Một trong những thách thức lớn nhất đối với quản trị viên CNTT trong một công ty là chặn quyền truy cập vào các thiết bị như USB , Ổ cứng^{(External Hard Drive)} gắn ngoài và thậm chí cả Máy in vào các thiết bị của tổ chức. Để làm cho việc này dễ dàng hơn một chút, Microsoft đã triển khai tính năng Chính sách nhóm phân lớp^{(Layered Group Policy feature)} cho phép quản trị viên phân chia thiết bị nào có thể được cài đặt trên các máy trong tổ chức.

Chính sách Nhóm^{(Group Policy)} Lớp trong Windows 11 là gì?

Chính sách Nhóm^{(Group Policy)} này nhằm mục đích đảm bảo máy móc ít bị hỏng hơn, số lượng trường hợp hỗ trợ giảm xuống và điều quan trọng nhất là giảm hành vi trộm cắp dữ liệu. Chính sách này đảm bảo hạn chế bất kỳ cài đặt nào, tức là việc sử dụng thiết bị cả trong môi trường bên trong và bên ngoài đều bị chặn. Quản trị viên CNTT có thể chọn sử dụng / cài đặt các thiết bị được ủy quyền trước.

Có sẵn^(Available) ở đây, tập lệnh đảm bảo không phải tất cả các lớp đều bị chặn:

Computer Configuration > System > Device Installation > Device Installation Restrictions

điều này có nghĩa là nếu bạn chọn chặn việc sử dụng thiết bị USB , nó chỉ chặn nó. Đi trước một bước, tính năng mới giải quyết vấn đề trước đó trong đó một số bộ cần được tạo để tránh xung đột. Thay vào đó, bạn có Instance ID > Device ID > Class > Removable Thuộc tính thiết bị có thể tháo rời.

Cách áp dụng chính sách nhóm lớp^{(Layered Group Policy)} trong Windows 11

Chính sách đầu tiên bạn cần bật là - Áp dụng thứ tự đánh giá theo lớp cho các chính sách Cho phép và Ngăn chặn cài đặt thiết bị trên tất cả các tiêu chí đối sánh thiết bị^{(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)} .

Sau khi hoàn tất, có một bộ chính sách bổ sung và bạn cần đảm bảo giữ thứ tự phân cấp ( ID phiên bản IDs > Device IDs > Device Lớp thiết lập thiết bị> Thiết^(Device) bị có thể > Removable ). Dưới đây là các chính sách liên quan đến từng:

ID phiên bản thiết bị

• Ngăn^(Prevent) cài đặt thiết bị sử dụng trình điều khiển khớp với các ID phiên bản thiết bị này^(IDs)
• Cho phép^(Allow) cài đặt các thiết bị sử dụng trình điều khiển phù hợp với các ID^(IDs) phiên bản thiết bị này .

ID thiết bị

• Ngăn^(Prevent) cài đặt thiết bị sử dụng trình điều khiển phù hợp với các ID thiết bị này
• Cho phép^(Allow) cài đặt thiết bị bằng trình điều khiển phù hợp với các ID thiết bị này

Lớp thiết lập thiết bị

• Ngăn^(Prevent) cài đặt thiết bị sử dụng trình điều khiển phù hợp với các lớp thiết lập thiết bị này
• Cho phép^(Allow) cài đặt thiết bị bằng trình điều khiển phù hợp với các lớp thiết lập thiết bị này.

Các thiết bị có thể tháo rời

• Ngăn^(Prevent) cài đặt các thiết bị di động

Định cấu hình^(Configure) từng thiết bị bằng cách thêm id thiết bị hoặc ID lớp và áp dụng các thay đổi.

Microsoft khuyến nghị sử dụng chính sách này trong cài đặt chính sách “ Ngăn cài đặt thiết bị không được mô tả bởi cài đặt chính sách khác^{(Prevent installation of devices not described by other policy settings)} ” vì cấu trúc phân lớp.

Làm cách nào để tìm ID phần cứng^{(Hardware ID)} hoặc ID tương thích?

• Mở Trình quản lý thiết bị^{(Device Manager)} bằng Win + X , sau đó nhấn M.
• Định vị thiết bị. Bấm chuột phải vào nó, sau đó chọn Thuộc tính
• Chuyển sang tab Chi tiết
• Nhấp^(Click) vào menu thả xuống Thuộc tính^(Property) và tại đây bạn có thể chọn ID phần cứng, ID lớp và các chi tiết khác. Giá trị chính xác sẽ có trong phần giá trị.

Làm cách nào để thêm ID thiết bị^{(Device IDs)} vào danh sách Cho phép^(Allow) ?

• Mở chính sách— Cho phép cài đặt thiết bị khớp với bất kỳ ID thiết bị nào trong số này^{(Allow installation of devices that match any of these device IDs)} .
• Chọn Đã bật^{(Select Enabled)} , rồi bấm vào nút Hiển thị^(Show) trong Tùy chọn.
• Thêm ID tương thích^{(Add Compatible ID)} hoặc ID phần cứng^{(Hardware ID)} vào danh sách
• Áp dụng các thay đổi.

Bạn cũng có thể chặn cài đặt các thiết bị cụ thể bằng cách sử dụng chính sách Ngăn^(Prevent) cài đặt.

Làm cách nào để cho phép quản trị viên ghi đè các hạn chế cài đặt thiết bị?

Có một chính sách cụ thể cho điều này mà bạn có thể kích hoạt. Sau khi được bật, các thành viên của nhóm Quản trị^{(Administrators)} viên có thể sử dụng trình hướng dẫn Thêm phần cứng^{(Add Hardware)} hoặc trình hướng dẫn cập nhật trình điều khiển để cài đặt và cập nhật thiết bị.

