通过组策略管理硬件限制

核心提示： 下一项是“允许使用与下列设备安装程序类相匹配的驱动程序安装设备”，通过在此策略设置中输入设备描述，通过组策略管理硬件限制(5)，您可以明确允许在系统上安装哪些硬件设备，请注意，非常适于只允许在您环境中安装所希望设备的情形，您只需在部署的早期阶段实施相应策略设置，此策

下一项是“允许使用与下列设备安装程序类相匹配的驱动程序安装设备”。通过在此策略设置中输入设备描述，您可以明确允许在系统上安装哪些硬件设备。请注意，此策略设置仅支持安装程序类，不支持设备 ID(如示例中使用的那些项)。

要取得相反效果，您可以设置“阻止使用与下列设备安装程序类相匹配的驱动程序安装设备”。

另外两项设置“当策略阻止安装时显示自定义信息 [气球文本]”和“当策略阻止安装时显示自定义信息 [气球标题]”，可帮助您自定义该信息，如图 5 所示。

如前面所述，基于硬件类别可以指定较为宽泛的硬件描述。应当注意的是，策略设置“允许安装与下列设备 ID 相匹配的设备”不支持类别 ID 描述。若要使用类别 ID 描述，请使用“允许使用与下列设备安装程序类相匹配的驱动程序安装设备”或“阻止使用与下列设备安装程序类相匹配的驱动程序安装设备”。后者最适合与设置“禁止安装未由其他策略设置描述的设备”一起使用。通过禁止安装任何设备(默认情况)，然后使用此设置，您可以精确指定要允许安装的设备。

在本例中，我使用了策略“阻止安装与下列任何设备 ID 相匹配的设备”，以基于设备 ID 来限制特定硬件类型。如果您希望使用设备类别来实施限制，必须利用其他特定策略设置，如“允许使用与下列设备安装程序类相匹配的驱动程序安装设备”或“阻止使用与下列设备安装程序类相匹配的驱动程序安装设备”。

“禁止安装可移动设备”是一种快捷的通用限制方式，可限制任何将自身描述为可移动设备的硬件设备，包括 USB 设备。此设置非常宽泛，因此最好不要频繁使用它，而应使用前面所述技术获取要限制的适当设备 ID，并具体锁定。

最后，“禁止安装未由其他策略设置描述的设备”是一项包罗甚广的策略设置，基本上限制了所有硬件，除非明确指明可以安装的设备。此策略与各种“允许”策略(如“允许安装与下列设备 ID 相匹配的设备”配合使用可生成强大的工具，只允许在您的环境中安装所希望的设备。

结束语

Windows Vista 中的组策略新增了许多强大功能，非常适于只允许在您环境中安装所希望设备的情形。您只需在部署的早期阶段实施相应策略设置，即可在网络中将不希望接入的设备永远拒之门外。