Μία από τις μεγαλύτερες προκλήσεις για έναν διαχειριστή IT σε μια εταιρεία είναι να αποκλείσει την πρόσβαση σε συσκευές όπως USB , εξωτερικός σκληρός δίσκος^{(External Hard Drive)} , ακόμη και εκτυπωτές στις συσκευές του οργανισμού. Για να γίνει αυτό λίγο πιο εύκολο, η Microsoft κυκλοφόρησε τη δυνατότητα Layered Group Policy^{(Layered Group Policy feature)} που δίνει στους διαχειριστές τη δυνατότητα να μοιράζουν ποιες συσκευές μπορούν να εγκατασταθούν σε μηχανήματα σε ολόκληρο τον οργανισμό.

Τι είναι η Layered Group Policy στα Windows 11 ;

Αυτή η Πολιτική Ομάδας^{(Group Policy)} στοχεύει να διασφαλίσει ότι τα μηχανήματα θα έχουν λιγότερη διαφθορά, ο αριθμός των υποθέσεων υποστήριξης μειώνεται και το πιο σημαντικό είναι να μειωθεί η κλοπή δεδομένων. Η πολιτική διασφαλίζει τον περιορισμό οποιασδήποτε εγκατάστασης, δηλαδή αποκλεισμό της χρήσης συσκευών τόσο στο εσωτερικό όσο και στο εξωτερικό περιβάλλον. Οι διαχειριστές IT μπορούν να επιλέξουν να προεγκρίνουν συσκευές που θα χρησιμοποιηθούν/εγκατασταθούν.

Διαθέσιμο^(Available) εδώ, το σενάριο διασφαλίζει ότι δεν είναι αποκλεισμένες όλες οι τάξεις:

Computer Configuration > System > Device Installation > Device Installation Restrictions

Αυτό σημαίνει ότι εάν επιλέξατε να αποκλείσετε τη χρήση της συσκευής USB , απλώς την αποκλείει. Προχωρώντας ένα βήμα μπροστά, η νέα δυνατότητα επιλύει το προηγούμενο πρόβλημα όπου πρέπει να δημιουργηθούν πολλά σύνολα για να αποφευχθεί η σύγκρουση. Αντίθετα, έχετε ιεραρχική στρώση Instance ID > Device ID > Class > Removable device.

Πώς να εφαρμόσετε την Πολιτική ομάδας^{(Layered Group Policy)} σε επίπεδα στα Windows 11

Η πρώτη πολιτική που πρέπει να ενεργοποιήσετε είναι — Εφαρμογή σειράς αξιολόγησης σε επίπεδα για τις πολιτικές εγκατάστασης συσκευής Allow and Prevent σε όλα τα κριτήρια αντιστοίχισης συσκευής^{(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)} .

Μόλις ολοκληρωθεί, υπάρχει ένα πρόσθετο σύνολο πολιτικών και πρέπει να βεβαιωθείτε ότι διατηρείτε κατά νου την ιεραρχική σειρά ( Αναγνωριστικά παρουσίας συσκευής ^(Device)IDs > Device IDs > Device Κλάση ρύθμισης συσκευής > Removable συσκευές). Ακολουθούν οι πολιτικές που σχετίζονται με το καθένα:

Αναγνωριστικά παρουσιών συσκευής

• Αποτρέψτε την^(Prevent) εγκατάσταση συσκευών που χρησιμοποιούν προγράμματα οδήγησης που αντιστοιχούν σε αυτά τα αναγνωριστικά παρουσίας συσκευών^(IDs)
• Να επιτρέπεται^(Allow) η εγκατάσταση συσκευών που χρησιμοποιούν προγράμματα οδήγησης που αντιστοιχούν σε αυτά τα αναγνωριστικά^(IDs) παρουσίας συσκευών .

Αναγνωριστικά συσκευών

• Αποτρέψτε την^(Prevent) εγκατάσταση συσκευών που χρησιμοποιούν προγράμματα οδήγησης που αντιστοιχούν σε αυτά τα αναγνωριστικά συσκευών
• Να επιτρέπεται^(Allow) η εγκατάσταση συσκευών που χρησιμοποιούν προγράμματα οδήγησης που αντιστοιχούν σε αυτά τα αναγνωριστικά συσκευών

Κατηγορία ρύθμισης συσκευής

• Αποτρέψτε την^(Prevent) εγκατάσταση συσκευών που χρησιμοποιούν προγράμματα οδήγησης που ταιριάζουν με αυτές τις κατηγορίες εγκατάστασης συσκευών
• Να επιτρέπεται^(Allow) η εγκατάσταση συσκευών που χρησιμοποιούν προγράμματα οδήγησης που ταιριάζουν με αυτές τις κατηγορίες εγκατάστασης συσκευών.

Αφαιρούμενες συσκευές

• Αποτρέψτε την^(Prevent) εγκατάσταση αφαιρούμενων συσκευών

Διαμορφώστε^(Configure) καθένα από αυτά προσθέτοντας το αναγνωριστικό συσκευής ή το αναγνωριστικό κλάσης και εφαρμόστε τις αλλαγές.

