Одна из самых больших проблем для ИТ-администратора в компании — заблокировать доступ к таким устройствам, как USB , внешний жесткий диск^{(External Hard Drive)} и даже принтеры, к устройствам организации. Чтобы сделать это немного проще, Microsoft развернула функцию многоуровневой групповой политики^{(Layered Group Policy feature)} , которая дает администраторам возможность разделить, какие устройства могут быть установлены на компьютерах в организации.

Что такое многоуровневая групповая политика^{(Group Policy)} в Windows 11 ?

Эта групповая политика^{(Group Policy)} направлена ​​на то, чтобы машины были меньше повреждены, количество обращений в службу поддержки сокращалось, и, что наиболее важно, уменьшалось кражи данных. Политика обеспечивает ограничение любой установки, т. е. блокируется использование устройств как во внутренней, так и во внешней среде. ИТ-администраторы могут выбрать предварительно авторизованные устройства для использования/установки.

Доступный^(Available) здесь скрипт гарантирует, что не все классы заблокированы:

Computer Configuration > System > Device Installation > Device Installation Restrictions

это означает, что если вы решили заблокировать использование USB - устройства, оно только заблокирует его. Делая шаг вперед, новая функция решает существовавшую ранее проблему, связанную с необходимостью создания нескольких наборов во избежание конфликтов. Вместо этого у вас есть иерархическое многоуровневое свойство Instance ID > Device ID > Class > Removable устройство».

Как применить многоуровневую групповую политику^{(Layered Group Policy)} в Windows 11

Первая политика, которую необходимо включить, — применить многоуровневый порядок оценки для политик Разрешить и Запретить установку устройств по всем критериям соответствия устройств^{(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)} .

После этого появляется дополнительный набор политик, и вам необходимо соблюдать иерархический порядок ( идентификаторы экземпляров устройств ^(Device)IDs > Device IDs > Device класс настройки устройства > Removable устройства). Вот политики, относящиеся к каждому из них:

Идентификаторы экземпляра устройства

• Запретить^(Prevent) установку устройств с помощью драйверов, соответствующих этим идентификаторам экземпляров устройств.^(IDs)
• Разрешить^(Allow) установку устройств с помощью драйверов, соответствующих этим идентификаторам^(IDs) экземпляров устройств .

Идентификаторы устройств

• Запретить^(Prevent) установку устройств с помощью драйверов, соответствующих этим идентификаторам устройств.
• Разрешить^(Allow) установку устройств с помощью драйверов, соответствующих этим идентификаторам устройств.

Класс настройки устройства

• Запретить^(Prevent) установку устройств с помощью драйверов, соответствующих этим классам установки устройств
• Разрешить^(Allow) установку устройств с помощью драйверов, соответствующих этим классам установки устройств.

Съемные устройства

• Запретить^(Prevent) установку съемных устройств

Настройте^(Configure) каждый из них, добавив идентификатор устройства или идентификатор класса, и примените изменения.

Microsoft рекомендует использовать эту политику вместо параметра политики « Запретить установку устройств, не описанных другими параметрами^{(Prevent installation of devices not described by other policy settings)} политики» из-за многоуровневой структуры.

Как найти идентификатор оборудования^{(Hardware ID)} или совместимый идентификатор?

• Откройте Диспетчер устройств^{(Device Manager)} с помощью Win + X , а затем нажмите M.
• Найдите устройство. Щелкните его правой кнопкой мыши и выберите «Свойства».
• Перейдите на вкладку Подробности
• Щелкните^(Click) раскрывающийся список « Свойства^(Property) », и здесь вы можете выбрать идентификатор оборудования, идентификатор класса и другие сведения. Точное значение будет доступно в разделе значений.

Как добавить идентификаторы устройств^{(Device IDs)} в список разрешенных^(Allow) ?

• Откройте политику — Разрешить установку устройств, соответствующих любому из этих идентификаторов устройств^{(Allow installation of devices that match any of these device IDs)} .
• Выберите «Включено^{(Select Enabled)} » и нажмите кнопку « Показать»^(Show) в разделе «Параметры».
• Добавить совместимый идентификатор^{(Add Compatible ID)} или идентификатор оборудования^{(Hardware ID)} в список
• Примените изменения.

Вы также можете заблокировать установку определенных устройств с помощью политик предотвращения^(Prevent) установки.

Как разрешить администраторам отменять ограничения на установку устройств?

Для этого существует специальная политика, которую вы можете включить. После включения члены группы « Администраторы^{(Administrators)} » могут использовать мастер добавления оборудования^{(Add Hardware)} или мастер обновления драйверов для установки и обновления устройства.

Как настроить тайм-аут для принудительного изменения политики?

Если вы хотите применить изменение политики, вам необходимо перезагрузить компьютер. Параметр позволяет настроить тайм-аут перезагрузки, отображаемый^(Timeout) для конечного пользователя, чтобы убедиться в отсутствии потери данных.

