Az egyik legnagyobb kihívás a vállalati rendszergazdák számára az, hogy blokkolja az olyan eszközökhöz való hozzáférést, mint az USB , a külső merevlemez^{(External Hard Drive)} és még a nyomtatók is a szervezet eszközeihez. Ennek egy kicsit megkönnyítése érdekében a Microsoft bevezette a réteges csoportházirend szolgáltatást^{(Layered Group Policy feature)} , amely lehetővé teszi a rendszergazdáknak, hogy megosszák, mely eszközök telepíthetők a gépekre a szervezeten belül.

Mi az a réteges csoportházirend^{(Group Policy)} a Windows 11 rendszerben^{(Windows 11)} ?

Ennek a csoportházirendnek^{(Group Policy)} az a célja, hogy a gépeken kevesebb legyen a korrupció, csökkenjen a támogatási esetek száma, és a legfontosabb az adatlopások csökkentése. A házirend biztosítja a telepítés korlátozását, azaz az eszközök használatát mind a belső, mind a külső környezetben blokkolja. Az informatikai rendszergazdák dönthetnek úgy, hogy előzetesen engedélyezik az eszközök használatát/telepítését.

Az^(Available) itt elérhető szkript biztosítja, hogy ne legyen minden osztály blokkolva:

Computer Configuration > System > Device Installation > Device Installation Restrictions

ez azt jelenti, hogy ha úgy dönt, hogy blokkolja az USB -eszköz használatát, az csak azt blokkolja. Egy lépéssel előre haladva az új funkció megoldja a korábbi problémát, ahol több készletet kell létrehozni az ütközések elkerülése érdekében. Ehelyett hierarchikus rétegezésű Példányazonosító Instance ID > Device ID > Class > Removable eszköz tulajdonság.

A réteges csoportházirend^{(Layered Group Policy)} alkalmazása a Windows 11 rendszerben^{(Windows 11)}

Az első engedélyezendő házirend: – Az eszköztelepítés engedélyezése és megakadályozása házirendek réteges értékelési sorrendjének alkalmazása az összes eszközegyezési feltételre vonatkozóan^{(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)} .

Ha elkészült, további házirendek állnak rendelkezésre, és ügyelnie kell a hierarchikus sorrendre ( Eszközpéldányazonosítók IDs > Device IDs > Deviceosztály^(Device) > > Removable eszközök). Íme az egyes irányelvek:

Eszközpéldányazonosítók

• Akadályozza meg az eszközök telepítését olyan illesztőprogramokkal, amelyek megfelelnek ^(Prevent)ezeknek^(IDs) az eszközpéldányazonosítóknak
• Eszközök telepítésének engedélyezése^(Allow) az ezen eszközpéldányazonosítóknak megfelelő illesztőprogramokkal^(IDs) .

Eszközazonosítók

• Akadályozza^(Prevent) meg az eszközök telepítését olyan illesztőprogramokkal, amelyek megfelelnek ezeknek az eszközazonosítóknak
• Eszközök telepítésének engedélyezése^(Allow) az ezen eszközazonosítóknak megfelelő illesztőprogramokkal

Eszközbeállítási osztály

• Akadályozza^(Prevent) meg az eszközök telepítését olyan illesztőprogramokkal, amelyek megfelelnek ezeknek az eszközbeállítási osztályoknak
• Eszközök telepítésének engedélyezése^(Allow) az ezen eszközbeállítási osztályoknak megfelelő illesztőprogramokkal.

Eltávolítható eszközök

• Akadályozza^(Prevent) meg a cserélhető eszközök telepítését

Konfigurálja^(Configure) mindegyiket az eszközazonosító vagy az osztályazonosító hozzáadásával, és alkalmazza a módosításokat.

A Microsoft^(Microsoft) a réteges szerkezet miatt ezt a házirendet javasolja a „ Más házirend-beállítások által nem leírt eszközök telepítésének megakadályozása ” házirend-beállítással szemben.^{(Prevent installation of devices not described by other policy settings)}

Hogyan lehet megtalálni a hardverazonosítót^{(Hardware ID)} vagy a kompatibilis azonosítót?

