Schritt-für-Schritt-Anleitung zum Steuern der Geräteinstallation mithilfe von Gruppenrichtlinie

 

Dave Bishop

Aktualisiert im Juni 2007

Zusammenfassung: Mithilfe der Betriebssysteme Windows Server 2008 und Windows Vista können Administratoren ermitteln, welche Geräte auf von ihnen verwalteten Computern installiert werden können. Der Leitfaden fasst den Installationsprozess des Geräts zusammen und veranschaulicht verschiedene Techniken zum Steuern der Geräteinstallation. (34 gedruckte Seiten.)

Inhalte

Einführung
   Wer sollte diese Anleitung verwenden?
   Vorteile der Steuerung der Geräteinstallation mithilfe von Gruppenrichtlinie
Übersicht über das Szenario
Technology Review
   Geräteinstallation unter Windows
   Gruppenrichtlinie Einstellungen für die Geräteinstallation
   Gruppenrichtlinie Einstellungen für den Wechselmedienzugriff
Anforderungen für das Abschließen der Szenarien
   Erforderliche Prozeduren
Verhindern der Installation aller Geräte
   Voraussetzungen für die Verhinderung der Installation aller Geräte
   Schritte zum Verhindern der Installation aller Geräte
Zulassen, dass Benutzer nur autorisierte Geräte installieren können
   Voraussetzungen für die Installation nur autorisierter Geräte durch Benutzer
   Schritte zum Zulassen, dass Benutzer nur autorisierte Geräte installieren können
Verhindern der Installation von verbotenen Geräten
   Voraussetzungen für die Verhinderung der Installation von verbotenen Geräten
   Schritte zum Verhindern der Installation von verbotenen Geräten
Steuern von Lese- und Schreibberechtigungen auf Wechselmedien
   Voraussetzungen für die Steuerung von Lese- und Schreibberechtigungen auf Wechselmedien
   Schritte zum Steuern von Lese- und Schreibberechtigungen auf Wechselmedien
Zusammenfassung
Zusätzliche Ressourcen
Protokollieren von Fehlern und Feedback

Einführung

In dieser schrittweisen Anleitung wird beschrieben, wie Sie die Geräteinstallation auf den von Ihnen verwalteten Computern steuern können, einschließlich der Angabe, welche Geräte Benutzer installieren können und welche nicht. In Windows Server 2008 und Windows Vista können Sie die Computerrichtlinie insbesondere auf Folgendes anwenden:

  • Verhindern, dass Benutzer ein Gerät installieren.
  • Benutzern kann gestattet werden, nur Geräte zu installieren, die sich auf einer Positivliste befinden. Wenn ein Gerät nicht in der Liste enthalten ist, kann es vom Benutzer nicht installiert werden.
  • Benutzer können an der Installation von Geräten gehindert werden, die sich auf einer Verbotsliste befinden. Wenn ein Gerät nicht in der Liste enthalten ist, kann es vom Benutzer installiert werden.
  • Verweigern Des Lese- oder Schreibzugriffs für Benutzer für Geräte, die selbst Wechselmedien sind oder Wechselmedien verwenden, z. B. CD- und DVD-Brenner, Diskettenlaufwerke, externe Festplatten und tragbare Geräte wie Medienplayer, Smartphones oder Pocket PC-Geräte.

In diesem Leitfaden wird der Geräteinstallationsprozess beschrieben und die Identifikationszeichenfolgen vorgestellt, die Windows verwendet, um ein Gerät mit den auf einem Computer verfügbaren Gerätetreiberpaketen abzugleichen. Der Leitfaden veranschaulicht auch drei Methoden zur Steuerung der Geräteinstallation. Jedes Szenario zeigt schritt für Schritt eine Methode, mit der Sie die Installation eines bestimmten Geräts oder einer Geräteklasse zulassen oder verhindern können. Das vierte Szenario zeigt, wie Sie Benutzern den Lese- oder Schreibzugriff für Geräte verweigern, die wechselbare Geräte sind oder Wechselmedien verwenden.

Das in den Szenarien verwendete Beispielgerät ist ein USB-Speichergerät. Sie können die Schritte in diesem Handbuch mit einem anderen Gerät ausführen. Wenn Sie jedoch ein anderes Gerät verwenden, stimmen die Anweisungen im Handbuch nicht genau mit der Benutzeroberfläche überein, die auf dem Computer angezeigt wird.

Wichtig Die in diesem Leitfaden bereitgestellten Schritte sind für die Verwendung in einer Testumgebung vorgesehen. Diese schrittweise Anleitung ist nicht für die Bereitstellung von Windows Server-Features ohne begleitende Dokumentation vorgesehen und sollte mit Bedacht als eigenständiges Dokument verwendet werden.

Wer sollte diese Anleitung verwenden?

Dieses Handbuch richtet sich an die folgenden Zielgruppen:

  • It-Planer und Analysten, die Windows Vista und Windows Server 2008 bewerten
  • Planer und Designer für Unternehmensinformationstechnologie
  • Sicherheitsarchitekten, die für die Implementierung vertrauenswürdiger Computings in ihren organization
  • Administratoren, die sich mit der Technologie vertraut machen möchten

Vorteile der Steuerung der Geräteinstallation mithilfe von Gruppenrichtlinie

Das Einschränken der Geräte, die Benutzer installieren können, bietet die folgenden Vorteile:

Verringern des Risikos von Datendiebstahl

  • Es ist schwieriger für Benutzer, nicht autorisierte Kopien von Unternehmensdaten zu erstellen, wenn die Computer der Benutzer nicht genehmigte Geräte installieren können, die Wechselmedien unterstützen. Wenn Benutzer beispielsweise kein CD-R-Gerät installieren können, können sie keine Kopien von Unternehmensdaten auf eine bearbeitbare CD brennen. Dieser Vorteil kann den Datendiebstahl nicht ausschließen, schafft jedoch eine weitere Barriere für die unbefugte Entfernung von Daten. Sie können auch das Risiko von Datendiebstahl verringern, indem Sie Gruppenrichtlinie verwenden, um Benutzern den Schreibzugriff für Geräte zu verweigern, die wechselbare Geräte sind oder Wechselmedien verwenden. Sie können den Zugriff gruppenbezogen gewähren, wenn Sie Gruppenrichtlinie verwenden.

Senken der Supportkosten

  • Sie können sicherstellen, dass Benutzer nur die Geräte installieren, für die Ihr Helpdesk trainiert und ausgestattet ist. Dieser Vorteil reduziert die Supportkosten und die Verwirrung der Benutzer.

Übersicht über das Szenario

Die in diesem Leitfaden vorgestellten Szenarien veranschaulichen, wie Sie die Geräteinstallation und -nutzung auf den von Ihnen verwalteten Computern steuern können. Die Szenarien verwenden Gruppenrichtlinie auf einem lokalen Computer, um die Verwendung der Verfahren in einer Labumgebung zu vereinfachen. In einer Umgebung, in der Sie mehrere Clientcomputer verwalten, sollten Sie diese Einstellungen mithilfe von Gruppenrichtlinie anwenden, die von Active Directory bereitgestellt werden. Mit Gruppenrichtlinie, die von Active Directory bereitgestellt werden, können Sie Einstellungen auf alle Computer anwenden, die Mitglieder einer Domäne oder Organisationseinheit in einer Domäne sind. Weitere Informationen zur Verwendung von Gruppenrichtlinie zum Verwalten Ihrer Clientcomputer finden Sie unter Gruppenrichtlinie auf der Microsoft-Website.

Im Folgenden werden die Szenarien beschrieben, die in diesem Leitfaden vorgestellt werden:

  • Verhindern der Installation aller Geräte

    In diesem Szenario möchte der Administrator verhindern, dass Standardbenutzer jedes Gerät installieren, aber Administratoren erlauben, Geräte zu installieren oder zu aktualisieren. Um dieses Szenario abzuschließen, konfigurieren Sie zwei Computerrichtlinien. Die erste Computerrichtlinie verhindert, dass alle Benutzer Geräte installieren, und die zweite Richtlinie befreit Administratoren von den Einschränkungen.

  • Zulassen, dass Benutzer nur autorisierte Geräte installieren können

    In diesem Szenario möchte der Administrator benutzern erlauben, nur die Geräte zu installieren, die in einer Liste der autorisierten Geräte enthalten sind. Dieses Szenario baut auf dem ersten Szenario auf. Daher müssen Sie das erste Szenario abschließen, bevor Sie dieses Szenario versuchen. Um dieses Szenario abzuschließen, erstellen Sie eine Liste mit autorisierten Geräten, damit Benutzer nur die von Ihnen angegebenen Geräte installieren können.

  • Verhindern der Installation von nur verbotenen Geräten

    In diesem Szenario möchte der Administrator Standardbenutzern die Installation der meisten Geräte erlauben, sie jedoch daran hindern, Geräte zu installieren, die in einer Liste mit verbotenen Geräten enthalten sind. Um dieses Szenario abzuschließen, müssen Sie die Richtlinien entfernen, die Sie in den ersten beiden Szenarien erstellt haben. Nachdem Sie diese Richtlinien entfernt haben, erstellen Sie eine Liste mit verbotenen Geräten, damit Benutzer alle Geräte mit Ausnahme der von Ihnen angegebenen Geräte installieren können.

  • Steuern der Verwendung von Wechselmedienspeichergeräten

    In diesem Szenario möchte der Administrator verhindern, dass Standardbenutzer Daten auf Wechselmedien oder Geräte mit Wechselmedien schreiben, z. B. ein USB-Speicherlaufwerk oder einen CD- oder DVD-Brenner. Um dieses Szenario abzuschließen, konfigurieren Sie eine Computerrichtlinie, um lesezugriff zuzulassen, aber den Schreibzugriff auf Ihr Beispielgerät und alle CD- oder DVD-Brennergeräte auf Ihrem Computer zu verweigern.

Technology Review

Die folgenden Abschnitte bieten einen kurzen Überblick über die in diesem Leitfaden erläuterten Kerntechnologien.

