Bir şirketteki bir BT yöneticisi için en büyük zorluklardan biri, USB^(USB) , Harici Sabit Sürücü^{(External Hard Drive)} ve hatta Yazıcılar gibi cihazlara kuruluşun cihazlarına erişimini engellemektir . Bunu biraz daha kolaylaştırmak için Microsoft , yöneticilere kuruluş genelinde makinelere hangi cihazların yüklenebileceğini ayırma olanağı veren Katmanlı Grup İlkesi özelliğini kullanıma sundu.^{(Layered Group Policy feature)}

Windows 11'de^{(Windows 11)} Katmanlı Grup İlkesi^{(Group Policy)} nedir ?

Bu Grup İlkesi^{(Group Policy)} , makinelerin daha az bozulmaya uğramasını, destek vakalarının sayısının düşmesini sağlamayı amaçlar ve en önemlisi veri hırsızlığını azaltmaktır. Politika, herhangi bir kurulumun kısıtlanmasını sağlar, yani cihazların hem iç hem de dış ortamda kullanılması engellenir. BT yöneticileri, kullanılacak/kurulacak cihazları önceden yetkilendirmeyi seçebilir.

Burada mevcut^(Available) olan komut dosyası, tüm sınıfların engellenmediğinden emin olur:

Computer Configuration > System > Device Installation > Device Installation Restrictions

bu, USB^(USB) cihazı kullanımını engellemeyi seçtiyseniz , yalnızca onu engellediği anlamına gelir. Bir adım ileri giderek, yeni özellik, çakışmayı önlemek için birkaç kümenin oluşturulması gereken önceki sorunu çözüyor. Instance ID > Device ID > Class > Removable cihaz özelliği hiyerarşik katmanlamanız vardır .

Windows 11'de^{(Windows 11)} Katmanlı Grup İlkesi^{(Layered Group Policy)} nasıl uygulanır

Etkinleştirmeniz gereken ilk ilke şudur: Tüm cihaz eşleşme ölçütlerinde Cihaz yükleme ilkelerine İzin Ver ve Önle için katmanlı değerlendirme sırası uygulayın^{(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)} .

Tamamlandığında, ek bir politika grubu vardır ve hiyerarşik sırayı ( Cihaz^(Device) örneği IDs > Device IDs > Device kurulum sınıfı > Removable cihazlar) aklınızda tutmanız gerekir . Her biriyle ilgili politikalar şunlardır:

Cihaz örneği kimlikleri

• ^(Prevent)Bu aygıt örneği kimlikleriyle^(IDs) eşleşen sürücüleri kullanan aygıtların yüklenmesini önleyin
• ^(Allow)Bu aygıt örneği kimlikleriyle^(IDs) eşleşen sürücüleri kullanan aygıtların yüklenmesine izin verin .

Cihaz kimlikleri

• ^(Prevent)Bu aygıt kimlikleriyle eşleşen sürücüleri kullanan aygıtların yüklenmesini önleyin
• ^(Allow)Bu aygıt kimlikleriyle eşleşen sürücüleri kullanan aygıtların yüklenmesine izin ver

Cihaz kurulum sınıfı

• ^(Prevent)Bu aygıt kurulum sınıflarıyla eşleşen sürücüleri kullanan aygıtların yüklenmesini önleyin
• ^(Allow)Bu aygıt kurulum sınıflarıyla eşleşen sürücüleri kullanan aygıtların yüklenmesine izin verin .

Çıkarılabilir aygıtlar

• ^(Prevent)Çıkarılabilir cihazların kurulumunu engelle

^(Configure)Cihaz kimliğini veya sınıf kimliğini ekleyerek her birini yapılandırın ve değişiklikleri uygulayın.

Microsoft , katmanlı yapı nedeniyle “ Diğer politika ayarları tarafından tanımlanmayan cihazların yüklenmesini engelle^{(Prevent installation of devices not described by other policy settings)} ” politika ayarı yerine bu politikanın kullanılmasını önermektedir .

