วิธีการใช้ Layered Group Policy ใน Windows 11/10

หนึ่งในความท้าทายที่ใหญ่ที่สุดสำหรับผู้ดูแลระบบไอทีในบริษัทคือการบล็อกการเข้าถึงอุปกรณ์ต่างๆ เช่นUSB ฮาร์ดได รฟ์ภายนอก(External Hard Drive)และแม้แต่เครื่องพิมพ์ไปยังอุปกรณ์ขององค์กร เพื่อให้ง่ายขึ้นเล็กน้อยMicrosoftได้เปิดตัวคุณลักษณะ Layered Group Policy(Layered Group Policy feature)ที่ช่วยให้ผู้ดูแลระบบสามารถแบ่งอุปกรณ์ที่สามารถติดตั้งบนเครื่องทั่วทั้งองค์กรได้

Layered Group PolicyในWindows 11คืออะไร?

นโยบายกลุ่ม(Group Policy)นี้มีจุดมุ่งหมายเพื่อให้แน่ใจว่าเครื่องได้รับความเสียหายน้อยลง จำนวนกรณีการสนับสนุนลดลง และที่สำคัญที่สุดคือการลดการขโมยข้อมูล นโยบายนี้รับประกันว่าจะจำกัดการติดตั้ง เช่น การใช้อุปกรณ์ทั้งในสภาพแวดล้อมภายในและภายนอกจะถูกบล็อก ผู้ดูแลระบบไอทีสามารถเลือกอุปกรณ์ที่ได้รับอนุญาตล่วงหน้าเพื่อใช้/ติดตั้ง

นโยบายกลุ่มแบบเลเยอร์ใน Windows 11

มีให้(Available)ที่นี่ สคริปต์ทำให้แน่ใจว่าไม่ได้บล็อกทุกคลาส:

Computer Configuration > System > Device Installation > Device Installation Restrictions

ซึ่งหมายความว่าหากคุณเลือกบล็อกการ ใช้อุปกรณ์ USBจะบล็อกเท่านั้น ก้าวไปข้างหน้าหนึ่งก้าว คุณลักษณะใหม่นี้จะแก้ปัญหาก่อนหน้านี้ซึ่งจำเป็นต้องสร้างหลายชุดเพื่อหลีกเลี่ยงความขัดแย้ง คุณมีลำดับชั้นของ อินส Instance ID > Device ID > Class > Removableคุณสมบัติอุปกรณ์ แบบถอดได้

วิธีการใช้Layered Group PolicyในWindows 11

นโยบายแรกที่คุณต้องเปิดใช้งานคือ — ใช้ลำดับชั้นของการประเมินสำหรับนโยบายอนุญาตและป้องกันการติดตั้งอุปกรณ์ในทุกเกณฑ์การจับคู่(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)อุปกรณ์

เมื่อเสร็จแล้ว จะมีชุดนโยบายเพิ่มเติม และคุณต้องแน่ใจว่าได้รักษาลำดับชั้น ( ID อินสแตนซ์อุปกรณ์(Device)IDs > Device IDs > Deviceคลาสการตั้งค่า อุปกรณ์ > Removable ) นี่คือนโยบายที่เกี่ยวข้องกับแต่ละนโยบาย:

ID อินสแตนซ์อุปกรณ์

  • ป้องกัน(Prevent)การติดตั้งอุปกรณ์โดยใช้ไดรเวอร์ที่ตรงกับID อินสแตนซ์อุปกรณ์เหล่านี้(IDs)
  • อนุญาตให้(Allow)ติดตั้งอุปกรณ์โดยใช้ไดรเวอร์ที่ตรงกับID(IDs) อินสแตนซ์อุปกรณ์เหล่า นี้

รหัสอุปกรณ์

  • ป้องกัน(Prevent)การติดตั้งอุปกรณ์โดยใช้ไดรเวอร์ที่ตรงกับ ID อุปกรณ์เหล่านี้
  • อนุญาตให้(Allow)ติดตั้งอุปกรณ์โดยใช้ไดรเวอร์ที่ตรงกับ ID อุปกรณ์เหล่านี้

คลาสการตั้งค่าอุปกรณ์

  • ป้องกัน(Prevent)การติดตั้งอุปกรณ์โดยใช้ไดรเวอร์ที่ตรงกับคลาสการตั้งค่าอุปกรณ์เหล่านี้
  • อนุญาตให้(Allow)ติดตั้งอุปกรณ์โดยใช้ไดรเวอร์ที่ตรงกับคลาสการตั้งค่าอุปกรณ์เหล่านี้

อุปกรณ์ที่ถอดออกได้

  • ป้องกัน(Prevent)การติดตั้งอุปกรณ์ที่ถอดออกได้

กำหนดค่า(Configure)แต่ละรายการโดยเพิ่มรหัสอุปกรณ์หรือรหัสคลาสแล้วนำการเปลี่ยนแปลงไปใช้

Microsoftแนะนำให้ใช้นโยบายนี้แทนการตั้งค่านโยบาย " ป้องกันการติดตั้งอุปกรณ์ที่ไม่ได้อธิบายโดยการตั้งค่านโยบายอื่น(Prevent installation of devices not described by other policy settings) " เนื่องจากโครงสร้างเป็นชั้น

จะค้นหาHardware IDหรือ Compatible ID ได้อย่างไร?

