Yksi yrityksen IT-järjestelmänvalvojan suurimmista haasteista on estää pääsy laitteille, kuten USB :lle , ulkoiselle kiintolevylle^{(External Hard Drive)} ja jopa tulostimille, organisaation laitteille. Helpottaakseen tätä hieman Microsoft on ottanut käyttöön Layered Group Policy -ominaisuuden^{(Layered Group Policy feature)} , jonka avulla järjestelmänvalvojat voivat jakaa, mitkä laitteet voidaan asentaa koneisiin eri puolilla organisaatiota.

Mikä on kerrostettu ryhmäkäytäntö ^{(Group Policy)}Windows 11 :ssä ?

Tämän ryhmäkäytännön^{(Group Policy)} tavoitteena on varmistaa, että koneet saavat vähemmän korruptiota, tukitapausten määrä laskee ja tärkeintä on vähentää tietovarkauksia. Käytännöllä varmistetaan, että asennusta rajoitetaan, eli laitteiden käyttö sekä sisäisessä että ulkoisessa ympäristössä estetään. IT-järjestelmänvalvojat voivat valita etukäteen valtuutetut laitteet käytettäväksi/asennettavaksi.

Saatavilla^(Available) täällä, komentosarja varmistaa, ettei kaikkia luokkia ole estetty:

Computer Configuration > System > Device Installation > Device Installation Restrictions

tämä tarkoittaa, että jos päätit estää USB - laitteen käytön, se vain estää sen. Askeleen edellä uusi ominaisuus ratkaisee aiemman ongelman, jossa on luotava useita joukkoja ristiriitojen välttämiseksi. Sen sijaan sinulla on hierarkkinen kerros Instance ID > Device ID > Class > Removable laitteen ominaisuus.

Kerrostetun ryhmäkäytännön^{(Layered Group Policy)} soveltaminen Windows 11 :ssä

Ensimmäinen käytäntö, joka sinun on otettava käyttöön, on — Käytä kerrottua arviointijärjestystä laitteen asennuskäytäntöjen sallimiseksi ja estämiseksi kaikissa laitteiden vastaavuusehdoissa^{(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)} .

Kun olet valmis, käytettävissä on lisäkäytäntöjä, ja sinun on varmistettava, että pidät hierarkkisen järjestyksen ( Laiteilmentymien ^(Device)IDs > Device IDs > Device > Irrotettavat > Removable ) mielessä. Tässä ovat kuhunkin asiaan liittyvät käytännöt:

Laitteen ilmentymien tunnukset

• Estä^(Prevent) laitteiden asennus ohjaimilla, jotka vastaavat näitä laiteilmentymien tunnuksia^(IDs)
• Salli^(Allow) laitteiden asennus ohjaimilla, jotka vastaavat näitä laiteilmentymien tunnuksia^(IDs) .

Laitetunnukset

• Estä^(Prevent) laitteiden asennus ohjaimilla, jotka vastaavat näitä laitetunnuksia
• Salli^(Allow) laitteiden asennus ohjaimilla, jotka vastaavat näitä laitetunnuksia

Laitteen asetusluokka

• Estä^(Prevent) laitteiden asennus ohjaimilla, jotka vastaavat näitä laiteasetusluokkia
• Salli^(Allow) laitteiden asennus ohjaimilla, jotka vastaavat näitä laiteasetusluokkia.

Poistettavat laitteet

• Estä^(Prevent) irrotettavien laitteiden asennus

Määritä^(Configure) jokainen niistä lisäämällä laitetunnus tai luokkatunnus ja ota muutokset käyttöön.

Microsoft suosittelee tämän käytännön käyttöä " Estä sellaisten laitteiden asennus, joita muut käytäntöasetukset eivät kuvaa^{(Prevent installation of devices not described by other policy settings)} " -käytäntöasetuksen sijaan kerrosrakenteen vuoksi.

