Computer >> Máy Tính >  >> Xử lý sự cố >> Lỗi Windows

Hướng dẫn chính sách nhóm lớp dành cho Windows 10/11

Ngày nay, các tổ chức phải đối mặt với một số thách thức. Đối với một quản trị viên CNTT, việc hạn chế quyền truy cập vào các thiết bị trái phép như ổ cứng ngoài, máy in và các thiết bị ngoại vi khác là một vấn đề lớn.

Điều tốt là Microsoft đã nhận thức được thách thức này. Đó có lẽ là lý do họ triển khai tính năng Chính sách nhóm nhiều lớp để cho phép quản trị viên mạng quyết định những gì có thể được cài đặt trên các thiết bị trong mạng của tổ chức.

Group Policy Editor luôn là một trong những công cụ mạnh mẽ nhất trên Windows dành cho quản trị viên CNTT. Với mỗi phiên bản, Microsoft đã thêm những cách mới để tạo và quản lý các đối tượng Chính sách Nhóm (GPO).

Một điều không thay đổi là bạn cần phải hiểu cách hoạt động của Chính sách nhóm trước khi bạn có thể triển khai thành công nó trong doanh nghiệp của mình. Hướng dẫn này cung cấp phần giới thiệu về cách quản lý Chính sách Nhóm và cách sử dụng Chính sách Nhóm nhiều lớp trên Windows 11.

Chính sách nhóm trên thiết bị Windows:Tổng quan nhanh

Trước bất kỳ điều gì khác, Chính sách Nhóm là gì?

Đây là một tính năng của Windows, nơi quản trị viên mạng có thể quản lý và kiểm soát một loạt các cài đặt. Nó đóng vai trò là nơi tập trung để quản trị viên hệ thống định cấu hình ứng dụng, cài đặt người dùng và những thứ khác.

Khi được sử dụng đúng cách, Group Policy Editor cho phép các tổ chức cải thiện tính bảo mật của máy tính và các thiết bị khác trong cùng một mạng. Nó sẽ giúp bảo vệ mạng trước các mối đe dọa, phần mềm độc hại và các cuộc tấn công khác.

Đối tượng chính sách nhóm (GPO) là gì?

GPO là một nhóm cài đặt được tạo bằng Microsoft Management Console Group Policy Editor. Các đối tượng này có thể được liên kết với các vùng chứa Active Directory khác nhau, chẳng hạn như tên miền và trang web.

Đối tượng chính sách nhóm có thể được sử dụng theo nhiều cách cho mục đích bảo mật. Dưới đây là một số tình huống ví dụ:

  • GPO có thể được sử dụng để đặt trang đích mà người dùng nhìn thấy khi khởi chạy trình duyệt của họ hoặc mở tab mới.
  • Quản trị viên hệ thống có thể sử dụng GPO để xác định những máy in được kết nối mạng nào sẽ xuất hiện trên danh sách các máy in có sẵn trong mạng.
  • GPO cũng có thể được sử dụng để thay đổi một số giao thức và thực tiễn bảo mật, chẳng hạn như đặt giới hạn kết nối internet và thời gian sử dụng thiết bị.

GPO được xử lý như thế nào?

Thứ bậc mà GPO được xử lý sẽ ảnh hưởng đến cài đặt được áp dụng cho thiết bị của người dùng. Hệ thống phân cấp này được gọi là LSDOU, là chữ viết tắt của local, site, domain, đơn vị tổ chức.

Với LSDOU, chính sách máy tính cục bộ được xử lý đầu tiên. Nó sẽ được theo sau bởi cấp độ trang web đến chính sách quảng cáo tên miền. Cuối cùng, các đơn vị tổ chức được xử lý. Nếu một chính sách xung đột với LSDOU, thì chính sách được áp dụng cuối cùng sẽ thắng.

Tại sao sử dụng Chính sách Nhóm?

Vì vậy, bạn có nên sử dụng các chính sách này? Bạn sẽ được lợi từ chúng chứ?

Tất nhiên bạn có thể. Chính sách nhóm có thể đảm bảo rằng dữ liệu nhạy cảm của bạn an toàn trước tin tặc và cơ sở hạ tầng CNTT của bạn được thiết lập đúng cách.

Thật ngạc nhiên khi biết rằng Windows không an toàn như bạn nghĩ. Rất may, GPO được thiết kế để giải quyết mọi lỗ hổng bảo mật trong hệ điều hành. Ví dụ:chúng cho phép bạn thực hiện một chính sách trong đó người dùng có quyền truy cập hạn chế vào các công cụ cần thiết để thực hiện công việc của họ.

