Jednou z najväčších výziev pre správcu IT v spoločnosti je blokovanie prístupu k zariadeniam organizácie, ako sú USB , externý pevný disk^{(External Hard Drive)} a dokonca aj tlačiarne. Aby to bolo trochu jednoduchšie, spoločnosť Microsoft^(Microsoft) zaviedla funkciu Layered Group Policy^{(Layered Group Policy feature)} , ktorá dáva správcom možnosť rozdeliť zariadenia, ktoré je možné nainštalovať na počítače v rámci organizácie.

Čo je to vrstvená skupinová politika^{(Group Policy)} v systéme Windows 11^{(Windows 11)} ?

Cieľom tejto skupinovej politiky^{(Group Policy)} je zabezpečiť, aby boli stroje menej poškodené, počet prípadov podpory sa znížil a najdôležitejšie je znížiť krádež údajov. Politika zabezpečuje obmedzenie akejkoľvek inštalácie, tj zablokovanie používania zariadení vo vnútornom aj vonkajšom prostredí. Správcovia IT si môžu vybrať vopred autorizované zariadenia, ktoré sa majú použiť/inštalovať.

Skript, ktorý je k dispozícii^(Available) tu, zabezpečuje, že nie sú zablokované všetky triedy:

Computer Configuration > System > Device Installation > Device Installation Restrictions

to znamená, že ak sa rozhodnete zablokovať používanie zariadenia USB , zablokuje sa iba toto. Nová funkcia, ktorá ide o krok vpred, rieši predchádzajúci problém, keď je potrebné vytvoriť niekoľko sád, aby sa predišlo konfliktom. Namiesto toho máte hierarchické vrstvenie Instance ID > Device ID > Class > Removable device property.

Ako použiť vrstvenú skupinovú politiku^{(Layered Group Policy)} v systéme Windows 11^{(Windows 11)}

Prvá zásada, ktorú musíte povoliť, je — Použiť vrstvené poradie vyhodnocovania politík Povoliť a Zabrániť inštalácii zariadení vo všetkých kritériách zhody zariadení^{(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)} .

Po dokončení existuje ďalšia sada politík a musíte sa uistiť, že budete mať na pamäti hierarchické poradie ( ID inštancií zariadení ^(Device)IDs > Device IDs > Device Trieda nastavenia zariadenia > Removable zariadenia). Tu sú pravidlá súvisiace s každým:

ID inštancií zariadení

• Zabráňte^(Prevent) inštalácii zariadení pomocou ovládačov, ktoré zodpovedajú týmto ID inštancií zariadení^(IDs)
• Povoliť^(Allow) inštaláciu zariadení pomocou ovládačov, ktoré zodpovedajú týmto ID^(IDs) inštancií zariadení .

ID zariadení

• Zabráňte^(Prevent) inštalácii zariadení pomocou ovládačov, ktoré zodpovedajú týmto ID zariadení
• Povoliť^(Allow) inštaláciu zariadení pomocou ovládačov, ktoré zodpovedajú týmto ID zariadení

Trieda nastavenia zariadenia

• Zabráňte^(Prevent) inštalácii zariadení pomocou ovládačov, ktoré zodpovedajú týmto triedam nastavenia zariadení
• Povoliť^(Allow) inštaláciu zariadení pomocou ovládačov, ktoré zodpovedajú týmto triedam nastavenia zariadení.

Odnímateľné zariadenia

• Zabráňte^(Prevent) inštalácii vymeniteľných zariadení

Nakonfigurujte^(Configure) každý z nich pridaním ID zariadenia alebo ID triedy a použite zmeny.

Spoločnosť Microsoft^(Microsoft) odporúča použiť túto zásadu pred nastavením politiky „ Zabrániť inštalácii zariadení, ktoré nie sú popísané inými nastaveniami^{(Prevent installation of devices not described by other policy settings)} politiky“ kvôli vrstvenej štruktúre.

Ako nájsť ID hardvéru^{(Hardware ID)} alebo kompatibilné ID?

• Otvorte Správcu zariadení^{(Device Manager)} pomocou Win + X a potom stlačte M.
• Nájdite zariadenie. Kliknite naň pravým tlačidlom myši a potom vyberte položku Vlastnosti
• Prepnite sa na kartu Podrobnosti
• Kliknite^(Click) na rozbaľovaciu ponuku Vlastnosť^(Property) a tu môžete vybrať ID hardvéru, ID triedy a ďalšie podrobnosti. Presná hodnota bude k dispozícii v časti hodnoty.

Ako pridať ID zariadení^{(Device IDs)} do zoznamu povolených^(Allow) ?

• Otvorte politiku – povoľte inštaláciu zariadení, ktoré sa zhodujú s ktorýmkoľvek z týchto ID zariadení^{(Allow installation of devices that match any of these device IDs)} .
• Vyberte možnosť Povolené^{(Select Enabled)} a potom kliknite na tlačidlo Zobraziť^(Show) v časti Možnosti.
• Pridajte kompatibilné ID^{(Add Compatible ID)} alebo ID hardvéru^{(Hardware ID)} do zoznamu
• Použiť zmeny.

Inštaláciu konkrétnych zariadení môžete zablokovať aj pomocou zásad Zabrániť inštalácii.^(Prevent)

Ako povoliť správcom prepísať obmedzenia inštalácie zariadenia?

Existuje špecifická politika, ktorú môžete povoliť. Po povolení môžu členovia skupiny Administrators použiť na inštaláciu a aktualizáciu zariadenia sprievodcu pridaním hardvéru^{(Add Hardware)} alebo sprievodcu aktualizáciou ovládača.

Ako nastaviť časový limit na presadenie zmeny politiky?

