يتمثل أحد أكبر التحديات التي يواجهها مسؤول تكنولوجيا المعلومات في الشركة في منع الوصول إلى أجهزة مثل USB ومحرك الأقراص الثابتة الخارجي^{(External Hard Drive)} وحتى الطابعات إلى أجهزة المؤسسة. لتسهيل ذلك قليلاً ، قامت Microsoft بطرح ميزة Layered Group Policy^{(Layered Group Policy feature)} التي تمنح المسؤولين القدرة على تقسيم الأجهزة التي يمكن تثبيتها على الأجهزة عبر المؤسسة.

ما هي سياسة المجموعة^{(Group Policy)} ذات الطبقات في نظام التشغيل Windows 11^{(Windows 11)} ؟

تهدف سياسة المجموعة^{(Group Policy)} هذه إلى ضمان حصول الأجهزة على تلف أقل ، وانخفاض عدد حالات الدعم ، والأهم هو تقليل سرقة البيانات. تضمن السياسة تقييد أي تثبيت ، أي حظر استخدام الأجهزة في كل من البيئة الداخلية والخارجية. يمكن لمسؤولي تكنولوجيا المعلومات اختيار الأجهزة المصرح باستخدامها / تثبيتها مسبقًا.

نهج المجموعة متعدد الطبقات في Windows 11

متوفر^(Available) هنا ، يتأكد البرنامج النصي من عدم حظر جميع الفئات:

Computer Configuration > System > Device Installation > Device Installation Restrictions

هذا يعني أنك إذا اخترت حظر استخدام جهاز USB ، فسيتم حظره فقط. المضي قدمًا خطوة إلى الأمام ، تعمل الميزة الجديدة على حل المشكلة السابقة حيث يلزم إنشاء عدة مجموعات لتجنب التعارض. بدلاً من ذلك ، لديك طبقة هرمية Instance ID > Device ID > Class > Removable خاصية الجهاز القابل للإزالة.

كيفية تطبيق Layered Group Policy في Windows 11

السياسة الأولى التي تحتاج إلى تمكينها هي - تطبيق ترتيب تقييم متعدد الطبقات للسماح بسياسات تثبيت الجهاز ومنعها عبر جميع معايير مطابقة الجهاز^{(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)} .

بمجرد الانتهاء من ذلك ، هناك مجموعة إضافية من السياسات ، وتحتاج إلى التأكد من الاحتفاظ بالترتيب الهرمي ( معرفات مثيل الجهاز ^(Device)IDs > Device IDs > Device فئة إعداد الجهاز > Removable ). فيما يلي السياسات المتعلقة بكل منها:

معرفات مثيل الجهاز

منع^(Prevent) تثبيت الأجهزة باستخدام برامج التشغيل التي تطابق معرفات مثيل الجهاز هذه^(IDs)
السماح^(Allow) بتثبيت الأجهزة باستخدام برامج التشغيل التي تطابق معرفات^(IDs) مثيل الجهاز هذه .

معرفات الجهاز

منع^(Prevent) تثبيت الأجهزة باستخدام برامج التشغيل التي تطابق معرفات هذه الأجهزة
السماح^(Allow) بتثبيت الأجهزة باستخدام برامج التشغيل التي تطابق معرفات هذه الأجهزة

فئة إعداد الجهاز

منع^(Prevent) تثبيت الأجهزة باستخدام برامج التشغيل التي تتوافق مع فئات إعداد الجهاز هذه
السماح^(Allow) بتثبيت الأجهزة باستخدام برامج التشغيل التي تتوافق مع فئات إعداد الجهاز هذه.

أجهزة قابلة للإزالة

منع^(Prevent) تركيب الأجهزة القابلة للإزالة

قم بتكوين^(Configure) كل منها عن طريق إضافة معرف الجهاز أو معرف الفئة وتطبيق التغييرات.

توصي Microsoft^(Microsoft) باستخدام هذه السياسة فوق إعداد نهج " منع تثبيت الأجهزة التي لم يتم وصفها بواسطة إعدادات النهج الأخرى^{(Prevent installation of devices not described by other policy settings)} " بسبب البنية ذات الطبقات.

كيف تجد معرف^{(Hardware ID)} الجهاز أو المعرف المتوافق؟

حدد موقع إدارة الأجهزة المتوافقة مع معرفات

افتح Device Manager باستخدام Win + X ، متبوعًا بالضغط على M.
حدد موقع الجهاز. انقر بزر الماوس الأيمن فوقه ، ثم حدد خصائص
قم بالتبديل إلى علامة التبويب "التفاصيل"
انقر فوق^(Click) القائمة المنسدلة الخاصية^(Property) ، وهنا يمكنك تحديد معرف الجهاز ومعرف الفئة وتفاصيل أخرى. ستكون القيمة الدقيقة متاحة في قسم القيمة.

