Eine der größten Herausforderungen für einen IT-Administrator in einem Unternehmen besteht darin, den Zugriff auf Geräte wie USB , externe Festplatten^{(External Hard Drive)} und sogar Drucker auf die Geräte der Organisation zu blockieren. Um dies ein wenig einfacher zu machen, hat Microsoft die Funktion Layered Group Policy eingeführt^{(Layered Group Policy feature)} , die Administratoren die Möglichkeit gibt, aufzuteilen, welche Geräte auf Computern in der gesamten Organisation installiert werden können.

Was ist eine mehrschichtige Gruppenrichtlinie^{(Group Policy)} in Windows 11 ?

Diese Gruppenrichtlinie^{(Group Policy)} soll sicherstellen, dass die Maschinen weniger beschädigt werden, die Anzahl der Supportfälle sinkt und vor allem der Datendiebstahl reduziert wird. Die Richtlinie sorgt dafür, dass jede Installation eingeschränkt wird, dh die Verwendung von Geräten sowohl in der internen als auch in der externen Umgebung wird blockiert. IT-Administratoren können auswählen, ob vorautorisierte Geräte verwendet/installiert werden sollen.

Das hier verfügbare^(Available) Skript stellt sicher, dass nicht alle Klassen blockiert werden:

Computer Configuration > System > Device Installation > Device Installation Restrictions

Dies bedeutet, dass, wenn Sie sich entschieden haben, die Verwendung des USB -Geräts zu blockieren, es nur blockiert wird. Die neue Funktion geht einen Schritt weiter und löst das frühere Problem, bei dem mehrere Sätze erstellt werden müssen, um Konflikte zu vermeiden. Stattdessen haben Sie eine hierarchische Schichtung Instance ID > Device ID > Class > Removable Eigenschaften des Wechseldatenträgers.

So wenden Sie eine mehrschichtige Gruppenrichtlinie^{(Layered Group Policy)} in Windows 11 an^{(Windows 11)}

Die erste Richtlinie, die Sie aktivieren müssen, lautet: Wenden Sie eine mehrstufige Auswertungsreihenfolge für die Richtlinien „Geräteinstallation zulassen“ und „Verhindern“ auf alle Geräteübereinstimmungskriterien an^{(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)} .

Sobald dies erledigt ist, gibt es einen zusätzlichen Satz von Richtlinien, und Sie müssen sicherstellen, dass Sie die hierarchische Reihenfolge ( Geräteinstanz^(Device) -IDs > Geräte- IDs IDs > Device IDs > Device -Setup-Klasse > Removable ) im Auge behalten. Hier sind die jeweiligen Richtlinien:

Geräteinstanz-IDs

• Verhindern Sie^(Prevent) die Installation von Geräten mit Treibern, die mit diesen Geräteinstanz- IDs übereinstimmen^(IDs)
• Installation von Geräten mit Treibern zulassen^(Allow) , die mit diesen Geräteinstanz- IDs übereinstimmen .

Geräte-IDs

• Verhindern Sie^(Prevent) die Installation von Geräten mit Treibern, die mit diesen Geräte-IDs übereinstimmen
• Installation von Geräten mit Treibern zulassen^(Allow) , die mit diesen Geräte-IDs übereinstimmen

Geräte-Setup-Klasse

• Verhindern Sie^(Prevent) die Installation von Geräten mit Treibern, die diesen Geräte-Setup-Klassen entsprechen
• Installation von Geräten mit Treibern zulassen^(Allow) , die diesen Geräte-Setup-Klassen entsprechen.

Wechselmedien

• Verhindern Sie die^(Prevent) Installation von Wechseldatenträgern

Konfigurieren^(Configure) Sie jeden von ihnen, indem Sie die Geräte-ID oder Klassen-ID hinzufügen und die Änderungen anwenden.