Tuy nhiên, lợi ích của Group Policy Editor không chỉ giới hạn ở bảo mật. Dưới đây là những ưu điểm khác của việc thực hiện các chính sách nhóm:

  • Quản lý Hệ thống - Một chính sách nhóm có thể được sử dụng để đơn giản hóa các công việc tốn nhiều thời gian. Áp dụng điều này để tiết kiệm hàng giờ cố gắng định cấu hình môi trường của người dùng mới tham gia tổ chức của bạn.
  • Chính sách Mật khẩu - Nhiều tổ chức đang hoạt động với chính sách không có mật khẩu và những tổ chức khác thậm chí còn cho phép người dùng đặt thông tin đăng nhập không hết hạn. Như chúng ta đã biết, mật khẩu không được thay đổi thường xuyên sẽ có nguy cơ bị hack. Với chính sách nhóm được áp dụng, các tổ chức có thể đặt ra các quy tắc trong việc tạo mật khẩu, bao gồm các thông số như độ dài và độ phức tạp.
  • Kiểm tra sức khỏe - Bạn có thể sử dụng chính sách nhóm để triển khai các bản cập nhật ứng dụng và phần mềm. Làm điều này sẽ đảm bảo rằng môi trường của bạn trong lành và được bảo vệ khỏi các mối đe dọa bảo mật.

Tính năng chính sách nhóm lớp trên Windows 11 là gì?

Tính năng Chính sách Nhóm phân lớp là một chức năng mới được Microsoft giới thiệu trên các thiết bị Windows 10/11 và Windows 11. Dưới đây là cách gã khổng lồ phần mềm mô tả tính năng:

“Các chính sách cài đặt thiết bị được sử dụng để hạn chế việc cài đặt bất kỳ thiết bị nào, cả bên trong và bên ngoài, cho tất cả các máy trong một tổ chức trong khi vẫn cho phép sử dụng / cài đặt một nhóm nhỏ các thiết bị được ủy quyền trước. Mọi thiết bị đều có một bộ 'số nhận dạng thiết bị' được hệ thống hiểu (lớp, ID thiết bị và ID phiên bản). Danh sách cho phép, do quản trị viên hệ thống viết, chứa các bộ số nhận dạng đại diện cho các thiết bị khác nhau - theo cách này, hệ thống hiểu thiết bị nào được phép và thiết bị nào bị chặn. ”

Mục tiêu của tính năng này là bảo vệ máy móc chống lại tham nhũng, giảm số lượng các trường hợp hỗ trợ trong tổ chức và quan trọng nhất là tránh bị đánh cắp dữ liệu. Chính sách này có thể được áp dụng để hạn chế việc cài đặt hoặc sử dụng các thiết bị trong một tổ chức bên trong hoặc bên ngoài. Về cơ bản, quản trị viên CNTT có toàn quyền kiểm soát những thiết bị nào có thể được cài đặt hoặc sử dụng.

Chính sách nhóm phân lớp có hoạt động trên Windows 10/11 không?

Đối với người dùng WinAero, Chính sách Nhóm nhiều lớp có thể không mới vì nó lần đầu tiên được triển khai trong Windows 10 phiên bản 21H2. Đối với các phiên bản Windows 10 khác, chính sách này mới được Microsoft triển khai vào tháng 7 năm 2021 vừa qua.

Các chính sách hạn chế có thể được đặt bằng cách sử dụng các số nhận dạng thiết bị nhất định, mà Windows 10/11 đã quen thuộc với. Những số nhận dạng này bao gồm lớp, ID phiên bản và ID thiết bị.

Danh sách cho phép của tính năng này cần được quản trị viên hệ thống viết và nó chứa một tập hợp các số nhận dạng mà mỗi số đại diện cho một thiết bị cụ thể. Thông qua danh sách này, hệ thống có thể xác định thiết bị nào có thể được cấp quyền truy cập và thiết bị nào nên bị chặn.

Với việc bổ sung Chính sách Nhóm nhiều lớp này, quản trị viên hệ thống có thể hưởng lợi từ:

  • Cách sử dụng Trực quan - Với chính sách này, quản trị viên hệ thống không cần phải biết các lớp thiết bị để ngăn cài đặt các lớp USB khác. Nó cho phép họ chỉ tập trung vào tập lệnh.
  • Tính linh hoạt - Ngoài cách sử dụng trực quan, chính sách này giới thiệu phân lớp phân cấp theo thứ tự sau:ID phiên bản, ID phần cứng và ID tương thích, Lớp và Thuộc tính thiết bị di động.

Cách áp dụng chính sách nhóm phân lớp trên Windows 11

Chính sách Nhóm phân lớp có thể được truy cập và áp dụng một cách thuận tiện bằng cách làm theo đường dẫn sau:

Cấu hình máy tính -> Mẫu quản trị -> Hệ thống -> Cài đặt thiết bị -> Hạn chế cài đặt thiết bị .