Donanım Kimliği^{(Hardware ID)} veya Uyumlu Kimlik nasıl bulunur ?

• Win + X kullanarak Aygıt Yöneticisi'ni^{(Device Manager)} açın , ardından M tuşuna basın.
• Cihazı bulun. Üzerine sağ tıklayın ve ardından Özellikler'i seçin.
• Ayrıntılar sekmesine geç
• ^(Click)Özellik açılır menüsüne ^(Property)tıklayın ve burada donanım kimliğini, sınıf kimliğini ve diğer ayrıntıları seçebilirsiniz. Kesin değer, değer bölümünde mevcut olacaktır.

Cihaz Kimlikleri ^{(Device IDs)}İzin Ver^(Allow) listesine nasıl eklenir ?

• Politikayı açın - Bu cihaz kimliklerinden herhangi biriyle eşleşen cihazların yüklenmesine izin verin^{(Allow installation of devices that match any of these device IDs)} .
• Etkin öğesini seçin^{(Select Enabled)} ve ardından Seçenekler altındaki Göster düğmesine tıklayın.^(Show)
• ^{(Add Compatible ID)}Listeye Uyumlu Kimlik veya Donanım Kimliği ekleyin^{(Hardware ID)}
• Değişiklikleri uygulayın.

Kurulumu engelle^(Prevent) ilkelerini kullanarak belirli cihazların kurulumunu da engelleyebilirsiniz.

Yöneticilerin cihaz yükleme kısıtlamalarını geçersiz kılmasına nasıl izin verilir?

Etkinleştirebileceğiniz buna özel bir politika vardır. Etkinleştirildiğinde, Yöneticiler^{(Administrators)} grubunun üyeleri, aygıtı kurmak ve güncellemek için Donanım Ekle^{(Add Hardware)} sihirbazını veya sürücü güncelleme sihirbazını kullanabilir.

İlke değişikliğini zorlamak için bir zaman aşımı nasıl ayarlanır?

İlke değişikliğini zorlamak istiyorsanız, yeniden başlatmanız gerekir. Bir ayar, veri kaybı olmadığından emin olmak için son kullanıcıya görüntülenen bir Yeniden Başlatma Zaman Aşımı^(Timeout) ayarlamanıza olanak tanır .

Umarım yazı , Windows 11'deki ^{(Windows 11)}Katmanlı Grup İlkesi^{(Layered Group Policy)} hakkında size net bir şekilde açıklanmıştır .

Politika , ^{(The policy)}Temmuz 2021^{(July 2021)} isteğe bağlı "C" istemci sürümünün  bir parçası olarak Windows 10'da^{(Windows 10)} da mevcuttur ve Ağustos 2021 ^{(August 2021)}Salı Güncelleştirmesi^{(Update Tuesday)} sürümünden itibaren daha geniş bir şekilde kullanıma sunulacaktır.

How to apply Layered Group Policy in Windows 11/10

One of the biggest challenges for an ІT admin in a company is to block access to devices sυch as USB, Extеrnal Hard Drivе, and even Printers tо the organization’s devices. To makе this a little easier, Mіcrosoft has rolled out the Layered Group Policy feature that gives administrators the ability to divide which devices can be installed on machines across the organization.

What is Layered Group Policy in Windows 11?

This Group Policy aims to ensure the machines get less corruption, the number of support cases drops, and the most important is to reduce data theft. The policy ensures to restrict any installation, i.e., the use of devices both in the internal and external environment is blocked. IT admins can choose to pre-authorized devices to be used/installed.

Available here, the script makes sure not all classes are blocked:

Computer Configuration > System > Device Installation > Device Installation Restrictions

this means that if you chose to block the USB device usage, it only blocks it. Going one step ahead, the new feature resolves the earlier problem where several sets need to be created to avoid conflict. Instead, you have hierarchical layering Instance ID > Device ID > Class > Removable device property.

How to apply Layered Group Policy in Windows 11

The first policy you need to enable is — Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria.

