Gelaagd groepsbeleid toepassen in Windows 11/10

Een van de grootste uitdagingen voor een IT-beheerder in een bedrijf is om de toegang tot apparaten zoals USB , externe harde schijven(External Hard Drive) en zelfs printers tot de apparaten van de organisatie te blokkeren. Om dit een beetje gemakkelijker te maken, heeft Microsoft de (Microsoft)functie Layered Group Policy(Layered Group Policy feature) uitgerold die beheerders de mogelijkheid geeft om te verdelen welke apparaten op machines in de hele organisatie kunnen worden geïnstalleerd.

Wat is gelaagd groepsbeleid(Group Policy) in Windows 11 ?

Dit groepsbeleid(Group Policy) is bedoeld om ervoor te zorgen dat de machines minder corruptie krijgen, het aantal ondersteuningsgevallen daalt en het belangrijkste is om gegevensdiefstal te verminderen. Het beleid zorgt ervoor dat elke installatie wordt beperkt, dat wil zeggen dat het gebruik van apparaten zowel in de interne als externe omgeving wordt geblokkeerd. IT-beheerders kunnen ervoor kiezen om vooraf geautoriseerde apparaten te gebruiken/installeren.

Gelaagd groepsbeleid in Windows 11

Het script is hier beschikbaar(Available) en zorgt ervoor dat niet alle klassen worden geblokkeerd:

Computer Configuration > System > Device Installation > Device Installation Restrictions

dit betekent dat als u ervoor kiest om het gebruik van het USB -apparaat te blokkeren, dit alleen wordt geblokkeerd. De nieuwe functie gaat een stap verder en lost het eerdere probleem op waarbij meerdere sets moeten worden gemaakt om conflicten te voorkomen. In plaats daarvan hebt u hiërarchische lagen Instance ID > Device ID > Class > Removable apparaateigenschap.

Gelaagd groepsbeleid(Layered Group Policy) toepassen in Windows 11

Het eerste beleid dat u moet inschakelen is — Pas een gelaagde evaluatievolgorde toe voor het Toestaan ​​en Voorkomen van apparaatinstallatiebeleid voor alle apparaatovereenkomstcriteria(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria) .

Als u klaar bent, is er een aanvullende set beleidsregels en moet u ervoor zorgen dat u de hiërarchische volgorde ( Apparaatinstantie- ID(Device) 's IDs > Device IDs > Device> Removable apparaten) in gedachten houdt. Hier zijn het beleid met betrekking tot elk:

Apparaatinstantie-ID's

  • (Prevent)Installatie van apparaten voorkomen met stuurprogramma's die overeenkomen met deze apparaatinstantie- ID's
  • Toestaan(Allow) ​​dat apparaten worden geïnstalleerd met stuurprogramma's die overeenkomen met deze apparaatinstantie- ID's .

Apparaat-ID's

  • Voorkom(Prevent) installatie van apparaten met stuurprogramma's die overeenkomen met deze apparaat-ID's
  • (Allow)Installatie van apparaten toestaan ​​met stuurprogramma's die overeenkomen met deze apparaat-ID's

Instellingsklasse apparaat

  • Installatie van apparaten voorkomen(Prevent) met stuurprogramma's die overeenkomen met deze apparaatconfiguratieklassen
  • Sta(Allow) installatie van apparaten toe met stuurprogramma's die overeenkomen met deze apparaatconfiguratieklassen.

Verwijderbare apparaten

  • (Prevent)Installatie van verwijderbare apparaten voorkomen

Configureer(Configure) ze allemaal door de apparaat-ID of klasse-ID toe te voegen en de wijzigingen toe te passen.

Microsoft raadt aan om dit beleid te gebruiken in plaats van de beleidsinstelling ' Voorkom installatie van apparaten die niet worden beschreven door andere beleidsinstellingen(Prevent installation of devices not described by other policy settings) ' vanwege de gelaagde structuur.

Hoe vind ik de hardware-ID of compatibele ID?

Zoek compatibele ID's Apparaatbeheer

  • Open Apparaatbeheer(Device Manager) met Win + X en druk vervolgens op M.
  • Zoek het apparaat. Klik er met de rechtermuisknop op en selecteer vervolgens Eigenschappen
  • Overschakelen naar het tabblad Details
  • Klik(Click) op de vervolgkeuzelijst Eigenschap(Property) en hier kunt u hardware-ID, klasse-ID en andere details selecteren. De exacte waarde is beschikbaar in het gedeelte Waarde.

Hoe kan ik apparaat-ID's(Device IDs) toevoegen aan de lijst Toestaan(Allow) ?

Installatie van apparaat toestaan ​​in Groepsbeleid

  • Open het beleid : Installatie toestaan ​​van apparaten die overeenkomen met een van deze apparaat-ID's(Allow installation of devices that match any of these device IDs) .
  • Selecteer Ingeschakeld(Select Enabled) en klik vervolgens op de knop Weergeven(Show) onder Opties.
  • Voeg een compatibele ID(Add Compatible ID) of hardware-ID toe aan de lijst
  • Pas de wijzigingen toe.

U kunt de installatie van specifieke apparaten ook blokkeren met behulp van het Installatiebeleid voorkomen(Prevent) .

Hoe kunnen beheerders de installatiebeperkingen van apparaten negeren?

Toestaan ​​dat beheerders het restrictiebeleid voor apparaatinstallatie negeren

Er is een specifiek beleid hiervoor dat u kunt inschakelen. Eenmaal ingeschakeld, kunnen leden van de groep Administrators de wizard (Administrators)Hardware toevoegen(Add Hardware) of de wizard stuurprogramma bijwerken gebruiken om het apparaat te installeren en bij te werken.

Hoe stel ik een time-out in om beleidswijzigingen af ​​te dwingen?

Als u de beleidswijziging wilt afdwingen, moet u opnieuw opstarten. Met een instelling kunt u een time- out(Timeout) voor opnieuw opstarten instellen die aan de eindgebruiker wordt weergegeven om ervoor te zorgen dat er geen gegevens verloren gaan.

Ik hoop dat de post je duidelijk heeft uitgelegd over het gelaagde groepsbeleid(Layered Group Policy) in Windows 11 .

Het beleid(The policy) is ook beschikbaar in Windows 10  als onderdeel van de optionele "C"-clientversie van juli 2021(July 2021) en zal breder beschikbaar worden gemaakt vanaf de update dinsdag van (Update Tuesday)augustus 2021(August 2021) .



About the author

Ik ben een professionele audio- en toetsenbordtechnicus met meer dan 10 jaar ervaring. Ik heb in het bedrijfsleven gewerkt, als consultant en productmanager, en meest recentelijk als software-engineer. Door mijn vaardigheden en ervaring kan ik aan verschillende soorten projecten werken, van kleine bedrijven tot grote bedrijven. Ik ben ook een expert in Windows 11 en werk nu ruim twee jaar aan het nieuwe besturingssysteem.



Related posts