Kuinka löytää laitteistotunnus^{(Hardware ID)} tai yhteensopiva tunnus?

• Avaa Laitehallinta^{(Device Manager)} painamalla Win + X ja paina sitten M.
• Paikanna laite. Napsauta sitä hiiren kakkospainikkeella ja valitse sitten Ominaisuudet
• Vaihda Tiedot-välilehteen
• Napsauta avattavaa ^(Click)Omaisuus^(Property) - valikkoa, ja täältä voit valita laitteistotunnuksen, luokkatunnuksen ja muita tietoja. Tarkka arvo on saatavilla arvoosiossa.

Kuinka lisätä laitetunnuksia ^{(Device IDs)}Salli^(Allow) - luetteloon?

• Avaa käytäntö – Salli sellaisten laitteiden asennus, jotka vastaavat jotakin näistä laitetunnuksista^{(Allow installation of devices that match any of these device IDs)} .
• Valitse Käytössä^{(Select Enabled)} ja napsauta sitten Asetukset-kohdan Näytä^(Show) - painiketta.
• Lisää^{(Add Compatible ID)} luetteloon yhteensopiva tunnus tai laitteistotunnus^{(Hardware ID)}
• Ota muutokset käyttöön.

Voit myös estää tiettyjen laitteiden asennuksen käyttämällä Estä^(Prevent) asennuskäytäntöjä.

Miten järjestelmänvalvojat voivat ohittaa laitteen asennusrajoitukset?

Tätä varten on olemassa erityinen käytäntö, jonka voit ottaa käyttöön. Kun järjestelmänvalvojat^{(Administrators)} ovat käytössä, he voivat asentaa ja päivittää laitteen ohjatun laitteiston^{(Add Hardware)} lisäämisen tai ohjatun ohjaimen päivitystoiminnon avulla.

Kuinka asettaa aikakatkaisu käytäntömuutoksen täytäntöönpanoa varten?

Jos haluat pakottaa käytäntömuutoksen, sinun on käynnistettävä uudelleen. Asetuksen avulla voit määrittää loppukäyttäjälle näytettävän uudelleenkäynnistyksen aikakatkaisun varmistaaksesi, ettei tietoja menetetä.^(Timeout)

Toivon, että viesti selitti sinulle selvästi kerrostetun ryhmäkäytännön ^{(Layered Group Policy)}Windows 11 :ssä .

Käytäntö^{(The policy)} on saatavilla myös Windows 10  :ssä osana heinäkuun 2021^{(July 2021)} valinnaista C-asiakasjulkaisua, ja se tulee saataville laajemmin elokuun 2021 ^{(August 2021)} päivitystiistain^{(Update Tuesday)} julkaisusta alkaen.

How to apply Layered Group Policy in Windows 11/10

One оf the biggest challengеs for an IT admin in a company is to block access to devicеs such as USB, External Hard Driνe, and even Printers to the organization’s devices. To mаke thіs a little easier, Miсrosoft has rolled out the Layered Group Policy feature that gives administrators the ability to divide which devices can be installed on machines across the organization.

What is Layered Group Policy in Windows 11?

This Group Policy aims to ensure the machines get less corruption, the number of support cases drops, and the most important is to reduce data theft. The policy ensures to restrict any installation, i.e., the use of devices both in the internal and external environment is blocked. IT admins can choose to pre-authorized devices to be used/installed.

Available here, the script makes sure not all classes are blocked:

Computer Configuration > System > Device Installation > Device Installation Restrictions

this means that if you chose to block the USB device usage, it only blocks it. Going one step ahead, the new feature resolves the earlier problem where several sets need to be created to avoid conflict. Instead, you have hierarchical layering Instance ID > Device ID > Class > Removable device property.

How to apply Layered Group Policy in Windows 11

The first policy you need to enable is — Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria.