• Nyissa meg az Eszközkezelőt^{(Device Manager)} a Win + X billentyűkombinációval, majd nyomja meg az M billentyűt.
• Keresse meg az eszközt. Kattintson rá jobb gombbal, majd válassza a Tulajdonságok menüpontot
• Váltson a Részletek lapra
• Kattintson^(Click) a Tulajdonság^(Property) legördülő menüre, és itt kiválaszthatja a hardverazonosítót, az osztályazonosítót és egyéb részleteket. A pontos érték az érték részben lesz elérhető.

Hogyan adhatok hozzá eszközazonosítókat^{(Device IDs)} az engedélyezési^(Allow) listához?

• Nyissa meg a házirendet – Engedélyezze az ezen eszközazonosítóknak megfelelő eszközök telepítését^{(Allow installation of devices that match any of these device IDs)} .
• Válassza az Engedélyezve lehetőséget^{(Select Enabled)} , majd kattintson a Megjelenítés^(Show) gombra a Beállítások alatt.
• Adja hozzá a kompatibilis azonosítót^{(Add Compatible ID)} vagy a hardverazonosítót^{(Hardware ID)} a listához
• Alkalmazza a változtatásokat.

Bizonyos eszközök telepítését is letilthatja a Telepítés megakadályozása^(Prevent) házirendekkel.

Hogyan lehet engedélyezni a rendszergazdáknak, hogy felülírják az eszköztelepítési korlátozásokat?

Van egy speciális szabályzat, amelyet engedélyezhet. Ha engedélyezve van, a Rendszergazdák^{(Administrators)} csoport tagjai a Hardver hozzáadása^{(Add Hardware)} varázsló vagy az illesztőprogram-frissítő varázsló segítségével telepíthetik és frissíthetik az eszközt.

Hogyan állíthat be időtúllépést a szabályzatmódosítás érvényre juttatásához?

Ha érvényesíteni szeretné a házirend-módosítást, újra kell indítania. Egy beállítás lehetővé teszi a végfelhasználó számára megjelenített újraindítási időtúllépés^(Timeout) beállítását , hogy megbizonyosodjon arról, hogy nincs adatvesztés.

Remélem, a bejegyzés világosan elmagyarázza Önnek a Windows 11 réteges csoportházirendjét^{(Layered Group Policy)} .

A házirend a ^{(The policy)}Windows 10 rendszerben^{(Windows 10)} is elérhető a 2021. júliusi^{(July 2021)} opcionális „C” ügyfélkiadás  részeként, és szélesebb körben is elérhető lesz a 2021. augusztusi ^{(August 2021)} keddi^{(Update Tuesday)} frissítéstől.

How to apply Layered Group Policy in Windows 11/10

One of the biggest challenges for an IT admin in a company is to block access to dеvices such as USB, External Hard Drive, and even Printers to the organization’s deviceѕ. To makе this a lіttle easiеr, Microsoft has rolled out the Layered Group Policy feature that gives administrators the ability to divide which devices can be installed on machines across the organization.

What is Layered Group Policy in Windows 11?

This Group Policy aims to ensure the machines get less corruption, the number of support cases drops, and the most important is to reduce data theft. The policy ensures to restrict any installation, i.e., the use of devices both in the internal and external environment is blocked. IT admins can choose to pre-authorized devices to be used/installed.

Available here, the script makes sure not all classes are blocked:

Computer Configuration > System > Device Installation > Device Installation Restrictions

this means that if you chose to block the USB device usage, it only blocks it. Going one step ahead, the new feature resolves the earlier problem where several sets need to be created to avoid conflict. Instead, you have hierarchical layering Instance ID > Device ID > Class > Removable device property.

How to apply Layered Group Policy in Windows 11

The first policy you need to enable is — Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria.

Once done, there are an additional set of policies, and you need to ensure to keep the hierarchical order (Device instance IDs > Device IDs > Device setup class > Removable devices) in mind. Here are the policies related to each:

Device instance IDs

• Prevent installation of devices using drivers that match these device instance IDs
• Allow installation of devices using drivers that match these device instance IDs.

