Одна из самых серьезных проблем для ИТ-администратора в компании-заблокировать доступ к устройствам организации, таким как USB, внешний жесткий диск и даже принтеры. Чтобы сделать это немного проще, Microsoft развернула функцию многоуровневой групповой политики , которая дает администраторам возможность разделить, какие устройства могут быть установлены на компьютерах в организации.
Что такое Многоуровневая групповая политика в Windows 11?
Эта групповая политика направлена на то, чтобы на компьютерах было меньше повреждений, уменьшилось количество обращений в службу поддержки, а самое главное-уменьшить кражу данных. Политика гарантирует ограничение любой установки, т. Е. Использование устройств как во внутренней, так и во внешней среде заблокировано. ИТ-администраторы могут выбрать предварительно авторизованные устройства для использования/установки.
Здесь скрипт делает убедитесь, что не все классы заблокированы:
Конфигурация компьютера> Система> Установка устройства> Ограничения на установку устройства
это означает, что если вы решили заблокировать использование USB-устройства, оно блокирует только его. Продвигаясь на шаг впереди, новая функция решает ранее возникшую проблему, когда необходимо было создать несколько наборов, чтобы избежать конфликта. Вместо этого у вас есть иерархическая многоуровневая структура: ID экземпляра> Идентификатор устройства> Класс> Свойство съемного устройства.
Как применить многоуровневую групповую политику в Windows 11
Первая политика, которую вам нужно включить, это- Примените многоуровневый порядок оценки для политик Разрешить и Запретить установку устройств по всем критериям соответствия устройств .
После этого появится дополнительный набор политик, и вы должны убедиться, что иерархический порядок (идентификаторы экземпляров устройства> идентификаторы устройств> класс настройки устройства> съемные устройства). Вот политики, относящиеся к каждому из них:
Идентификаторы экземпляра устройства
Запретить установку устройств с использованием драйверов, соответствующих этим идентификаторам экземпляра устройства, Разрешить установку устройств с использованием драйверов, соответствующих этим идентификаторам экземпляра устройства.
Устройство Идентификаторы
Запретить установку устройств с использованием драйверов, соответствующих этим идентификаторам устройств Разрешить установку устройств с использованием драйверов, соответствующих этим идентификаторам устройств
Класс настройки устройства
Запретить установку устройств с использованием драйверов, соответствующих этим классам настройки устройств Разрешить установку устройства, использующие драйверы, соответствующие этим классам настройки устройств.
Съемные устройства
Запретить установку съемных устройств
Настройте каждое из них, добавив идентификатор устройства или идентификатор класса, и примените изменения.
Microsoft рекомендует использовать эту политику вместо параметра политики «Запретить установку устройств, не описанных другими параметрами политики» из-за многоуровневой структуры.
Как найти идентификатор оборудования или совместимый идентификатор?
Откройте диспетчер устройств, используя Win + X, а затем нажмите M. Найдите устройство. Щелкните его правой кнопкой мыши, а затем выберите «Свойства». Перейдите на вкладку «Сведения». Щелкните раскрывающееся меню «Свойства», и здесь вы можете выбрать идентификатор оборудования, идентификатор класса и другие сведения. Точное значение будет доступно в разделе значений.
Как добавить идентификаторы устройств в список разрешенных?
Откройте политику-разрешите установку устройств, соответствующих любому из этих идентификаторов устройств. Выберите «Включено», а затем нажмите кнопку «Показать» в разделе «Параметры». Добавить совместимый идентификатор или идентификатор оборудования в список. Применить изменения.
Вы также можете заблокировать установку. определенных устройств с помощью политик предотвращения установки.
Как разрешить администраторам отменять ограничения на установку устройств?
Для этого есть специальная политика, которую вы можете включить. После включения члены группы администраторов могут использовать мастер установки оборудования или мастер обновления драйверов для установки и обновления устройства.
Как установить тайм-аут для принудительного изменения политики?
Если вы хотите принудительно изменить политику, вам необходимо перезагрузиться. Параметр позволяет вам установить время ожидания перезагрузки, отображаемое для конечного пользователя, чтобы убедиться, что нет потери данных.
Я надеюсь, что в этом сообщении вам ясно объясняется многоуровневая групповая политика в Windows 11.
Политика также доступна в Windows 10 как часть необязательного выпуска клиента« C »в июле 2021 г. и будет более широко доступна начиная с выпуска« Обновление во вторник »за август 2021 г.