Један од највећих изазова за ИТ администратора у компанији је блокирање приступа уређајима као што су УСБ^(USB) , спољни чврсти диск^{(External Hard Drive)} , па чак и штампачи уређајима организације. Да би ово мало олакшао, Мицрософт^(Microsoft) је увео функцију слојевите групне политике^{(Layered Group Policy feature)} која администраторима даје могућност да поделе који уређаји могу да се инсталирају на машине широм организације.

Шта је слојевита групна политика^{(Group Policy)} у оперативном систему Виндовс 11^{(Windows 11)} ?

Ова смерница групе^{(Group Policy)} има за циљ да осигура да машине буду мање оштећене, да се смањи број случајева подршке, а најважније је да се смањи крађа података. Политика осигурава да се ограничи свака инсталација, односно да је блокирана употреба уређаја иу унутрашњем и спољашњем окружењу. ИТ администратори могу да изаберу да унапред овласте уређаје који ће се користити/инсталирати.

Доступна^(Available) овде, скрипта осигурава да нису блокиране све класе:

Computer Configuration > System > Device Installation > Device Installation Restrictions

то значи да ако одаберете да блокирате коришћење УСБ^(USB) уређаја, то само блокира. Идући корак напред, нова функција решава ранији проблем где је потребно креирати неколико скупова да би се избегао конфликт. Уместо тога, имате хијерархијски слојеви Instance ID > Device ID > Class > Removable својство преносивог уређаја.

Како да примените вишеслојну групну политику^{(Layered Group Policy)} у оперативном систему Виндовс 11^{(Windows 11)}

Прва смерница коју треба да омогућите је — Примени слојевити редослед процене за смернице за Дозволи и Спречи инсталацију уређаја на све критеријуме подударања уређаја^{(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)} .

Када завршите, постоји додатни скуп смерница и морате да водите рачуна о хијерархијском редоследу ( ИД-ови инстанци уређаја ^(Device)IDs > Device IDs > Device Класа подешавања уређаја > Removable уређаји) на уму. Ево смерница које се односе на сваку од њих:

ИД-ови инстанци уређаја

• Спречите^(Prevent) инсталацију уређаја помоћу управљачких програма који одговарају овим ИД- овима инстанци уређаја^(IDs)
• Дозволите^(Allow) инсталацију уређаја помоћу управљачких програма који одговарају овим ИД- овима^(IDs) инстанци уређаја .

ИД-ови уређаја

• Спречите^(Prevent) инсталацију уређаја помоћу драјвера који одговарају овим ИД-овима уређаја
• Дозволите^(Allow) инсталацију уређаја помоћу управљачких програма који одговарају овим ИД-овима уређаја

Класа подешавања уређаја

• Спречите^(Prevent) инсталацију уређаја помоћу драјвера који одговарају овим класама подешавања уређаја
• Дозволите^(Allow) инсталацију уређаја помоћу драјвера који одговарају овим класама подешавања уређаја.

Преносивих уређаја

• Спречите^(Prevent) инсталацију уређаја који се могу уклонити

Конфигуришите^(Configure) сваки од њих додавањем ИД-а уређаја или ИД-а класе и примените промене.

Мицрософт^(Microsoft) препоручује коришћење ове политике уместо поставке политике „ Спречи инсталацију уређаја који нису описани другим поставкама^{(Prevent installation of devices not described by other policy settings)} смерница“ због слојевите структуре.

Како пронаћи ИД хардвера^{(Hardware ID)} или компатибилни ИД?

• Отворите Управљач уређајима^{(Device Manager)} користећи Win + X , а затим притисните М.
• Пронађите уређај. Кликните десним тастером миша на њега, а затим изаберите Својства
• Пређите на картицу Детаљи
• Кликните^(Click) на падајући мени Проперти^(Property) и овде можете да изаберете ИД хардвера, ИД класе и друге детаље. Тачна вредност ће бити доступна у одељку вредности.

Како додати ИД-ове уређаја^{(Device IDs)} на листу Дозволи^(Allow) ?

• Отворите смернице — Дозволите инсталацију уређаја који одговарају било ком од ових ИД-ова уређаја^{(Allow installation of devices that match any of these device IDs)} .
• Изаберите Омогућено^{(Select Enabled)} , а затим кликните на дугме Прикажи^(Show) у оквиру Опције.
• Додајте компатибилни ИД^{(Add Compatible ID)} или ИД хардвера^{(Hardware ID)} на листу
• Примените промене.

Такође можете блокирати инсталацију одређених уређаја коришћењем смерница за спречавање инсталације.^(Prevent)

Како дозволити администраторима да заобиђу ограничења инсталације уређаја?

За ово постоји посебна политика коју можете омогућити. Када се омогући, чланови групе администратора^{(Administrators)} могу користити чаробњака за додавање хардвера^{(Add Hardware)} или чаробњака за ажурирање управљачког програма да инсталирају и ажурирају уређај.

Како подесити временско ограничење да би се применила промена смерница?

Ако желите да примените промену смерница, морате поново да покренете систем. Поставка вам омогућава да подесите временско ограничење поновног покретања које се приказује крајњем^(Timeout) кориснику како бисте били сигурни да нема губитка података.

Надам се да вам је пост јасно објаснио вишеслојну групну политику^{(Layered Group Policy)} у оперативном систему Виндовс 11^{(Windows 11)} .

