یکی از بزرگترین چالش‌های یک مدیر فناوری اطلاعات در یک شرکت، مسدود کردن دسترسی به دستگاه‌هایی مانند USB ، هارد اکسترنال^{(External Hard Drive)} و حتی چاپگرها به دستگاه‌های سازمان است. مایکروسافت^(Microsoft) برای اینکه این کار را کمی آسان‌تر کند، ویژگی Layered Group Policy را^{(Layered Group Policy feature)} ارائه کرده است که به مدیران این امکان را می‌دهد تا دستگاه‌هایی را که می‌توانند بر روی دستگاه‌های سراسر سازمان نصب شوند، تقسیم کنند.

خط مشی گروه^{(Group Policy)} لایه ای در ویندوز 11^{(Windows 11)} چیست؟

هدف این خط‌مشی گروهی^{(Group Policy)} این است که دستگاه‌ها از فساد کمتری برخوردار شوند، تعداد پرونده‌های پشتیبانی کاهش یابد و مهم‌ترین آن کاهش سرقت اطلاعات است. این خط مشی تضمین می کند که هرگونه نصب را محدود می کند، به عنوان مثال، استفاده از دستگاه ها در محیط داخلی و خارجی مسدود شده است. مدیران فناوری اطلاعات می‌توانند دستگاه‌های از پیش مجاز مورد استفاده/نصب را انتخاب کنند.

اسکریپت در اینجا موجود^(Available) است، مطمئن می شود که همه کلاس ها مسدود نشده اند:

Computer Configuration > System > Device Installation > Device Installation Restrictions

این بدان معنی است که اگر استفاده از دستگاه USB را مسدود کنید ، فقط آن را مسدود می کند. با رفتن یک قدم جلوتر، ویژگی جدید مشکل قبلی را حل می کند، جایی که باید چندین مجموعه ایجاد شود تا از تضاد جلوگیری شود. درعوض، شما لایه بندی سلسله مراتبی دارید Instance ID > Device ID > Class > Removable device.

نحوه اعمال Layered Group Policy در ویندوز 11^{(Windows 11)}

اولین خط‌مشی که باید فعال کنید این است که - ترتیب لایه‌ای ارزیابی را برای خط‌مشی‌های نصب دستگاه مجاز و جلوگیری در همه معیارهای مطابقت دستگاه اعمال کنید^{(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)} .

پس از انجام، مجموعه‌ای از خط‌مشی‌های اضافی وجود دارد، و باید مطمئن شوید که ترتیب سلسله مراتبی ( شناسه‌های نمونه دستگاه ^(Device)IDs > Device IDs > Device کلاس راه‌اندازی دستگاه > Removable دستگاه‌های قابل جابجایی) را در نظر داشته باشید. در اینجا سیاست های مربوط به هر یک آمده است:

شناسه‌های نمونه دستگاه

• ^(Prevent)از نصب دستگاه‌هایی با استفاده از درایورهایی که با این شناسه‌های^(IDs) نمونه دستگاه مطابقت دارند، جلوگیری کنید
• اجازه نصب دستگاه‌هایی با استفاده از درایورهایی که با این ^(Allow)شناسه‌های^(IDs) نمونه دستگاه مطابقت دارند.

شناسه های دستگاه

• ^(Prevent)از نصب دستگاه‌هایی با استفاده از درایورهایی که با این شناسه‌های دستگاه مطابقت دارند، جلوگیری کنید
• اجازه^(Allow) نصب دستگاه‌هایی با استفاده از درایورهایی که با این شناسه‌های دستگاه مطابقت دارند

کلاس راه اندازی دستگاه

• ^(Prevent)از نصب دستگاه‌هایی با استفاده از درایورهایی که با این کلاس‌های راه‌اندازی دستگاه مطابقت دارند، جلوگیری کنید
• اجازه^(Allow) نصب دستگاه‌هایی با استفاده از درایورهایی که با این کلاس‌های راه‌اندازی دستگاه مطابقت دارند.