Geräteinstallation unter Windows

Ein Gerät ist ein Hardwareteil, mit dem Windows interagiert, um eine Funktion auszuführen. Windows kann nur über eine Software namens Gerätetreiber mit einem Gerät kommunizieren. Um einen Gerätetreiber zu installieren, erkennt Windows das Gerät, erkennt seinen Typ und findet dann den Gerätetreiber, der diesem Typ entspricht.

Windows verwendet zwei Arten von Bezeichnern, um die Geräteinstallation und -konfiguration zu steuern. Sie können die Gruppenrichtlinie Einstellungen in Windows Vista und Windows Server 2008 verwenden, um anzugeben, welche dieser Bezeichner zugelassen oder blockiert werden sollen.

Die beiden Typen von Bezeichnern sind:

  • Geräteidentifikationszeichenfolgen
  • Geräteeinrichtungsklassen

Geräteidentifikationszeichenfolgen

Wenn Windows ein Gerät erkennt, das noch nie auf dem Computer installiert wurde, fragt das Betriebssystem das Gerät ab, um seine Liste der Geräteidentifikationszeichenfolgen abzurufen. Ein Gerät verfügt in der Regel über mehrere Geräteidentifikationszeichenfolgen, die der Gerätehersteller zuweist. Die gleichen Geräteidentifikationszeichenfolgen sind in der INF-Datei enthalten, die Teil des Gerätetreiberpakets ist. Windows wählt aus, welches Gerätetreiberpaket installiert werden soll, indem es die vom Gerät abgerufenen Geräteidentifikationszeichenfolgen mit denen abgleicht, die in den Treiberpaketen enthalten sind.

Windows kann jede Zeichenfolge verwenden, um ein Gerät einem Treiberpaket zuzuordnen. Die Zeichenfolgen reichen von der sehr spezifischen, die eine einzelne Herstellung und ein einzelnes Modell eines Geräts abgleichen, bis hin zu den sehr allgemeinen, die möglicherweise auf eine ganze Geräteklasse angewendet werden. Es gibt zwei Arten von Geräteidentifikationszeichenfolgen: Hardware-IDs und kompatible IDs.

Hardware-IDs

Hardware-IDs sind die Bezeichner, die die genaueste Übereinstimmung zwischen einem Gerät und einem Treiberpaket bereitstellen. Die erste Zeichenfolge in der Liste der Hardware-IDs wird als Geräte-ID bezeichnet, da sie mit der genauen Herstellung, dem Modell und der Revision des Geräts übereinstimmt. Die anderen Hardware-IDs in der Liste stimmen weniger genau mit den Details des Geräts überein. Beispielsweise kann eine Hardware-ID die Herstellung und das Modell des Geräts identifizieren, aber nicht die spezifische Revision. Dieses Schema ermöglicht Es Windows, einen Treiber für eine andere Revision des Geräts zu verwenden, wenn der Treiber für die richtige Revision nicht verfügbar ist.

Kompatible IDs

Windows verwendet diese Bezeichner, um einen Gerätetreiber auszuwählen, wenn das Betriebssystem keine Übereinstimmung mit der Geräte-ID oder einer der anderen Hardware-IDs finden kann. Kompatible IDs werden in der Reihenfolge der abnehmenden Eignung aufgeführt. Diese Zeichenfolgen sind optional und, wenn sie bereitgestellt werden, sehr generisch, z. B. Datenträger. Wenn eine Übereinstimmung mit einer kompatiblen ID vorgenommen wird, können Sie in der Regel nur die grundlegendsten Funktionen des Geräts verwenden.

Wenn Sie ein Gerät wie einen Drucker, ein USB-Speichergerät oder eine Tastatur installieren, sucht Windows nach Treiberpaketen, die dem Gerät entsprechen, das Sie installieren möchten. Während dieser Suche weist Windows jedem ermittelten Treiberpaket einen "Rang" mit mindestens einer Übereinstimmung mit einer Hardware oder kompatiblen ID zu. Der Rang gibt an, wie gut der Treiber mit dem Gerät übereinstimmt. Niedrigere Rangzahlen weisen auf bessere Übereinstimmungen zwischen dem Treiber und dem Gerät hin. Ein Rang von 0 stellt die bestmögliche Übereinstimmung dar. Eine Übereinstimmung mit der Geräte-ID mit einer im Treiberpaket führt zu einem niedrigeren (besseren) Rang als eine Übereinstimmung mit einer der anderen Hardware-IDs. Ebenso führt eine Übereinstimmung mit einer Hardware-ID zu einem besseren Rang als eine Übereinstimmung mit einer der kompatiblen IDs. Nachdem Windows alle Treiberpakete bewertet hat, wird das Paket mit dem niedrigsten Gesamtrang installiert. Weitere Informationen zum Prozess der Rangfolge und Auswahl von Treiberpaketen finden Sie in der MSDN Library unter Auswählen von Treibern durch Setup .

Hinweis Weitere Informationen zum Installationsvorgang des Gerätetreibers finden Sie im Abschnitt "Technologieüberprüfung" des Schritt-für-Schritt-Handbuchs zum Signieren und Staging von Gerätetreibern.

Einige physische Geräte erstellen ein oder mehrere logische Geräte, wenn sie installiert werden. Jedes logische Gerät kann einen Teil der Funktionalität des physischen Geräts verarbeiten. Beispielsweise kann ein Multifunktionsgerät, z. B. ein All-in-One-Scanner/Fax/Drucker, eine andere Geräteidentifikationszeichenfolge für jede Funktion aufweisen.

Wenn Sie DMI verwenden, um die Installation eines Geräts zuzulassen oder zu verhindern, das logische Geräte verwendet, müssen Sie alle Geräteidentifikationszeichenfolgen für dieses Gerät zulassen oder verhindern. Wenn beispielsweise ein Benutzer versucht, ein Multifunktionsgerät zu installieren, und Sie nicht alle Identifikationszeichenfolgen für physische und logische Geräte zugelassen oder verhindert haben, können Sie unerwartete Ergebnisse aus dem Installationsversuch erhalten. Ausführlichere Informationen zu Hardware-IDs finden Sie unter Geräteidentifikationszeichenfolgen in der MSDN Library.

Geräteeinrichtungsklassen

Gerätesetupklassen sind eine weitere Art von Identifikationszeichenfolge. Der Hersteller weist die Gerätesetupklasse einem Gerät im Gerätetreiberpaket zu. Die Geräteeinrichtungsklasse gruppiert Geräte, die auf die gleiche Weise installiert und konfiguriert werden. Beispielsweise gehören alle CD-Laufwerke zur Setupklasse des CDROM-Geräts und verwenden bei der Installation denselben Co-Installer. Eine lange Zahl, die als GUID (Globally Unique Identifier) bezeichnet wird, stellt jede Geräteeinrichtungsklasse dar. Wenn Windows gestartet wird, wird eine In-Memory-Struktur mit den GUIDs für alle erkannten Geräte erstellt. Zusammen mit der GUID für die Geräteeinrichtungsklasse des Geräts selbst muss Windows möglicherweise die GUID für die Gerätesetupklasse des Busses, an den das Gerät angefügt ist, in die Struktur einfügen.

Wenn Sie Gerätesetupklassen verwenden, um Benutzern die Installation von Gerätetreibern zu erlauben oder zu verhindern, müssen Sie die GUIDs für alle Gerätesetupklassen des Geräts angeben, sonst erzielen Sie möglicherweise nicht die gewünschten Ergebnisse. Die Installation schlägt möglicherweise fehl (wenn Sie möchten, dass sie erfolgreich ist), oder sie ist erfolgreich (wenn Sie möchten, dass sie fehlschlägt).

Beispielsweise verfügt ein Multifunktionsgerät, z. B. ein All-in-One-Scanner/Fax/Drucker, über eine GUID für ein generisches Multifunktionsgerät, eine GUID für die Druckerfunktion, eine GUID für die Scannerfunktion usw. Die GUIDs für die einzelnen Funktionen sind "untergeordnete Knoten" unter der MULTI-Funktionsgeräte-GUID. Um einen untergeordneten Knoten zu installieren, muss Windows auch in der Lage sein, den übergeordneten Knoten zu installieren. Sie müssen die Installation der Geräteeinrichtungsklasse der übergeordneten GUID für das Multifunktionsgerät sowie alle untergeordneten GUIDs für die Drucker- und Scannerfunktionen zulassen.

Weitere Informationen finden Sie unter Gerätesetupklassen in der MSDN Library.

In diesem Leitfaden werden keine Szenarien beschrieben, in denen Gerätesetupklassen verwendet werden. Die grundlegenden Prinzipien, die mit Geräteidentifikationszeichenfolgen in diesem Leitfaden veranschaulicht werden, gelten jedoch auch für Geräteeinrichtungsklassen. Nachdem Sie die Gerätesetupklasse für ein bestimmtes Gerät ermittelt haben, können Sie sie in einer Richtlinie verwenden, um die Installation von Gerätetreibern für diese Geräteklasse zuzulassen oder zu verhindern.

Gruppenrichtlinie Einstellungen für die Geräteinstallation

Um die Kontrolle über die Geräteinstallation zu aktivieren, führen Windows Vista und Windows Server 2008 mehrere Richtlinieneinstellungen ein. Sie können diese Richtlinieneinstellungen einzeln auf einem einzelnen Computer konfigurieren oder sie mithilfe von Gruppenrichtlinie in einer Active Directory-Domäne auf eine große Anzahl von Computern anwenden. Weitere Informationen zur Verwendung von Gruppenrichtlinie zum Verwalten Ihrer Clientcomputer finden Sie unter Gruppenrichtlinie.

Unabhängig davon, ob Sie die Einstellungen auf einen eigenständigen Computer oder auf viele Computer in einer Active Directory-Domäne anwenden möchten, verwenden Sie den Gruppenrichtlinie-Objekt-Editor, um die Richtlinieneinstellungen zu konfigurieren und anzuwenden. Weitere Informationen finden Sie in der technischen Referenz Gruppenrichtlinie Objekt-Editor.