ค้นหา IDs Device Manager ที่เข้ากันได้

  • เปิดDevice Managerโดยใช้Win + Xตามด้วยการกด M
  • ค้นหาอุปกรณ์ คลิกขวาที่มัน จากนั้นเลือก Properties
  • สลับไปที่แท็บรายละเอียด
  • คลิก(Click)ที่ ดรอปดาวน์ คุณสมบัติ(Property)และคุณสามารถเลือก ID ฮาร์ดแวร์ ID คลาส และรายละเอียดอื่นๆ ได้ที่นี่ ค่าที่แน่นอนจะมีอยู่ในส่วนค่า

จะเพิ่มDevice ID(Device IDs)ใน รายการ Allowได้อย่างไร?

อนุญาตให้ติดตั้งอุปกรณ์ในนโยบายกลุ่ม

  • เปิดนโยบาย— อนุญาตให้ติดตั้งอุปกรณ์ที่ตรงกับรหัสอุปกรณ์เหล่า(Allow installation of devices that match any of these device IDs)นี้
  • เลือก Enabled(Select Enabled)จากนั้นคลิกที่ ปุ่ม Showใต้ Options
  • เพิ่ม Compatible ID(Add Compatible ID)หรือHardware IDลงในรายการ
  • ใช้การเปลี่ยนแปลง

คุณยังสามารถบล็อกการติดตั้งอุปกรณ์เฉพาะได้โดยใช้ นโยบาย ป้องกัน(Prevent)การติดตั้ง

จะอนุญาตให้ผู้ดูแลระบบแทนที่ข้อจำกัดการติดตั้งอุปกรณ์ได้อย่างไร

อนุญาตให้ผู้ดูแลระบบแทนที่นโยบายการจำกัดการติดตั้งอุปกรณ์

มีนโยบายเฉพาะสำหรับสิ่งนี้ซึ่งคุณสามารถเปิดใช้งานได้ เมื่อเปิดใช้งานแล้ว สมาชิกของ กลุ่ม ผู้ดูแลระบบ(Administrators)สามารถใช้วิซาร์ดAdd Hardware หรือตัวช่วยอัปเดตไดรเวอร์เพื่อติดตั้งและอัปเดตอุปกรณ์(Add Hardware)

จะตั้งค่าไทม์เอาต์เพื่อบังคับใช้การเปลี่ยนแปลงนโยบายได้อย่างไร

หากคุณต้องการบังคับใช้การเปลี่ยนแปลงนโยบาย คุณต้องรีบูต การตั้งค่าทำให้คุณสามารถตั้งค่า Reboot Timeoutที่แสดงต่อผู้ใช้ปลายทาง เพื่อให้แน่ใจว่าไม่มีข้อมูลสูญหาย

ฉันหวังว่าโพสต์จะอธิบายให้คุณทราบอย่างชัดเจนเกี่ยวกับLayered Group PolicyในWindows(Windows 11) 11

นโยบาย(The policy)นี้ยังมีให้ใช้งานในWindows 10  โดยเป็นส่วนหนึ่งของการเปิดตัวไคลเอ็นต์ “C” ที่เป็นตัวเลือก ใน เดือนกรกฎาคม 2564(July 2021) และจะมีให้ใช้งานในวงกว้างมากขึ้นโดยเริ่มในการ เปิดตัว การอัปเดตใน เดือนสิงหาคม 2564 ใน (August 2021) วันอังคาร(Update Tuesday)



About the author

ฉันเป็นผู้เชี่ยวชาญด้าน Windows และทำงานในอุตสาหกรรมซอฟต์แวร์มากว่า 10 ปี ฉันมีประสบการณ์กับทั้งระบบ Microsoft Windows และ Apple Macintosh ทักษะของฉัน ได้แก่ การจัดการหน้าต่าง ฮาร์ดแวร์คอมพิวเตอร์และเสียง การพัฒนาแอพ และอื่นๆ ฉันเป็นที่ปรึกษาที่มีประสบการณ์ซึ่งสามารถช่วยให้คุณได้รับประโยชน์สูงสุดจากระบบ Windows ของคุณ



Related posts