دستگاه های قابل جابجایی

• جلوگیری از^(Prevent) نصب دستگاه های متحرک

^(Configure)هر یک از آنها را با افزودن شناسه دستگاه یا شناسه کلاس پیکربندی کنید و تغییرات را اعمال کنید.

مایکروسافت^(Microsoft) به دلیل ساختار لایه‌ای، استفاده از این خط‌مشی را در تنظیم خط‌مشی « جلوگیری از نصب دستگاه‌هایی که توسط تنظیمات خط‌مشی دیگر توصیف نشده‌اند » استفاده کنید.^{(Prevent installation of devices not described by other policy settings)}

چگونه شناسه سخت افزاری^{(Hardware ID)} یا شناسه سازگار را پیدا کنیم؟

• Device Manager را با استفاده از Win + X باز کنید و سپس M را فشار دهید.
• دستگاه را پیدا کنید. روی آن راست کلیک کرده و سپس Properties را انتخاب کنید
• به تب جزئیات بروید
• ^(Click)بر روی گزینه Property کلیک کنید و در اینجا می توانید شناسه سخت افزار، شناسه کلاس و سایر جزئیات را انتخاب کنید. مقدار دقیق در قسمت ارزش موجود خواهد بود.

چگونه شناسه های دستگاه^{(Device IDs)} را به لیست مجاز^(Allow) اضافه کنیم؟

• سیاست را باز کنید— اجازه نصب دستگاه هایی را بدهید که با هر یک از این شناسه های دستگاه مطابقت^{(Allow installation of devices that match any of these device IDs)} دارند.
• Enabled^{(Select Enabled)} را انتخاب کنید و سپس بر روی دکمه Show در قسمت Options کلیک کنید.
• شناسه سازگار^{(Add Compatible ID)} یا شناسه سخت افزار^{(Hardware ID)} را به لیست اضافه کنید
• تغییرات را اعمال کنید.

همچنین می توانید با استفاده از سیاست های نصب Prevent ، نصب دستگاه های خاصی را مسدود کنید.^(Prevent)

چگونه به مدیران اجازه دهیم محدودیت های نصب دستگاه را لغو کنند؟

یک خط مشی خاص برای این وجود دارد که می توانید آن را فعال کنید. پس از فعال شدن، اعضای گروه Administrators می توانند از جادوگر افزودن سخت افزار^{(Add Hardware)} یا جادوگر درایور به روز رسانی برای نصب و به روز رسانی دستگاه استفاده کنند.

چگونه یک بازه زمانی برای اعمال تغییر سیاست تنظیم کنیم؟

اگر می خواهید تغییر خط مشی را اعمال کنید، باید راه اندازی مجدد کنید. یک تنظیم به شما امکان می‌دهد تا زمان راه‌اندازی مجدد را تنظیم کنید که به^(Timeout) کاربر نهایی نمایش داده می‌شود تا مطمئن شوید که داده‌ای از دست نمی‌رود.

امیدوارم پست به وضوح در مورد خط مشی گروه لایه^{(Layered Group Policy)} ای در ویندوز 11^{(Windows 11)} برای شما توضیح داده باشد.

این خط‌مشی^{(The policy)} همچنین در ویندوز 10^{(Windows 10)}  به‌عنوان بخشی از نسخه اختیاری کلاینت «C» در جولای 2021 در دسترس است و در نسخه ^{(July 2021)}سه‌شنبه به‌روزرسانی ^{(Update Tuesday)}آگوست 2021^{(August 2021)} به‌طور گسترده‌تر در دسترس خواهد بود .

How to apply Layered Group Policy in Windows 11/10

One of the biggest challenges for an IT admin in a company is to block access to deνicеs such as USB, External Hard Drive, and even Printers to the organization’s devіces. To make this a little easier, Microsoft has rolled out thе Layered Group Policy feature that gives administrators the ability to divide which devices can be installed on machines across the organization.

What is Layered Group Policy in Windows 11?

This Group Policy aims to ensure the machines get less corruption, the number of support cases drops, and the most important is to reduce data theft. The policy ensures to restrict any installation, i.e., the use of devices both in the internal and external environment is blocked. IT admins can choose to pre-authorized devices to be used/installed.