Device IDs

• Prevent installation of devices using drivers that match these device IDs
• Allow installation of devices using drivers that match these device IDs

Device setup class

• Prevent installation of devices using drivers that match these device setup classes
• Allow installation of devices using drivers that match these device setup classes.

Removable devices

• Prevent installation of removable devices

Configure each of them by adding the device id or class ID and apply the changes.

Microsoft recommends using this policy over the “Prevent installation of devices not described by other policy settings” policy setting because of the layered structure.

How to find the Hardware ID or Compatible ID?

• Open Device Manager using Win + X, followed by pressing M.
• Locate the device. Right-click on it, and then select Properties
• Switch to the Details tab
• Click on the Property dropdown, and here you can select hardware ID, class ID, and other details. The exact value will be available in the value section.

How to add Device IDs to the Allow list?

• Open the policy— Allow installation of devices that match any of these device IDs.
• Select Enabled, and then click on the Show button under Options.
• Add Compatible ID or Hardware ID to the list
• Apply the changes.

You can also block the installation of specific devices by using the Prevent installation policies.

How to allow administrators to override device installation restrictions?

There is a policy specific to this which you can enable. Once enabled, members of the Administrators group can use the Add Hardware wizard or the update driver wizard to install and update the device.

How to set up a timeout to enforce policy change?

If you want to enforce the policy change, you need to reboot. A setting allows you to set up a Reboot Timeout displayed to the end-user to make sure there is no data loss.

I hope the post explained to you clearly about the Layered Group Policy in Windows 11.

The policy is also available in Windows 10  as part of the July 2021 optional “C” client release and will be made more broadly available beginning in the August 2021 Update Tuesday release.

Related posts

• Csoportházirend-szerkesztő hozzáadása a Windows 11/10 Home Edition rendszerhez

• A Win32 hosszú elérési útjainak engedélyezése vagy letiltása Windows 11/10 rendszeren

• Törölje automatikusan a régi felhasználói profilokat és fájlokat a Windows 11/10 rendszerben

• A képjelszó-bejelentkezés letiltása a Windows 11/10 rendszerben

• A felhasználói tevékenység nyomon követése munkacsoport módban Windows 11/10 rendszeren

• A függőségi szolgáltatás vagy csoport nem indult el a Windows 11/10 rendszerben

• Hálózati meghajtó hozzárendelése a csoportházirend használatával Windows 11/10 rendszeren

• Tiltsa le a kézbesítés optimalizálását a csoportházirend vagy a beállításjegyzék-szerkesztő segítségével

• A csoportházirend-beállítások hiányoznak a Windows 11/10 rendszerből

• A Windows Update Delivery Optimization maximális gyorsítótár-életkorának módosítása

• A csoportházirend alkalmazása nem rendszergazdákra csak Windows 10 rendszerben

• A csoportházirend-beállítások biztonsági mentése/visszaállítása vagy importálása/exportálása a Windows 11/10 rendszerben

• Engedélyezze a teljes képernyős Start menüt a csoportházirend vagy a rendszerleíró adatbázis használatával a Windows rendszerben

• Importálás, exportálás, javítás, alapértelmezett tűzfalházirend visszaállítása a Windows 11/10 rendszerben

• A lefoglalható sávszélesség korlátozása a Windows 11/10 rendszerben

• A Ctrl+Alt+Del Screen testreszabása a csoportházirend vagy a Windows rendszerleíró adatbázis használatával

• Módosítsa a kézbesítés-optimalizálási gyorsítótár-meghajtót a Windows frissítésekhez

• A minimális és maximális PIN-hossz megadása a Windows 11/10 rendszerben

• Hogyan lehet megakadályozni, hogy a felhasználók töröljék a diagnosztikai adatokat a Windows 11/10 rendszerben

• Webhelyek átirányítása az IE-ről a Microsoft Edge-re a Windows 10 csoportházirend segítségével