En av de största utmaningarna för en IT-administratör i ett företag är att blockera åtkomst till enheter som USB , extern hårddisk^{(External Hard Drive)} och till och med skrivare till organisationens enheter. För att göra detta lite enklare har Microsoft rullat ut funktionen Layered Group Policy^{(Layered Group Policy feature)} som ger administratörer möjlighet att dela upp vilka enheter som kan installeras på maskiner i hela organisationen.

Vad är Layered Group Policy i Windows 11 ?

Denna gruppolicy^{(Group Policy)} syftar till att säkerställa att datorerna får mindre korruption, antalet supportärenden minskar och det viktigaste är att minska datastöld. Policyn säkerställer att alla installationer begränsas, dvs att användningen av enheter både i den interna och externa miljön är blockerad. IT-administratörer kan välja att förauktorisera enheter som ska användas/installeras.

Lagrad gruppolicy i Windows 11

Tillgängligt^(Available) här ser skriptet till att inte alla klasser är blockerade:

Computer Configuration > System > Device Installation > Device Installation Restrictions

det betyder att om du väljer att blockera användningen av USB- enheten så blockerar den bara den. Går ett steg före, löser den nya funktionen det tidigare problemet där flera uppsättningar måste skapas för att undvika konflikter. Istället har du hierarkiskt lager Instance ID > Device ID > Class > Removable enhetsegenskap.

Så här tillämpar du lagerbaserad gruppolicy^{(Layered Group Policy)} i Windows 11

Den första policyn du behöver aktivera är — Tillämpa utvärderingsordning i lager för Tillåt och Förhindra enhetsinstallationsprinciper för alla enhetsmatchningskriterier^{(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)} .

När det är klart finns det ytterligare en uppsättning policyer, och du måste se till att hålla den hierarkiska ordningen ( Enhetsinstans^(Device) -ID:n > Enhets-ID : IDs > Device IDs > Device Enhetsinställningsklass > Removable enheter) i åtanke. Här är policyerna relaterade till var och en:

ID:n för enhetsinstanser

Förhindra^(Prevent) installation av enheter med drivrutiner som matchar dessa enhetsinstans- ID:n^(IDs)
Tillåt^(Allow) installation av enheter med drivrutiner som matchar dessa enhetsinstans- ID:n^(IDs) .

Enhets-ID:n

Förhindra^(Prevent) installation av enheter med drivrutiner som matchar dessa enhets-ID:n
Tillåt^(Allow) installation av enheter med drivrutiner som matchar dessa enhets-ID:n

Klass för enhetsinställningar

Förhindra^(Prevent) installation av enheter med drivrutiner som matchar dessa enhetsinställningsklasser
Tillåt^(Allow) installation av enheter med drivrutiner som matchar dessa enhetsinställningsklasser.

Borttagbara enheter

Förhindra^(Prevent) installation av flyttbara enheter

Konfigurera^(Configure) var och en av dem genom att lägga till enhets-ID eller klass-ID och tillämpa ändringarna.

Microsoft rekommenderar att du använder den här policyn över policyinställningen " Förhindra installation av enheter som inte beskrivs av andra policyinställningar^{(Prevent installation of devices not described by other policy settings)} " på grund av lagerstrukturen.

Hur hittar jag maskinvaru-ID^{(Hardware ID)} eller kompatibelt ID?

Leta reda på kompatibla IDs Enhetshanteraren

Öppna Enhetshanteraren^{(Device Manager)} med Win + X , följt av att trycka på M.
Leta reda på enheten. Högerklicka på den och välj sedan Egenskaper
Växla till fliken Detaljer
Klicka^(Click) på rullgardinsmenyn Egenskap^(Property) och här kan du välja maskinvaru-ID, klass-ID och andra detaljer. Det exakta värdet kommer att finnas tillgängligt i värdesektionen.

Hur lägger man till enhets-ID^{(Device IDs)} :n i listan Tillåt^(Allow) ?

