Jedan od najvećih izazova za IT administratora u tvrtki je blokiranje pristupa uređajima kao što su USB , vanjski tvrdi disk^{(External Hard Drive)} , pa čak i pisači uređajima organizacije. Kako bi to malo olakšao, Microsoft je uveo značajku Slojevitih grupnih pravila^{(Layered Group Policy feature)} koja administratorima daje mogućnost podjele uređaja koji se mogu instalirati na strojeve u cijeloj organizaciji.

Što je slojevita grupna pravila^{(Group Policy)} u sustavu Windows 11^{(Windows 11)} ?

Ova pravila grupe^{(Group Policy)} imaju za cilj osigurati da strojevi budu manje oštećeni, broj slučajeva podrške padne, a najvažnije je smanjiti krađu podataka. Politika osigurava ograničavanje svake instalacije, tj. blokiranje korištenja uređaja u unutarnjem i vanjskom okruženju. IT administratori mogu odabrati unaprijed ovlaštene uređaje koji će se koristiti/instalirati.

Dostupna^(Available) ovdje, skripta osigurava da svi predmeti nisu blokirani:

Computer Configuration > System > Device Installation > Device Installation Restrictions

to znači da, ako odaberete blokiranje upotrebe USB uređaja, to samo blokira. Idući korak naprijed, nova značajka rješava raniji problem gdje je potrebno stvoriti nekoliko skupova kako bi se izbjegao sukob. Umjesto toga, imate hijerarhijski slojevi Instance ID > Device ID > Class > Removable svojstvo prijenosnog uređaja.

Kako primijeniti slojevita pravila grupe^{(Layered Group Policy)} u sustavu Windows 11^{(Windows 11)}

Prvo pravilo koje trebate omogućiti je — Primijenite slojeviti redoslijed evaluacije za pravila o dopuštanju i sprječavanju instalacije uređaja na sve kriterije podudaranja uređaja^{(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)} .

Kada završite, postoji dodatni skup pravila i morate se pobrinuti da imate na umu hijerarhijski redoslijed ( ID-ovi instanci uređaja ^(Device)IDs > Device IDs > Device Klasa postavljanja uređaja > Removable uređaji). Evo pravila koja se odnose na svaku od njih:

ID-ovi instanci uređaja

• Spriječite^(Prevent) instalaciju uređaja pomoću upravljačkih programa koji odgovaraju ovim ID -ovima instanci uređaja^(IDs)
• Dopustite^(Allow) instalaciju uređaja pomoću upravljačkih programa koji odgovaraju ovim ID^(IDs) -ovima instanci uređaja .

ID-ovi uređaja

• Spriječite^(Prevent) instalaciju uređaja pomoću upravljačkih programa koji odgovaraju tim ID-ovima uređaja
• Dopustite^(Allow) instalaciju uređaja pomoću upravljačkih programa koji odgovaraju ovim ID-ovima uređaja

Klasa postavljanja uređaja

• Spriječite^(Prevent) instalaciju uređaja pomoću upravljačkih programa koji odgovaraju ovim klasama postavljanja uređaja
• Dopustite^(Allow) instalaciju uređaja pomoću upravljačkih programa koji odgovaraju ovim klasama postavljanja uređaja.

Uklonjivi uređaji

• Spriječite^(Prevent) ugradnju uklonjivih uređaja

Konfigurirajte^(Configure) svaki od njih dodavanjem ID-a uređaja ili ID-a klase i primijenite promjene.

Microsoft preporučuje korištenje ove politike umjesto postavke politike “ Spriječi instalaciju uređaja koji nisu opisani drugim postavkama^{(Prevent installation of devices not described by other policy settings)} pravila” zbog slojevite strukture.

Kako pronaći ID hardvera^{(Hardware ID)} ili kompatibilni ID?

• Otvorite Upravitelj uređaja^{(Device Manager)} koristeći Win + X , a zatim pritisnite M.
• Locirajte uređaj. Desnom tipkom miša kliknite na njega, a zatim odaberite Svojstva
• Prijeđite na karticu Detalji
• Kliknite^(Click) na padajući izbornik Svojstvo^(Property) i ovdje možete odabrati ID hardvera, ID klase i druge detalje. Točna vrijednost bit će dostupna u odjeljku vrijednosti.

Kako dodati ID-ove uređaja^{(Device IDs)} na popis dopuštenja^(Allow) ?

• Otvorite pravilo — dopustite instalaciju uređaja koji odgovaraju bilo kojem od ovih ID-ova uređaja^{(Allow installation of devices that match any of these device IDs)} .
• Odaberite Omogućeno^{(Select Enabled)} , a zatim kliknite gumb Prikaži^(Show) pod Mogućnosti.
• Dodajte kompatibilni ID^{(Add Compatible ID)} ili ID hardvera^{(Hardware ID)} na popis
• Primijenite promjene.

Također možete blokirati instalaciju određenih uređaja korištenjem pravila Spriječi instalaciju.^(Prevent)

Kako dopustiti administratorima da nadjačaju ograničenja instalacije uređaja?

Za to postoji posebna politika koju možete omogućiti. Nakon što je omogućeno, članovi grupe administratora^{(Administrators)} mogu koristiti čarobnjak za dodavanje hardvera^{(Add Hardware)} ili čarobnjak za ažuriranje upravljačkog programa za instalaciju i ažuriranje uređaja.

Kako postaviti vremensko ograničenje za provođenje promjene pravila?

Ako želite nametnuti promjenu pravila, morate se ponovno pokrenuti. Postavka vam omogućuje da postavite vremensko ograničenje ponovnog pokretanja koje^(Timeout) se prikazuje krajnjem korisniku kako biste bili sigurni da nema gubitka podataka.

