Uno de los mayores desafíos para un administrador de TI en una empresa es bloquear el acceso a dispositivos como USB , disco duro externo^{(External Hard Drive)} e incluso impresoras a los dispositivos de la organización. Para hacer esto un poco más fácil, Microsoft ha implementado la función de Política de grupo en capas^{(Layered Group Policy feature)} que brinda a los administradores la capacidad de dividir qué dispositivos se pueden instalar en las máquinas de toda la organización.

¿Qué es la política de grupo^{(Group Policy)} en capas en Windows 11 ?

Esta Política de grupo^{(Group Policy)} tiene como objetivo garantizar que las máquinas se dañen menos, que disminuya la cantidad de casos de soporte y, lo más importante, es reducir el robo de datos. La política asegura restringir cualquier instalación, es decir, se bloquea el uso de dispositivos tanto en el entorno interno como externo. Los administradores de TI pueden optar por usar/instalar dispositivos preautorizados.

Disponible^(Available) aquí, el script se asegura de que no todas las clases estén bloqueadas:

Computer Configuration > System > Device Installation > Device Installation Restrictions

esto significa que si elige bloquear el uso del dispositivo USB , solo lo bloquea. Yendo un paso adelante, la nueva característica resuelve el problema anterior donde se deben crear varios conjuntos para evitar conflictos. En su lugar, tiene capas jerárquicas Instance ID > Device ID > Class > Removable Propiedad de dispositivo extraíble.

Cómo aplicar la política de grupo en capas^{(Layered Group Policy)} en Windows 11

La primera política que debe habilitar es: aplicar un orden de evaluación en capas para Permitir y Evitar políticas de instalación de dispositivos en todos los criterios de coincidencia de dispositivos^{(Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria)} .

Una vez hecho esto, hay un conjunto adicional de políticas y debe asegurarse de tener en cuenta el orden jerárquico ( ID de instancia de dispositivo ^(Device)IDs > Device IDs > Device Clase de configuración de dispositivo > Dispositivos > Removable ). Aquí están las políticas relacionadas con cada uno:

ID de instancia de dispositivo

• Impedir^(Prevent) la instalación de dispositivos que utilicen controladores que coincidan con estos ID de instancia de dispositivo^(IDs)
• Permita^(Allow) la instalación de dispositivos que utilicen controladores que coincidan con estos ID^(IDs) de instancia de dispositivo .

ID de dispositivo

• Impedir^(Prevent) la instalación de dispositivos que utilicen controladores que coincidan con estos ID de dispositivo
• Permitir^(Allow) la instalación de dispositivos que utilicen controladores que coincidan con estos ID de dispositivo

Clase de configuración del dispositivo

• Impedir^(Prevent) la instalación de dispositivos que utilicen controladores que coincidan con estas clases de configuración de dispositivos
• Permitir^(Allow) la instalación de dispositivos mediante controladores que coincidan con estas clases de configuración de dispositivos.

Dispositivos extraíbles

• Impedir la^(Prevent) instalación de dispositivos extraíbles

Configure cada uno de ellos agregando la identificación del dispositivo o la identificación de la clase y aplique los cambios.

Microsoft recomienda usar esta directiva sobre la configuración de directiva " Evitar la instalación de dispositivos no descritos por otras configuraciones de^{(Prevent installation of devices not described by other policy settings)} directiva" debido a la estructura en capas.

¿Cómo encontrar el ID de hardware^{(Hardware ID)} o el ID compatible?

• Abra el Administrador de dispositivos^{(Device Manager)} usando Win + X , luego presione M.
• Localiza el dispositivo. Haga clic derecho sobre él y luego seleccione Propiedades
• Cambiar a la pestaña Detalles
• Haga clic^(Click) en el menú desplegable Propiedad^(Property) y aquí puede seleccionar el ID de hardware, el ID de clase y otros detalles. El valor exacto estará disponible en la sección de valores.

¿Cómo agregar ID de dispositivos^{(Device IDs)} a la lista Permitir^(Allow) ?

• Abra la política : permita la instalación de dispositivos que coincidan con cualquiera de estos ID de dispositivo^{(Allow installation of devices that match any of these device IDs)} .
• Seleccione Habilitado^{(Select Enabled)} y luego haga clic en el botón Mostrar^(Show) en Opciones.
• Agregar ID compatible^{(Add Compatible ID)} o ID de hardware^{(Hardware ID)} a la lista
• Aplicar los cambios.

También puede bloquear la instalación de dispositivos específicos utilizando las políticas de instalación de Prevent .

¿Cómo permitir que los administradores anulen las restricciones de instalación de dispositivos?

Hay una política específica para esto que puede habilitar. Una vez habilitado, los miembros del grupo Administradores^{(Administrators)} pueden usar el asistente Agregar hardware^{(Add Hardware)} o el asistente de actualización del controlador para instalar y actualizar el dispositivo.

¿Cómo configurar un tiempo de espera para hacer cumplir el cambio de política?

Si desea aplicar el cambio de política, debe reiniciar. Una configuración le permite configurar un tiempo de espera^(Timeout) de reinicio que se muestra al usuario final para asegurarse de que no haya pérdida de datos.

