. Fare clic OK per tornare alla finestra di dialogo dei criteri e quindi fare clic su OK per salvare la nuova impostazione dei criteri.

Testare l'elenco dei dispositivi autorizzati

Con l'impostazione dei criteri abilitata, è possibile applicarla al computer e tentare di installare il dispositivo.

Per testare l'elenco dei dispositivi autorizzati

  1. Fare clic sul pulsante Start, digitare gpupdate/force nella casella Avvia ricerca e quindi premere INVIO.

  2. Al termine del comando gpudate, disconnettersi dal computer e quindi accedere come DMI-Client1\TestUser.

  3. Per aprire Gestione dispositivi, fare clic sul pulsante start , digitare mmc devmgmt.msc nella casella Avvia ricerca e quindi premere INVIO.

  4. Viene visualizzato il messaggio seguente che indica che non si dispone delle autorizzazioni necessarie per apportare modifiche in Gestione dispositivi.

    Bb530324.grouppolicydeviceinstall16s(en-us,MSDN.10).gif

    Figura 16. Verrà visualizzato un messaggio che indica che non si dispone delle autorizzazioni

  5. Fare clic su OK per chiudere il messaggio. Gestione dispositivi verrà avviato e sarà possibile visualizzare i dispositivi nel computer.

  6. Collegare l'unità di memoria USB.

  7. Il dispositivo viene visualizzato in Gestione dispositivi nel nodo Altri dispositivi fino a quando Windows non completa l'installazione.

    Bb530324.grouppolicydeviceinstall17(en-us,MSDN.10).gif

    Figura 17. Il dispositivo verrà visualizzato in Altri dispositivi fino al completamento dell'installazione

  8. Al termine dell'installazione, il dispositivo passa al nodo Unità disco in Gestione dispositivi ed è completamente funzionante.

    Bb530324.grouppolicydeviceinstall18(en-us,MSDN.10).gif

    Figura 18. Al termine dell'installazione, il dispositivo sarà completamente funzionante

Impedire l'installazione di dispositivi non consentiti

Questo scenario offre un modo alternativo per controllare l'installazione del dispositivo. Nei primi due scenari è stata impedita l'installazione di tutti i dispositivi ad eccezione di quelli consentiti da un elenco di dispositivi autorizzati. In questo scenario si consente l'installazione di tutti i dispositivi ad eccezione di quelli inclusi in un elenco di dispositivi non consentiti. È anche possibile rimuovere l'eccezione per gli amministratori creati nel primo scenario in modo che anche un amministratore sia interessato dai criteri.

Prerequisiti per impedire l'installazione di dispositivi non consentiti

Se sono stati completati i passaggi descritti in Impedire l'installazione di tutti i dispositivi e Consenti agli utenti di installare solo i dispositivi autorizzati, è necessario disabilitare questi criteri attenendosi alla procedura seguente:

  • Abilitare l'installazione di tutti i dispositivi.
  • Rimuovere l'eccezione per i membri del gruppo Administrators per consentire l'installazione del dispositivo.
  • Rimuovere l'ID hardware dall'elenco dei dispositivi approvati.

Per abilitare l'installazione di tutti i dispositivi

  1. Accedere al computer come DMI-Client1\TestAdmin.
  2. Per aprire Editor oggetti Criteri di gruppo, fare clic sul pulsante start , digitare mmc gpedit.msc nella casella Avvia ricerca e quindi premere INVIO.
  3. Nel riquadro di spostamento Editor oggetti Criteri di gruppo fare doppio clic su Configurazione computer per aprirlo. Aprire quindi Modelli amministrativi, aprire System, aprire Device Installatione quindi aprire Restrizioni di installazione del dispositivo.
  4. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul nodo Impedisci l'installazione dei dispositivi non descritti da altre impostazioni dei criterie quindi scegliere proprietà .
  5. Viene visualizzata la finestra di dialogo criteri con le impostazioni correnti.
  6. Fare clic su Disabilitato per disattivare l'impostazione dei criteri.
  7. Fare clic OK per salvare l'impostazione e tornare all'Editor oggetti Criteri di gruppo.

Il passaggio successivo consiste nel rimuovere i criteri che hanno concesso un'eccezione ai membri del gruppo Administrators.

Per rimuovere l'eccezione per gli amministratori alle restrizioni di Criteri di gruppo

  1. In Editor oggetti Criteri di gruppo fare clic con il pulsante destro del mouse su Consenti agli amministratori di eseguire l'override dei criteri di installazione dei dispositivie quindi fare clic su proprietà .
  2. Viene visualizzata la finestra di dialogo criteri con le impostazioni correnti.
  3. Nella scheda Impostazioni fare clic su Disabilitato per disattivare l'impostazione dei criteri.
  4. Fare clic OK per salvare l'impostazione e tornare all'Editor oggetti Criteri di gruppo.

