Jednym z największych wyzwań dla administratora IT w firmie jest zablokowanie dostępu do urządzeń organizacji, takich jak USB , zewnętrzny dysk twardy^{(External Hard Drive)} , a nawet drukarki. Aby to trochę ułatwić, firma Microsoft^(Microsoft) wprowadziła funkcję warstwowych zasad grupy,^{(Layered Group Policy feature)} która daje administratorom możliwość dzielenia urządzeń, które można zainstalować na komputerach w całej organizacji.

Co to są zasady grupy^{(Group Policy)} warstwowej w systemie Windows 11^{(Windows 11)} ?

Te zasady grupy^{(Group Policy)} mają na celu zapewnienie, że komputery będą mniej uszkodzone, liczba zgłoszeń pomocy technicznej spadnie, a najważniejsze jest ograniczenie kradzieży danych. Polityka zapewnia ograniczenie dowolnej instalacji, tj. blokowanie korzystania z urządzeń zarówno w środowisku wewnętrznym, jak i zewnętrznym. Administratorzy IT mogą wybrać wstępnie autoryzowane urządzenia, które mają być używane/instalowane.

Dostępny^(Available) tutaj skrypt sprawia, że ​​nie wszystkie klasy są blokowane:

Computer Configuration > System > Device Installation > Device Installation Restrictions

oznacza to, że jeśli zdecydujesz się zablokować użycie urządzenia USB , to tylko je blokuje. Idąc o krok do przodu, nowa funkcja rozwiązuje wcześniejszy problem, w którym należy utworzyć kilka zestawów, aby uniknąć konfliktu. Zamiast tego masz hierarchiczny Instance ID > Device ID > Class > Removable właściwość urządzenia wymiennego.

Jak zastosować warstwowe zasady grupy^{(Layered Group Policy)} w systemie Windows 11?^{(Windows 11)}

Pierwsza zasada, którą należy włączyć, to — Zastosuj warstwową kolejność oceny dla zasad Zezwalaj i Nie zezwalaj na instalację urządzeń we wszystkich kryteriach zgodności urządzeń^{(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)} .

Po zakończeniu istnieje dodatkowy zestaw zasad i należy pamiętać o zachowaniu hierarchii ( Identyfikatory instancji urządzeń ^(Device)IDs > Device IDs > Device Klasa konfiguracji urządzeń > Urządzenia > Removable ). Oto zasady dotyczące każdego z nich:

Identyfikatory instancji urządzenia

• Zapobiegaj^(Prevent) instalacji urządzeń przy użyciu sterowników pasujących do tych identyfikatorów instancji urządzenia^(IDs)
• Zezwól^(Allow) na instalację urządzeń przy użyciu sterowników zgodnych z tymi identyfikatorami^(IDs) instancji urządzeń .

Identyfikatory urządzeń

• Zapobiegaj^(Prevent) instalacji urządzeń przy użyciu sterowników pasujących do tych identyfikatorów urządzeń
• Zezwól^(Allow) na instalację urządzeń przy użyciu sterowników pasujących do tych identyfikatorów urządzeń

Klasa konfiguracji urządzenia

• Zapobiegaj^(Prevent) instalacji urządzeń przy użyciu sterowników zgodnych z tymi klasami konfiguracji urządzeń
• Zezwalaj^(Allow) na instalację urządzeń przy użyciu sterowników zgodnych z tymi klasami konfiguracji urządzeń.

Urządzenie przenośne

• Zapobiegaj^(Prevent) instalacji urządzeń wymiennych

Skonfiguruj^(Configure) każdy z nich, dodając identyfikator urządzenia lub identyfikator klasy i zastosuj zmiany.

Firma Microsoft^(Microsoft) zaleca stosowanie tej zasady zamiast ustawienia zasad „ Zapobiegaj instalacji urządzeń nieopisanych przez inne ustawienia^{(Prevent installation of devices not described by other policy settings)} zasad ” ze względu na strukturę warstwową.