Ak chcete presadiť zmenu politiky, musíte reštartovať počítač. Toto nastavenie vám umožňuje nastaviť časový limit^(Timeout) reštartu , ktorý sa zobrazí koncovému používateľovi, aby ste sa uistili, že nedôjde k strate údajov.

Dúfam, že vám príspevok jasne vysvetlí zásady vrstvenej skupiny^{(Layered Group Policy)} v systéme Windows 11^{(Windows 11)} .

Zásady^{(The policy)} sú k dispozícii aj v systéme Windows 10^{(Windows 10)}  ako súčasť voliteľného vydania klienta „C“ z júla 2021^{(July 2021)} a budú širšie dostupné od vydania aktualizácie v ^{(Update Tuesday)}auguste 2021^{(August 2021)} .

How to apply Layered Group Policy in Windows 11/10

One of the bіggest сhallengeѕ for an IT admin in a cоmpany is to block access to devices such as USB, External Hard Driνe, and even Printerѕ to the orgаnization’s devices. To makе this a little easier, Miсrosoft has rоlled out the Layered Group Policy feature that gives administrators the ability to divide which devices can be installed on machines across the organization.

What is Layered Group Policy in Windows 11?

This Group Policy aims to ensure the machines get less corruption, the number of support cases drops, and the most important is to reduce data theft. The policy ensures to restrict any installation, i.e., the use of devices both in the internal and external environment is blocked. IT admins can choose to pre-authorized devices to be used/installed.

Available here, the script makes sure not all classes are blocked:

Computer Configuration > System > Device Installation > Device Installation Restrictions

this means that if you chose to block the USB device usage, it only blocks it. Going one step ahead, the new feature resolves the earlier problem where several sets need to be created to avoid conflict. Instead, you have hierarchical layering Instance ID > Device ID > Class > Removable device property.

How to apply Layered Group Policy in Windows 11

The first policy you need to enable is — Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria.

Once done, there are an additional set of policies, and you need to ensure to keep the hierarchical order (Device instance IDs > Device IDs > Device setup class > Removable devices) in mind. Here are the policies related to each:

Device instance IDs

• Prevent installation of devices using drivers that match these device instance IDs
• Allow installation of devices using drivers that match these device instance IDs.

Device IDs

• Prevent installation of devices using drivers that match these device IDs
• Allow installation of devices using drivers that match these device IDs

Device setup class

• Prevent installation of devices using drivers that match these device setup classes
• Allow installation of devices using drivers that match these device setup classes.

Removable devices

• Prevent installation of removable devices

Configure each of them by adding the device id or class ID and apply the changes.

Microsoft recommends using this policy over the “Prevent installation of devices not described by other policy settings” policy setting because of the layered structure.

How to find the Hardware ID or Compatible ID?

• Open Device Manager using Win + X, followed by pressing M.
• Locate the device. Right-click on it, and then select Properties
• Switch to the Details tab
• Click on the Property dropdown, and here you can select hardware ID, class ID, and other details. The exact value will be available in the value section.

How to add Device IDs to the Allow list?

• Open the policy— Allow installation of devices that match any of these device IDs.
• Select Enabled, and then click on the Show button under Options.
• Add Compatible ID or Hardware ID to the list
• Apply the changes.

You can also block the installation of specific devices by using the Prevent installation policies.

How to allow administrators to override device installation restrictions?

There is a policy specific to this which you can enable. Once enabled, members of the Administrators group can use the Add Hardware wizard or the update driver wizard to install and update the device.

How to set up a timeout to enforce policy change?

If you want to enforce the policy change, you need to reboot. A setting allows you to set up a Reboot Timeout displayed to the end-user to make sure there is no data loss.

I hope the post explained to you clearly about the Layered Group Policy in Windows 11.

The policy is also available in Windows 10  as part of the July 2021 optional “C” client release and will be made more broadly available beginning in the August 2021 Update Tuesday release.

Related posts

• Ako pridať Editor zásad skupiny do Windows 11/10 Home Edition

• Ako povoliť alebo zakázať dlhé cesty Win32 v systéme Windows 11/10

• V systéme Windows 11/10 automaticky odstráňte staré používateľské profily a súbory

• Ako zakázať možnosť prihlásenia pomocou hesla obrázka v systéme Windows 11/10

• Ako sledovať aktivitu používateľa v režime pracovnej skupiny v systéme Windows 11/10

• Ako povoliť alebo zakázať rýchlu optimalizáciu prihlásenia v systéme Windows 11/10

• Ako zabrániť používateľom v odstránení diagnostických údajov v systéme Windows 11/10

• Klientskej službe skupinovej politiky sa nepodarilo prihlásiť do systému Windows 11/10

• Ako mapovať sieťový disk pomocou skupinovej politiky v systéme Windows 11/10

• Závislá služba alebo skupina sa nepodarilo spustiť v systéme Windows 11/10

• Obmedzte nastavenie vyhradenej šírky pásma v systéme Windows 11/10

• Ako opraviť „Neúplné nastavenie z dôvodu meraného pripojenia“ v systéme Windows 11/10

• Ako povoliť alebo zakázať funkciu izolácie aplikácií v systéme Windows 10

• Ako skontrolovať zdravie pevného disku v systéme Windows 11/10

• Zabráňte Windowsu 10 v prednačítavaní Microsoft Edge pri spustení

• Zakážte Internet Explorer 11 ako samostatný prehliadač pomocou skupinovej politiky

• Ako riešiť bežné problémy so zvukom v systéme Windows 11/10

• Ako zakázať rýchle spustenie v systéme Windows 11/10 (a prečo by ste mali)

• Ako jednoducho zlúčiť priečinky v systéme Windows 11/10

• Zabráňte používateľom meniť dátum a čas v systéme Windows 11/10