Sådan anvender du lagdelt gruppepolitik i Windows 11/10

En af de største udfordringer for en it-administrator i en virksomhed er at blokere adgangen til enheder som USB , ekstern harddisk(External Hard Drive) og endda printere til organisationens enheder. For at gøre dette lidt nemmere har Microsoft udrullet funktionen Layered Group Policy,(Layered Group Policy feature) der giver administratorer mulighed for at opdele, hvilke enheder der kan installeres på maskiner på tværs af organisationen.

Hvad er lagdelt gruppepolitik(Group Policy) i Windows 11 ?

Denne gruppepolitik(Group Policy) har til formål at sikre, at maskinerne får mindre korruption, antallet af supportsager falder, og det vigtigste er at reducere datatyveri. Politikken sikrer at begrænse enhver installation, dvs. brugen af ​​enheder både i det interne og eksterne miljø er blokeret. IT-administratorer kan vælge at forhåndsgodkende enheder, der skal bruges/installeres.

Lagdelt gruppepolitik i Windows 11

Tilgængelig(Available) her sørger scriptet for, at ikke alle klasser er blokeret:

Computer Configuration > System > Device Installation > Device Installation Restrictions

dette betyder, at hvis du vælger at blokere brugen af ​​USB -enheden, blokerer den kun for den. Går man et skridt foran, løser den nye funktion det tidligere problem, hvor flere sæt skal oprettes for at undgå konflikt. I stedet har du hierarkisk lagdeling Instance ID > Device ID > Class > Removable enhedsegenskab.

Sådan anvender du lagdelt gruppepolitik(Layered Group Policy) i Windows 11

Den første politik, du skal aktivere, er — Anvend lagdelt evalueringsrækkefølge for Tillad og Forebyg enhedsinstallationspolitikker på tværs af alle enhedsmatchkriterier(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria) .

Når det er gjort, er der et ekstra sæt politikker, og du skal sørge for at holde den hierarkiske rækkefølge ( Enhedsforekomst(Device) - id'er IDs > Device IDs > Device > > Removable enheder) i tankerne. Her er politikkerne relateret til hver enkelt:

Enhedsforekomst-id'er

  • Undgå(Prevent) installation af enheder ved hjælp af drivere, der matcher disse enhedsinstans- id'er(IDs)
  • Tillad(Allow) installation af enheder, der bruger drivere, der matcher disse enhedsinstans- id'er(IDs) .

Enheds-id'er

  • Forhindr(Prevent) installation af enheder ved hjælp af drivere, der matcher disse enheds-id'er
  • Tillad(Allow) installation af enheder ved hjælp af drivere, der matcher disse enheds-id'er

Enhedsopsætningsklasse

  • Forhindr(Prevent) installation af enheder ved hjælp af drivere, der matcher disse enhedsopsætningsklasser
  • Tillad(Allow) installation af enheder ved hjælp af drivere, der matcher disse enhedsopsætningsklasser.

Aftagelige enheder

  • Undgå(Prevent) installation af aftagelige enheder

Konfigurer(Configure) hver af dem ved at tilføje enheds-id'et eller klasse-id'et og anvend ændringerne.

Microsoft anbefaler, at du bruger denne politik over politikindstillingen " Forhindr installation af enheder, der ikke er beskrevet af andre politikindstillinger(Prevent installation of devices not described by other policy settings) " på grund af den lagdelte struktur.

Hvordan finder jeg hardware-id'et(Hardware ID) eller det kompatible ID?

Find kompatible id'er Enhedshåndtering

  • Åbn Enhedshåndtering(Device Manager) ved hjælp af Win + X , efterfulgt af at trykke på M.
  • Find enheden. Højreklik på det, og vælg derefter Egenskaber
  • Skift til fanen Detaljer
  • Klik(Click) på rullemenuen Ejendom(Property) , og her kan du vælge hardware-id, klasse-id og andre detaljer. Den nøjagtige værdi vil være tilgængelig i værdiafsnittet.

Hvordan tilføjer man enheds-id'er(Device IDs) til Tillad-(Allow) listen?

Tillad installation af enhed i gruppepolitik

  • Åbn politikken— Tillad installation af enheder, der matcher nogen af ​​disse enheds-id'er(Allow installation of devices that match any of these device IDs) .
  • Vælg Aktiveret(Select Enabled) , og klik derefter på knappen Vis(Show) under Indstillinger.
  • Tilføj kompatibelt ID(Add Compatible ID) eller hardware-id til listen
  • Anvend ændringerne.

Du kan også blokere installationen af ​​specifikke enheder ved at bruge Forhindre(Prevent) installationspolitikker.

Hvordan tillader man administratorer at tilsidesætte begrænsninger for enhedsinstallation?

Tillad, at administratorer tilsidesætter politikker for begrænsning af enhedsinstallation

Der er en specifik politik for dette, som du kan aktivere. Når den er aktiveret, kan medlemmer af administratorgruppen(Administrators) bruge guiden Tilføj hardware(Add Hardware) eller guiden til opdatering af driver til at installere og opdatere enheden.

Hvordan konfigurerer man en timeout for at håndhæve politikændringer?

Hvis du vil håndhæve politikændringen, skal du genstarte. En indstilling giver dig mulighed for at konfigurere en genstartstimeout ,(Timeout) der vises til slutbrugeren for at sikre, at der ikke er datatab.

Jeg håber, at indlægget forklarede dig tydeligt om lagdelt gruppepolitik(Layered Group Policy) i Windows 11 .

Politikken(The policy) er også tilgængelig i Windows 10  som en del af juli 2021(July 2021) valgfri "C"-klientudgivelse og vil blive gjort mere bredt tilgængelig fra og med august 2021 Update Tuesday- udgivelsen.



Hugo Lind

About the author

Jeg er datamatiker med over 10 års erfaring i at udvikle og vedligeholde software til smartphones og Windows 11/10. Jeg har også været involveret i Google Chrome siden begyndelsen af ​​2014 som ledende ingeniør. I den rolle var jeg med til at skabe nogle af de mest populære browsere på platformen. Derudover har jeg arbejdet på spilmotorer i et par år nu, og jeg er i øjeblikket en kandidatstuderende, der arbejder på et projekt, der i sidste ende kunne bringe virtual reality til dit skrivebord.


Related posts