Jak zastosować warstwowe zasady grupy w systemie Windows 11/10?

Jednym z największych wyzwań dla administratora IT w firmie jest zablokowanie dostępu do urządzeń organizacji, takich jak USB , zewnętrzny dysk twardy(External Hard Drive) , a nawet drukarki. Aby to trochę ułatwić, firma Microsoft(Microsoft) wprowadziła funkcję warstwowych zasad grupy,(Layered Group Policy feature) która daje administratorom możliwość dzielenia urządzeń, które można zainstalować na komputerach w całej organizacji.

Co to są zasady grupy(Group Policy) warstwowej w systemie Windows 11(Windows 11) ?

Te zasady grupy(Group Policy) mają na celu zapewnienie, że komputery będą mniej uszkodzone, liczba zgłoszeń pomocy technicznej spadnie, a najważniejsze jest ograniczenie kradzieży danych. Polityka zapewnia ograniczenie dowolnej instalacji, tj. blokowanie korzystania z urządzeń zarówno w środowisku wewnętrznym, jak i zewnętrznym. Administratorzy IT mogą wybrać wstępnie autoryzowane urządzenia, które mają być używane/instalowane.

Warstwowe zasady grupy w Windows 11

Dostępny(Available) tutaj skrypt sprawia, że ​​nie wszystkie klasy są blokowane:

Computer Configuration > System > Device Installation > Device Installation Restrictions

oznacza to, że jeśli zdecydujesz się zablokować użycie urządzenia USB , to tylko je blokuje. Idąc o krok do przodu, nowa funkcja rozwiązuje wcześniejszy problem, w którym należy utworzyć kilka zestawów, aby uniknąć konfliktu. Zamiast tego masz hierarchiczny Instance ID > Device ID > Class > Removable właściwość urządzenia wymiennego.

Jak zastosować warstwowe zasady grupy(Layered Group Policy) w systemie Windows 11?(Windows 11)

Pierwsza zasada, którą należy włączyć, to — Zastosuj warstwową kolejność oceny dla zasad Zezwalaj i Nie zezwalaj na instalację urządzeń we wszystkich kryteriach zgodności urządzeń(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria) .

Po zakończeniu istnieje dodatkowy zestaw zasad i należy pamiętać o zachowaniu hierarchii ( Identyfikatory instancji urządzeń (Device)IDs > Device IDs > Device Klasa konfiguracji urządzeń > Urządzenia > Removable ). Oto zasady dotyczące każdego z nich:

Identyfikatory instancji urządzenia

  • Zapobiegaj(Prevent) instalacji urządzeń przy użyciu sterowników pasujących do tych identyfikatorów instancji urządzenia(IDs)
  • Zezwól(Allow) na instalację urządzeń przy użyciu sterowników zgodnych z tymi identyfikatorami(IDs) instancji urządzeń .

Identyfikatory urządzeń

  • Zapobiegaj(Prevent) instalacji urządzeń przy użyciu sterowników pasujących do tych identyfikatorów urządzeń
  • Zezwól(Allow) na instalację urządzeń przy użyciu sterowników pasujących do tych identyfikatorów urządzeń

Klasa konfiguracji urządzenia

  • Zapobiegaj(Prevent) instalacji urządzeń przy użyciu sterowników zgodnych z tymi klasami konfiguracji urządzeń
  • Zezwalaj(Allow) na instalację urządzeń przy użyciu sterowników zgodnych z tymi klasami konfiguracji urządzeń.

Urządzenie przenośne

  • Zapobiegaj(Prevent) instalacji urządzeń wymiennych

Skonfiguruj(Configure) każdy z nich, dodając identyfikator urządzenia lub identyfikator klasy i zastosuj zmiany.

Firma Microsoft(Microsoft) zaleca stosowanie tej zasady zamiast ustawienia zasad „ Zapobiegaj instalacji urządzeń nieopisanych przez inne ustawienia(Prevent installation of devices not described by other policy settings) zasad ” ze względu na strukturę warstwową.

Jak znaleźć identyfikator sprzętu(Hardware ID) lub zgodny identyfikator?

Znajdź zgodne identyfikatory Menedżer urządzeń

  • Otwórz Menedżera urządzeń(Device Manager) za pomocą Win + X , a następnie naciśnij M.
  • Zlokalizuj urządzenie. Kliknij go prawym przyciskiem myszy, a następnie wybierz Właściwości
  • Przejdź do zakładki Szczegóły
  • Kliknij(Click) menu rozwijane Właściwość(Property) i tutaj możesz wybrać identyfikator sprzętu, identyfikator klasy i inne szczegóły. Dokładna wartość będzie dostępna w sekcji wartości.

Jak dodać identyfikatory urządzeń(Device IDs) do listy dozwolonych(Allow) ?

Zezwól na instalację urządzenia w zasadach grupy

  • Otwórz zasadę – zezwól na instalację urządzeń zgodnych z dowolnym z tych identyfikatorów urządzeń(Allow installation of devices that match any of these device IDs) .
  • Wybierz opcję Włączone(Select Enabled) , a następnie kliknij przycisk Pokaż(Show) w obszarze Opcje.
  • Dodaj zgodny identyfikator(Add Compatible ID) lub identyfikator sprzętu(Hardware ID) do listy
  • Zastosuj zmiany.

Możesz także zablokować instalację określonych urządzeń, korzystając z zasad Zapobiegaj(Prevent) instalacji.

Jak zezwolić administratorom na obejście ograniczeń instalacji urządzeń?

Zezwalaj administratorom na zastępowanie zasad ograniczeń instalacji urządzeń

Istnieje specyficzna dla tego polityka, którą możesz włączyć. Po włączeniu członkowie grupy Administratorzy(Administrators) mogą używać kreatora dodawania sprzętu(Add Hardware) lub kreatora aktualizacji sterownika do instalowania i aktualizowania urządzenia.

Jak ustawić limit czasu, aby wymusić zmianę zasad?

Jeśli chcesz wymusić zmianę zasad, musisz ponownie uruchomić komputer. Ustawienie umożliwia skonfigurowanie limitu czasu(Timeout) ponownego uruchomienia wyświetlanego użytkownikowi końcowemu, aby upewnić się, że nie ma utraty danych.

Mam nadzieję, że post wyjaśnił ci jasno na temat warstwowych zasad grupy(Layered Group Policy) w systemie Windows 11(Windows 11) .

Zasady(The policy) są również dostępne w systemie Windows 10(Windows 10)  jako część opcjonalnej wersji klienta „C” z lipca 2021(July 2021) r. i będą szerzej dostępne od wtorkowej aktualizacji z (Update Tuesday)sierpnia 2021(August 2021) r.



About the author

Jestem profesjonalnym inżynierem dźwięku z ponad 10-letnim doświadczeniem. Pracowałem przy wielu projektach, od małych domowych systemów audio po duże produkcje komercyjne. Moje umiejętności polegają na tworzeniu doskonałych ścieżek dźwiękowych i narzędzi do przetwarzania dźwięku, dzięki którym muzyka brzmi świetnie. Mam również ogromne doświadczenie w pracy z systemem Windows 10 i mogę pomóc Ci w pełni wykorzystać możliwości systemu komputerowego.



Related posts