كيفية إضافة معرفات الأجهزة^{(Device IDs)} إلى قائمة السماح^(Allow) ؟

السماح بتثبيت الجهاز في نهج المجموعة

افتح السياسة - اسمح بتثبيت الأجهزة التي تتطابق مع أي من معرّفات الأجهزة هذه^{(Allow installation of devices that match any of these device IDs)} .
حدد ممكّن^{(Select Enabled)} ، ثم انقر فوق الزر إظهار^(Show) ضمن الخيارات.
أضف معرّفًا متوافقًا^{(Add Compatible ID)} أو معرّف^{(Hardware ID)} الجهاز إلى القائمة
قم بتطبيق التغييرات.

يمكنك أيضًا حظر تثبيت أجهزة معينة باستخدام سياسات منع التثبيت.^(Prevent)

كيف تسمح للمسؤولين بتجاوز قيود تثبيت الجهاز؟

السماح للمسؤولين بتجاوز سياسات تقييد تثبيت الجهاز

هناك سياسة خاصة بهذا يمكنك تمكينها. بمجرد التمكين ، يمكن لأعضاء مجموعة المسؤولين^{(Administrators)} استخدام معالج إضافة أجهزة^{(Add Hardware)} أو معالج تحديث برنامج التشغيل لتثبيت الجهاز وتحديثه.

كيفية إعداد مهلة لفرض تغيير السياسة؟

إذا كنت ترغب في فرض تغيير السياسة ، فأنت بحاجة إلى إعادة التشغيل. يسمح لك الإعداد بإعداد " مهلة^(Timeout) إعادة التشغيل" معروضة للمستخدم النهائي للتأكد من عدم فقدان البيانات.

آمل أن يكون المنشور قد أوضح لك بوضوح حول سياسة المجموعة ذات الطبقات^{(Layered Group Policy)} في Windows 11 .

هذه السياسة^{(The policy)} متاحة أيضًا في نظام التشغيل Windows 10^{(Windows 10)} كجزء من إصدار العميل الاختياري "C" لشهر يوليو 2021^{(July 2021)} وسيتم إتاحته على نطاق أوسع بدءًا من إصدار تحديث الثلاثاء ^{(Update Tuesday)}لشهر أغسطس 2021^{(August 2021)} .

How to apply Layered Group Policy in Windows 11/10

Onе of the biggest challenges for an IT admin in a company is to block accеss to devіces such aѕ USB, Externаl Hard Drive, and even Printers to the organization’s devices. To make this a little easier, Microsoft has rolled out the Layered Group Policy feature that gives administrators the ability to divide which devices can be installed on machines across the organization.

What is Layered Group Policy in Windows 11?

This Group Policy aims to ensure the machines get less corruption, the number of support cases drops, and the most important is to reduce data theft. The policy ensures to restrict any installation, i.e., the use of devices both in the internal and external environment is blocked. IT admins can choose to pre-authorized devices to be used/installed.

Layered Group Policy in Windows 11

Available here, the script makes sure not all classes are blocked:

Computer Configuration > System > Device Installation > Device Installation Restrictions

this means that if you chose to block the USB device usage, it only blocks it. Going one step ahead, the new feature resolves the earlier problem where several sets need to be created to avoid conflict. Instead, you have hierarchical layering Instance ID > Device ID > Class > Removable device property.

How to apply Layered Group Policy in Windows 11

The first policy you need to enable is — Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria.

Once done, there are an additional set of policies, and you need to ensure to keep the hierarchical order (Device instance IDs > Device IDs > Device setup class > Removable devices) in mind. Here are the policies related to each:

Device instance IDs

Prevent installation of devices using drivers that match these device instance IDs
Allow installation of devices using drivers that match these device instance IDs.

Device IDs

Prevent installation of devices using drivers that match these device IDs
Allow installation of devices using drivers that match these device IDs

Device setup class

Prevent installation of devices using drivers that match these device setup classes
Allow installation of devices using drivers that match these device setup classes.

Removable devices

Prevent installation of removable devices

Configure each of them by adding the device id or class ID and apply the changes.

Microsoft recommends using this policy over the “Prevent installation of devices not described by other policy settings” policy setting because of the layered structure.

How to find the Hardware ID or Compatible ID?

Locate Compatible IDs Device Manager

Open Device Manager using Win + X, followed by pressing M.
Locate the device. Right-click on it, and then select Properties
Switch to the Details tab
Click on the Property dropdown, and here you can select hardware ID, class ID, and other details. The exact value will be available in the value section.

