HOWTO: 使用组策略限制设备安装

        从事 Windows 桌面标准化工作的 IT 朋友应该了解，Windows 在设备支持方面的显著特性就是 PnP - 即插即用，系统驱动程序存储区会保存一些常见的设备驱动，当设备连接到系统后，会自动匹配并安装对应的驱动；如果驱动程序存储区没有对应的驱动，则会通过 Internet 向 Windows Update 发送请求获取设备驱动。所以，当我们向系统安装设备驱动程序时，在底层的动作会有两步，驱动会先自动拷贝至存储区，然后在匹配到当前系统实例上（安装驱动）。

        OSImage 的编制人员通常会使用 DISM 命令将非系统自带的设备所需驱动注入到 Image，当系统执行 Specialized 阶段时会进行驱动匹配和安装；或者在普通用户连接设备时实现驱动安装。对于最终用户，这是非常友好的，因为用户可以在没有帮助的情况下开始使用设备。但是，这也会对 IT 部门带来挑战，他们可能无法支持各种设备，此外公司也可能会通过阻止用户使用 USB 端口来阻止用户连接 USB 设备。

        在 Windows 平台上提供了多个组策略设置，可用于控制设备和设备驱动程序的安装。这使 IT 可以限制特定设备的安装，但允许安装所有其他设备。要学习和使用这些组策略可以打开组策略编辑器并定位到“计算机配置-管理模板-系统-驱动程序安装”：

        其中包含两个配置选项：

• 允许非管理员为这些设备设置类安装驱动程序：允许用户安装指定的设备驱动程序。您可以通过检查伴随设备驱动程序的.inf文件来确定适当的驱动程序设置类。
• 关闭Windows Update设备驱动程序搜索提示：确定管理员在设备安装期间是否收到提示以搜索Windows Update驱动程序。

        要控制设备安装限制的组策略设置，可定位到“计算机配置-管理模板-系统-设备安装-设备安装限制”。

        其中包含：

• 允许管理员覆盖设备安装限制策略：允许管理员组的成员安装或更新设备的驱动程序，而不管策略设置如何。
• 允许使用与这些设备设置类匹配的驱动程序来安装设备：允许安装与指定的设置类全局唯一标识符（GUID）相匹配的设备。
• 使用与这些设备设置类匹配的驱动程序防止安装设备：防止安装与指定的设置类GUID匹配的设备。
• 当策略设置阻止安装时显示自定义消息：允许管理员定义当策略设置阻止设备安装时显示的自定义消息。
• 当策略设置阻止设备安装时显示自定义消息标题：允许管理员定义自定义消息标题，当策略设置阻止设备安装时显示。
• 允许安装匹配任何这些设备标识符的设备：允许安装与您指定的设备标识符匹配的设备。
• 防止安装符合任何这些设备标识符的设备：阻止安装与您指定的设备标识匹配的设备。
• 时间（以秒为单位）在策略更改生效时强制重新启动：允许您定义设备安装后计算机等待重新启动的时间。
• 防止安装可移动设备：允许您阻止用户安装可移动设备。
• 防止其他策略设置未描述的设备安装：允许您确保用户无法安装任何驱动程序，即使没有限制安装的策略。