Làm cách nào để thiết lập thời gian chờ để thực thi thay đổi chính sách?

Nếu bạn muốn thực thi thay đổi chính sách, bạn cần khởi động lại. Một cài đặt cho phép bạn thiết lập Thời gian chờ^(Timeout) khởi động lại được hiển thị cho người dùng cuối để đảm bảo không mất dữ liệu.

Tôi hy vọng bài đăng đã giải thích cho bạn rõ ràng về Chính sách Nhóm Lớp^{(Layered Group Policy)} trong Windows 11 .

Chính sách^{(The policy)} này cũng có sẵn trong Windows 10  như một phần của bản phát hành ứng dụng khách “C” tùy chọn vào tháng 7 năm 2021^{(July 2021)} và sẽ được cung cấp rộng rãi hơn bắt đầu từ bản phát hành Thứ ba cập nhật ^{(Update Tuesday)}tháng 8 năm 2021^{(August 2021)} .

How to apply Layered Group Policy in Windows 11/10

Оnе of the biggest challengеs for an IT admin in a company is to block access to devices such as USB, External Hard Drive, and even Printеrs to the organizatіon’s devicеs. Tо make this a little easier, Micrоsoft has rolled out the Layered Group Policy feature that gives administrators the ability to divide which devices can be installed on machines across the organization.

What is Layered Group Policy in Windows 11?

This Group Policy aims to ensure the machines get less corruption, the number of support cases drops, and the most important is to reduce data theft. The policy ensures to restrict any installation, i.e., the use of devices both in the internal and external environment is blocked. IT admins can choose to pre-authorized devices to be used/installed.

Available here, the script makes sure not all classes are blocked:

Computer Configuration > System > Device Installation > Device Installation Restrictions

this means that if you chose to block the USB device usage, it only blocks it. Going one step ahead, the new feature resolves the earlier problem where several sets need to be created to avoid conflict. Instead, you have hierarchical layering Instance ID > Device ID > Class > Removable device property.

How to apply Layered Group Policy in Windows 11

The first policy you need to enable is — Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria.

Once done, there are an additional set of policies, and you need to ensure to keep the hierarchical order (Device instance IDs > Device IDs > Device setup class > Removable devices) in mind. Here are the policies related to each:

Device instance IDs

• Prevent installation of devices using drivers that match these device instance IDs
• Allow installation of devices using drivers that match these device instance IDs.

Device IDs

• Prevent installation of devices using drivers that match these device IDs
• Allow installation of devices using drivers that match these device IDs

Device setup class

• Prevent installation of devices using drivers that match these device setup classes
• Allow installation of devices using drivers that match these device setup classes.

Removable devices

• Prevent installation of removable devices

Configure each of them by adding the device id or class ID and apply the changes.

Microsoft recommends using this policy over the “Prevent installation of devices not described by other policy settings” policy setting because of the layered structure.

How to find the Hardware ID or Compatible ID?

• Open Device Manager using Win + X, followed by pressing M.
• Locate the device. Right-click on it, and then select Properties
• Switch to the Details tab
• Click on the Property dropdown, and here you can select hardware ID, class ID, and other details. The exact value will be available in the value section.

How to add Device IDs to the Allow list?

• Open the policy— Allow installation of devices that match any of these device IDs.
• Select Enabled, and then click on the Show button under Options.
• Add Compatible ID or Hardware ID to the list
• Apply the changes.

You can also block the installation of specific devices by using the Prevent installation policies.

How to allow administrators to override device installation restrictions?

There is a policy specific to this which you can enable. Once enabled, members of the Administrators group can use the Add Hardware wizard or the update driver wizard to install and update the device.

How to set up a timeout to enforce policy change?

If you want to enforce the policy change, you need to reboot. A setting allows you to set up a Reboot Timeout displayed to the end-user to make sure there is no data loss.

I hope the post explained to you clearly about the Layered Group Policy in Windows 11.

The policy is also available in Windows 10  as part of the July 2021 optional “C” client release and will be made more broadly available beginning in the August 2021 Update Tuesday release.

Related posts

• Làm thế nào để thêm Group Policy Editor để Windows 10 Home Edition

• Cách bật hoặc tắt Win32 Long Paths trên Windows 10

• Delete Cấu hình và tệp người dùng cũ tự động trong Windows 10

• Cách vô hiệu hóa Picture Password Sign-In option bằng Windows 10

• Cách theo dõi User Activity bằng WorkGroup Mode trên Windows 11/10

• Cách khắc phục “Thiết lập không hoàn tất do kết nối được đo” trong Windows 11/10

• Cách kiểm tra tình trạng ổ cứng trong Windows 11/10

• Cách cài đặt Group Policy editor (gpedit.msc)

• Cách bật Trình chỉnh sửa chính sách nhóm trong Windows 11 Home Edition

• Cách khóa tất cả các cài đặt Taskbar trong Windows 10

• Cách kiểm tra Group Policy được áp dụng trên máy tính Windows 10

• Vô hiệu hóa Delivery Optimization VIA Group Policy or Registry Editor

• Cách bật hoặc Disable or Application Isolation feature trong Windows 10

• 6 công cụ sửa chữa Windows 11/10 miễn phí tốt nhất

• Limit Reservable Bandwidth Setting trong Windows 10

• Customize Ctrl+Alt+Del Screen Sử dụng Group Policy or Registry trong Windows

• Cách áp dụng Group Policy lên Non-Administrators chỉ bằng Windows 10

• Cách dễ dàng hợp nhất các thư mục trong Windows 11/10

• Group Policy Client service đã thất bại logon trong Windows 11/10

• Cách buộc Group Policy Update trong Windows 10