Im Folgenden finden Sie eine kurze Beschreibung der DMI-Richtlinieneinstellungen, die in diesem Handbuch verwendet werden.

Hinweis Diese Richtlinieneinstellungen wirken sich auf alle Benutzer aus, die sich bei dem Computer anmelden, auf dem die Richtlinieneinstellungen angewendet werden. Sie können diese Richtlinien nicht auf bestimmte Benutzer oder Gruppen anwenden, mit Ausnahme der Richtlinie Zulassen, dass Administratoren die Geräteinstallation überschreiben. Diese Richtlinie befreit Mitglieder der lokalen Administratorgruppe von allen Geräteinstallationseinschränkungen, die Sie auf den Computer anwenden, indem andere Richtlinieneinstellungen konfiguriert werden, wie in diesem Abschnitt beschrieben.

  • Verhindern Sie die Installation von Geräten, die nicht in anderen Richtlinieneinstellungen beschrieben werden.

    Diese Richtlinieneinstellung steuert die Installation von Geräten, die nicht durch eine andere Richtlinieneinstellung ausdrücklich beschrieben werden. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer den Treiber für Geräte nicht installieren oder aktualisieren, es sei denn, sie werden entweder in der Richtlinieneinstellung Installation von Geräten zulassen, die diesen Geräte-IDs entsprechen, oder der Richtlinieneinstellung Installation von Geräten für diese Geräteklassen zulassen beschrieben. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer den Treiber für jedes Gerät installieren und aktualisieren, das nicht in der Richtlinieneinstellung Installation von Geräten verhindern, die diesen Geräte-IDs entsprechen , der Richtlinieneinstellung Installation von Geräten für diese Geräteklassen verhindern oder Installation von Wechselmedien verhindern beschrieben wird.

  • Zulassen, dass Administratoren die Geräteinstallationsrichtlinie außer Kraft setzen.

    Mit dieser Richtlinieneinstellung können Mitglieder der lokalen Administratorgruppe die Treiber für jedes Gerät installieren und aktualisieren, unabhängig von anderen Richtlinieneinstellungen. Wenn Sie diese Richtlinieneinstellung aktivieren, können Administratoren den Assistenten zum Hinzufügen von Hardware oder den Assistenten zum Aktualisieren von Treibern verwenden, um die Treiber für jedes Gerät zu installieren und zu aktualisieren. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, unterliegen Administratoren allen Richtlinieneinstellungen, die die Geräteinstallation einschränken.

  • Verhindern Sie die Installation von Geräten, die mit diesen Geräte-IDs übereinstimmen.

    Diese Richtlinieneinstellung gibt eine Liste der Plug-and-Play-Hardware-IDs und kompatiblen IDs für Geräte an, die Benutzer nicht installieren können. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer den Treiber für ein Gerät nicht installieren oder aktualisieren, wenn dessen Hardware-ID oder kompatible ID mit einer in dieser Liste übereinstimmt. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer Geräte installieren und ihre Treiber aktualisieren, wie dies in anderen Richtlinieneinstellungen für die Geräteinstallation zulässig ist.

    Hinweis Diese Richtlinieneinstellung hat Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Benutzer ein Gerät installieren können. Diese Richtlinieneinstellung verhindert, dass Benutzer ein Gerät installieren, auch wenn es mit einer anderen Richtlinieneinstellung übereinstimmt, die die Installation dieses Geräts ermöglicht.

  • Verhindern Sie die Installation von Treibern, die diesen Gerätesetupklassen entsprechen.

    Diese Richtlinieneinstellung gibt eine Liste der GUIDs der Plug-and-Play-Gerätesetupklasse für Geräte an, die Benutzer nicht installieren können. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer keine Geräte installieren oder aktualisieren, die zu einer der aufgeführten Gerätesetupklassen gehören. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer Geräte installieren und aktualisieren, wie dies in anderen Richtlinieneinstellungen für die Geräteinstallation zulässig ist.

    Hinweis Diese Richtlinieneinstellung hat Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Benutzer ein Gerät installieren können. Diese Richtlinieneinstellung verhindert, dass Benutzer ein Gerät installieren, selbst wenn es mit einer anderen Richtlinieneinstellung übereinstimmt, die die Installation dieses Geräts ermöglicht.

  • Lassen Sie die Installation von Geräten zu, die mit einer dieser Geräte-IDs übereinstimmen.

    Diese Richtlinieneinstellung gibt eine Liste der Plug-and-Play-Hardware-IDs und kompatiblen IDs an, die Geräte beschreiben, die Benutzer installieren können. Diese Einstellung soll nur verwendet werden, wenn die Richtlinieneinstellung Installation von Geräten verhindern, die nicht durch andere Richtlinieneinstellungen beschrieben werden aktiviert ist und keine Vorrang vor Richtlinieneinstellungen hat, die Benutzer an der Installation eines Geräts hindern würden. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer jedes Gerät mit einer Hardware-ID oder kompatiblen ID installieren und aktualisieren, die mit einer ID in dieser Liste übereinstimmt, wenn diese Installation nicht ausdrücklich durch die Richtlinieneinstellung Installation von Geräten verhindern, die mit diesen Geräte-IDs übereinstimmen , der Richtlinieneinstellung Installation von Geräten für diese Geräteklassen verhindern verhindert wurde. oder die Richtlinieneinstellung Installation von Wechselmedien verhindern . Wenn eine andere Richtlinieneinstellung verhindert, dass Benutzer ein Gerät installieren, können Benutzer es auch dann nicht installieren, wenn das Gerät ebenfalls durch einen Wert in dieser Richtlinieneinstellung beschrieben wird. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren und keine andere Richtlinie das Gerät beschreibt, bestimmt die Richtlinieneinstellung Installation von Geräten verhindern, die nicht von anderen Richtlinieneinstellungen beschrieben werden , ob Benutzer das Gerät installieren können.

  • Zulassen der Installation von Geräten mithilfe von Treibern für diese Geräteklassen.

    Diese Richtlinieneinstellung gibt eine Liste der GERÄTEsetupklassen-GUIDs an, die Geräte beschreiben, die Benutzer installieren können. Diese Einstellung soll nur verwendet werden, wenn die Richtlinieneinstellung Installation von Geräten verhindern, die nicht durch andere Richtlinieneinstellungen beschrieben werden aktiviert ist und keine Vorrang vor Richtlinieneinstellungen hat, die Benutzer an der Installation eines Geräts hindern würden. Wenn Sie diese Einstellung aktivieren, können Benutzer jedes Gerät mit einer Hardware-ID oder einer kompatiblen ID installieren und aktualisieren, die mit einer der IDs in dieser Liste übereinstimmt, wenn diese Installation nicht ausdrücklich durch die Richtlinieneinstellung Installation von Geräten verhindern verhindert wurde, die diesen Geräte-IDs entsprechen , der Richtlinieneinstellung Installation von Geräten für diese Geräteklassen verhindern . oder die Richtlinieneinstellung Installation von Wechselmedien verhindern . Wenn eine andere Richtlinieneinstellung verhindert, dass Benutzer ein Gerät installieren, können Benutzer es auch dann nicht installieren, wenn das Gerät ebenfalls durch einen Wert in dieser Richtlinieneinstellung beschrieben wird. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren und keine andere Richtlinieneinstellung das Gerät beschreibt, bestimmt die Richtlinieneinstellung Installation von Geräten verhindern, die nicht von anderen Richtlinieneinstellungen beschrieben werden , ob Benutzer das Gerät installieren können.

Einige dieser Richtlinien haben Vorrang vor anderen Richtlinien. Das unten gezeigte Flussdiagramm veranschaulicht, wie Windows sie verarbeitet, um zu bestimmen, ob ein Benutzer ein Gerät installieren kann oder nicht, wie in Abbildung 1 (unten) dargestellt.

Bb530324.grouppolicydeviceinstall01(en-us,MSDN.10).gif

Abbildung 1. Wie Windows Richtlinien verarbeitet, wenn ein Benutzer ein Gerät installieren kann

Gruppenrichtlinie Einstellungen für den Wechselmedienzugriff

In Windows Vista und Windows Server 2008 kann ein Administrator eine Computerrichtlinie anwenden, um zu steuern, ob Benutzer von jedem Gerät mit Wechselmedien lesen oder schreiben können. Diese Richtlinien können verwendet werden, um zu verhindern, dass vertrauliches oder vertrauliches Material auf Wechselmedien oder auf ein Wechselmedium mit Speicher geschrieben und dann von den Räumlichkeiten entfernt wird.

Sie können diese Richtlinieneinstellungen auf Computerebene anwenden, sodass sie sich auf jeden Benutzer auswirken, der sich am Computer anmeldet. Sie können sie auch auf Benutzerebene anwenden und die Erzwingung auf ein bestimmtes Benutzerkonto beschränken. Wenn Sie Gruppenrichtlinie in einer Active Directory-Umgebung verwenden, können Sie die Richtlinieneinstellungen zusätzlich zu einzelnen Benutzerkonten auch auf Benutzergruppen anwenden. Gruppenrichtlinie ermöglicht es Ihnen auch, diese Richtlinien effektiv auf eine große Anzahl von Computern anzuwenden. Weitere Informationen zur Verwendung von Gruppenrichtlinie zum Verwalten Ihrer Clientcomputer finden Sie unter Gruppenrichtlinie.

Die Richtlinieneinstellungen für den Wechselspeicherzugriff enthalten auch eine Einstellung, mit der ein Administrator einen Neustart erzwingen kann. Wenn ein Gerät verwendet wird, wenn eine einschränkende Richtlinie angewendet wird, wird die Richtlinie möglicherweise erst erzwungen, wenn der Computer neu gestartet wird.

Die Richtlinieneinstellungen befinden sich an zwei Speicherorten. Die Richtlinieneinstellungen unter Computerkonfiguration\Administrative Vorlagen\System\Wechselmedienzugriff wirken sich auf einen Computer und jeden Benutzer aus, der sich daran anmeldet. Die Richtlinieneinstellungen unter Benutzerkonfiguration\Administrative Vorlagen\System\Wechselmedienzugriff wirken sich nur auf die Benutzer aus, auf die die Richtlinieneinstellung angewendet wird, einschließlich Gruppen, wenn Gruppenrichtlinie mithilfe von Active Directory angewendet wird.