Il passaggio successivo consiste nel rimuovere l'ID hardware dall'elenco dei dispositivi autorizzati creati nel secondo scenario.

Per rimuovere l'ID hardware dall'elenco dei dispositivi autorizzati

  1. In Editor oggetti Criteri di gruppo fare clic con il pulsante destro del mouse su Consenti l'installazione di dispositivi che corrispondono a uno di questi ID dispositivoe quindi fare clic su proprietà . Viene visualizzata la finestra di dialogo criteri con le impostazioni correnti.
  2. Nella scheda Impostazioni fare clic su Mostra per visualizzare l'elenco dei dispositivi autorizzati.
  3. Nella finestra di dialogo Mostra contenuto selezionare il nome dell'unità di memoria USB e quindi fare clic su Rimuovi. Windows rimuove il dispositivo dall'elenco.
  4. Fare clic OK per chiudere la finestra di dialogo Mostra contenuto e tornare alla finestra di dialogo criteri.
  5. Fare clic su Disabilitato per disattivare l'impostazione dei criteri.
  6. Fare clic OK per salvare le modifiche e tornare all'Editor oggetti Criteri di gruppo.

Passaggi per impedire l'installazione di dispositivi non consentiti

Per impedire agli utenti di installare dispositivi specifici, creare un elenco di dispositivi non consentiti. In questa sezione si eseguiranno le seguenti attività:

  1. Creare un elenco di dispositivi non consentiti
  2. Testare l'elenco dei dispositivi non consentiti

Creare un elenco di dispositivi non consentiti

Per creare un elenco di dispositivi non consentiti

  1. Se il dispositivo è attualmente installato, disinstallarlo e rimuoverlo seguendo la procedura descritta nella sezione Disinstallazione dell'unità memoria USB più indietro in questo documento.

  2. Accedere al computer come DMI-Client1\TestAdmin.

  3. Se non è già in esecuzione, avviare Editor oggetti Criteri di gruppo. A tale scopo, fare clic sul pulsante Start, digitare mmc gpedit.msc nella casella Avvia ricerca e quindi premere INVIO.

  4. Nell'albero fare doppio clic su Configurazione computer per aprirlo. Aprire Quindi Modelli amministrativi, aprire Sistema, aprire Installazione del dispositivo e quindi aprire Restrizioni di installazione del dispositivo.

  5. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Impedisci l'installazione dei dispositivi che corrispondono a questi ID dispositivo e quindi scegliere Proprietà. Viene visualizzata la finestra di dialogo criteri con le impostazioni correnti.

  6. Nella scheda Impostazioni fare clic su Abilitato per attivare questo criterio.

    Bb530324.grouppolicydeviceinstall19(en-us,MSDN.10).gif

    Figura 19. Fare clic su Abilitato per attivare il criterio

  7. Fare clic su Mostra per visualizzare l'elenco dei dispositivi non consentiti.

  8. Nella finestra di dialogo Mostra contenuto fare clic su Aggiungi.

  9. Nella finestra di dialogo Aggiungi elemento digitare l'ID dispositivo (il primo ID hardware) trovato per il dispositivo.

  10. Fare clic OK per tornare alla finestra di dialogo Mostra contenuto.

  11. Il dispositivo viene ora visualizzato nell'elenco.

    Bb530324.grouppolicydeviceinstall20(en-us,MSDN.10).gif

    Figura 20. L'installazione per questo dispositivo sarà ora vietata

  12. Fare clic OK per tornare alla finestra di dialogo dei criteri e quindi fare clic su OK per salvare la nuova impostazione dei criteri.

Testare l'elenco dei dispositivi non consentiti

È ora possibile provare a installare il dispositivo. È possibile installare altri dispositivi perché i criteri non ne impediscono più l'installazione, ma non è possibile installare questo dispositivo specifico, anche quando si è connessi come membro del gruppo Administrators.

Per testare l'elenco dei dispositivi non consentiti

  1. Fare clic sul pulsante start , digitare gpupdate /force nella casella Avvia ricerca e quindi premere INVIO.

  2. Al termine del comando gpudate, chiudere il prompt dei comandi.

  3. Per aprire Gestione dispositivi, fare clic sul pulsante start , digitare mmc devmgmt.msc nella casella Avvia ricerca e quindi premere INVIO.