Nadam se da vam je post jasno objasnio višeslojnu grupnu politiku^{(Layered Group Policy)} u sustavu Windows 11^{(Windows 11)} .

Pravilo^{(The policy)} je također dostupno u sustavu Windows 10^{(Windows 10)}  kao dio neobaveznog izdanja klijenta "C" u srpnju 2021.^{(July 2021)} i bit će dostupno širem počevši od izdanja ažuriranja u utorak u ^{(Update Tuesday)}kolovozu 2021^{(August 2021)} .

How to apply Layered Group Policy in Windows 11/10

One of the biggest challenges for an IΤ admin in a сompany is to block accеss to devices sυch as USB, External Hard Drive, and even Printers to the organization’s devices. To make this a little eаsiеr, Microsoft has rolled out the Layered Group Policy feature that gives administrators the ability to divide which devices can be installed on machines across the organization.

What is Layered Group Policy in Windows 11?

This Group Policy aims to ensure the machines get less corruption, the number of support cases drops, and the most important is to reduce data theft. The policy ensures to restrict any installation, i.e., the use of devices both in the internal and external environment is blocked. IT admins can choose to pre-authorized devices to be used/installed.

Available here, the script makes sure not all classes are blocked:

Computer Configuration > System > Device Installation > Device Installation Restrictions

this means that if you chose to block the USB device usage, it only blocks it. Going one step ahead, the new feature resolves the earlier problem where several sets need to be created to avoid conflict. Instead, you have hierarchical layering Instance ID > Device ID > Class > Removable device property.

How to apply Layered Group Policy in Windows 11

The first policy you need to enable is — Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria.

Once done, there are an additional set of policies, and you need to ensure to keep the hierarchical order (Device instance IDs > Device IDs > Device setup class > Removable devices) in mind. Here are the policies related to each:

Device instance IDs

• Prevent installation of devices using drivers that match these device instance IDs
• Allow installation of devices using drivers that match these device instance IDs.

Device IDs

• Prevent installation of devices using drivers that match these device IDs
• Allow installation of devices using drivers that match these device IDs

Device setup class

• Prevent installation of devices using drivers that match these device setup classes
• Allow installation of devices using drivers that match these device setup classes.

Removable devices

• Prevent installation of removable devices

Configure each of them by adding the device id or class ID and apply the changes.

Microsoft recommends using this policy over the “Prevent installation of devices not described by other policy settings” policy setting because of the layered structure.

How to find the Hardware ID or Compatible ID?

• Open Device Manager using Win + X, followed by pressing M.
• Locate the device. Right-click on it, and then select Properties
• Switch to the Details tab
• Click on the Property dropdown, and here you can select hardware ID, class ID, and other details. The exact value will be available in the value section.

How to add Device IDs to the Allow list?

• Open the policy— Allow installation of devices that match any of these device IDs.
• Select Enabled, and then click on the Show button under Options.
• Add Compatible ID or Hardware ID to the list
• Apply the changes.

You can also block the installation of specific devices by using the Prevent installation policies.

How to allow administrators to override device installation restrictions?

There is a policy specific to this which you can enable. Once enabled, members of the Administrators group can use the Add Hardware wizard or the update driver wizard to install and update the device.

How to set up a timeout to enforce policy change?

If you want to enforce the policy change, you need to reboot. A setting allows you to set up a Reboot Timeout displayed to the end-user to make sure there is no data loss.

I hope the post explained to you clearly about the Layered Group Policy in Windows 11.

The policy is also available in Windows 10  as part of the July 2021 optional “C” client release and will be made more broadly available beginning in the August 2021 Update Tuesday release.

Related posts

• Kako dodati uređivač grupnih pravila u Windows 11/10 Home Edition

• Kako omogućiti ili onemogućiti Win32 duge staze u sustavu Windows 11/10

• Automatski izbrišite stare korisničke profile i datoteke u sustavu Windows 11/10

• Kako onemogućiti opciju prijave zaporkom slike u sustavu Windows 11/10

• Kako pratiti aktivnost korisnika u načinu rada radne grupe u sustavu Windows 11/10

• Prilagodite zaslon Ctrl+Alt+Del koristeći pravila grupe ili Registry u sustavu Windows

• Grupna pravila u pozadini radne površine ne primjenjuju se u sustavu Windows 11/10

• Onemogućite Internet Explorer 11 kao samostalni preglednik pomoću pravila grupe

• Kako provjeriti ispravnost tvrdog diska u sustavu Windows 11/10

• Omogućite izbornik Start preko cijelog zaslona pomoću Pravila grupe ili Registra u sustavu Windows

• Kako riješiti uobičajene probleme sa zvukom u sustavu Windows 11/10

• Kako odrediti minimalnu i maksimalnu duljinu PIN-a u sustavu Windows 11/10

• Kako onemogućiti brzo pokretanje u sustavu Windows 11/10 (i zašto biste trebali)

• Kako zaključati sve postavke trake zadataka u sustavu Windows 10

• Promijenite pogon predmemorije za optimizaciju isporuke za ažuriranja sustava Windows

• Preusmjerite web-mjesta iz IE-a na Microsoft Edge pomoću pravila grupe u sustavu Windows 10

• Postavke grupnih pravila nedostaju u sustavu Windows 11/10

• Kako prisilno ažurirati grupna pravila u sustavu Windows 11/10

• Kako omogućiti ili onemogućiti ili značajku izolacije aplikacija u sustavu Windows 10

• Ograničite postavku propusnosti koja se može rezervirati u sustavu Windows 11/10