Tillåt installation av enhet i grupprincip

Öppna policyn— Tillåt installation av enheter som matchar något av dessa enhets-ID:n^{(Allow installation of devices that match any of these device IDs)} .
Välj Aktiverad^{(Select Enabled)} och klicka sedan på knappen Visa^(Show) under Alternativ.
Lägg till kompatibelt ID^{(Add Compatible ID)} eller maskinvaru-ID^{(Hardware ID)} till listan
Tillämpa ändringarna.

Du kan också blockera installationen av specifika enheter genom att använda principerna för förhindra^(Prevent) installation.

Hur tillåter man administratörer att åsidosätta begränsningar för enhetsinstallation?

Tillåt administratörer åsidosätta begränsningspolicyer för enhetsinstallation

Det finns en policy som är specifik för detta som du kan aktivera. När den är aktiverad kan medlemmar i gruppen Administratörer^{(Administrators)} använda guiden Lägg till maskinvara^{(Add Hardware)} eller guiden för uppdatering av drivrutiner för att installera och uppdatera enheten.

Hur ställer jag in en timeout för att genomdriva policyändring?

Om du vill genomdriva policyändringen måste du starta om. En inställning låter dig ställa in en omstartstid^(Timeout) som visas för slutanvändaren för att säkerställa att det inte finns någon dataförlust.

Jag hoppas att inlägget förklarade tydligt för dig om den lagerbaserade gruppolicyn^{(Layered Group Policy)} i Windows 11 .

Policyn^{(The policy)} är också tillgänglig i Windows 10 som en del av den valfria "C"-klientversionen för juli 2021 och kommer att göras mer allmänt tillgänglig från och med ^{(July 2021)}augusti 2021 ^{(August 2021)} Update Tuesday release.

How to apply Layered Group Policy in Windows 11/10

One of the biggest challenges fоr аn IT admіn in a company is to block access to dеvices such as USB, External Hard Drive, and even Printers to the organization’s devices. To make this a little easier, Microsoft has rolled out the Layered Group Policy feature that gives administrators the ability to divide which devices can be installed on machines across the organization.

What is Layered Group Policy in Windows 11?

This Group Policy aims to ensure the machines get less corruption, the number of support cases drops, and the most important is to reduce data theft. The policy ensures to restrict any installation, i.e., the use of devices both in the internal and external environment is blocked. IT admins can choose to pre-authorized devices to be used/installed.

Layered Group Policy in Windows 11

Available here, the script makes sure not all classes are blocked:

Computer Configuration > System > Device Installation > Device Installation Restrictions

this means that if you chose to block the USB device usage, it only blocks it. Going one step ahead, the new feature resolves the earlier problem where several sets need to be created to avoid conflict. Instead, you have hierarchical layering Instance ID > Device ID > Class > Removable device property.

How to apply Layered Group Policy in Windows 11

The first policy you need to enable is — Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria.

Once done, there are an additional set of policies, and you need to ensure to keep the hierarchical order (Device instance IDs > Device IDs > Device setup class > Removable devices) in mind. Here are the policies related to each:

Device instance IDs

Prevent installation of devices using drivers that match these device instance IDs
Allow installation of devices using drivers that match these device instance IDs.

Device IDs

Prevent installation of devices using drivers that match these device IDs
Allow installation of devices using drivers that match these device IDs

Device setup class

Prevent installation of devices using drivers that match these device setup classes
Allow installation of devices using drivers that match these device setup classes.

Removable devices

Prevent installation of removable devices

Configure each of them by adding the device id or class ID and apply the changes.

Microsoft recommends using this policy over the “Prevent installation of devices not described by other policy settings” policy setting because of the layered structure.

How to find the Hardware ID or Compatible ID?

Locate Compatible IDs Device Manager

Open Device Manager using Win + X, followed by pressing M.
Locate the device. Right-click on it, and then select Properties
Switch to the Details tab
Click on the Property dropdown, and here you can select hardware ID, class ID, and other details. The exact value will be available in the value section.

How to add Device IDs to the Allow list?

Allow Installation of Device in Group Policy

Open the policy— Allow installation of devices that match any of these device IDs.
Select Enabled, and then click on the Show button under Options.
Add Compatible ID or Hardware ID to the list
Apply the changes.

You can also block the installation of specific devices by using the Prevent installation policies.

How to allow administrators to override device installation restrictions?