Microsoft empfiehlt, diese Richtlinie aufgrund der mehrschichtigen Struktur der Richtlinieneinstellung „ Installation von Geräten verhindern, die nicht von anderen Richtlinieneinstellungen beschrieben werden “ vorzuziehen.^{(Prevent installation of devices not described by other policy settings)}

Wie finde ich die Hardware-ID oder kompatible ID?

• Öffnen Sie den Geräte-Manager^{(Device Manager)} mit Win + X und drücken Sie dann M.
• Suchen Sie das Gerät. Klicken Sie mit der rechten Maustaste darauf und wählen Sie dann Eigenschaften
• Wechseln Sie auf die Registerkarte Details
• Klicken Sie^(Click) auf das Dropdown-Menü Eigenschaft^(Property) , und hier können Sie Hardware-ID, Klassen-ID und andere Details auswählen. Der genaue Wert wird im Wertabschnitt verfügbar sein.

Wie füge ich Geräte-IDs^{(Device IDs)} zur Zulassungsliste^(Allow) hinzu ?

• Öffnen Sie die Richtlinie — Installation von Geräten zulassen, die mit einer dieser Geräte-IDs übereinstimmen^{(Allow installation of devices that match any of these device IDs)} .
• Wählen Sie Aktiviert^{(Select Enabled)} und klicken Sie dann unter Optionen auf die Schaltfläche Anzeigen .^(Show)
• Kompatible ID^{(Add Compatible ID)} oder Hardware-ID zur Liste hinzufügen
• Übernehmen Sie die Änderungen.

Sie können die Installation bestimmter Geräte auch blockieren, indem Sie die Installationsrichtlinien verhindern^(Prevent) verwenden .

Wie gestatte ich Administratoren, Geräteinstallationsbeschränkungen außer Kraft zu setzen?

Hierfür gibt es eine Richtlinie, die Sie aktivieren können. Nach der Aktivierung können Mitglieder der Gruppe „ Administratoren “ den Assistenten zum ^{(Administrators)}Hinzufügen von Hardware^{(Add Hardware)} oder den Assistenten zum Aktualisieren von Treibern verwenden, um das Gerät zu installieren und zu aktualisieren.

Wie richte ich ein Timeout ein, um eine Richtlinienänderung zu erzwingen?

Wenn Sie die Richtlinienänderung erzwingen möchten, müssen Sie neu starten. Mit einer Einstellung können Sie ein Neustart- Timeout^(Timeout) einrichten , das dem Endbenutzer angezeigt wird, um sicherzustellen, dass kein Datenverlust auftritt.

Ich hoffe, der Beitrag hat Ihnen die Layered Group Policy^{(Layered Group Policy)} in Windows 11 klar erklärt .

Die Richtlinie^{(The policy)} ist auch in Windows 10  als Teil der optionalen „C“-Client-Version vom Juli 2021 verfügbar und wird ab der ^{(July 2021)}Update-Dienstag^{(Update Tuesday)} - Version vom August 2021 breiter verfügbar gemacht .

How to apply Layered Group Policy in Windows 11/10

One of the biggest challenges for an IT admin in a company is to block access to devices such as USB, External Hard Drive, and eνen Printеrs to the organization’s devicеs. To make this a little easier, Microsoft has rolled out the Layered Group Policy feature that gives administrators the ability to divide which devices can be installed on machines across the organization.

What is Layered Group Policy in Windows 11?

This Group Policy aims to ensure the machines get less corruption, the number of support cases drops, and the most important is to reduce data theft. The policy ensures to restrict any installation, i.e., the use of devices both in the internal and external environment is blocked. IT admins can choose to pre-authorized devices to be used/installed.

Available here, the script makes sure not all classes are blocked:

Computer Configuration > System > Device Installation > Device Installation Restrictions

this means that if you chose to block the USB device usage, it only blocks it. Going one step ahead, the new feature resolves the earlier problem where several sets need to be created to avoid conflict. Instead, you have hierarchical layering Instance ID > Device ID > Class > Removable device property.

How to apply Layered Group Policy in Windows 11

The first policy you need to enable is — Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria.

