如何在 Windows 11/10 中应用分层组策略

公司 IT 管理员面临的最大挑战之一是阻止对组织设备的 USB、外部硬盘甚至打印机等设备的访问。为了让这一切变得更容易，微软推出了分层组策略功能，使管理员能够划分可以在整个组织的计算机上安装的设备。

Windows 11 中的分层组策略是什么？

该组策略旨在确保机器减少损坏，支持案例数量下降，最重要的是减少数据盗窃。该策略确保限制任何安装，即阻止在内部和外部环境中使用设备。 IT 管理员可以选择预授权要使用/安装的设备。

该脚本可在此处找到，确保并非所有类都被阻止：

计算机配置 > 系统 > 设备安装 > 设备安装限制

这意味着，如果您选择阻止 USB 设备的使用，它只会阻止它。这一新功能向前迈出了一步，解决了之前需要创建多个集合以避免冲突的问题。相反，您具有分层实例 ID > 设备 ID > 类 > 可移动设备属性。

如何在 Windows 11 中应用分层组策略

您需要启用的第一个策略是 - 对所有设备匹配条件中的允许和阻止设备安装策略应用分层评估顺序。

完成后，还有一组附加策略，并且您需要确保牢记分层顺序（设备实例 ID > 设备 ID > 设备设置类 > 可移动设备）。以下是与每个相关的政策：

设备实例 ID

• 防止使用与这些设备实例 ID 匹配的驱动程序安装设备

• 允许使用与这些设备实例 ID 匹配的驱动程序安装设备。

设备 ID

• 防止使用与这些设备 ID 匹配的驱动程序安装设备

• 允许使用与这些设备 ID 匹配的驱动程序安装设备

设备设置类

• 防止使用与这些设备安装程序类匹配的驱动程序安装设备

• 允许使用与这些设备安装程序类匹配的驱动程序安装设备。

可卸除的设备

• 防止安装可移动设备

通过添加设备 ID 或类 ID 来配置每个设备并应用更改。

由于分层结构，Microsoft 建议使用此策略而不是“阻止安装其他策略设置未描述的设备”策略设置。

如何查找硬件 ID 或兼容 ID？

• 使用 Win + X 打开设备管理器，然后按 M。

• 找到设备。右键单击它，然后选择属性

• 切换到详细信息选项卡

• 单击“属性”下拉列表，您可以在此处选择硬件 ID、类 ID 和其他详细信息。确切的值将在值部分中提供。

如何将设备 ID 添加到允许列表？

• 打开策略 - 允许安装与任何这些设备 ID 匹配的设备。

• 选择启用，然后单击选项下的显示按钮。

• 将兼容 ID 或硬件 ID 添加到列表中

• 应用更改。

您还可以使用阻止安装策略来阻止特定设备的安装。

如何允许管理员覆盖设备安装限制？

您可以启用特定于此的策略。启用后，管理员组的成员可以使用添加硬件向导或更新驱动程序向导来安装和更新设备。

如何设置超时来强制执行策略更改？

如果您想强制执行策略更改，则需要重新启动。您可以通过设置向最终用户显示重新启动超时，以确保不会丢失数据。

我希望这篇文章能够向您清楚地解释 Windows 11 中的分层组策略。

该策略还作为 2021 年 7 月可选“C”客户端版本的一部分在 Windows 10 中提供，并将在 2021 年 8 月更新星期二版本中开始更广泛地提供。