How to add Device IDs to the Allow list?

Allow Installation of Device in Group Policy

Open the policy— Allow installation of devices that match any of these device IDs.
Select Enabled, and then click on the Show button under Options.
Add Compatible ID or Hardware ID to the list
Apply the changes.

You can also block the installation of specific devices by using the Prevent installation policies.

How to allow administrators to override device installation restrictions?

Allow Adminstrators Override Device Installation Restriction Policies

There is a policy specific to this which you can enable. Once enabled, members of the Administrators group can use the Add Hardware wizard or the update driver wizard to install and update the device.

How to set up a timeout to enforce policy change?

If you want to enforce the policy change, you need to reboot. A setting allows you to set up a Reboot Timeout displayed to the end-user to make sure there is no data loss.

I hope the post explained to you clearly about the Layered Group Policy in Windows 11.

The policy is also available in Windows 10 as part of the July 2021 optional “C” client release and will be made more broadly available beginning in the August 2021 Update Tuesday release.

رغد السهلي

About the author

أنا مبرمج كمبيوتر منذ أكثر من 15 عامًا. تكمن مهاراتي في تطوير التطبيقات البرمجية وصيانتها ، فضلاً عن تقديم الدعم الفني لتلك التطبيقات. لقد قمت أيضًا بتدريس برمجة الكمبيوتر لطلاب المدارس الثانوية ، وأنا حاليًا مدرس محترف.

كيفية تطبيق Layered Group Policy في Windows 11/10

ما هي سياسة المجموعة(Group Policy) ذات الطبقات في نظام التشغيل Windows 11(Windows 11) ؟

كيفية تطبيق Layered Group Policy في Windows 11

معرفات مثيل الجهاز

معرفات الجهاز

فئة إعداد الجهاز

أجهزة قابلة للإزالة

كيف تجد معرف(Hardware ID) الجهاز أو المعرف المتوافق؟

كيفية إضافة معرفات الأجهزة(Device IDs) إلى قائمة السماح(Allow) ؟

كيف تسمح للمسؤولين بتجاوز قيود تثبيت الجهاز؟

كيفية إعداد مهلة لفرض تغيير السياسة؟

How to apply Layered Group Policy in Windows 11/10

What is Layered Group Policy in Windows 11?

How to apply Layered Group Policy in Windows 11

Device instance IDs

Device IDs

Device setup class

Removable devices

How to find the Hardware ID or Compatible ID?

How to add Device IDs to the Allow list?

How to allow administrators to override device installation restrictions?

How to set up a timeout to enforce policy change?

رغد السهلي

About the author

Related posts

كيفية إضافة Group Policy Editor إلى Windows 10 Home Edition

كيفية تمكين أو تعطيل Win32 Long Paths على Windows 10

Delete ملفات تعريف المستخدمين القديمة والملفات تلقائيا في Windows 10

كيفية تعطيل Picture Password Sign-In option في Windows 10

كيفية تتبع User Activity في WorkGroup Mode على Windows 11/10

كيفية Import or Export Group Policy settings في Windows 10

تغيير Windows Update Delivery Optimization Max Cache Age

كيفية تقييد شحن البطارية إلى نسبة معينة في Windows 11/10

كيفية قفل جميع إعدادات Taskbar في Windows 10

فشل Group Policy Client service في تسجيل الدخول في Windows 11/10

كيفية تعيين Network Drive باستخدام Group Policy على Windows 10

كيفية إصلاح "الإعداد غير مكتمل بسبب الاتصال المقنن" في نظام التشغيل Windows 11/10

Stop Windows 10 من تحميلها مسبقا على Microsoft Edge Startup

كيفية تحديد Minimum and Maximum PIN length في Windows 10

استيراد، Export، Repair، Restore Default Firewall Policy في Windows 10

خطأ عند فتح Group Policy Editor المحلية في Windows 10

كيفية إجبار Group Policy Update في Windows 10

كيفية تعطيل بدء التشغيل السريع في نظام التشغيل Windows 11/10 (ولماذا يجب عليك ذلك)

تعطيل Delivery Optimization عبر Group Policy or Registry Editor

كيفية التحقق من Group Policy تطبيقها على جهاز كمبيوتر Windows 10

ما هي سياسة المجموعة^{(Group Policy)} ذات الطبقات في نظام التشغيل Windows 11^{(Windows 11)} ؟

كيف تجد معرف^{(Hardware ID)} الجهاز أو المعرف المتوافق؟

كيفية إضافة معرفات الأجهزة^{(Device IDs)} إلى قائمة السماح^(Allow) ؟