Jak znaleźć identyfikator sprzętu^{(Hardware ID)} lub zgodny identyfikator?

• Otwórz Menedżera urządzeń^{(Device Manager)} za pomocą Win + X , a następnie naciśnij M.
• Zlokalizuj urządzenie. Kliknij go prawym przyciskiem myszy, a następnie wybierz Właściwości
• Przejdź do zakładki Szczegóły
• Kliknij^(Click) menu rozwijane Właściwość^(Property) i tutaj możesz wybrać identyfikator sprzętu, identyfikator klasy i inne szczegóły. Dokładna wartość będzie dostępna w sekcji wartości.

Jak dodać identyfikatory urządzeń^{(Device IDs)} do listy dozwolonych^(Allow) ?

• Otwórz zasadę – zezwól na instalację urządzeń zgodnych z dowolnym z tych identyfikatorów urządzeń^{(Allow installation of devices that match any of these device IDs)} .
• Wybierz opcję Włączone^{(Select Enabled)} , a następnie kliknij przycisk Pokaż^(Show) w obszarze Opcje.
• Dodaj zgodny identyfikator^{(Add Compatible ID)} lub identyfikator sprzętu^{(Hardware ID)} do listy
• Zastosuj zmiany.

Możesz także zablokować instalację określonych urządzeń, korzystając z zasad Zapobiegaj^(Prevent) instalacji.

Jak zezwolić administratorom na obejście ograniczeń instalacji urządzeń?

Istnieje specyficzna dla tego polityka, którą możesz włączyć. Po włączeniu członkowie grupy Administratorzy^{(Administrators)} mogą używać kreatora dodawania sprzętu^{(Add Hardware)} lub kreatora aktualizacji sterownika do instalowania i aktualizowania urządzenia.

Jak ustawić limit czasu, aby wymusić zmianę zasad?

Jeśli chcesz wymusić zmianę zasad, musisz ponownie uruchomić komputer. Ustawienie umożliwia skonfigurowanie limitu czasu^(Timeout) ponownego uruchomienia wyświetlanego użytkownikowi końcowemu, aby upewnić się, że nie ma utraty danych.

Mam nadzieję, że post wyjaśnił ci jasno na temat warstwowych zasad grupy^{(Layered Group Policy)} w systemie Windows 11^{(Windows 11)} .

Zasady^{(The policy)} są również dostępne w systemie Windows 10^{(Windows 10)}  jako część opcjonalnej wersji klienta „C” z lipca 2021^{(July 2021)} r. i będą szerzej dostępne od wtorkowej aktualizacji z ^{(Update Tuesday)}sierpnia 2021^{(August 2021)} r.

How to apply Layered Group Policy in Windows 11/10

One of thе biggest challenges for an IT admin in a companу is to block acсess to deνices such as USB, Extеrnаl Hard Drive, and eνen Printers to the organization’s devices. To make this a little easiеr, Microsoft has rоlled out the Layered Group Policy feature that gives administrators the ability to divide which devices can be installed on machines across the organization.

What is Layered Group Policy in Windows 11?

This Group Policy aims to ensure the machines get less corruption, the number of support cases drops, and the most important is to reduce data theft. The policy ensures to restrict any installation, i.e., the use of devices both in the internal and external environment is blocked. IT admins can choose to pre-authorized devices to be used/installed.

Available here, the script makes sure not all classes are blocked:

Computer Configuration > System > Device Installation > Device Installation Restrictions

this means that if you chose to block the USB device usage, it only blocks it. Going one step ahead, the new feature resolves the earlier problem where several sets need to be created to avoid conflict. Instead, you have hierarchical layering Instance ID > Device ID > Class > Removable device property.

How to apply Layered Group Policy in Windows 11

The first policy you need to enable is — Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria.

