Едно от най-големите предизвикателства за ИТ администратора в една компания е да блокира достъпа до устройства като USB , външен твърд диск^{(External Hard Drive)} и дори принтери до устройствата на организацията. За да направи това малко по-лесно, Microsoft въведе функцията за многослойни групови политики,^{(Layered Group Policy feature)} която дава на администраторите възможността да разделят кои устройства могат да бъдат инсталирани на машини в цялата организация.

Какво представляват слоевата групова политика^{(Group Policy)} в Windows 11 ?

Тази групова политика^{(Group Policy)} има за цел да гарантира, че машините получават по-малко корупция, намалява броят на случаите за поддръжка и най-важното е да се намали кражбата на данни. Политиката гарантира ограничаване на всяка инсталация, т.е. блокиране на използването на устройства както във вътрешната, така и във външната среда. ИТ администраторите могат да изберат предварително оторизирани устройства, които да бъдат използвани/инсталирани.

Наличен^(Available) тук, скриптът гарантира, че не всички класове са блокирани:

Computer Configuration > System > Device Installation > Device Installation Restrictions

това означава, че ако сте избрали да блокирате използването на USB устройство, то само го блокира. Отивайки една крачка напред, новата функция решава предишния проблем, при който трябва да бъдат създадени няколко набора, за да се избегне конфликт. Вместо това имате йерархично наслояване на идентификатор на Instance ID > Device ID > Class > Removable свойство на преносимо устройство.

Как да приложите многослойни групови правила^{(Layered Group Policy)} в Windows 11

Първата политика, която трябва да активирате, е — Прилагане на многослоен ред на оценка за правилата за разрешаване и предотвратяване на инсталиране на устройство към всички критерии за съвпадение на устройства^{(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)} .

След като сте готови, има допълнителен набор от правила и трябва да се уверите, че спазвате йерархичния ред ( Идентификатори на екземпляри на устройства ^(Device)IDs > Device IDs > Device Клас за настройка на устройството > Removable устройства) в ума. Ето политиките, свързани с всеки:

Идентификатори на екземпляри на устройства

• Предотвратете^(Prevent) инсталирането на устройства с помощта на драйвери, които съответстват на тези идентификатори на екземпляри на устройства^(IDs)
• Разрешаване^(Allow) на инсталиране на устройства с помощта на драйвери, които съответстват на тези идентификатори^(IDs) на екземпляри на устройства .

Идентификатори на устройства

• Предотвратете^(Prevent) инсталирането на устройства с помощта на драйвери, които съответстват на тези идентификатори на устройства
• Разрешете^(Allow) инсталирането на устройства с помощта на драйвери, които съответстват на тези идентификатори на устройства

Клас за настройка на устройството

• Предотвратете^(Prevent) инсталирането на устройства с помощта на драйвери, които съответстват на тези класове за настройка на устройства
• Разрешаване^(Allow) на инсталиране на устройства с помощта на драйвери, които съответстват на тези класове за настройка на устройства.

Подвижни устройства

• Предотвратете^(Prevent) инсталирането на сменяеми устройства

Конфигурирайте^(Configure) всеки от тях, като добавите идентификатора на устройството или идентификатора на класа и приложите промените.

Microsoft препоръчва използването на тази политика вместо настройката на политиката „ Предотвратяване на инсталиране на устройства, които не са описани от други настройки на^{(Prevent installation of devices not described by other policy settings)} правилата “ поради многослойната структура.

Как да намеря хардуерен идентификатор^{(Hardware ID)} или съвместим ID?

• Отворете диспечера^{(Device Manager)} на устройства, като използвате Win + X , последвано от натискане на M.
• Намерете устройството. Щракнете с десния бутон върху него и след това изберете Свойства
• Превключете към раздела Подробности
• Щракнете^(Click) върху падащото меню Property и тук можете да изберете идентификатор на хардуера, идентификатор на клас и други подробности. Точната стойност ще бъде налична в секцията стойност.

Как да добавя идентификатори^{(Device IDs)} на устройства към списъка с позволени^(Allow) ?

• Отваряне на правилата — Разрешаване на инсталиране на устройства, които съответстват на някой от тези идентификатори на устройства^{(Allow installation of devices that match any of these device IDs)} .
• Изберете Разрешено^{(Select Enabled)} и след това щракнете върху бутона Покажи^(Show) под Опции.
• Добавете съвместим ID^{(Add Compatible ID)} или хардуерен идентификатор^{(Hardware ID)} към списъка
• Приложете промените.

Можете също да блокирате инсталирането на конкретни устройства, като използвате правилата за предотвратяване^(Prevent) на инсталиране.

Как да позволя на администраторите да отменят ограниченията за инсталиране на устройство?

Има специална политика за това, която можете да активирате. След като бъдат активирани, членовете на групата администратори^{(Administrators)} могат да използват съветника за добавяне на хардуер^{(Add Hardware)} или съветника за актуализиране на драйвера, за да инсталират и актуализират устройството.

Как да настроите изчакване, за да наложите промяна на правилата?

Ако искате да наложите промяната на правилата, трябва да рестартирате. Една настройка ви позволява да настроите изчакване^(Timeout) за рестартиране, което се показва на крайния потребител, за да сте сигурни, че няма загуба на данни.

