Czy istnieje sposób kontrolowania „Ograniczeń instalacji urządzenia” za pomocą rejestru (zamiast zasad grupy) dla użytkowników w Windows Home Editions?

5

Wprowadziliśmy ograniczenia zasad grupy, aby uniemożliwić instalację urządzeń dla niektórych identyfikatorów sprzętu (patrz poniżej), ale zasady grupy są dostępne tylko dla wersji Windows Pro / Ultimate, a nie Windows Home. Zastanawiałem się nad dodaniem zasad grupy do systemu Windows Home za pomocą rozwiązań innych firm (takich jak ten tutaj), jednak nie jest to kompletna, aktualna wersja zasad grupy i brakuje opcji „Ograniczenia instalacji urządzenia” . Nieco waham się również przed wdrożeniem rozwiązań polityki grupowej innych firm na komputerach mojego klienta.

Lokalizacja zasad grupy: (Konfiguracja komputera -> Szablony administracyjne -> System -> Instalacja urządzenia -> Ograniczenia instalacji urządzenia -> Zapobiegaj instalacji urządzeń pasujących do któregokolwiek z tych identyfikatorów urządzeń)

Spojrzałem na osiągnięcie tej samej funkcjonalności za pośrednictwem rejestru i wydaje się, że znalazłem przynajmniej niektóre klucze rejestru używane do kontrolowania tego za pomocą zasad grupy, ale kiedy ręcznie je edytuję, nie działa to poprawnie. Częściowo może to mieć związek z identyfikatorami GUID utworzonymi w rejestrze w „Obiektach zasad grupy” (patrz obrazek poniżej). Czy ktoś jest zaznajomiony z tworzeniem obiektów zasad grupy przez rejestr i utrzymywaniem ich w pamięci?

            Registry Location shown below: HKCU -> Software -> Microsoft -> Windows -> CurrentVersion -> Group Policy Objects

Klucze, na które mają wpływ standardowe „Ograniczenia instalacji urządzeń Zasad grupy” to:

Ograniczenia instalacji urządzenia: HKCU -> Oprogramowanie -> Microsoft -> Windows -> CurrentVersion -> Obiekty zasad grupy -> GUID (nie wiem, jak to jest generowane) -> Oprogramowanie -> Zasady -> Microsoft -> Windows -> DeviceInstall -> Ograniczenia -> DenyDeviceIDs

[Przykład] (https://drive.google.com/open?id=0B1e6MVnnsu5gdTZlaGR2amdyM0VaUXRtNTZrc1AxdmtxNENV)

EDYTOWAĆ

Klucze reg, które wskazałeś poniżej, faktycznie kontrolują ten zestaw obiektów zasad grupy. Wielka pomoc, dzięki!

Co ciekawe, kiedy konfiguruję odpowiednie klucze reg na 2 identycznych tabletach Surface Pro 4, mogę kontrolować „Ograniczenia instalacji urządzenia” na jednym komputerze, na którym wcześniej konfigurowałem „Ograniczenia instalacji urządzenia” za pośrednictwem oficjalnego interfejsu użytkownika zasad grupy (gpedit). Ustawienie tych kluczy, do których odwoływałeś się do rejestru i ponowne uruchomienie (lub uruchomienie gpupdate.exe / force poprzez wiersz polecenia) działa i powoduje, że określone urządzenie staje się włączone / wyłączone.

Gdy skonfiguruję ten sam zestaw kluczy w innym urządzeniu Surface Pro 4, w którym nigdy nie ustawiono zasad grupy za pomocą interfejsu użytkownika zasad grupy (gpedit), ten tablet nie będzie na bieżąco odzwierciedlał zmian reg, nawet po ponownym uruchomieniu lub uruchomieniu gpupdate.exe / force . Wydaje się, że coś innego może to kontrolować? Oba są Windows Pro, więc wszystkie odpowiednie składniki zasad grupy powinny istnieć na tym komputerze.

Masz jakieś pomysły? Wygląda na to, że istnieje inne ustawienie rejestru, które może coś tutaj kontrolować?