Once done, there are an additional set of policies, and you need to ensure to keep the hierarchical order (Device instance IDs > Device IDs > Device setup class > Removable devices) in mind. Here are the policies related to each:

Device instance IDs

• Prevent installation of devices using drivers that match these device instance IDs
• Allow installation of devices using drivers that match these device instance IDs.

Device IDs

• Prevent installation of devices using drivers that match these device IDs
• Allow installation of devices using drivers that match these device IDs

Device setup class

• Prevent installation of devices using drivers that match these device setup classes
• Allow installation of devices using drivers that match these device setup classes.

Removable devices

• Prevent installation of removable devices

Configure each of them by adding the device id or class ID and apply the changes.

Microsoft recommends using this policy over the “Prevent installation of devices not described by other policy settings” policy setting because of the layered structure.

How to find the Hardware ID or Compatible ID?

• Open Device Manager using Win + X, followed by pressing M.
• Locate the device. Right-click on it, and then select Properties
• Switch to the Details tab
• Click on the Property dropdown, and here you can select hardware ID, class ID, and other details. The exact value will be available in the value section.

How to add Device IDs to the Allow list?

• Open the policy— Allow installation of devices that match any of these device IDs.
• Select Enabled, and then click on the Show button under Options.
• Add Compatible ID or Hardware ID to the list
• Apply the changes.

You can also block the installation of specific devices by using the Prevent installation policies.

How to allow administrators to override device installation restrictions?

There is a policy specific to this which you can enable. Once enabled, members of the Administrators group can use the Add Hardware wizard or the update driver wizard to install and update the device.

How to set up a timeout to enforce policy change?

If you want to enforce the policy change, you need to reboot. A setting allows you to set up a Reboot Timeout displayed to the end-user to make sure there is no data loss.

I hope the post explained to you clearly about the Layered Group Policy in Windows 11.

The policy is also available in Windows 10  as part of the July 2021 optional “C” client release and will be made more broadly available beginning in the August 2021 Update Tuesday release.

Related posts

• Jak dodać Edytor zasad grupy do systemu Windows 11/10 Home Edition?

• Jak włączyć lub wyłączyć długie ścieżki Win32 w systemie Windows 11/10?

• Automatyczne usuwanie starych profili użytkowników i plików w systemie Windows 11/10

• Jak wyłączyć opcję logowania za pomocą hasła obrazkowego w systemie Windows 11/10?

• Jak śledzić aktywność użytkownika w trybie grupy roboczej w systemie Windows 11/10?

• Błąd podczas otwierania Edytora lokalnych zasad grupy w systemie Windows 11/10

• Jak naprawić „Niekompletna konfiguracja z powodu zmierzonego połączenia” w systemie Windows 11/10?

• Jak włączyć lub wyłączyć optymalizację szybkiego logowania w systemie Windows 11/10?

• Jak zaplanować uruchomienie pliku wsadowego w systemie Windows 11/10 za pomocą Harmonogramu zadań?

• Jak wyłączyć szybkie uruchamianie w systemie Windows 11/10 (i dlaczego powinieneś)

• Jak zablokować wszystkie ustawienia paska zadań w systemie Windows 10?

• Jak uniemożliwić użytkownikom usuwanie danych diagnostycznych w systemie Windows 11/10?

• Jak sprawdzić stan dysku twardego w systemie Windows 11/10?

• Zmień maksymalny wiek pamięci podręcznej optymalizacji dostarczania Windows Update

• Wyłącz wyświetlanie ostatnich wpisów wyszukiwania w Eksploratorze plików w systemie Windows 11/10

• Jak określić termin przed automatycznym ponownym uruchomieniem instalacji aktualizacji

• Włącz, wyłącz autokorektę i zaznacz błędnie napisane słowa w systemie Windows

• Zatrzymaj Windows 10 przed wstępnym ładowaniem Microsoft Edge podczas uruchamiania

• Wyłącz optymalizację dostarczania za pomocą zasad grupy lub Edytora rejestru

• Jak sprawdzić zasady grupy zastosowane na komputerze z systemem Windows 10?