Im Folgenden finden Sie eine kurze Beschreibung der Richtlinien, mit denen Sie den Lese- oder Schreibzugriff auf Wechseldatenträger steuern können. Jede Gerätekategorie unterstützt zwei Richtlinien: eine zum Verweigern des Lesezugriffs und eine zum Verweigern des Schreibzugriffs:

  • Zeit (in Sekunden) zum Erzwingen des Neustarts

    Legen Sie die Zeit (in Sekunden) fest, die das System auf den Neustart wartet, um eine Änderung der Zugriffsrechte auf Wechseldatenträger zu erzwingen.

    Hinweis Wenn kein Neustart erzwungen wird, wird die Änderung erst wirksam, wenn das System neu gestartet wird.

  • CD und DVD

    Mit diesen Richtlinieneinstellungen können Sie Den Lese- oder Schreibzugriff auf Geräte in der CD- und DVD-Wechselspeicherklasse verweigern, einschließlich usb-verbundener Geräte.

  • Benutzerdefinierte Klassen

    Mit diesen Richtlinieneinstellungen können Sie jedem Gerät, dessen Geräteeinrichtungsklassen-GUID sich in den von Ihnen angegebenen Listen befindet, den Lese- oder Schreibzugriff verweigern.

  • Diskettenlaufwerke

    Mit diesen Richtlinieneinstellungen können Sie Den Lese- oder Schreibzugriff auf Geräte in der Floppy Drive-Klasse verweigern, einschließlich usb-verbundener Geräte.

  • Wechseldatenträger

    Mit diesen Richtlinieneinstellungen können Sie Wechseldatenträgern den Lese- oder Schreibzugriff verweigern, die entweder Festplatten sind oder emulieren, z. B. USB-Speicherlaufwerke oder externe USB-Festplattenlaufwerke.

  • Bandlaufwerke

    Mit diesen Richtlinieneinstellungen können Sie den Lese- oder Schreibzugriff auf Bandlaufwerke, einschließlich usb-verbundener Geräte, verweigern.

  • WPD-Geräte

    Mit diesen Richtlinieneinstellungen können Sie Den Lese- oder Schreibzugriff auf Geräte in der Windows Portable Device-Klasse verweigern. Zu diesen Geräten gehören "intelligente" Geräte wie Media Player, Mobiltelefone, Windows CE Geräte usw.

  • Alle Wechselmedienklassen: Verweigern des gesamten Zugriffs

    Diese Richtlinieneinstellung hat Vorrang vor allen Richtlinieneinstellungen in dieser Liste und verweigert bei Aktivierung den Lese- und Schreibzugriff auf jedes Gerät, das als Wechseldatenträger identifiziert wird. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, ist lese- und schreibzugriff auf Wechseldatenträgerklassen zulässig, vorbehaltlich aller Einschränkungen, die von den anderen Richtlinieneinstellungen in dieser Liste auferlegt werden.

Anforderungen für das Abschließen der Szenarien

Um die einzelnen Szenarien abzuschließen, müssen Sie über Folgendes verfügen:

  • Ein Clientcomputer, auf dem Windows Vista ausgeführt wird. In dieser Anleitung wird dieser Computer als DMI-Client1 bezeichnet.

  • Ein USB-Speicherlaufwerk. In den in diesem Leitfaden beschriebenen Szenarien wird ein USB-Speicherlaufwerk als Beispielgerät verwendet. Dieses Gerät verhält sich wie ein Wechseldatenträger und wird auch als "Usb-Laufwerk", "Flashlaufwerk" oder "Schlüsselbundlaufwerk" bezeichnet. Die meisten USB-Speicherlaufwerke erfordern keine vom Hersteller bereitgestellten Treiber, und diese Geräte funktionieren mit den Treibern, die mit Windows Vista und Windows Server 2008 bereitgestellt werden.

    Hinweis In den Anweisungen wird davon ausgegangen, dass Ihr Gerät keine anderen Treiber als die Treiber benötigt, die in Windows Vista und Windows Server 2008 enthalten sind. Wenn Ihr Gerät einen Treiber des Herstellers benötigt, müssen Sie die Treiberdatei angeben, wenn Windows Sie dazu auffordert. Dieser Schritt ist in den Szenarien nicht enthalten.

  • (Optional) Ein CD- oder DVD-Brenner. Im letzten Szenario wird veranschaulicht, wie Geräte mit Wechselmedien schreibgeschützt werden. Sie können die Computerrichtlinie festlegen, ohne tatsächlich einen CD- oder DVD-Brenner installiert zu haben. Wenn Sie jedoch überprüfen möchten, ob die Computerrichtlinie wirksam ist, müssen Sie über ein CD- oder DVD-Brennergerät verfügen.

  • Zugriff auf ein geschütztes Administratorkonto auf DMI-Client1. In diesem Leitfaden wird dieses Konto TestAdmin aufgerufen. Für die Verfahren in diesem Handbuch sind für die meisten Schritte Administratorrechte erforderlich. Sie müssen DMI-Client1 mit diesem Administratorkonto am Anfang jeder Prozedur angemeldet sein, es sei denn, Sie werden anderweitig angewiesen.

    Hinweis Windows Vista und Windows Server 2008 führen das Konzept eines geschützten Administratorkontos ein. Dieses Konto ist Ein Mitglied der Gruppe Administratoren, aber standardmäßig werden diese Sicherheitsberechtigungen nicht direkt verwendet. Jeder Versuch, eine Aufgabe auszuführen, die die erhöhten Rechte eines Administrators erfordert, generiert ein Dialogfeld, in dem um die Berechtigung zum Ausführen dieser Aufgabe gebeten wird. Dieses Dialogfeld wird im Abschnitt Reagieren auf die Seite Benutzerkontensteuerung erläutert. Microsoft empfiehlt, nach Möglichkeit ein geschütztes Administratorkonto anstelle des integrierten Administratorkontos zu verwenden.

  • Zugriff auf ein Standardbenutzerkonto auf DMI-Client1. Dieses Benutzerkonto verfügt über keine speziellen Mitgliedschaften, die irgendeine Art von erhöhten Berechtigungen gewähren. In diesem Leitfaden wird dieses Konto TestUser aufgerufen. Melden Sie sich nur mit diesem Konto bei Ihrem Computer an, wenn Sie dazu aufgefordert werden. Bei einem Standardbenutzerkonto kann jeder Versuch, eine Aufgabe auszuführen, die die erhöhten Rechte eines Administrators erfordert, dazu führen, dass ein Dialogfeld die Anmeldeinformationen eines Kontos mit Administratorrechten anfordert. Dieses Dialogfeld wird im Abschnitt Reagieren auf die Seite Benutzerkontensteuerung erläutert.

Erforderliche Prozeduren

Bevor Sie eine Richtlinie zum Zulassen oder Verhindern der Installation eines Geräts durch Benutzer implementieren können, müssen Sie die Geräteidentifikationszeichenfolgen für das Gerät kennen. Sie müssen auch wissen, wie Sie Ihr USB-Speicherlaufwerk und den zugehörigen Treiber vollständig deinstallieren. Die folgenden Verfahren konfigurieren Ihren Computer so, dass die Szenarien in diesem Handbuch erfolgreich ausgeführt werden:

  1. Reagieren auf die Seite "Benutzerkontensteuerung"
  2. Ermitteln der Geräteidentifikationszeichenfolgen für Ihr USB-Speicherlaufwerk
  3. Deinstallieren Ihres USB-Speicherlaufwerks

Reagieren auf die Seite "Benutzerkontensteuerung"

In diesem Leitfaden werden Sie aufgefordert, Aufgaben auszuführen, die nur von einem Mitglied der Gruppe Administratoren ausgeführt werden können. Wenn Sie in Windows Vista und Windows Server 2008 versuchen, eine Aufgabe auszuführen, die Administratorrechte erfordert, geschieht Folgendes:

  • Wenn Sie als integriertes Administratorkonto angemeldet sind (nicht empfohlen), wird der Vorgang einfach fortgesetzt. Das integrierte Administratorkonto ist standardmäßig deaktiviert.
  • Wenn Sie Mitglied der Gruppe Administratoren sind, die nicht das integrierte Administratorkonto ist, wird ein Dialogfeld "Benutzerkontensteuerung" angezeigt, in dem Sie um die Berechtigung zum Fortfahren bitten. Wenn Sie auf Weiter klicken, wird die Aufgabe fortgesetzt.
  • Wenn Sie als Standardbenutzer angemeldet sind, können Sie daran gehindert werden, die Aufgabe zu erledigen. Je nach Aufgabe kann Ihnen eine Seite "Benutzerkontensteuerung" angezeigt werden, um den Benutzernamen und das Kennwort für ein Administratorkonto anzugeben. Wenn Sie gültige Anmeldeinformationen angeben, wird die Aufgabe im Sicherheitskontext des von Ihnen angegebenen Administratorkontos ausgeführt. Wenn Sie diese Anmeldeinformationen nicht angeben können, werden Sie daran gehindert, die Aufgabe auszuführen.

Wichtig: Stellen Sie vor dem Bereitstellen von Anmeldeinformationen oder Berechtigungen zum Ausführen einer Verwaltungsaufgabe sicher, dass die Seite Benutzerkontensteuerung als Reaktion auf eine von Ihnen initiierte Aufgabe angezeigt wird. Wenn die Seite unerwartet angezeigt wird, klicken Sie auf die Schaltfläche Details , und stellen Sie sicher, dass es sich um die Aufgabe handelt, die Sie zulassen möchten.

In diesem Leitfaden wird nicht jedes Vorkommen des Dialogfelds Benutzerkontensteuerung dokumentiert, das Sie beim Ausführen dieser Prozeduren sehen werden. Wenn spezielle Schritte erforderlich sind, um bestimmte Aufgaben als Administrator auszuführen, werden diese Schritte in der Anleitung dokumentiert.