Allow Adminstrators Override Device Installation Restriction Policies

There is a policy specific to this which you can enable. Once enabled, members of the Administrators group can use the Add Hardware wizard or the update driver wizard to install and update the device.

How to set up a timeout to enforce policy change?

If you want to enforce the policy change, you need to reboot. A setting allows you to set up a Reboot Timeout displayed to the end-user to make sure there is no data loss.

I hope the post explained to you clearly about the Layered Group Policy in Windows 11.

The policy is also available in Windows 10 as part of the July 2021 optional “C” client release and will be made more broadly available beginning in the August 2021 Update Tuesday release.

Astrid Oak

About the author

Jag är en Windows-specialist och har arbetat i mjukvarubranschen i över 10 år. Jag har erfarenhet av både Microsoft Windows och Apple Macintosh-system. Mina kunskaper inkluderar: fönsterhantering, hårdvara och ljud, apputveckling med mera. Jag är en erfaren konsult som kan hjälpa dig att få ut det mesta av ditt Windows-system.

Hur man tillämpar lagerbaserad gruppolicy i Windows 11/10

Vad är Layered Group Policy i Windows 11 ?

Så här tillämpar du lagerbaserad gruppolicy(Layered Group Policy) i Windows 11

ID:n för enhetsinstanser

Enhets-ID:n

Klass för enhetsinställningar

Borttagbara enheter

Hur hittar jag maskinvaru-ID(Hardware ID) eller kompatibelt ID?

Hur lägger man till enhets-ID(Device IDs) :n i listan Tillåt(Allow) ?

Hur tillåter man administratörer att åsidosätta begränsningar för enhetsinstallation?

Hur ställer jag in en timeout för att genomdriva policyändring?

How to apply Layered Group Policy in Windows 11/10

What is Layered Group Policy in Windows 11?

How to apply Layered Group Policy in Windows 11

Device instance IDs

Device IDs

Device setup class

Removable devices

How to find the Hardware ID or Compatible ID?

How to add Device IDs to the Allow list?

How to allow administrators to override device installation restrictions?

How to set up a timeout to enforce policy change?

Astrid Oak

About the author

Related posts

Hur man lägger till Group Policy Editor till Windows 11/10 Home Edition

Hur man aktiverar eller inaktiverar Win32 Long Paths på Windows 11/10

Ta bort gamla användarprofiler och filer automatiskt i Windows 11/10

Så här inaktiverar du bildlösenordsinloggningsalternativet i Windows 11/10

Så här spårar du användaraktivitet i arbetsgruppsläge på Windows 11/10

Hur man felsöker vanliga ljudproblem i Windows 11/10

Inaktivera Internet Explorer 11 som en fristående webbläsare med hjälp av grupprincip

Få åtkomst till lokal användar- och grupphantering i Windows 11/10 Home

Säkerhetskopiera/återställ eller importera/exportera grupprincipinställningar i Windows 11/10

Ändra Cache-enhet för leveransoptimering för Windows-uppdateringar

Så här håller du din bildskärm påslagen när den bärbara datorn är stängd i Windows 11/10

Hur man aktiverar eller inaktiverar eller programisoleringsfunktionen i Windows 10

Referenshandbok för grupprincipinställningar för Windows 10

Begränsa reserverbar bandbreddsinställning i Windows 11/10

Gruppolicyklienttjänsten misslyckades med inloggningen i Windows 11/10

Omdirigera webbplatser från IE till Microsoft Edge med hjälp av gruppolicy i Windows 10

Stäng av visningen av de senaste sökposterna i Filutforskaren i Windows 11/10

Aktivera helskärmsstartmenyn med hjälp av grupprincip eller register i Windows

Fel när du öppnar Local Group Policy Editor i Windows 11/10

Hur man förhindrar användare från att radera diagnostiska data i Windows 11/10

Så här tillämpar du lagerbaserad gruppolicy^{(Layered Group Policy)} i Windows 11

Hur hittar jag maskinvaru-ID^{(Hardware ID)} eller kompatibelt ID?

Hur lägger man till enhets-ID^{(Device IDs)} :n i listan Tillåt^(Allow) ?