Sztylet
źródło
Twój przykładowy link to 404
DavidPostill

Odpowiedzi:

6

O ile wiem, Group Policy Objectsgałąź jest tylko pamięcią podręczną aktywnych obiektów zasad grupy. System Windows faktycznie sprawdza tę lokalizację rejestru pod kątem ustawień zasad komputera:

HKLM\SOFTWARE\Policies

Aby zapobiec instalacji urządzeń, które pasują do któregokolwiek z tych identyfikatorów urządzeń , zasady grupy używają tego klucza:

HKLM\Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions

DenyDeviceIDsDWORD jest ustawiony na 1, gdy jest włączona. DenyDeviceIDsRetroactiveDWORD odpowiada do odnoszą się także do urządzeń, które są już zainstalowane dopasowanie wyboru: 1 dla zaznaczone, 0 na nie.

Wpisy zastrzeżone są przechowywane w podkluczu, Restrictionsktórego nazwa również się nazywa DenyDeviceIDs. Jedna wartość tego klucza to jedno ograniczenie. Nazwa każdej wartości powinna być taka sama jak jej dane.

Wskazówka: znalazłem te informacje za pomocą narzędzia Element Inspector we własnej aplikacji typu open source, Policy Plus .

Musisz ponownie uruchomić komputer, aby zmiany odniosły skutek.

Należy pamiętać, że nawet jeśli wszystkie ustawienia rejestru zostaną ustawione prawidłowo, możliwe, że wersje Home mogą ich nie przestrzegać. Większość ustawień zasad grupy działa dobrze we wszystkich wersjach, ale niektóre nie; składniki, które z nich korzystają, mogą nie być dostępne w Home. Jeśli okaże się, że te ustawienia nie działają, musisz uaktualnić do wersji Pro.

Ben N.
źródło
hej Ben, możesz spojrzeć na moją edycję? Ciekawe zachowanie na komputerach z systemem Windows pro ...
Dirk
@Dirk Hmm, to interesujące. Nie zauważam żadnych specjalnych wymagań dotyczących tego ustawienia. Czy na komputerach, które działały, skonfigurowano już jakieś podobne ustawienia? Czy DeviceInstallgałąź rejestru była dokładnie taka sama między maszynami działającymi i niedziałającymi? Porównaj także tę gałąź między niedziałającą konfiguracją ręczną a działającą konfiguracją interfejsu użytkownika.
Ben N
Na komputerze, który działał, zasady grupy zostały wcześniej skonfigurowane, ale dla innych elementów niezwiązanych konkretnie z „Ograniczeniami instalacji urządzenia”. Pozostałe elementy zasad grupy zostały usunięte kilka miesięcy temu. Gałąź rejestru „Instalacja urządzenia” na komputerach pracujących i niedziałających jest taka sama. Próbowałem na 3 różnych komputerach Surface Pro i tylko 1 z nich prawidłowo rozpozna te ustawienia rejestru, gdy ręcznie je zaktualizuję. Porównano rzeczy w rejestrze i wszystkie wydają się takie same, zarówno na komputerach skonfigurowanych ręcznie, jak i na interfejsie użytkownika.
Dirk
1
Cześć Ben, dzięki !! Udało mi się sprawić, że zasady grupy działają w systemie Windows Home przy użyciu twoich informacji. Tak naprawdę nie musiałem odinstalowywać samych sterowników, jednak „ręcznie” odinstalowałem urządzenie, które narusza zasady Menedżera urządzeń po ręcznym włożeniu kluczy rejestru GP. Podczas próby ponownej instalacji urządzenia (tak jak Windows Update), pojawia się błąd informujący, że zasady grupy uniemożliwiają ponowną instalację urządzenia. Właśnie tego szukam ... kontynuowałem poniżej
Dirk
1
Po wykonaniu tego, urządzenie, które popełniło błąd, znajdowało się w „stanie problemu” w menedżerze urządzeń (z żółtym symbolem ostrzegawczym trójkąta), i wyłączyłem je stamtąd, aby system Windows nie krzyczał na mnie za sprzęt, który nie został poprawnie zainstalowany. W tym momencie oczekuję, że Windows Update nie będzie mógł ponownie zainstalować urządzenia z powodu ograniczeń zasad grupy, ale jeśli coś się zmieni, dam ci znać. Naprawdę doceniam pomoc, dziękuję !!
Dirk