Ermitteln der Geräteidentifikationszeichenfolgen für Ihr USB-Speicherlaufwerk

Durch Ausführen dieser Schritte können Sie die Geräteidentifikationszeichenfolgen für Ihr Gerät ermitteln. Wenn die Hardware-IDs und kompatiblen IDs für Ihr Gerät nicht mit den in diesem Handbuch aufgeführten übereinstimmen, verwenden Sie die IDs, die für Ihr Gerät geeignet sind.

Hinweis In den folgenden Szenarien müssen Sie Ihr USB-Speicherlaufwerk installieren und dann deinstallieren. In den Anweisungen wird davon ausgegangen, dass Ihr Gerät keine anderen Treiber als die Treiber benötigt, die in Windows Vista und Windows Server 2008 enthalten sind. Wenn Ihr Gerät einen Treiber des Herstellers benötigt, müssen Sie die Treiberdatei angeben, wenn Windows Sie dazu auffordert. Dieser Schritt ist in den Szenarien nicht enthalten.

Sie können die Hardware-IDs und kompatiblen IDs für Ihr Gerät auf zwei Arten ermitteln. Sie können Geräte-Manager verwenden, ein grafisches Tool, das im Betriebssystem enthalten ist, oder DevCon, ein Befehlszeilentool, das als Teil des Driver Development Kit (DDK) heruntergeladen werden kann. Verwenden Sie das folgende Verfahren, um die Geräteidentifikationszeichenfolgen für Ihr USB-Speicherlaufwerk anzuzeigen.

Wichtig Diese Verfahren sind spezifisch für ein USB-Speicherlaufwerk. Wenn Sie einen anderen Gerätetyp verwenden, müssen Sie die Schritte entsprechend anpassen. Der wesentliche Unterschied besteht in der Position des Geräts in der Geräte-Manager Hierarchie. Anstatt sich im Knoten Datenträgerlaufwerke zu befinden, müssen Sie Ihr Gerät im entsprechenden Knoten suchen.

So suchen Sie Geräteidentifikationszeichenfolgen mithilfe von Geräte-Manager

  1. Melden Sie sich bei Ihrem Computer als DMI-Client1\TestAdmin an.

  2. Schließen Sie Ihr USB-Speicherlaufwerk an, und lassen Sie die Installation abgeschlossen.

  3. Um Geräte-Manager zu öffnen, klicken Sie auf die Schaltfläche Start, geben Sie mmc devmgmt.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE.

  4. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

    Geräte-Manager startet und zeigt eine Struktur an, die alle auf Ihrem Computer erkannten Geräte darstellt. Oben in der Struktur befindet sich ein Knoten mit dem Namen Ihres Computers. Untere Knoten stellen die verschiedenen Hardwarekategorien dar, in denen die Computergeräte gruppiert sind.

  5. Doppelklicken Sie auf Datenträger, um die Liste zu öffnen.

    Bb530324.grouppolicydeviceinstall02(en-us,MSDN.10).gif

    Abbildung 2. Öffnen Sie das USB-Laufwerk, indem Sie auf doppelklicken.

  6. Klicken Sie mit der rechten Maustaste auf den Eintrag für Ihr USB-Speicherlaufwerk, und klicken Sie dann auf Eigenschaften. Das Dialogfeld Geräteeigenschaften wird angezeigt.

    Bb530324.grouppolicydeviceinstall03(en-us,MSDN.10).gif

    Abbildung 3. Das Dialogfeld Geräteeigenschaften für Ihr USB-Laufwerk wird angezeigt.

  7. Klicken Sie auf die Registerkarte Details.

  8. Klicken Sie in der Liste Eigenschaften auf Hardware-IDs.

  9. Notieren Sie sich unter Wert die angezeigten Zeichenfolgen.

    Bb530324.grouppolicydeviceinstall04(en-us,MSDN.10).gif

    Abbildung 4. Merken Sie sich die Zeichenfolgen, die unter Wert im Dialogfeld Eigenschaften für Ihr USB-Laufwerk angezeigt werden.

    Hinweis: Sie können die Zeichenfolgen in die Zwischenablage kopieren, indem Sie den Text markieren und STRG-C drücken. Da viele Hardware-IDs mehrere Unterstriche aufweisen, ist es hilfreich, sie in eine Textdatei zu kopieren, aus der Sie einfügen können, wenn Sie einen Bezeichner angeben müssen. Dieser Ansatz verringert die Wahrscheinlichkeit eines Fehlers erheblich, wenn Sie einer Liste genehmigter oder verbotener Geräte einen bestimmten Bezeichner hinzufügen müssen.

  10. Klicken Sie in der Liste Eigenschaften auf Kompatible IDs.

  11. Notieren Sie sich unter Wert die angezeigten Zeichenfolgen.

    Bb530324.grouppolicydeviceinstall05(en-us,MSDN.10).gif

    Abbildung 5. Merken Sie sich die Zeichenfolgen, die unter Wert im Dialogfeld Eigenschaften für Ihr USB-Laufwerk angezeigt werden.

Hinweis Sie können ihre Geräteidentifikationszeichenfolgen auch mithilfe des DevCon-Befehlszeilenprogramms ermitteln. Sie können DevCon von der Microsoft-Hilfe- und Supportwebsite herunterladen. Weitere Informationen finden Sie unter DevCon-Befehlszeilenprogrammfunktionen als Alternative zu Geräte-Manager.

Devcon

DevCon HwIDs

Deinstallieren Ihres USB-Speicherlaufwerks

Bei der normalen täglichen Verwendung eines USB-Speicherlaufwerks können Sie das Laufwerk in der Regel einfach aus dem USB-Anschluss ziehen. Für dieses Handbuch müssen Sie jedoch auch den Gerätetreiber deinstallieren, um sicherzustellen, dass jedes Szenario mit dem Computer in einem geeigneten Zustand gestartet wird. Wenn Sie das Gerät nicht deinstallieren und entfernen können, wenn sie angewiesen werden, haben die in den folgenden Szenarien getesteten Richtlinien keine Auswirkungen, und Sie werden die erwarteten Ergebnisse nicht sehen. Führen Sie die gleichen Schritte in diesem Handbuch aus, wenn Sie aufgefordert werden, Ihr Gerät zu deinstallieren und zu entfernen.

Wichtig Trennen Sie Ihr Gerät erst physisch vom USB-Anschluss, bis Sie mit dem letzten Schritt fortfahren.

So deinstallieren Sie Ihr USB-Speicherlaufwerk

  1. Melden Sie sich bei Ihrem Computer DMI-Client1\TestAdmin an.

  2. Um Geräte-Manager zu öffnen, klicken Sie auf die Schaltfläche Start, geben Sie mmc devmgmt.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE.

  3. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, vergewissern Sie sich, dass die angezeigte Aktion die gewünschte ist, und klicken Sie dann auf Weiter.

  4. Klicken Sie mit der rechten Maustaste auf den Eintrag für Ihr USB-Speicherlaufwerk, und klicken Sie dann auf Deinstallieren.

    Bb530324.grouppolicydeviceinstall06(en-us,MSDN.10).gif

    Abbildung 6. Klicken Sie mit der rechten Maustaste, um Ihr USB-Speicherlaufwerk zu deinstallieren.

  5. Klicken Sie im Dialogfeld Geräteentfernung bestätigen auf OK , um den Deinstallationsprozess abzuschließen.

  6. Wenn Windows den Deinstallationsvorgang abgeschlossen hat, wird der Geräteeintrag aus der Geräte-Manager-Struktur entfernt.

  7. Trennen Sie Ihr USB-Speicherlaufwerk vom USB-Anschluss.

Verhindern der Installation aller Geräte

In diesem Szenario werden die typischen Schritte dokumentiert, die zum Implementieren der restriktivsten Konfiguration erforderlich sind, bei der alle Geräteinstallationen verhindert werden und vorhandene Geräte nicht mit neuen Gerätetreibern aktualisiert werden können. Benutzer können ein Gerät nicht installieren und verwenden, ohne dass ein Administrator eingreifen muss. Administratoren können weiterhin jedes Gerät nach Bedarf installieren oder aktualisieren.

Voraussetzungen für die Verhinderung der Installation aller Geräte

Um die Verfahren in diesem Szenario abzuschließen, müssen Sie Ihr USB-Speicherlaufwerk deinstallieren, wie weiter oben in diesem Dokument im Abschnitt Deinstallieren Ihres USB-Speicherlaufwerks beschrieben.

Schritte zum Verhindern der Installation aller Geräte

  1. Konfigurieren der Richtlinie, um die Installation eines beliebigen Geräts zu verhindern
  2. Konfigurieren der Richtlinie, damit Administratoren Geräteinstallationseinschränkungen außer Kraft setzen können
  3. Testen der Auswirkungen Ihrer Einschränkungseinstellungen als Benutzer

Konfigurieren der Richtlinie, um die Installation eines beliebigen Geräts zu verhindern

So konfigurieren Sie eine Richtlinie, die die Installation oder Aktualisierung eines Geräts verhindert

  1. Melden Sie sich bei Ihrem Computer als DMI-Client1\TestAdmin an.

  2. Um Gruppenrichtlinie Objekt-Editor zu öffnen, klicken Sie auf die Schaltfläche Start, geben Sie mmc gpedit.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE.

  3. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, vergewissern Sie sich, dass die angezeigte Aktion die gewünschte ist, und klicken Sie dann auf Weiter.

  4. Doppelklicken Sie im Navigationsbereich Gruppenrichtlinie Objekt-Editor auf Computerkonfiguration, um ihn zu öffnen. Öffnen Sie dann Administrative Vorlagen, öffnen Sie System, öffnen Sie Geräteinstallation, und öffnen Sie dann Geräteinstallationseinschränkungen.

    Bb530324.grouppolicydeviceinstall07(en-us,MSDN.10).gif

    Abbildung 7. Navigationsbereich Gruppenrichtlinie Objekt-Editor

  5. Klicken Sie im Detailbereich mit der rechten Maustaste auf Installation von Geräten verhindern, die nicht in anderen Richtlinieneinstellungen beschrieben werden, und klicken Sie dann auf Eigenschaften.

