วิธีการใช้ Layered Group Policy ใน Windows 11/10
หนึ่งในความท้าทายที่ใหญ่ที่สุดสำหรับผู้ดูแลระบบไอทีในบริษัทคือการบล็อกการเข้าถึงอุปกรณ์ต่างๆ เช่นUSB ฮาร์ดได รฟ์ภายนอก(External Hard Drive)และแม้แต่เครื่องพิมพ์ไปยังอุปกรณ์ขององค์กร เพื่อให้ง่ายขึ้นเล็กน้อยMicrosoftได้เปิดตัวคุณลักษณะ Layered Group Policy(Layered Group Policy feature)ที่ช่วยให้ผู้ดูแลระบบสามารถแบ่งอุปกรณ์ที่สามารถติดตั้งบนเครื่องทั่วทั้งองค์กรได้
Layered Group PolicyในWindows 11คืออะไร?
นโยบายกลุ่ม(Group Policy)นี้มีจุดมุ่งหมายเพื่อให้แน่ใจว่าเครื่องได้รับความเสียหายน้อยลง จำนวนกรณีการสนับสนุนลดลง และที่สำคัญที่สุดคือการลดการขโมยข้อมูล นโยบายนี้รับประกันว่าจะจำกัดการติดตั้ง เช่น การใช้อุปกรณ์ทั้งในสภาพแวดล้อมภายในและภายนอกจะถูกบล็อก ผู้ดูแลระบบไอทีสามารถเลือกอุปกรณ์ที่ได้รับอนุญาตล่วงหน้าเพื่อใช้/ติดตั้ง
มีให้(Available)ที่นี่ สคริปต์ทำให้แน่ใจว่าไม่ได้บล็อกทุกคลาส:
Computer Configuration > System > Device Installation > Device Installation Restrictions
ซึ่งหมายความว่าหากคุณเลือกบล็อกการ ใช้อุปกรณ์ USBจะบล็อกเท่านั้น ก้าวไปข้างหน้าหนึ่งก้าว คุณลักษณะใหม่นี้จะแก้ปัญหาก่อนหน้านี้ซึ่งจำเป็นต้องสร้างหลายชุดเพื่อหลีกเลี่ยงความขัดแย้ง คุณมีลำดับชั้นของ อินส Instance ID > Device ID > Class > Removableคุณสมบัติอุปกรณ์ แบบถอดได้
วิธีการใช้Layered Group PolicyในWindows 11
นโยบายแรกที่คุณต้องเปิดใช้งานคือ — ใช้ลำดับชั้นของการประเมินสำหรับนโยบายอนุญาตและป้องกันการติดตั้งอุปกรณ์ในทุกเกณฑ์การจับคู่(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)อุปกรณ์
เมื่อเสร็จแล้ว จะมีชุดนโยบายเพิ่มเติม และคุณต้องแน่ใจว่าได้รักษาลำดับชั้น ( ID อินสแตนซ์อุปกรณ์(Device)IDs > Device IDs > Deviceคลาสการตั้งค่า อุปกรณ์ > Removable ) นี่คือนโยบายที่เกี่ยวข้องกับแต่ละนโยบาย:
ID อินสแตนซ์อุปกรณ์
- ป้องกัน(Prevent)การติดตั้งอุปกรณ์โดยใช้ไดรเวอร์ที่ตรงกับID อินสแตนซ์อุปกรณ์เหล่านี้(IDs)
- อนุญาตให้(Allow)ติดตั้งอุปกรณ์โดยใช้ไดรเวอร์ที่ตรงกับID(IDs) อินสแตนซ์อุปกรณ์เหล่า นี้
รหัสอุปกรณ์
- ป้องกัน(Prevent)การติดตั้งอุปกรณ์โดยใช้ไดรเวอร์ที่ตรงกับ ID อุปกรณ์เหล่านี้
- อนุญาตให้(Allow)ติดตั้งอุปกรณ์โดยใช้ไดรเวอร์ที่ตรงกับ ID อุปกรณ์เหล่านี้
คลาสการตั้งค่าอุปกรณ์
- ป้องกัน(Prevent)การติดตั้งอุปกรณ์โดยใช้ไดรเวอร์ที่ตรงกับคลาสการตั้งค่าอุปกรณ์เหล่านี้
- อนุญาตให้(Allow)ติดตั้งอุปกรณ์โดยใช้ไดรเวอร์ที่ตรงกับคลาสการตั้งค่าอุปกรณ์เหล่านี้
อุปกรณ์ที่ถอดออกได้
- ป้องกัน(Prevent)การติดตั้งอุปกรณ์ที่ถอดออกได้
กำหนดค่า(Configure)แต่ละรายการโดยเพิ่มรหัสอุปกรณ์หรือรหัสคลาสแล้วนำการเปลี่ยนแปลงไปใช้
Microsoftแนะนำให้ใช้นโยบายนี้แทนการตั้งค่านโยบาย " ป้องกันการติดตั้งอุปกรณ์ที่ไม่ได้อธิบายโดยการตั้งค่านโยบายอื่น(Prevent installation of devices not described by other policy settings) " เนื่องจากโครงสร้างเป็นชั้น
จะค้นหาHardware IDหรือ Compatible ID ได้อย่างไร?