  4. Collegare l'unità di memoria USB.

  5. Il dispositivo viene visualizzato in Gestione dispositivi nel nodo Altri dispositivi.

  6. L'installazione non viene completata e il dispositivo non funziona.

    Bb530324.grouppolicydeviceinstall21(en-us,MSDN.10).gif

    Figura 21. L'installazione non verrà completata e il dispositivo non funzionerà

  7. Windows visualizza un messaggio nell'area di notifica che indica il motivo per cui l'installazione non è riuscita:

    Bb530324.grouppolicydeviceinstall22(en-us,MSDN.10).gif

    Figura 22. Verrà visualizzato un messaggio che indica il motivo per cui l'installazione non è riuscita

  8. È possibile provare a ignorare le restrizioni installando manualmente il driver per il dispositivo. Fare clic con il pulsante destro del mouse sul dispositivo e quindi scegliere Update Driver Software.

  9. Il sistema operativo richiede di fornire il driver di dispositivo per il dispositivo.

    Bb530324.grouppolicydeviceinstall23(en-us,MSDN.10).gif

    Figura 23. Verrà visualizzata una richiesta per il driver di dispositivo

  10. Per simulare ciò che un utente potrebbe tentare, fare clic su Cerca automaticamente il software driver aggiornato.

  11. Viene visualizzato un messaggio che informa che Windows ha trovato ma non è stato possibile installare il driver. L'ultimo paragrafo spiega che il tentativo di installazione non è riuscito perché non è consentito dai criteri creati.

    Bb530324.grouppolicydeviceinstall24(en-us,MSDN.10).gif

    Figura 24. La finestra di dialogo spiega perché l'installazione non è riuscita

Controllare le autorizzazioni di lettura e scrittura su supporti rimovibili

Questo scenario illustra come controllare l'accesso in lettura o scrittura a dispositivi rimovibili o dispositivi che usano supporti rimovibili nei computer che eseguono Windows Vista e Windows Server 2008. In questo scenario, si impostano i criteri del computer per rendere l'unità di memoria USB di sola lettura. È anche possibile impostare i criteri del computer per impostare qualsiasi masterizzatore CD o DVD collegato al computer di sola lettura, disabilitando la funzionalità di masterizzazione.

Prerequisiti per il controllo delle autorizzazioni di lettura e scrittura su supporti rimovibili

Prima di provare le procedure descritte in questa sezione, è necessario disabilitare i criteri che impediscono l'installazione di unità di memoria USB.

Per disabilitare i criteri che impediscono l'installazione di unità di memoria USB

  1. Se il dispositivo è attualmente installato, disinstallarlo e rimuoverlo seguendo la procedura descritta nella sezione Disinstallazione dell'unità memoria USB più indietro in questo documento.
  2. Nel riquadro dei dettagli dell'Editor oggetti Criteri di gruppo fare clic con il pulsante destro del mouse su Impedisci l'installazione di dispositivi che corrispondono a questi ID dispositivoe quindi fare clic su Proprietà .
  3. La finestra di dialogo criteri verrà visualizzata con l'impostazione corrente.
  4. Nella scheda Impostazioni fare clic su Mostra per visualizzare l'elenco dei dispositivi non consentiti.
  5. Nella finestra di dialogo Mostra contenuto fare clic sull'unità di memoria USB , fare clic su Rimuovi, quindi fare clic su OK.
  6. Nella scheda Impostazioni fare clic su Disabilitato per disattivare questa impostazione di criterio.
  7. Fare clic su OK per salvare la modifica.

Passaggi per controllare le autorizzazioni di lettura e scrittura su supporti rimovibili

  1. Impostare i criteri computer per negare l'accesso in scrittura a classi di dispositivi rimovibili specifiche
  2. Testare le impostazioni dei criteri del computer

Impostare i criteri computer per negare l'accesso in scrittura a classi di dispositivi rimovibili specifiche

I criteri impostati in questa procedura bloccano l'accesso in scrittura a molti dispositivi di archiviazione rimovibili. Tuttavia, i criteri del computer esatti che bloccano l'accesso in scrittura al dispositivo possono variare in base al dispositivo di creazione e modello specifico. È anche possibile usare il criterio classi personalizzate , ma è necessario identificare il GUID della classe di installazione del dispositivo per il dispositivo specifico.