  6. Das Dialogfeld Richtlinie wird mit den aktuellen Einstellungen angezeigt.

  7. Klicken Sie auf der Registerkarte Einstellung auf Aktiviert , um die Richtlinie zu aktivieren.

  8. Klicken Sie auf OK, um Ihre Einstellungen zu speichern und zu Gruppenrichtlinie Objekt-Editor zurückzukehren.

Konfigurieren der Richtlinie, damit Administratoren Geräteinstallationseinschränkungen außer Kraft setzen können

Mit der nächsten Richtlinie können Administratoren Einschränkungen außer Kraft setzen, die durch die anderen Einstellungen der Geräteinstallationsrichtlinie auferlegt werden, einschließlich der richtlinie, die Sie gerade aktiviert haben.

So konfigurieren Sie die Richtlinie, damit Administratoren Geräteinstallationseinschränkungen außer Kraft setzen können

  1. Klicken Sie im Detailbereich mit der rechten Maustaste auf Geräteinstallationsrichtlinie zulassen, dass Administratoren die Geräteinstallationsrichtlinie außer Kraft setzen können, und klicken Sie dann auf Eigenschaften.

  2. Das Dialogfeld Richtlinie wird mit den aktuellen Einstellungen angezeigt.

  3. Klicken Sie auf der Registerkarte Einstellung auf Aktiviert , um die Richtlinieneinstellung zu aktivieren.

  4. Klicken Sie auf OK, um Ihre Einstellung zu speichern und zu Gruppenrichtlinie Objekt-Editor zurückzukehren.

  5. Beide Richtlinien zeigen nun ihren Status als aktiviert an.

    Bb530324.grouppolicydeviceinstall08s(en-us,MSDN.10).gif

    Abbildung 8. Beide Richtlinien zeigen ihren Status als aktiviert an.

Testen der Auswirkungen Ihrer Einschränkungseinstellungen als Benutzer

Wenn beide Richtlinien aktiviert sind, können Sie sie auf den Computer anwenden und versuchen, das Gerät zu installieren, damit die Einschränkungen funktionieren.

So testen Sie die Auswirkungen Ihrer Einschränkungseinstellungen als Benutzer

  1. Wenn Ihr Gerät installiert ist, deinstallieren Sie es, und entfernen Sie es, indem Sie die Schritte im Abschnitt Deinstallieren Ihres USB-Speicherlaufwerks weiter oben in diesem Dokument ausführen.

  2. Klicken Sie auf die Schaltfläche Start , geben Sie gpupdate /force in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE.

  3. Melden Sie sich nach Abschluss des GPUdate-Befehls von Ihrem Computer ab, und melden Sie sich dann als DMI-Client1\TestUser an.

  4. Um Geräte-Manager zu öffnen, klicken Sie auf die Schaltfläche Start, geben Sie mmc devmgmt.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE.

  5. Die folgende Meldung gibt an, dass Sie keine Berechtigungen zum Vornehmen von Änderungen an Geräte-Manager haben.

    Bb530324.grouppolicydeviceinstall09(en-us,MSDN.10).gif

    Abbildung 9. Es wird eine Meldung angezeigt, die darauf hinweist, dass Sie nicht über Berechtigungen verfügen.

  6. Klicken Sie auf OK , um die Nachricht zu bestätigen. (Geräte-Manager wird gestartet, und Sie können die Geräte auf dem Computer anzeigen.)

  7. Schließen Sie Ihr USB-Speicherlaufwerk an.

  8. Bis die Installation erfolgreich abgeschlossen ist, wird das Gerät in Geräte-Manager unter dem Knoten Andere Geräte angezeigt.

    Bb530324.grouppolicydeviceinstall10(en-us,MSDN.10).gif

    Abbildung 10. Das Gerät wird unter Andere Geräte angezeigt, bis die Installation abgeschlossen ist.

  9. Da Sie als Standardbenutzer ohne Administratorrechte angemeldet sind und die Geräteinstallation jetzt eingeschränkt ist, wird das folgende Dialogfeld angezeigt:

    Bb530324.grouppolicydeviceinstall11(en-us,MSDN.10).gif

    Abbildung 11. Dialogfeld, das angezeigt wird, wenn es als Standardbenutzer ohne Administratorrechte angemeldet ist

  10. Um eine typische Benutzerantwort zu simulieren, klicken Sie auf Treibersoftware suchen und installieren (empfohlen).

  11. Es wird eine Variante des Dialogfelds Benutzerkontensteuerung angezeigt, in der Sie nach einem Benutzernamen und kennwort für ein Konto mit Administratorrechten gefragt werden.

  12. Da ein Benutzer keine Administratoranmeldeinformationen angeben kann, klicken Sie auf Abbrechen , um den Versuch wie ein Benutzer abzubrechen.

  13. Die Gerätetreiberinstallation schlägt fehl, und das Gerät verbleibt unter dem Knoten Andere Geräte und ist nicht funktionsfähig.

    Bb530324.grouppolicydeviceinstall12(en-us,MSDN.10).gif

    Abbildung 12: Fehler bei der Geräteinstallation, und das Gerät funktioniert nicht

Benutzern erlauben, nur autorisierte Geräte zu installieren

Dieses Szenario basiert auf dem ersten Szenario Verhindern der Installation aller Geräte, in dem Sie die Installation eines beliebigen Geräts verhindert haben. In diesem Szenario fügen Sie der Richtlinie eine Liste der zulässigen Geräte hinzu und fügen die Hardware-ID für Ihr USB-Speicherlaufwerk ein.

Voraussetzungen, damit Benutzer nur autorisierte Geräte installieren können

Um diese Aufgabe auszuführen, müssen Sie zunächst alle Schritte im ersten Szenario ausführen: Installation aller Geräte verhindern.

Schritte zum Zulassen, dass Benutzer nur autorisierte Geräte installieren können

In diesem Abschnitt fügen Sie zulässige Geräte zu den Einschränkungen unter Installation aller Geräte verhindern hinzu, indem Sie eine Liste mit autorisierten Geräten erstellen.

  1. Erstellen einer Liste autorisierter Geräte
  2. Testen der Auswirkungen autorisierter Geräte

Erstellen einer Liste autorisierter Geräte

So erstellen Sie eine Liste genehmigter Geräte

  1. Melden Sie sich bei Ihrem Computer als DMI-Client1\TestAdmin an.

  2. Wenn Ihr Gerät derzeit installiert ist, deinstallieren Sie es, und entfernen Sie es, indem Sie die Schritte im Abschnitt Deinstallieren Ihres USB-Speicherlaufwerks weiter oben in diesem Dokument ausführen.

  3. Um Gruppenrichtlinie Objekt-Editor zu öffnen, klicken Sie auf die Schaltfläche Start, geben Sie mmc gpedit.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE.

  4. Doppelklicken Sie im Navigationsbereich Gruppenrichtlinie Objekt-Editors auf Computerkonfiguration, um ihn zu öffnen. Öffnen Sie dann Administrative Vorlagen, öffnen Sie System, öffnen Sie Geräteinstallation, und öffnen Sie dann Geräteinstallationseinschränkungen.

  5. Klicken Sie im Detailbereich mit der rechten Maustaste auf Installation von Geräten zulassen, die mit einer dieser Geräte-IDs übereinstimmen, und klicken Sie dann auf Eigenschaften.

  6. Das Dialogfeld Richtlinie wird mit den aktuellen Einstellungen angezeigt.

  7. Klicken Sie auf der Registerkarte Einstellung auf Aktiviert , um diese Richtlinie zu aktivieren.

    Bb530324.grouppolicydeviceinstall13(en-us,MSDN.10).gif

    Abbildung 13: Klicken Sie auf Aktiviert, um die Richtlinie zu aktivieren.

  8. Klicken Sie auf Anzeigen , um die Liste der zulässigen Geräte im Dialogfeld Inhalt anzeigen anzuzeigen. (Standardmäßig ist die Liste leer.)

  9. Klicken Sie auf Hinzufügen , um das Dialogfeld Element hinzufügen zu öffnen.

  10. Geben Sie die Geräte-ID (die erste Hardware-ID) für Ihr Gerät ein.

    Bb530324.grouppolicydeviceinstall14(en-us,MSDN.10).gif

    Abbildung 14. Geben Sie die Geräte-ID für Ihr USB-Gerät ein.

  11. Klicken Sie auf OK , um zum Dialogfeld Inhalt anzeigen zurückzukehren. Ihr Gerät wird jetzt in der Liste angezeigt.

    Bb530324.grouppolicydeviceinstall15(en-us,MSDN.10).gif

    Abbildung 15. Das Gerät ist jetzt für die Installation genehmigt.

  12. Klicken Sie auf OK , um zum Richtliniendialogfeld zurückzukehren, und klicken Sie dann auf OK , um die neue Richtlinieneinstellung zu speichern.

Testen der Liste der autorisierten Geräte

Wenn die Richtlinieneinstellung aktiviert ist, können Sie sie auf den Computer anwenden und versuchen, das Gerät zu installieren.

So testen Sie die Liste der autorisierten Geräte

  1. Klicken Sie auf die Schaltfläche Start , geben Sie gpupdate/force in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE.

  2. Wenn der gpudate-Befehl abgeschlossen ist, melden Sie sich von Ihrem Computer ab, und melden Sie sich dann als DMI-Client1\TestUser an.

  3. Klicken Sie zum Öffnen Geräte-Manager auf die Schaltfläche Start, geben Sie mmc devmgmt.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE.

  4. Die folgende Meldung wird angezeigt, die angibt, dass Sie über keine Berechtigungen zum Vornehmen von Änderungen an Geräte-Manager verfügen.

    Bb530324.grouppolicydeviceinstall16s(en-us,MSDN.10).gif

    Abbildung 16. Es wird eine Meldung angezeigt, die darauf hinweist, dass Sie nicht über Berechtigungen verfügen.

  5. Klicken Sie auf OK , um die Meldung zu schließen. Geräte-Manager wird gestartet, und Sie können die Geräte auf dem Computer anzeigen.