Политика^{(The policy)} је такође доступна у оперативном систему Виндовс 10^{(Windows 10)}  као део опционог „Ц“ клијентског издања за јул 2021.^{(July 2021)} и биће шира доступна почевши од издања ажурирања у уторак за ^{(Update Tuesday)}август 2021^{(August 2021)} .

How to apply Layered Group Policy in Windows 11/10

One of the biggest challenges fоr an IT admin in a cоmpany is to block access to devices such as USB, External Hard Drive, and eνen Printers to the organization’s dеvices. Tо make this a little easier, Miсrosoft has rolled out the Layered Group Policy feature that gives administrators the ability to divide which devices can be installed on machines across the organization.

What is Layered Group Policy in Windows 11?

This Group Policy aims to ensure the machines get less corruption, the number of support cases drops, and the most important is to reduce data theft. The policy ensures to restrict any installation, i.e., the use of devices both in the internal and external environment is blocked. IT admins can choose to pre-authorized devices to be used/installed.

Available here, the script makes sure not all classes are blocked:

Computer Configuration > System > Device Installation > Device Installation Restrictions

this means that if you chose to block the USB device usage, it only blocks it. Going one step ahead, the new feature resolves the earlier problem where several sets need to be created to avoid conflict. Instead, you have hierarchical layering Instance ID > Device ID > Class > Removable device property.

How to apply Layered Group Policy in Windows 11

The first policy you need to enable is — Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria.

Once done, there are an additional set of policies, and you need to ensure to keep the hierarchical order (Device instance IDs > Device IDs > Device setup class > Removable devices) in mind. Here are the policies related to each:

Device instance IDs

• Prevent installation of devices using drivers that match these device instance IDs
• Allow installation of devices using drivers that match these device instance IDs.

Device IDs

• Prevent installation of devices using drivers that match these device IDs
• Allow installation of devices using drivers that match these device IDs

Device setup class

• Prevent installation of devices using drivers that match these device setup classes
• Allow installation of devices using drivers that match these device setup classes.

Removable devices

• Prevent installation of removable devices

Configure each of them by adding the device id or class ID and apply the changes.

Microsoft recommends using this policy over the “Prevent installation of devices not described by other policy settings” policy setting because of the layered structure.

How to find the Hardware ID or Compatible ID?

• Open Device Manager using Win + X, followed by pressing M.
• Locate the device. Right-click on it, and then select Properties
• Switch to the Details tab
• Click on the Property dropdown, and here you can select hardware ID, class ID, and other details. The exact value will be available in the value section.

How to add Device IDs to the Allow list?

• Open the policy— Allow installation of devices that match any of these device IDs.
• Select Enabled, and then click on the Show button under Options.
• Add Compatible ID or Hardware ID to the list
• Apply the changes.

You can also block the installation of specific devices by using the Prevent installation policies.

How to allow administrators to override device installation restrictions?

There is a policy specific to this which you can enable. Once enabled, members of the Administrators group can use the Add Hardware wizard or the update driver wizard to install and update the device.

How to set up a timeout to enforce policy change?

If you want to enforce the policy change, you need to reboot. A setting allows you to set up a Reboot Timeout displayed to the end-user to make sure there is no data loss.

I hope the post explained to you clearly about the Layered Group Policy in Windows 11.

The policy is also available in Windows 10  as part of the July 2021 optional “C” client release and will be made more broadly available beginning in the August 2021 Update Tuesday release.

Related posts

• Како додати уређивач групних политика у Виндовс 11/10 Хоме Едитион

• Како омогућити или онемогућити Вин32 дуге путање у оперативном систему Виндовс 11/10

• Аутоматски избришите старе корисничке профиле и датотеке у оперативном систему Виндовс 11/10

• Како онемогућити опцију за пријаву са лозинком за слике у оперативном систему Виндовс 11/10

• Како пратити активност корисника у режиму радне групе у оперативном систему Виндовс 11/10

• Како проверити смернице групе примењене на рачунару са оперативним системом Виндовс 10

• Искључите приказ недавних уноса претраге у Филе Екплорер-у у оперативном систему Виндовс 11/10

• Грешка када отворите уређивач локалних групних политика у оперативном систему Виндовс 11/10

• Како да ваш монитор буде укључен када је лаптоп затворен у оперативном систему Виндовс 11/10

• Како омогућити или онемогућити или функцију изолације апликација у оперативном систему Виндовс 10

• Како омогућити уређивач групних смерница у оперативном систему Виндовс 11 Хоме Едитион

• Онемогућите оптимизацију испоруке путем смерница групе или уређивача регистра

• Како планирати покретање пакетне датотеке у оперативном систему Виндовс 11/10 користећи планер задатака

• Приступите локалном управљању корисницима и групама у оперативном систему Виндовс 11/10 Хоме

• Увоз, извоз, поправка, враћање подразумеваних смерница заштитног зида у Виндовс 11/10

• Како проверити здравље чврстог диска у оперативном систему Виндовс 11/10

• Подешавања групних смерница недостају у оперативном систему Виндовс 11/10

• Прилагодите екран Цтрл+Алт+Дел користећи смернице групе или регистар у Виндовс-у

• Зауставите Виндовс 10 да претходно учитава Мицрософт Едге при покретању

• Омогућите, онемогућите аутоматско исправљање и истакните погрешно написане речи у Виндовс-у