Once done, there are an additional set of policies, and you need to ensure to keep the hierarchical order (Device instance IDs > Device IDs > Device setup class > Removable devices) in mind. Here are the policies related to each:

Device instance IDs

• Prevent installation of devices using drivers that match these device instance IDs
• Allow installation of devices using drivers that match these device instance IDs.

Device IDs

• Prevent installation of devices using drivers that match these device IDs
• Allow installation of devices using drivers that match these device IDs

Device setup class

• Prevent installation of devices using drivers that match these device setup classes
• Allow installation of devices using drivers that match these device setup classes.

Removable devices

• Prevent installation of removable devices

Configure each of them by adding the device id or class ID and apply the changes.

Microsoft recommends using this policy over the “Prevent installation of devices not described by other policy settings” policy setting because of the layered structure.

How to find the Hardware ID or Compatible ID?

• Open Device Manager using Win + X, followed by pressing M.
• Locate the device. Right-click on it, and then select Properties
• Switch to the Details tab
• Click on the Property dropdown, and here you can select hardware ID, class ID, and other details. The exact value will be available in the value section.

How to add Device IDs to the Allow list?

• Open the policy— Allow installation of devices that match any of these device IDs.
• Select Enabled, and then click on the Show button under Options.
• Add Compatible ID or Hardware ID to the list
• Apply the changes.

You can also block the installation of specific devices by using the Prevent installation policies.

How to allow administrators to override device installation restrictions?

There is a policy specific to this which you can enable. Once enabled, members of the Administrators group can use the Add Hardware wizard or the update driver wizard to install and update the device.

How to set up a timeout to enforce policy change?

If you want to enforce the policy change, you need to reboot. A setting allows you to set up a Reboot Timeout displayed to the end-user to make sure there is no data loss.

I hope the post explained to you clearly about the Layered Group Policy in Windows 11.

The policy is also available in Windows 10  as part of the July 2021 optional “C” client release and will be made more broadly available beginning in the August 2021 Update Tuesday release.

Related posts

• So fügen Sie den Gruppenrichtlinien-Editor zu Windows 11/10 Home Edition hinzu

• So aktivieren oder deaktivieren Sie lange Win32-Pfade unter Windows 11/10

• Alte Benutzerprofile und Dateien automatisch in Windows 11/10 löschen

• So deaktivieren Sie die Bildpasswort-Anmeldeoption in Windows 11/10

• So verfolgen Sie die Benutzeraktivität im WorkGroup-Modus unter Windows 11/10

• So lassen Sie Ihren Monitor eingeschaltet, wenn der Laptop in Windows 11/10 geschlossen ist

• So wenden Sie die Gruppenrichtlinie nur auf Nicht-Administratoren in Windows 10 an

• So ordnen Sie ein Netzlaufwerk mithilfe der Gruppenrichtlinie unter Windows 11/10 zu

• Leiten Sie Websites mithilfe von Gruppenrichtlinien in Windows 10 vom IE zu Microsoft Edge um

• Verhindern Sie, dass Windows 10 Microsoft Edge beim Start vorab lädt

• Deaktivieren Sie die Übermittlungsoptimierung über die Gruppenrichtlinie oder den Registrierungseditor

• Cache-Laufwerk für die Übermittlungsoptimierung für Windows-Updates ändern

• Standard-Firewallrichtlinie in Windows 11/10 importieren, exportieren, reparieren, wiederherstellen

• Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte in Windows 11/10 nicht gestartet werden

• So aktivieren Sie den Gruppenrichtlinien-Editor in Windows 11 Home Edition

• Greifen Sie auf die lokale Benutzer- und Gruppenverwaltung in Windows 11/10 Home zu

• So verhindern Sie, dass Benutzer Diagnosedaten in Windows 11/10 löschen

• So aktivieren Sie die Windows Installer-Protokollierung unter Windows 10

• So führen Sie Ordner in Windows 11/10 einfach zusammen

• Referenzhandbuch für Gruppenrichtlinieneinstellungen für Windows 10