  6. Schließen Sie Ihr USB-Speicherlaufwerk an.

  7. Das Gerät wird in Geräte-Manager unter dem Knoten Andere Geräte angezeigt, bis Windows die Installation abgeschlossen hat.

    Bb530324.grouppolicydeviceinstall17(en-us,MSDN.10).gif

    Abbildung 17. Das Gerät wird unter Andere Geräte angezeigt, bis die Installation abgeschlossen ist.

  8. Nachdem Windows die Installation abgeschlossen hat, wechselt das Gerät zum Knoten Datenträgerlaufwerke in Geräte-Manager und ist voll funktionsfähig.

    Bb530324.grouppolicydeviceinstall18(en-us,MSDN.10).gif

    Abbildung 18. Nach Abschluss der Installation ist das Gerät voll funktionsfähig.

Verhindern der Installation von verbotenen Geräten

Dieses Szenario stellt eine alternative Möglichkeit zum Steuern der Geräteinstallation dar. In den ersten beiden Szenarien haben Sie die Installation aller Geräte mit Ausnahme der Geräte verhindert, die durch eine Liste autorisierter Geräte zulässig sind. In diesem Szenario erlauben Sie die Installation aller Geräte mit Ausnahme der Geräte, die sich auf einer Liste verbotener Geräte befinden. Außerdem entfernen Sie die Ausnahme für Administratoren, die Sie im ersten Szenario erstellt haben, sodass sogar ein Administrator von der Richtlinie betroffen ist.

Voraussetzungen zum Verhindern der Installation von verbotenen Geräten

Wenn Sie die Schritte unter Installation aller Geräte verhindern und Benutzern erlauben, nur autorisierte Geräte zu installieren, ausgeführt haben, müssen Sie diese Richtlinien mit den folgenden Schritten deaktivieren:

  • Aktivieren Sie die Installation aller Geräte.
  • Entfernen Sie die Ausnahme für Mitglieder der Gruppe Administratoren, um die Geräteinstallation zuzulassen.
  • Entfernen Sie die Hardware-ID aus der Liste der genehmigten Geräte.

So aktivieren Sie die Installation aller Geräte

  1. Melden Sie sich bei Ihrem Computer als DMI-Client1\TestAdmin an.
  2. Um Gruppenrichtlinie Objekt-Editor zu öffnen, klicken Sie auf die Schaltfläche Start, geben Sie mmc gpedit.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE.
  3. Doppelklicken Sie im Navigationsbereich Gruppenrichtlinie Objekt-Editors auf Computerkonfiguration, um ihn zu öffnen. Öffnen Sie dann Administrative Vorlagen, öffnen Sie System, öffnen Sie Geräteinstallation, und öffnen Sie dann Geräteinstallationseinschränkungen.
  4. Klicken Sie im Detailbereich mit der rechten Maustaste auf den Knoten Installation von Geräten verhindern, die nicht in anderen Richtlinieneinstellungen beschrieben werden, und klicken Sie dann auf Eigenschaften.
  5. Das Dialogfeld Richtlinie wird mit den aktuellen Einstellungen angezeigt.
  6. Klicken Sie auf Deaktiviert , um die Richtlinieneinstellung zu deaktivieren.
  7. Klicken Sie auf OK, um Die Einstellung zu speichern und zu Gruppenrichtlinie Objekt-Editor zurückzukehren.

Der nächste Schritt besteht darin, die Richtlinie zu entfernen, die Mitgliedern der Gruppe Administratoren eine Ausnahme gewährt hat.

So entfernen Sie die Ausnahme für Administratoren Gruppenrichtlinie Einschränkungen

  1. Klicken Sie in Gruppenrichtlinie Objekt-Editor mit der rechten Maustaste auf Administratoren das Außerkraftsetzen der Geräteinstallationsrichtlinie zulassen, und klicken Sie dann auf Eigenschaften.
  2. Das Dialogfeld Richtlinie wird mit den aktuellen Einstellungen angezeigt.
  3. Klicken Sie auf der Registerkarte Einstellung auf Deaktiviert , um die Richtlinieneinstellung zu deaktivieren.
  4. Klicken Sie auf OK, um Die Einstellung zu speichern und zu Gruppenrichtlinie Objekt-Editor zurückzukehren.

Der nächste Schritt besteht darin, die Hardware-ID aus der Liste der autorisierten Geräte zu entfernen, die Sie im zweiten Szenario erstellt haben.

So entfernen Sie die Hardware-ID aus der Liste der autorisierten Geräte

  1. Klicken Sie in Gruppenrichtlinie Objekt-Editor mit der rechten Maustaste auf Installation von Geräten zulassen, die mit einer dieser Geräte-IDs übereinstimmen, und klicken Sie dann auf Eigenschaften. Das Dialogfeld Richtlinie wird mit den aktuellen Einstellungen angezeigt.
  2. Klicken Sie auf der Registerkarte Einstellung auf Anzeigen , um die Liste der autorisierten Geräte anzuzeigen.
  3. Wählen Sie im Dialogfeld Inhalt anzeigen den Namen Ihres USB-Speicherlaufwerks aus, und klicken Sie dann auf Entfernen. Windows entfernt Ihr Gerät aus der Liste.
  4. Klicken Sie auf OK , um das Dialogfeld Inhalt anzeigen zu schließen und zum Dialogfeld Richtlinie zurückzukehren.
  5. Klicken Sie auf Deaktiviert , um die Richtlinieneinstellung zu deaktivieren.
  6. Klicken Sie auf OK, um die Änderungen zu speichern und zu Gruppenrichtlinie Objekt-Editor zurückzukehren.

Schritte zum Verhindern der Installation von verbotenen Geräten

Um zu verhindern, dass Benutzer bestimmte Geräte installieren, erstellen Sie eine Liste mit verbotenen Geräten. In diesem Abschnitt werden Sie:

  1. Erstellen einer Liste mit verbotenen Geräten
  2. Testen der Liste der unzulässigen Geräte

Erstellen einer Liste mit verbotenen Geräten

So erstellen Sie eine Liste mit verbotenen Geräten

  1. Wenn Ihr Gerät derzeit installiert ist, deinstallieren Sie es, und entfernen Sie es, indem Sie die Schritte im Abschnitt Deinstallieren Ihres USB-Speicherlaufwerks weiter oben in diesem Dokument ausführen.

  2. Melden Sie sich bei Ihrem Computer als DMI-Client1\TestAdmin an.

  3. Wenn sie noch nicht ausgeführt wird, starten Sie Gruppenrichtlinie Objekt-Editor. Klicken Sie hierzu auf die Schaltfläche Start, geben Sie mmc gpedit.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE.

  4. Doppelklicken Sie in der Struktur auf Computerkonfiguration, um sie zu öffnen. Öffnen Sie dann Administrative Vorlagen, öffnen Sie System, öffnen Sie Geräteinstallation, und öffnen Sie dann Geräteinstallationseinschränkungen.

  5. Klicken Sie im Detailbereich mit der rechten Maustaste auf Installation von Geräten verhindern, die diesen Geräte-IDs entsprechen, und klicken Sie dann auf Eigenschaften. Das Dialogfeld Richtlinie wird mit den aktuellen Einstellungen angezeigt.

  6. Klicken Sie auf der Registerkarte Einstellung auf Aktiviert, um diese Richtlinie zu aktivieren.

    Bb530324.grouppolicydeviceinstall19(en-us,MSDN.10).gif

    Abbildung 19. Klicken Sie auf Aktiviert, um die Richtlinie zu aktivieren.

  7. Klicken Sie auf Anzeigen , um die Liste der unzulässigen Geräte anzuzeigen.

  8. Klicken Sie im Dialogfeld Inhalt anzeigen auf Hinzufügen.

  9. Geben Sie im Dialogfeld Element hinzufügen die Geräte-ID (die erste Hardware-ID) ein, die Sie für Ihr Gerät gefunden haben.

  10. Klicken Sie auf OK , um zum Dialogfeld Inhalt anzeigen zurückzukehren.

  11. Ihr Gerät wird jetzt in der Liste angezeigt.

    Bb530324.grouppolicydeviceinstall20(en-us,MSDN.10).gif

    Abbildung 20. Die Installation für dieses Gerät ist jetzt verboten.

  12. Klicken Sie auf OK , um zum Richtliniendialogfeld zurückzukehren, und klicken Sie dann auf OK , um die neue Richtlinieneinstellung zu speichern.

Testen der Liste der unzulässigen Geräte

Jetzt können Sie versuchen, das Gerät zu installieren. Sie können andere Geräte installieren, da die Richtlinie deren Installation nicht mehr verhindert, aber Sie können dieses bestimmte Gerät nicht installieren, auch wenn Sie als Mitglied der Gruppe Administratoren angemeldet sind.

So testen Sie die Liste der unzulässigen Geräte

  1. Klicken Sie auf die Schaltfläche Start , geben Sie gpupdate /force in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE.

  2. Wenn der Gpudate-Befehl abgeschlossen ist, schließen Sie die Eingabeaufforderung.

  3. Klicken Sie zum Öffnen Geräte-Manager auf die Schaltfläche Start, geben Sie mmc devmgmt.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE.

  4. Schließen Sie Ihr USB-Speicherlaufwerk an.

  5. Das Gerät wird in Geräte-Manager unter dem Knoten Andere Geräte angezeigt.

  6. Die Installation wird nicht abgeschlossen, und das Gerät funktioniert nicht.

    Bb530324.grouppolicydeviceinstall21(en-us,MSDN.10).gif

    Abbildung 21. Die Installation wird nicht abgeschlossen, und das Gerät funktioniert nicht.

  7. Windows zeigt im Infobereich eine Meldung an, die den Grund für den Fehler bei der Installation angibt:

    Bb530324.grouppolicydeviceinstall22(en-us,MSDN.10).gif

    Abbildung 22. Es wird eine Meldung angezeigt, in der der Grund angegeben wird, warum die Installation fehlgeschlagen ist.