Η Microsoft^(Microsoft) συνιστά τη χρήση αυτής της πολιτικής έναντι της ρύθμισης πολιτικής " Αποτροπή εγκατάστασης συσκευών που δεν περιγράφονται από άλλες ρυθμίσεις^{(Prevent installation of devices not described by other policy settings)} πολιτικής" λόγω της δομής σε επίπεδα.

Πώς να βρείτε το αναγνωριστικό υλικού^{(Hardware ID)} ή το συμβατό αναγνωριστικό;

• Ανοίξτε τη Διαχείριση Συσκευών^{(Device Manager)} χρησιμοποιώντας Win + X και στη συνέχεια πατήστε M.
• Εντοπίστε τη συσκευή. Κάντε δεξί κλικ σε αυτό και, στη συνέχεια, επιλέξτε Ιδιότητες
• Μεταβείτε στην καρτέλα Λεπτομέρειες
• Κάντε κλικ^(Click) στο αναπτυσσόμενο μενού Ιδιότητα^(Property) και εδώ μπορείτε να επιλέξετε αναγνωριστικό υλικού, αναγνωριστικό κλάσης και άλλες λεπτομέρειες. Η ακριβής τιμή θα είναι διαθέσιμη στην ενότητα αξία.

Πώς να προσθέσετε αναγνωριστικά συσκευής^{(Device IDs)} στη λίστα Επιτρέπονται^(Allow) ;

• Ανοίξτε την πολιτική— Να επιτρέπεται η εγκατάσταση συσκευών που αντιστοιχούν σε οποιοδήποτε από αυτά τα αναγνωριστικά συσκευών^{(Allow installation of devices that match any of these device IDs)} .
• Επιλέξτε Ενεργοποιημένο^{(Select Enabled)} και, στη συνέχεια, κάντε κλικ στο κουμπί Εμφάνιση^(Show) κάτω από τις Επιλογές.
• Προσθέστε συμβατό αναγνωριστικό^{(Add Compatible ID)} ή αναγνωριστικό υλικού^{(Hardware ID)} στη λίστα
• Εφαρμόστε τις αλλαγές.

Μπορείτε επίσης να αποκλείσετε την εγκατάσταση συγκεκριμένων συσκευών χρησιμοποιώντας τις πολιτικές εγκατάστασης Αποτροπή .^(Prevent)

Πώς να επιτρέψετε στους διαχειριστές να παρακάμψουν τους περιορισμούς εγκατάστασης συσκευής;

Υπάρχει μια συγκεκριμένη πολιτική που μπορείτε να ενεργοποιήσετε. Αφού ενεργοποιηθεί, τα μέλη της ομάδας Administrators μπορούν να χρησιμοποιήσουν τον οδηγό προσθήκης υλικού^{(Add Hardware)} ή τον οδηγό προγράμματος οδήγησης ενημέρωσης για να εγκαταστήσουν και να ενημερώσουν τη συσκευή.

Πώς να ορίσετε ένα χρονικό όριο για την επιβολή της αλλαγής πολιτικής;

Εάν θέλετε να επιβάλετε την αλλαγή πολιτικής, πρέπει να κάνετε επανεκκίνηση. Μια ρύθμιση σάς επιτρέπει να ρυθμίσετε ένα χρονικό όριο επανεκκίνησης που^(Timeout) εμφανίζεται στον τελικό χρήστη για να βεβαιωθείτε ότι δεν υπάρχει απώλεια δεδομένων.

Ελπίζω η ανάρτηση να σας εξήγησε ξεκάθαρα σχετικά με την Πολιτική ομάδας^{(Layered Group Policy)} σε επίπεδα στα Windows 11 .

Η πολιτική^{(The policy)} είναι επίσης διαθέσιμη στα Windows 10  ως μέρος της προαιρετικής έκδοσης προγράμματος-πελάτη "C" Ιουλίου 2021^{(July 2021)} και θα διατίθεται ευρύτερα από την κυκλοφορία του Αυγούστου 2021 ^{(August 2021)} Ενημέρωση Τρίτη^{(Update Tuesday)} .

How to apply Layered Group Policy in Windows 11/10

One of the biggest сhallenges for an IT admin in a company is to block access to devices such as USB, Εxternal Hard Drive, and eνen Printers to the organization’s devices. To make this a littlе easier, Microsoft has rolled out the Layered Group Policy feature that gives administrators the ability to divide which devices can be installed on machines across the organization.

What is Layered Group Policy in Windows 11?

This Group Policy aims to ensure the machines get less corruption, the number of support cases drops, and the most important is to reduce data theft. The policy ensures to restrict any installation, i.e., the use of devices both in the internal and external environment is blocked. IT admins can choose to pre-authorized devices to be used/installed.

Available here, the script makes sure not all classes are blocked:

Computer Configuration > System > Device Installation > Device Installation Restrictions

this means that if you chose to block the USB device usage, it only blocks it. Going one step ahead, the new feature resolves the earlier problem where several sets need to be created to avoid conflict. Instead, you have hierarchical layering Instance ID > Device ID > Class > Removable device property.