- เปิดDevice Managerโดยใช้Win + Xตามด้วยการกด M
- ค้นหาอุปกรณ์ คลิกขวาที่มัน จากนั้นเลือก Properties
- สลับไปที่แท็บรายละเอียด
- คลิก(Click)ที่ ดรอปดาวน์ คุณสมบัติ(Property)และคุณสามารถเลือก ID ฮาร์ดแวร์ ID คลาส และรายละเอียดอื่นๆ ได้ที่นี่ ค่าที่แน่นอนจะมีอยู่ในส่วนค่า
จะเพิ่มDevice ID(Device IDs)ใน รายการ Allowได้อย่างไร?
- เปิดนโยบาย— อนุญาตให้ติดตั้งอุปกรณ์ที่ตรงกับรหัสอุปกรณ์เหล่า(Allow installation of devices that match any of these device IDs)นี้
- เลือก Enabled(Select Enabled)จากนั้นคลิกที่ ปุ่ม Showใต้ Options
- เพิ่ม Compatible ID(Add Compatible ID)หรือHardware IDลงในรายการ
- ใช้การเปลี่ยนแปลง
คุณยังสามารถบล็อกการติดตั้งอุปกรณ์เฉพาะได้โดยใช้ นโยบาย ป้องกัน(Prevent)การติดตั้ง
จะอนุญาตให้ผู้ดูแลระบบแทนที่ข้อจำกัดการติดตั้งอุปกรณ์ได้อย่างไร
มีนโยบายเฉพาะสำหรับสิ่งนี้ซึ่งคุณสามารถเปิดใช้งานได้ เมื่อเปิดใช้งานแล้ว สมาชิกของ กลุ่ม ผู้ดูแลระบบ(Administrators)สามารถใช้วิซาร์ดAdd Hardware หรือตัวช่วยอัปเดตไดรเวอร์เพื่อติดตั้งและอัปเดตอุปกรณ์(Add Hardware)
จะตั้งค่าไทม์เอาต์เพื่อบังคับใช้การเปลี่ยนแปลงนโยบายได้อย่างไร
หากคุณต้องการบังคับใช้การเปลี่ยนแปลงนโยบาย คุณต้องรีบูต การตั้งค่าทำให้คุณสามารถตั้งค่า Reboot Timeoutที่แสดงต่อผู้ใช้ปลายทาง เพื่อให้แน่ใจว่าไม่มีข้อมูลสูญหาย
ฉันหวังว่าโพสต์จะอธิบายให้คุณทราบอย่างชัดเจนเกี่ยวกับLayered Group PolicyในWindows(Windows 11) 11
นโยบาย(The policy)นี้ยังมีให้ใช้งานในWindows 10 โดยเป็นส่วนหนึ่งของการเปิดตัวไคลเอ็นต์ “C” ที่เป็นตัวเลือก ใน เดือนกรกฎาคม 2564(July 2021) และจะมีให้ใช้งานในวงกว้างมากขึ้นโดยเริ่มในการ เปิดตัว การอัปเดตใน เดือนสิงหาคม 2564 ใน (August 2021) วันอังคาร(Update Tuesday)
About the author
ฉันเป็นผู้เชี่ยวชาญด้าน Windows และทำงานในอุตสาหกรรมซอฟต์แวร์มากว่า 10 ปี ฉันมีประสบการณ์กับทั้งระบบ Microsoft Windows และ Apple Macintosh ทักษะของฉัน ได้แก่ การจัดการหน้าต่าง ฮาร์ดแวร์คอมพิวเตอร์และเสียง การพัฒนาแอพ และอื่นๆ ฉันเป็นที่ปรึกษาที่มีประสบการณ์ซึ่งสามารถช่วยให้คุณได้รับประโยชน์สูงสุดจากระบบ Windows ของคุณ
Related posts
วิธีการเพิ่ม Group Policy Editor เพื่อ Windows 10 Home Edition
วิธีการเปิดหรือปิดการใช้งานบน Win32 Long Paths Windows 10
Delete โปรไฟล์ผู้ใช้เก่าและไฟล์โดยอัตโนมัติใน Windows 10
วิธีปิดใช้งาน Picture Password Sign-In option ใน Windows 10
วิธีการติดตาม User Activity ใน WorkGroup Mode บน Windows 11/10
6 เครื่องมือซ่อมแซม Windows 11/10 ที่ดีที่สุดฟรี
วิธีการป้องกันผู้ใช้จากการลบ Diagnostic Data ใน Windows 10
Stop Windows 10 จากการโหลด Microsoft Edge บน Startup
วิธีใช้ Group Policy ถึง Non-Administrators เฉพาะใน Windows 10
Limit Reservable Bandwidth Setting ใน Windows 10
วิธีการแมป Network Drive โดยใช้ Group Policy บน Windows 10
วิธี จำกัด การชาร์จแบตเตอรี่เป็นเปอร์เซ็นต์ที่แน่นอนใน Windows 11/10
วิธีการระบุกำหนดเวลาก่อนรีสตาร์ทอัตโนมัติสำหรับ Update installation
เปิดใช้งานหน้าจอ Windows 10 Full Start Menu โดยใช้ Group Policy or Registry
Desktop Background Group Policy ไม่ได้ใช้ใน Windows 10
ไซต์เปลี่ยนเส้นทางจาก IE ถึง Microsoft Edge โดยใช้ Group Policy ใน Windows 10
เกิดข้อผิดพลาดเมื่อคุณเปิด Local Group Policy Editor ใน Windows 10
dependency Service or Group ไม่สามารถเริ่มต้นใน Windows 10
วิธีการเปิดใช้งานหรือ Disable or Application Isolation feature ใน Windows 10
วิธีแก้ไขปัญหาเสียงทั่วไปใน Windows 11/10