Я надеюсь, что в этом посте вы ясно объяснили многоуровневую групповую политику^{(Layered Group Policy)} в Windows 11 .

Эта политика^{(The policy)} также доступна в Windows 10  как часть дополнительного выпуска клиента «C» за июль 2021^{(July 2021)} года и будет более широко доступна, начиная с выпуска обновлений вторника за ^{(Update Tuesday)}август 2021 года.^{(August 2021)}

How to apply Layered Group Policy in Windows 11/10

One of the biggest challenges for an IT admin in a company is to block access to devices such as USB, External Hard Drive, and еven Prіnters to the organization’s devices. To make thіs a little easіer, Miсrosoft has rolled оut the Layered Group Policy feature that gives administrators the ability to divide which devices can be installed on machines across the organization.

What is Layered Group Policy in Windows 11?

This Group Policy aims to ensure the machines get less corruption, the number of support cases drops, and the most important is to reduce data theft. The policy ensures to restrict any installation, i.e., the use of devices both in the internal and external environment is blocked. IT admins can choose to pre-authorized devices to be used/installed.

Available here, the script makes sure not all classes are blocked:

Computer Configuration > System > Device Installation > Device Installation Restrictions

this means that if you chose to block the USB device usage, it only blocks it. Going one step ahead, the new feature resolves the earlier problem where several sets need to be created to avoid conflict. Instead, you have hierarchical layering Instance ID > Device ID > Class > Removable device property.

How to apply Layered Group Policy in Windows 11

The first policy you need to enable is — Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria.

Once done, there are an additional set of policies, and you need to ensure to keep the hierarchical order (Device instance IDs > Device IDs > Device setup class > Removable devices) in mind. Here are the policies related to each:

Device instance IDs

• Prevent installation of devices using drivers that match these device instance IDs
• Allow installation of devices using drivers that match these device instance IDs.

Device IDs

• Prevent installation of devices using drivers that match these device IDs
• Allow installation of devices using drivers that match these device IDs

Device setup class

• Prevent installation of devices using drivers that match these device setup classes
• Allow installation of devices using drivers that match these device setup classes.

Removable devices

• Prevent installation of removable devices

Configure each of them by adding the device id or class ID and apply the changes.

Microsoft recommends using this policy over the “Prevent installation of devices not described by other policy settings” policy setting because of the layered structure.

How to find the Hardware ID or Compatible ID?

• Open Device Manager using Win + X, followed by pressing M.
• Locate the device. Right-click on it, and then select Properties
• Switch to the Details tab
• Click on the Property dropdown, and here you can select hardware ID, class ID, and other details. The exact value will be available in the value section.

How to add Device IDs to the Allow list?

• Open the policy— Allow installation of devices that match any of these device IDs.
• Select Enabled, and then click on the Show button under Options.
• Add Compatible ID or Hardware ID to the list
• Apply the changes.

You can also block the installation of specific devices by using the Prevent installation policies.

How to allow administrators to override device installation restrictions?

There is a policy specific to this which you can enable. Once enabled, members of the Administrators group can use the Add Hardware wizard or the update driver wizard to install and update the device.

How to set up a timeout to enforce policy change?

If you want to enforce the policy change, you need to reboot. A setting allows you to set up a Reboot Timeout displayed to the end-user to make sure there is no data loss.

I hope the post explained to you clearly about the Layered Group Policy in Windows 11.

The policy is also available in Windows 10  as part of the July 2021 optional “C” client release and will be made more broadly available beginning in the August 2021 Update Tuesday release.

Related posts

• Как добавить Group Policy Editor на Windows 10 Home Edition

• Как включить или отключить Win32 Long Paths на Windows 10

• Delete Старые пользовательские профили и файлы автоматически в Windows 10

• Как отключить Picture Password Sign-In option в Windows 10

• Как отслеживать User Activity в WorkGroup Mode на Windows 11/10

• Отключить Internet Explorer 11 как standalone browser с использованием Group Policy

• Как отключить быстрый запуск в Windows 11/10 (и зачем это нужно)

• Отключить Delivery Optimization через Group Policy or Registry Editor

• Как заблокировать все настройки Taskbar в Windows 10

• Stop Windows 10 от предварительной нагрузки Microsoft Edge на Startup

• 6 лучших бесплатных инструментов для восстановления Windows 11/10

• Как проверить работоспособность жесткого диска в Windows 11/10

• Как указать Minimum and Maximum PIN length в Windows 10

• Как легко объединить папки в Windows 11/10

• Изменить Delivery Optimization Cache Drive для Windows Updates

• Как включить регистрацию Windows Installer на Windows 10

• Customize Ctrl+Alt+Del Screen с использованием Group Policy or Registry в Windows

• Как ограничить заряд батареи до определенного процента в Windows 11/10

• Ошибка при открытии local Group Policy Editor в Windows 10

• Как включить или Disable or Application Isolation feature в Windows 10