  8. Sie können versuchen, die Einschränkungen zu umgehen, indem Sie den Treiber für das Gerät manuell installieren. Klicken Sie mit der rechten Maustaste auf das Gerät, und klicken Sie dann auf Treibersoftware aktualisieren.

  9. Das Betriebssystem fordert Sie auf, den Gerätetreiber für das Gerät anzugeben.

    Bb530324.grouppolicydeviceinstall23(en-us,MSDN.10).gif

    Abbildung 23. Eine Eingabeaufforderung für den Gerätetreiber wird angezeigt.

  10. Um zu simulieren, was ein Benutzer möglicherweise versucht, klicken Sie auf Automatisch suchen nach aktualisierter Treibersoftware.

  11. Es wird eine Meldung angezeigt, die besagt, dass Windows den Treiber gefunden, aber nicht installieren konnte. Im letzten Absatz wird erläutert, dass der Installationsversuch fehlgeschlagen ist, weil er durch die von Ihnen erstellte Richtlinie verboten ist.

    Bb530324.grouppolicydeviceinstall24(en-us,MSDN.10).gif

    Abbildung 24. Im Dialogfeld wird erläutert, warum bei der Installation ein Fehler aufgetreten ist.

Steuern von Lese- und Schreibberechtigungen auf Wechselmedien

In diesem Szenario wird veranschaulicht, wie Sie den Lese- oder Schreibzugriff auf Wechselmedien oder Geräte, die Wechselmedien verwenden, auf Computern unter Windows Vista und Windows Server 2008 steuern können. In diesem Szenario legen Sie die Computerrichtlinie so fest, dass Ihr USB-Speicherlaufwerk schreibgeschützt ist. Außerdem legen Sie die Computerrichtlinie so fest, dass alle an Ihren Computer angeschlossenen CD- oder DVD-Brenner schreibgeschützt sind, und deaktivieren dabei die Brennfunktion.

Voraussetzungen für die Steuerung von Lese- und Schreibberechtigungen auf Wechselmedien

Bevor Sie die Verfahren in diesem Abschnitt ausprobieren können, müssen Sie die Richtlinie deaktivieren, die die Installation von USB-Speicherlaufwerken verhindert.

So deaktivieren Sie die Richtlinie, die die Installation von USB-Speicherlaufwerken verhindert

  1. Wenn Ihr Gerät derzeit installiert ist, deinstallieren Sie es, und entfernen Sie es, indem Sie die Schritte im Abschnitt Deinstallieren Ihres USB-Speicherlaufwerks weiter oben in diesem Dokument ausführen.
  2. Klicken Sie im Detailbereich des Gruppenrichtlinie-Objekt-Editors mit der rechten Maustaste auf Installation von Geräten verhindern, die diesen Geräte-IDs entsprechen, und klicken Sie dann auf Eigenschaften.
  3. Das Richtliniendialogfeld wird mit der aktuellen Einstellung angezeigt.
  4. Klicken Sie auf der Registerkarte Einstellungen auf Anzeigen , um die Liste der unzulässigen Geräte anzuzeigen.
  5. Klicken Sie im Dialogfeld Inhalt anzeigen auf Ihr USB-Speicherlaufwerk, klicken Sie auf Entfernen, und klicken Sie dann auf OK.
  6. Klicken Sie auf der Registerkarte Einstellung auf Deaktiviert , um diese Richtlinieneinstellung zu deaktivieren.
  7. Klicken Sie auf OK , um die Änderung zu speichern.

Schritte zum Steuern von Lese- und Schreibberechtigungen auf Wechselmedien

  1. Festlegen der Computerrichtlinie zum Verweigern des Schreibzugriffs auf bestimmte Wechseldatenträgerklassen
  2. Testen der Richtlinieneinstellungen für Ihren Computer

Festlegen der Computerrichtlinie zum Verweigern des Schreibzugriffs auf bestimmte Wechseldatenträgerklassen

Die richtlinien, die Sie in diesem Verfahren festlegen, blockieren den Schreibzugriff auf viele Wechselmedien. Die genaue Computerrichtlinie, die den Schreibzugriff auf Ihr Gerät blockiert, kann jedoch abhängig von der jeweiligen Herstellungs- und Modellversion variieren. Sie können auch die Richtlinie für benutzerdefinierte Klassen verwenden, aber sie erfordert, dass Sie die GUID der Geräteeinrichtungsklasse für das jeweilige Gerät identifizieren.

So verweigern Sie den Schreibzugriff auf bestimmte Wechselgeräteklassen

  1. Öffnen Sie im Navigationsbereich Gruppenrichtlinie Objekt-Editor die Option Computerkonfiguration, dann Administrative Vorlagen, System und dann Wechselmedienzugriff.
  2. Klicken Sie mit der rechten Maustaste auf CD und DVD: Schreibzugriff verweigern, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie im Dialogfeld Eigenschaften auf Aktiviert , um die Einschränkung zu aktivieren, und klicken Sie dann auf OK.
  4. Wiederholen Sie die Schritte 2 und 3 für die folgenden Computerrichtlinien:
    • Wechseldatenträger: Schreibzugriff verweigern
    • Diskettenlaufwerke: Schreibzugriff verweigern
    • WPD-Geräte: Schreibzugriff verweigern
  5. Schließen Sie Gruppenrichtlinie Objekt-Editor.

Testen der Richtlinieneinstellungen für Ihren Computer

Wenn ein Gerät verwendet wird, kann die Schreibzugriffseinschränkungsrichtlinie nicht sofort erzwungen werden. Starten Sie den Computer neu, um die Computerrichtlinie anzuwenden.

So testen Sie die Richtlinieneinstellungen ihres Computers

  1. Klicken Sie auf die Schaltfläche Start , geben Sie gpupdate /force in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE.

  2. Wenn der Gpudate-Befehl abgeschlossen ist, starten Sie Den Computer neu.

  3. Melden Sie sich bei Ihrem Computer als DMI-Client1\TestAdmin an.

  4. Schließen Sie Ihr USB-Speicherlaufwerk an, und warten Sie dann, bis Windows Sie benachrichtigt, dass es betriebsbereit ist.

  5. Klicken Sie auf Start, auf Computer, und doppelklicken Sie dann auf Ihr USB-Speicherlaufwerk.

  6. Klicken Sie in Windows Explorer mit der rechten Maustaste auf einen geöffneten Bereich des Detailbereichs, klicken Sie auf Neu und dann auf Ordner.

  7. Windows zeigt eine Fehlermeldung an, die erklärt, warum beim Erstellen eines Ordners ein Fehler aufgetreten ist.

    Bb530324.grouppolicydeviceinstall25(en-us,MSDN.10).gif

    Abbildung 25. Fehlermeldung erklärt, warum beim Versuch, einen Ordner zu erstellen, ein Fehler aufgetreten ist.

  8. Klicken Sie auf Weiter , um die Einschränkung zu umgehen.

  9. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, vergewissern Sie sich, dass die angezeigte Aktion ihren Wünschen entspricht, und klicken Sie dann auf Weiter.

  10. Windows zeigt eine zweite Meldung an, die angibt, warum es nicht in den Ordner schreiben kann.

    Bb530324.grouppolicydeviceinstall26(en-us,MSDN.10).gif

    Abbildung 26. Eine zweite Fehlermeldung gibt an, warum Schreibberechtigungen nicht zulässig sind.

Zusammenfassung

In diesem Leitfaden haben Sie ein Beispielgerät in einer Labumgebung verwendet, um zu erfahren, wie Sie steuern können, ob Ihre Benutzer ein Gerät installieren können. Außerdem haben Sie erfahren, wie Sie den Zugriff auf Wechselmedien oder Wechselmedien einschränken. Die Steuerung der Installation und der Gerätenutzung auf diese Weise verbessert Ihre Sicherheit und erhöht die Effektivität Ihres Helpdesks, indem die Geräte, die Benutzer installieren können, auf diejenigen beschränkt werden, die Ihr organization genehmigt und unterstützt. Folgende Szenarien wurden verwendet, um diese Konfigurationen zu veranschaulichen:

  • Verhindern sie die Installation aller Geräte.

    In diesem Szenario haben Sie standardbenutzer daran gehindert, geräte zu installieren, aber Administratoren erlaubt, Geräte zu installieren oder zu aktualisieren.

  • Benutzern erlauben, nur autorisierte Geräte zu installieren.

    In diesem Szenario haben Sie Standardbenutzern erlaubt, nur die Geräte zu installieren, die in einer Liste der autorisierten Geräte enthalten sind.

  • Verhindern Sie die Installation von nur verbotenen Geräten.

    In diesem Szenario haben Sie Standardbenutzern erlaubt, die meisten Geräte zu installieren, aber sie daran gehindert, Geräte zu installieren, die in einer Liste mit verbotenen Geräten enthalten sind.

  • Steuern Sie die Verwendung von Wechselmedienspeichergeräten.

    In diesem Szenario haben Sie verhindert, dass Standardbenutzer Daten auf Wechselmedien oder Geräte mit Wechselmedien schreiben, z. B. ein USB-Speicherlaufwerk oder einen CD- oder DVD-Brenner.

Zusätzliche Ressourcen

Weitere Informationen zur Geräteinstallation:

Weitere Informationen zum DevCon-Tool:

Weitere Informationen zur Benutzerkontensteuerung in Windows Vista:

Weitere Informationen zu Gruppenrichtlinie:

Protokollieren von Fehlern und Feedback

Daher freuen wir uns über Ihr Feedback. Wenn die enthaltenen Szenarien nicht wie beschrieben funktionieren oder wenn sie nicht die Art und Weise erfassen, wie Sie die Technologie verwenden möchten, teilen Sie uns mit. Wir verwenden das Von Ihnen bereitgestellte Feedback, um die Qualität dieser Dokumentation zu verbessern. Senden Sie Ihre Kommentare zu dieser Dokumentation an Vista Feedback (vistafb@microsoft.com).

Um Feedback zu Windows Vista zu erhalten, verwenden Sie bitte den Link "Kontakt" unten auf der Windows Vista-Webseite unter https://www.microsoft.com/windowsvista.