Espero que la publicación le haya explicado claramente sobre la Política de grupo en capas^{(Layered Group Policy)} en Windows 11 .

La política^{(The policy)} también está disponible en Windows 10  como parte de la versión de cliente "C" opcional de julio de 2021^{(July 2021)} y estará disponible de manera más amplia a partir de la versión Update Tuesday de ^{(Update Tuesday)}agosto de 2021^{(August 2021)} .

How to apply Layered Group Policy in Windows 11/10

One of the biggest challenges for an IT admin in a company is to block access to devices such as USB, External Hard Drive, and even Printers to the organization’s devicеs. To make this а little easier, Microsoft has rolled out the Layered Group Policy feature that gives administrators the ability to divide which devices can be installed on machines across the organization.

What is Layered Group Policy in Windows 11?

This Group Policy aims to ensure the machines get less corruption, the number of support cases drops, and the most important is to reduce data theft. The policy ensures to restrict any installation, i.e., the use of devices both in the internal and external environment is blocked. IT admins can choose to pre-authorized devices to be used/installed.

Available here, the script makes sure not all classes are blocked:

Computer Configuration > System > Device Installation > Device Installation Restrictions

this means that if you chose to block the USB device usage, it only blocks it. Going one step ahead, the new feature resolves the earlier problem where several sets need to be created to avoid conflict. Instead, you have hierarchical layering Instance ID > Device ID > Class > Removable device property.

How to apply Layered Group Policy in Windows 11

The first policy you need to enable is — Apply layered order of evaluation for Allow and Prevent device installation policies across all device match criteria.

Once done, there are an additional set of policies, and you need to ensure to keep the hierarchical order (Device instance IDs > Device IDs > Device setup class > Removable devices) in mind. Here are the policies related to each:

Device instance IDs

• Prevent installation of devices using drivers that match these device instance IDs
• Allow installation of devices using drivers that match these device instance IDs.

Device IDs

• Prevent installation of devices using drivers that match these device IDs
• Allow installation of devices using drivers that match these device IDs

Device setup class

• Prevent installation of devices using drivers that match these device setup classes
• Allow installation of devices using drivers that match these device setup classes.

Removable devices

• Prevent installation of removable devices

Configure each of them by adding the device id or class ID and apply the changes.

Microsoft recommends using this policy over the “Prevent installation of devices not described by other policy settings” policy setting because of the layered structure.

How to find the Hardware ID or Compatible ID?

• Open Device Manager using Win + X, followed by pressing M.
• Locate the device. Right-click on it, and then select Properties
• Switch to the Details tab
• Click on the Property dropdown, and here you can select hardware ID, class ID, and other details. The exact value will be available in the value section.

How to add Device IDs to the Allow list?

• Open the policy— Allow installation of devices that match any of these device IDs.
• Select Enabled, and then click on the Show button under Options.
• Add Compatible ID or Hardware ID to the list
• Apply the changes.

You can also block the installation of specific devices by using the Prevent installation policies.

How to allow administrators to override device installation restrictions?

There is a policy specific to this which you can enable. Once enabled, members of the Administrators group can use the Add Hardware wizard or the update driver wizard to install and update the device.

How to set up a timeout to enforce policy change?

If you want to enforce the policy change, you need to reboot. A setting allows you to set up a Reboot Timeout displayed to the end-user to make sure there is no data loss.

I hope the post explained to you clearly about the Layered Group Policy in Windows 11.

The policy is also available in Windows 10  as part of the July 2021 optional “C” client release and will be made more broadly available beginning in the August 2021 Update Tuesday release.

Related posts

• Cómo agregar Group Policy Editor a Windows 10 Home Edition

• Cómo habilitar o deshabilitar Win32 Long Paths en Windows 10

• Delete Perfiles de usuario antiguos y archivos automáticamente en Windows 10

• Cómo deshabilitar Picture Password Sign-In option en Windows 10

• Cómo realizar un seguimiento de User Activity en WorkGroup Mode en Windows 11/10

• Las 6 mejores herramientas gratuitas de reparación de Windows 11/10

• Cómo habilitar el Editor de directivas de grupo en Windows 11 Home Edition

• Turn Desactivado de las entradas de búsqueda recientes en File Explorer en Windows 11/10

• De error al abrir Group Policy Editor local en Windows 10

• Habilitar o deshabilitar Fast Logon Optimization en Windows 10

• Cómo arreglar la "Configuración incompleta debido a una conexión medida" en Windows 11/10

• Cómo habilitar el registro Windows Installer en Windows 10

• Cómo deshabilitar el inicio rápido en Windows 11/10 (y por qué debería hacerlo)

• Cómo solucionar problemas comunes de audio en Windows 11/10

• Cómo habilitar o Disable or Application Isolation feature en Windows 10

• Evite que los usuarios cambien el Date and Time en Windows 10

• Cómo Import or Export Group Policy settings EN Windows 10

• El Group Policy Client service falló el inicio de sesión en Windows 11/10

• Cómo combinar fácilmente carpetas en Windows 11/10

• Habilitar, deshabilitar Autocorrect and Highlight Misspelled Words - Windows 10