Khi ở trong thư mục Giới hạn Cài đặt Thiết bị, chính sách đầu tiên cần được bật là Áp dụng thứ tự đánh giá theo lớp cho các chính sách Cài đặt cho phép và Ngăn chặn trên tất cả các tiêu chí đối sánh thiết bị . Sau đó, sẽ có một bộ chính sách khác cần được bật theo thứ tự phân cấp: ID phiên bản thiết bị -> ID thiết bị -> Lớp thiết lập thiết bị -> Thiết bị có thể tháo rời .

Dưới đây là lời giải thích tốt hơn cho từng điều trong số này:

  • ID phiên bản thiết bị - Đây là một chuỗi nhận dạng thiết bị duy nhất, do hệ thống cung cấp, có thể xác định các thiết bị mới trong hệ thống. ID phiên bản thiết bị ngăn việc cài đặt các thiết bị khác sử dụng trình điều khiển phù hợp với chúng. Tương tự như vậy, các ID này cho phép cài đặt các thiết bị sử dụng trình điều khiển phù hợp với chúng.
  • ID thiết bị - Windows sử dụng chuỗi này để khớp một thiết bị với một gói trình điều khiển. Chuỗi này có thể bao gồm từ những chuỗi rất cụ thể đến chung chung. Chuỗi ID thiết bị có thể là ID phần cứng hoặc ID tương thích. ID thiết bị ngăn việc cài đặt các thiết bị sử dụng trình điều khiển phù hợp với chúng. Các ID này cũng có thể cho phép cài đặt các thiết bị sử dụng trình điều khiển phù hợp với chúng.
  • Lớp Thiết lập Thiết bị - Còn được gọi là Class, đây là một loại chuỗi nhận dạng khác. Chính nhà sản xuất thiết bị sẽ gán lớp cho một thiết bị trong gói trình điều khiển. Lớp thiết lập thiết bị ngăn việc cài đặt các thiết bị sử dụng trình điều khiển phù hợp với chúng. Nó cũng cho phép cài đặt các thiết bị sử dụng trình điều khiển phù hợp với chúng.
  • Thiết bị có thể tháo rời - Các thông số này được sử dụng để ngăn chặn việc lắp đặt các thiết bị rời. Thiết bị có thể tháo rời có thể được định cấu hình bằng cách thêm ID lớp hoặc ID thiết bị. Sau đó, hãy áp dụng các thay đổi.

Do cấu trúc phân lớp của chính sách, nó có thể được sử dụng trong tính năng Ngăn cài đặt các thiết bị không được mô tả bởi tính năng cài đặt chính sách khác .

Cách tìm ID và ID phần cứng tương thích

Để tìm ID tương thích và ID phần cứng, hãy làm theo các bước sau:

  1. Truy cập Trình quản lý Thiết bị bằng Windows + X Chọn Trình quản lý thiết bị từ danh sách.

  1. Nhấp chuột phải vào thiết bị.
  2. Chọn Thuộc tính .
  3. Truy cập Chi tiết
  4. Nhấp vào Thuộc tính để tìm thông tin chi tiết bạn cần, chẳng hạn như ID phần cứng, ID lớp và các thông tin khác.

Cách thêm ID thiết bị vào danh sách cho phép

Để thêm ID thiết bị vào danh sách Cho phép, chỉ cần tham khảo các bước bên dưới:

  1. Mở phần Cho phép cài đặt thiết bị khớp với bất kỳ ID thiết bị nào trong số này
  2. Chọn Đã bật .
  3. Đi tới Tùy chọn và nhấp vào nút Hiển thị
  4. Thêm ID phần cứng hoặc ID tương thích vào danh sách.
  5. Lưu các thay đổi bằng cách nhấn vào nút Áp dụng

Cách Cho phép Quản trị viên Hệ thống Ghi đè Hạn chế Cài đặt Thiết bị

Bạn cần bật một chính sách nhất định để cho phép ghi đè các hạn chế cài đặt thiết bị. Sau khi nó được bật, quản trị viên hệ thống có thể sử dụng Thêm phần cứng hoặc Cập nhật trình điều khiển trình hướng dẫn cài đặt và cập nhật thiết bị.

Tóm tắt

Trong bài viết này, chúng tôi đã chỉ cho bạn cách triển khai chính sách nhóm nhiều lớp cho môi trường Windows 10/11 của bạn. Chúng tôi cũng đã thảo luận về chính sách nhóm là gì và nó sẽ mang lại lợi ích như thế nào cho tổ chức của bạn. Chúng tôi hy vọng điều này đã hữu ích! Nếu có bất kỳ điều gì khác chúng tôi có thể làm cho bạn, vui lòng cho chúng tôi biết bằng cách đọc thêm hoặc truy cập trang web của chúng tôi ngay hôm nay.