Per negare l'accesso in scrittura a classi di dispositivi rimovibili specifiche

  1. Nel riquadro di spostamento Editor oggetti Criteri di gruppo aprire Configurazione computer, quindi aprire Modelli amministrativi, aprire Sistemae quindi aprire Accesso all'archiviazione rimovibile.
  2. Fare clic con il pulsante destro del mouse su CD e DVD : nega l'accesso in scritturae quindi scegliere proprietà .
  3. Nella finestra di dialogo Proprietà fare clic su Abilitato per attivare la restrizione e quindi fare clic su OK.
  4. Ripetere i passaggi 2 e 3 per i criteri computer seguenti:
    • Dischi rimovibili: negare l'accesso in scrittura
    • Unità floppy: nega l'accesso in scrittura
    • Dispositivi WPD: Negare l'accesso in scrittura
  5. Chiudere Editor oggetti Criteri di gruppo.

Testare le impostazioni dei criteri del computer

Se un dispositivo è in uso, non è possibile applicare immediatamente i criteri di restrizione dell'accesso in scrittura. Per applicare i criteri del computer, riavviare il computer.

Per testare le impostazioni dei criteri del computer

  1. Fare clic sul pulsante start , digitare gpupdate /force nella casella Avvia ricerca e quindi premere INVIO.

  2. Al termine del comando gpudate, riavviare il computer.

  3. Accedere al computer come DMI-Client1\TestAdmin.

  4. Collegare l'unità di memoria USB e attendere fino a quando Windows non informa che è operativo.

  5. Fare clic su Start, fare clic su Computer, quindi fare doppio clic sull'unità di memoria USB.

  6. In Esplora risorse fare clic con il pulsante destro del mouse su un'area aperta del riquadro dei dettagli, scegliere Nuovoe quindi fare clic su Cartella.

  7. Windows visualizza un messaggio di errore che spiega perché il tentativo di creare una cartella non è riuscito.

    Bb530324.grouppolicydeviceinstall25(en-us,MSDN.10).gif

    Figura 25. Il messaggio di errore spiega perché un tentativo di creazione di una cartella non è riuscito

  8. Fare clic su Continua per provare a aggirare la restrizione.

  9. Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata e quindi fare clic su Continua.

  10. Windows visualizza un secondo messaggio che indica il motivo per cui non può scrivere nella cartella.

    Bb530324.grouppolicydeviceinstall26(en-us,MSDN.10).gif

    Figura 26. Un secondo messaggio di errore indicherà il motivo per cui le autorizzazioni di scrittura non sono consentite

Conclusione

In questa guida è stato usato un dispositivo di esempio in un ambiente lab per informazioni su come controllare se gli utenti possono installare o meno un dispositivo. Si è anche appreso come limitare l'accesso ai dispositivi di archiviazione rimovibili o ai dispositivi che usano supporti rimovibili. Il controllo dell'installazione e dell'utilizzo dei dispositivi in questo modo migliora la sicurezza e migliora l'efficacia dell'help desk limitando i dispositivi che gli utenti possono installare a tali organizzazioni approva e supporta. Gli scenari usati per illustrare queste configurazioni includono:

  • Impedisci l'installazione di tutti i dispositivi.

    In questo scenario è stato impedito agli utenti standard di installare qualsiasi dispositivo, ma gli amministratori hanno consentito agli amministratori di installare o aggiornare i dispositivi.

  • Consentire agli utenti di installare solo i dispositivi autorizzati.

    In questo scenario è stato consentito agli utenti standard di installare solo i dispositivi inclusi in un elenco di dispositivi autorizzati.

  • Impedire l'installazione solo di dispositivi non consentiti.

    In questo scenario, è stato consentito agli utenti standard di installare la maggior parte dei dispositivi, ma non è consentito l'installazione dei dispositivi inclusi in un elenco di dispositivi non consentiti.

  • Controllare l'uso di dispositivi di archiviazione di supporti rimovibili.

    In questo scenario, è stato impedito agli utenti standard di scrivere dati in dispositivi di archiviazione rimovibili o dispositivi con supporti rimovibili, ad esempio un'unità di memoria USB o un masterizzatore CD o DVD.

Risorse aggiuntive

Per altre informazioni sull'installazione del dispositivo:

Per altre informazioni sullo strumento DevCon:

Per altre informazioni sul controllo dell'account utente in Windows Vista:

Per altre informazioni su Criteri di gruppo:

Registrazione di bug e commenti

Il feedback è il benvenuto. Se gli scenari inclusi non funzionano come descritto o se non riescono a acquisire il modo in cui si vuole usare la tecnologia, comunicarci. Verranno usati i commenti e suggerimenti forniti per migliorare la qualità di questa documentazione. Inviare commenti su questa documentazione a Vista Feedback (vistafb@microsoft.com).

Per commenti e suggerimenti su Windows Vista, usare il collegamento "Contattaci" nella parte inferiore della pagina Web di Windows Vista all'indirizzo https://www.microsoft.com/windowsvista.