Надявам се, че публикацията ви е обяснила ясно относно правилата за многослойни групи^{(Layered Group Policy)} в Windows 11 .

Политиката^{(The policy)} е достъпна и в Windows 10  като част от незадължителната версия на клиента „C“ за юли 2021^{(July 2021)} г. и ще бъде по-широко достъпна, започвайки с актуализацията от август 2021 г. ^{(August 2021)} във вторник^{(Update Tuesday)} .

How to apply Layered Group Policy in Windows 11/10

One of the biggest challenges for an IT admin in a сompany is to block access to deviceѕ such as USB, External Hard Drive, and even Printers to the organization’s devices. To make this a little easier, Microsoft has rollеd out the Layered Group Policy feature that gives administrators the ability to divide which devices can be installed on machines across the organization.

What is Layered Group Policy in Windows 11?

This Group Policy aims to ensure the machines get less corruption, the number of support cases drops, and the most important is to reduce data theft. The policy ensures to restrict any installation, i.e., the use of devices both in the internal and external environment is blocked. IT admins can choose to pre-authorized devices to be used/installed.

Available here, the script makes sure not all classes are blocked:

Computer Configuration > System > Device Installation > Device Installation Restrictions

this means that if you chose to block the USB device usage, it only blocks it. Going one step ahead, the new feature resolves the earlier problem where several sets need to be created to avoid conflict. Instead, you have hierarchical layering Instance ID > Device ID > Class > Removable device property.

How to apply Layered Group Policy in Windows 11

The first policy you need to enable is — Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria.

Once done, there are an additional set of policies, and you need to ensure to keep the hierarchical order (Device instance IDs > Device IDs > Device setup class > Removable devices) in mind. Here are the policies related to each:

Device instance IDs

• Prevent installation of devices using drivers that match these device instance IDs
• Allow installation of devices using drivers that match these device instance IDs.

Device IDs

• Prevent installation of devices using drivers that match these device IDs
• Allow installation of devices using drivers that match these device IDs

Device setup class

• Prevent installation of devices using drivers that match these device setup classes
• Allow installation of devices using drivers that match these device setup classes.

Removable devices

• Prevent installation of removable devices

Configure each of them by adding the device id or class ID and apply the changes.

Microsoft recommends using this policy over the “Prevent installation of devices not described by other policy settings” policy setting because of the layered structure.

How to find the Hardware ID or Compatible ID?

• Open Device Manager using Win + X, followed by pressing M.
• Locate the device. Right-click on it, and then select Properties
• Switch to the Details tab
• Click on the Property dropdown, and here you can select hardware ID, class ID, and other details. The exact value will be available in the value section.

How to add Device IDs to the Allow list?

• Open the policy— Allow installation of devices that match any of these device IDs.
• Select Enabled, and then click on the Show button under Options.
• Add Compatible ID or Hardware ID to the list
• Apply the changes.

You can also block the installation of specific devices by using the Prevent installation policies.

How to allow administrators to override device installation restrictions?

There is a policy specific to this which you can enable. Once enabled, members of the Administrators group can use the Add Hardware wizard or the update driver wizard to install and update the device.

How to set up a timeout to enforce policy change?

If you want to enforce the policy change, you need to reboot. A setting allows you to set up a Reboot Timeout displayed to the end-user to make sure there is no data loss.

I hope the post explained to you clearly about the Layered Group Policy in Windows 11.

The policy is also available in Windows 10  as part of the July 2021 optional “C” client release and will be made more broadly available beginning in the August 2021 Update Tuesday release.

Related posts

• Как да добавите редактор на групови правила към Windows 11/10 Home Edition

• Как да активирате или деактивирате Win32 Long Paths в Windows 11/10

• Изтривайте старите потребителски профили и файлове автоматично в Windows 11/10

• Как да деактивирате опцията за влизане с парола за снимки в Windows 11/10

• Как да проследявате активността на потребителите в режим на работна група на Windows 11/10

• Услугата или групата на зависимостта не успяха да се стартират в Windows 11/10

• Изключете показването на скорошни записи за търсене във File Explorer в Windows 11/10

• Пренасочване на сайтове от IE към Microsoft Edge с помощта на групови правила в Windows 10

• Как да отстраните често срещани проблеми със звука в Windows 11/10

• Клиентската услуга за групови правила не успя да влезе в Windows 11/10

• Референтно ръководство за настройки на групови правила за Windows 10

• Как да активирате редактора на групови правила в Windows 11 Home Edition

• Фоновата групова политика на работния плот не се прилага в Windows 11/10

• Как да посочите краен срок преди автоматично рестартиране за инсталиране на актуализация

• Как да планирате стартиране на пакетен файл в Windows 11/10 с помощта на Task Scheduler

• 6 най-добри безплатни инструменти за ремонт на Windows 11/10

• Активирайте, деактивирайте автоматичното коригиране и подчертайте неправилно изписани думи в Windows

• Не позволявайте на потребителите да променят датата и часа в Windows 11/10

• Как да активирате или деактивирате функцията за изолиране на приложения в Windows 10

• Импортиране, експортиране, поправка, възстановяване на правилата на защитната стена по подразбиране в Windows 11/10