Available here, the script makes sure not all classes are blocked:

Computer Configuration > System > Device Installation > Device Installation Restrictions

this means that if you chose to block the USB device usage, it only blocks it. Going one step ahead, the new feature resolves the earlier problem where several sets need to be created to avoid conflict. Instead, you have hierarchical layering Instance ID > Device ID > Class > Removable device property.

How to apply Layered Group Policy in Windows 11

The first policy you need to enable is — Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria.

Once done, there are an additional set of policies, and you need to ensure to keep the hierarchical order (Device instance IDs > Device IDs > Device setup class > Removable devices) in mind. Here are the policies related to each:

Device instance IDs

• Prevent installation of devices using drivers that match these device instance IDs
• Allow installation of devices using drivers that match these device instance IDs.

Device IDs

• Prevent installation of devices using drivers that match these device IDs
• Allow installation of devices using drivers that match these device IDs

Device setup class

• Prevent installation of devices using drivers that match these device setup classes
• Allow installation of devices using drivers that match these device setup classes.

Removable devices

• Prevent installation of removable devices

Configure each of them by adding the device id or class ID and apply the changes.

Microsoft recommends using this policy over the “Prevent installation of devices not described by other policy settings” policy setting because of the layered structure.

How to find the Hardware ID or Compatible ID?

• Open Device Manager using Win + X, followed by pressing M.
• Locate the device. Right-click on it, and then select Properties
• Switch to the Details tab
• Click on the Property dropdown, and here you can select hardware ID, class ID, and other details. The exact value will be available in the value section.

How to add Device IDs to the Allow list?

• Open the policy— Allow installation of devices that match any of these device IDs.
• Select Enabled, and then click on the Show button under Options.
• Add Compatible ID or Hardware ID to the list
• Apply the changes.

You can also block the installation of specific devices by using the Prevent installation policies.

How to allow administrators to override device installation restrictions?

There is a policy specific to this which you can enable. Once enabled, members of the Administrators group can use the Add Hardware wizard or the update driver wizard to install and update the device.

How to set up a timeout to enforce policy change?

If you want to enforce the policy change, you need to reboot. A setting allows you to set up a Reboot Timeout displayed to the end-user to make sure there is no data loss.

I hope the post explained to you clearly about the Layered Group Policy in Windows 11.

The policy is also available in Windows 10  as part of the July 2021 optional “C” client release and will be made more broadly available beginning in the August 2021 Update Tuesday release.

Related posts

• چگونه برای اضافه کردن Group Policy Editor به Windows 10 Home Edition

• چگونه به فعال یا غیر فعال Win32 Long Paths در Windows 10

• Delete پروفایل های کاربر قدیمی و فایل ها به طور خودکار در Windows 10

• چگونه Picture Password Sign-In option را در Windows 10 غیرفعال کنیم

• چگونه برای ردیابی User Activity در WorkGroup Mode در Windows 11/10

• نحوه مشخص کردن Minimum and Maximum PIN length در Windows 10

• چگونه مانیتور خود را هنگام بسته بودن لپ تاپ در ویندوز 11/10 روشن نگه دارید

• dependency Service or Group قادر به شروع در Windows 10

• چگونه برای جلوگیری از حذف کاربران از حذف Diagnostic Data در Windows 10

• چگونه برای فعال کردن یا Disable or Application Isolation feature در Windows 10

• خطا هنگام باز کردن Group Policy Editor محلی در Windows 10

• Stop Windows 10 از پیش بارگذاری Microsoft Edge در Startup

• Desktop Background Group Policy در Windows 10 اعمال نمی شود

• Group Policy Client service لاگین در Windows 11/10 شکست خورده

• نحوه عیب یابی مشکلات رایج صوتی در ویندوز 11/10

• Customize Ctrl+Alt+Del Screen با استفاده از Group Policy or Registry در Windows

• چگونه Group Policy Update را در Windows 10 مجبور کنیم

• Access Local User and Group Management در Windows 10 Home

• نحوه قفل کردن تمام تنظیمات Taskbar در Windows 10

• چگونه برای نقشه برداری Network Drive با استفاده از Group Policy در Windows 10