Once done, there are an additional set of policies, and you need to ensure to keep the hierarchical order (Device instance IDs > Device IDs > Device setup class > Removable devices) in mind. Here are the policies related to each:

Device instance IDs

• Prevent installation of devices using drivers that match these device instance IDs
• Allow installation of devices using drivers that match these device instance IDs.

Device IDs

• Prevent installation of devices using drivers that match these device IDs
• Allow installation of devices using drivers that match these device IDs

Device setup class

• Prevent installation of devices using drivers that match these device setup classes
• Allow installation of devices using drivers that match these device setup classes.

Removable devices

• Prevent installation of removable devices

Configure each of them by adding the device id or class ID and apply the changes.

Microsoft recommends using this policy over the “Prevent installation of devices not described by other policy settings” policy setting because of the layered structure.

How to find the Hardware ID or Compatible ID?

• Open Device Manager using Win + X, followed by pressing M.
• Locate the device. Right-click on it, and then select Properties
• Switch to the Details tab
• Click on the Property dropdown, and here you can select hardware ID, class ID, and other details. The exact value will be available in the value section.

How to add Device IDs to the Allow list?

• Open the policy— Allow installation of devices that match any of these device IDs.
• Select Enabled, and then click on the Show button under Options.
• Add Compatible ID or Hardware ID to the list
• Apply the changes.

You can also block the installation of specific devices by using the Prevent installation policies.

How to allow administrators to override device installation restrictions?

There is a policy specific to this which you can enable. Once enabled, members of the Administrators group can use the Add Hardware wizard or the update driver wizard to install and update the device.

How to set up a timeout to enforce policy change?

If you want to enforce the policy change, you need to reboot. A setting allows you to set up a Reboot Timeout displayed to the end-user to make sure there is no data loss.

I hope the post explained to you clearly about the Layered Group Policy in Windows 11.

The policy is also available in Windows 10  as part of the July 2021 optional “C” client release and will be made more broadly available beginning in the August 2021 Update Tuesday release.

Related posts

• Group Policy Editor için Windows 10 Home Edition nasıl eklenir

• Windows 10'de Win32 Long Paths'yı nasıl etkinleştirilir veya devre dışı bırakılır

• Delete eski kullanıcı profilleri ve dosyaları otomatik olarak Windows 10'de otomatik olarak

• Picture Password Sign-In option Windows 10'de Nasıl Devre Dışı Bırakılır

• User Activity WorkGroup Mode'de Windows 11/10'de Nasıl İzlenir

• Group Policy Settings Reference Guide Windows 10 için

• Delivery Optimization'yı Group Policy or Registry Editor üzerinden devre dışı bırakın

• Windows 10'te Import or Export Group Policy settings Nasıl Yapılır

• Windows 11/10'da Yaygın Ses Sorunları Nasıl Giderilir

• Internet Explorer 11'yi standalone browser olarak devre dışı bırakın Group Policy

• Desktop Background Group Policy Windows 10 içinde uygulayarak değil

• Limit Reservable Bandwidth Setting içinde Windows 10

• Windows 11/10'da Klasörleri Kolayca Birleştirme

• Nasıl Önlemek Kullanıcılarına Windows 10 içinde Diagnostic Data silmesini

• Minimum and Maximum PIN length Windows 10'de nasıl belirtilir?

• Group Policy ayarları Windows 10'de eksik

• Görev Zamanlayıcı Kullanarak Windows 11/10'da Çalıştırılacak Bir Toplu İş Dosyası Nasıl Zamanlanır

• Windows 11/10'da Hızlı Başlatma Nasıl Devre Dışı Bırakılır (Ve Neden Yapmalısınız)

• Windows 11/10'da Dizüstü Bilgisayar Kapatıldığında Monitörünüzü Nasıl Açık Tutabilirsiniz?

• Etkinleştir, Autocorrect and Highlight Misspelled Words'ü devre dışı bırak - Windows 10