Hur man tillämpar lagerbaserad gruppolicy i Windows 11/10
En av de största utmaningarna för en IT-administratör i ett företag är att blockera åtkomst till enheter som USB , extern hårddisk(External Hard Drive) och till och med skrivare till organisationens enheter. För att göra detta lite enklare har Microsoft rullat ut funktionen Layered Group Policy(Layered Group Policy feature) som ger administratörer möjlighet att dela upp vilka enheter som kan installeras på maskiner i hela organisationen.
Vad är Layered Group Policy i Windows 11 ?
Denna gruppolicy(Group Policy) syftar till att säkerställa att datorerna får mindre korruption, antalet supportärenden minskar och det viktigaste är att minska datastöld. Policyn säkerställer att alla installationer begränsas, dvs att användningen av enheter både i den interna och externa miljön är blockerad. IT-administratörer kan välja att förauktorisera enheter som ska användas/installeras.
Tillgängligt(Available) här ser skriptet till att inte alla klasser är blockerade:
Computer Configuration > System > Device Installation > Device Installation Restrictions
det betyder att om du väljer att blockera användningen av USB- enheten så blockerar den bara den. Går ett steg före, löser den nya funktionen det tidigare problemet där flera uppsättningar måste skapas för att undvika konflikter. Istället har du hierarkiskt lager Instance ID > Device ID > Class > Removable enhetsegenskap.
Så här tillämpar du lagerbaserad gruppolicy(Layered Group Policy) i Windows 11
Den första policyn du behöver aktivera är — Tillämpa utvärderingsordning i lager för Tillåt och Förhindra enhetsinstallationsprinciper för alla enhetsmatchningskriterier(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria) .
När det är klart finns det ytterligare en uppsättning policyer, och du måste se till att hålla den hierarkiska ordningen ( Enhetsinstans(Device) -ID:n > Enhets-ID : IDs > Device IDs > Device Enhetsinställningsklass > Removable enheter) i åtanke. Här är policyerna relaterade till var och en:
ID:n för enhetsinstanser
- Förhindra(Prevent) installation av enheter med drivrutiner som matchar dessa enhetsinstans- ID:n(IDs)
- Tillåt(Allow) installation av enheter med drivrutiner som matchar dessa enhetsinstans- ID:n(IDs) .
Enhets-ID:n
- Förhindra(Prevent) installation av enheter med drivrutiner som matchar dessa enhets-ID:n
- Tillåt(Allow) installation av enheter med drivrutiner som matchar dessa enhets-ID:n
Klass för enhetsinställningar
- Förhindra(Prevent) installation av enheter med drivrutiner som matchar dessa enhetsinställningsklasser
- Tillåt(Allow) installation av enheter med drivrutiner som matchar dessa enhetsinställningsklasser.
Borttagbara enheter
- Förhindra(Prevent) installation av flyttbara enheter
Konfigurera(Configure) var och en av dem genom att lägga till enhets-ID eller klass-ID och tillämpa ändringarna.
Microsoft rekommenderar att du använder den här policyn över policyinställningen " Förhindra installation av enheter som inte beskrivs av andra policyinställningar(Prevent installation of devices not described by other policy settings) " på grund av lagerstrukturen.
Hur hittar jag maskinvaru-ID(Hardware ID) eller kompatibelt ID?
- Öppna Enhetshanteraren(Device Manager) med Win + X , följt av att trycka på M.
- Leta reda på enheten. Högerklicka på den och välj sedan Egenskaper
- Växla till fliken Detaljer
- Klicka(Click) på rullgardinsmenyn Egenskap(Property) och här kan du välja maskinvaru-ID, klass-ID och andra detaljer. Det exakta värdet kommer att finnas tillgängligt i värdesektionen.
Hur lägger man till enhets-ID(Device IDs) :n i listan Tillåt(Allow) ?
- Öppna policyn— Tillåt installation av enheter som matchar något av dessa enhets-ID:n(Allow installation of devices that match any of these device IDs) .
- Välj Aktiverad(Select Enabled) och klicka sedan på knappen Visa(Show) under Alternativ.
- Lägg till kompatibelt ID(Add Compatible ID) eller maskinvaru-ID(Hardware ID) till listan
- Tillämpa ändringarna.
Du kan också blockera installationen av specifika enheter genom att använda principerna för förhindra(Prevent) installation.
Hur tillåter man administratörer att åsidosätta begränsningar för enhetsinstallation?
Det finns en policy som är specifik för detta som du kan aktivera. När den är aktiverad kan medlemmar i gruppen Administratörer(Administrators) använda guiden Lägg till maskinvara(Add Hardware) eller guiden för uppdatering av drivrutiner för att installera och uppdatera enheten.
Hur ställer jag in en timeout för att genomdriva policyändring?
Om du vill genomdriva policyändringen måste du starta om. En inställning låter dig ställa in en omstartstid(Timeout) som visas för slutanvändaren för att säkerställa att det inte finns någon dataförlust.
Jag hoppas att inlägget förklarade tydligt för dig om den lagerbaserade gruppolicyn(Layered Group Policy) i Windows 11 .
Policyn(The policy) är också tillgänglig i Windows 10 som en del av den valfria "C"-klientversionen för juli 2021 och kommer att göras mer allmänt tillgänglig från och med (July 2021)augusti 2021 (August 2021) Update Tuesday release.
Related posts
Hur man lägger till Group Policy Editor till Windows 11/10 Home Edition
Hur man aktiverar eller inaktiverar Win32 Long Paths på Windows 11/10
Ta bort gamla användarprofiler och filer automatiskt i Windows 11/10
Så här inaktiverar du bildlösenordsinloggningsalternativet i Windows 11/10
Så här spårar du användaraktivitet i arbetsgruppsläge på Windows 11/10
Hur man felsöker vanliga ljudproblem i Windows 11/10
Inaktivera Internet Explorer 11 som en fristående webbläsare med hjälp av grupprincip
Få åtkomst till lokal användar- och grupphantering i Windows 11/10 Home
Säkerhetskopiera/återställ eller importera/exportera grupprincipinställningar i Windows 11/10
Ändra Cache-enhet för leveransoptimering för Windows-uppdateringar
Så här håller du din bildskärm påslagen när den bärbara datorn är stängd i Windows 11/10
Hur man aktiverar eller inaktiverar eller programisoleringsfunktionen i Windows 10
Referenshandbok för grupprincipinställningar för Windows 10
Begränsa reserverbar bandbreddsinställning i Windows 11/10
Gruppolicyklienttjänsten misslyckades med inloggningen i Windows 11/10
Omdirigera webbplatser från IE till Microsoft Edge med hjälp av gruppolicy i Windows 10
Stäng av visningen av de senaste sökposterna i Filutforskaren i Windows 11/10
Aktivera helskärmsstartmenyn med hjälp av grupprincip eller register i Windows
Fel när du öppnar Local Group Policy Editor i Windows 11/10
Hur man förhindrar användare från att radera diagnostiska data i Windows 11/10