Once done, there are an additional set of policies, and you need to ensure to keep the hierarchical order (Device instance IDs > Device IDs > Device setup class > Removable devices) in mind. Here are the policies related to each:

Device instance IDs

• Prevent installation of devices using drivers that match these device instance IDs
• Allow installation of devices using drivers that match these device instance IDs.

Device IDs

• Prevent installation of devices using drivers that match these device IDs
• Allow installation of devices using drivers that match these device IDs

Device setup class

• Prevent installation of devices using drivers that match these device setup classes
• Allow installation of devices using drivers that match these device setup classes.

Removable devices

• Prevent installation of removable devices

Configure each of them by adding the device id or class ID and apply the changes.

Microsoft recommends using this policy over the “Prevent installation of devices not described by other policy settings” policy setting because of the layered structure.

How to find the Hardware ID or Compatible ID?

• Open Device Manager using Win + X, followed by pressing M.
• Locate the device. Right-click on it, and then select Properties
• Switch to the Details tab
• Click on the Property dropdown, and here you can select hardware ID, class ID, and other details. The exact value will be available in the value section.

How to add Device IDs to the Allow list?

• Open the policy— Allow installation of devices that match any of these device IDs.
• Select Enabled, and then click on the Show button under Options.
• Add Compatible ID or Hardware ID to the list
• Apply the changes.

You can also block the installation of specific devices by using the Prevent installation policies.

How to allow administrators to override device installation restrictions?

There is a policy specific to this which you can enable. Once enabled, members of the Administrators group can use the Add Hardware wizard or the update driver wizard to install and update the device.

How to set up a timeout to enforce policy change?

If you want to enforce the policy change, you need to reboot. A setting allows you to set up a Reboot Timeout displayed to the end-user to make sure there is no data loss.

I hope the post explained to you clearly about the Layered Group Policy in Windows 11.

The policy is also available in Windows 10  as part of the July 2021 optional “C” client release and will be made more broadly available beginning in the August 2021 Update Tuesday release.

Related posts

• Ryhmäkäytäntöeditorin lisääminen Windows 11/10 Home Editioniin

• Kuinka ottaa Win32 pitkät polut käyttöön tai poistaa ne käytöstä Windows 11/10:ssä

• Poista vanhat käyttäjäprofiilit ja tiedostot automaattisesti Windows 11/10:ssä

• Kuvan salasanan kirjautumisvaihtoehdon poistaminen käytöstä Windows 11/10:ssä

• Kuinka seurata käyttäjien toimintaa työryhmätilassa Windows 11/10:ssä

• 6 parasta ilmaista Windows 11/10 -korjaustyökalua

• Kuinka määrittää määräaika ennen automaattista uudelleenkäynnistystä päivityksen asennukselle

• Ryhmäkäytännön rekisterin sijainti Windows 11/10:ssä

• Vaihda Windows-päivitysten toimituksen optimoinnin välimuisti

• Kuinka estää käyttäjiä poistamasta diagnostiikkatietoja Windows 11/10:ssä

• Kuinka poistaa nopea käynnistys käytöstä Windows 11/10:ssä (ja miksi sinun pitäisi)

• Varmuuskopioi/palauta tai tuo/vie ryhmäkäytäntöasetukset Windows 11/10:ssä

• Ohjaa sivustot IE:stä Microsoft Edgeen Windows 10:n ryhmäkäytännön avulla

• Estä käyttäjiä muuttamasta päivämäärää ja aikaa Windows 11/10:ssä

• Kuinka korjata "Asennus epätäydellinen mitatun yhteyden vuoksi" Windows 11/10:ssä

• Kuinka ottaa Windows Installer -kirjaus käyttöön Windows 10:ssä

• Ryhmäkäytäntöasetukset puuttuvat Windows 11/10:stä

• Työpöydän taustaryhmäkäytäntö ei ole voimassa Windows 11/10:ssä

• Kuinka lukita kaikki tehtäväpalkin asetukset Windows 10:ssä

• Poista toimituksen optimointi käytöstä ryhmäkäytännön tai rekisterieditorin kautta