How to apply Layered Group Policy in Windows 11

The first policy you need to enable is — Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria.

Once done, there are an additional set of policies, and you need to ensure to keep the hierarchical order (Device instance IDs > Device IDs > Device setup class > Removable devices) in mind. Here are the policies related to each:

Device instance IDs

• Prevent installation of devices using drivers that match these device instance IDs
• Allow installation of devices using drivers that match these device instance IDs.

Device IDs

• Prevent installation of devices using drivers that match these device IDs
• Allow installation of devices using drivers that match these device IDs

Device setup class

• Prevent installation of devices using drivers that match these device setup classes
• Allow installation of devices using drivers that match these device setup classes.

Removable devices

• Prevent installation of removable devices

Configure each of them by adding the device id or class ID and apply the changes.

Microsoft recommends using this policy over the “Prevent installation of devices not described by other policy settings” policy setting because of the layered structure.

How to find the Hardware ID or Compatible ID?

• Open Device Manager using Win + X, followed by pressing M.
• Locate the device. Right-click on it, and then select Properties
• Switch to the Details tab
• Click on the Property dropdown, and here you can select hardware ID, class ID, and other details. The exact value will be available in the value section.

How to add Device IDs to the Allow list?

• Open the policy— Allow installation of devices that match any of these device IDs.
• Select Enabled, and then click on the Show button under Options.
• Add Compatible ID or Hardware ID to the list
• Apply the changes.

You can also block the installation of specific devices by using the Prevent installation policies.

How to allow administrators to override device installation restrictions?

There is a policy specific to this which you can enable. Once enabled, members of the Administrators group can use the Add Hardware wizard or the update driver wizard to install and update the device.

How to set up a timeout to enforce policy change?

If you want to enforce the policy change, you need to reboot. A setting allows you to set up a Reboot Timeout displayed to the end-user to make sure there is no data loss.

I hope the post explained to you clearly about the Layered Group Policy in Windows 11.

The policy is also available in Windows 10  as part of the July 2021 optional “C” client release and will be made more broadly available beginning in the August 2021 Update Tuesday release.

Related posts

• Πώς να προσθέσετε το πρόγραμμα επεξεργασίας πολιτικής ομάδας στα Windows 11/10 Home Edition

• Πώς να ενεργοποιήσετε ή να απενεργοποιήσετε τις μακριές διαδρομές Win32 στα Windows 11/10

• Διαγράψτε αυτόματα παλιά προφίλ χρήστη και αρχεία στα Windows 11/10

• Πώς να απενεργοποιήσετε την επιλογή Είσοδος με κωδικό πρόσβασης εικόνας στα Windows 11/10

• Πώς να παρακολουθείτε τη Δραστηριότητα χρήστη στη λειτουργία ομάδας εργασίας στα Windows 11/10

• Ενεργοποιήστε, απενεργοποιήστε την αυτόματη διόρθωση και επισημάνετε τις λέξεις με ορθογραφικά λάθη στα Windows

• Αποτρέψτε τους χρήστες να αλλάξουν την ημερομηνία και την ώρα στα Windows 11/10

• Αλλαγή της μονάδας προσωρινής μνήμης βελτιστοποίησης παράδοσης για ενημερώσεις των Windows

• Οι ρυθμίσεις πολιτικής ομάδας λείπουν στα Windows 11/10

• Πώς να απενεργοποιήσετε τη γρήγορη εκκίνηση στα Windows 11/10 (και γιατί πρέπει)

• Πώς να εγκαταστήσετε το πρόγραμμα επεξεργασίας πολιτικής ομάδας (gpedit.msc)

• Πώς να εφαρμόσετε την Πολιτική ομάδας μόνο σε μη διαχειριστές στα Windows 10

• Η υπηρεσία εξάρτησης ή η ομάδα απέτυχε να ξεκινήσει στα Windows 11/10

• Πώς να ενεργοποιήσετε ή να απενεργοποιήσετε τη λειτουργία απομόνωσης εφαρμογών στα Windows 10

• Αλλαγή του Windows Update Delivery Optimization Μέγιστη ηλικία προσωρινής αποθήκευσης

• Πώς να ενεργοποιήσετε ή να απενεργοποιήσετε τη βελτιστοποίηση γρήγορης σύνδεσης στα Windows 11/10

• Πώς να διατηρήσετε την οθόνη σας ενεργοποιημένη όταν ο φορητός υπολογιστής είναι κλειστός στα Windows 11/10

• Περιορίστε τη ρύθμιση εύρους ζώνης με δυνατότητα κράτησης στα Windows 11/10

• Πώς να ενεργοποιήσετε την καταγραφή του Windows Installer στα Windows 10

• Απενεργοποιήστε την εμφάνιση των πρόσφατων καταχωρήσεων αναζήτησης στην Εξερεύνηση αρχείων στα Windows 11/10