ทุกวันนี้ องค์กรต้องเผชิญกับความท้าทายหลายประการ สำหรับผู้ดูแลระบบไอที อาจเป็นการจำกัดการเข้าถึงอุปกรณ์ที่ไม่ได้รับอนุญาต เช่น ฮาร์ดไดรฟ์ภายนอก เครื่องพิมพ์ และอุปกรณ์ต่อพ่วงอื่นๆ ที่เป็นปัญหาสำคัญ
ดีที่ Microsoft ตระหนักถึงความท้าทายนี้ นั่นอาจเป็นเหตุผลที่พวกเขาเปิดตัวฟีเจอร์ Group Policy แบบเลเยอร์เพื่อให้ผู้ดูแลระบบเครือข่ายตัดสินใจว่าจะติดตั้งอุปกรณ์ใดในเครือข่ายขององค์กรได้บ้าง
ตัวแก้ไขนโยบายกลุ่มเป็นเครื่องมือที่มีประสิทธิภาพมากที่สุดใน Windows สำหรับผู้ดูแลระบบไอทีเสมอมา ในแต่ละเวอร์ชัน Microsoft ได้เพิ่มวิธีใหม่ๆ ในการสร้างและจัดการวัตถุนโยบายกลุ่ม (GPO)
สิ่งหนึ่งที่ไม่เปลี่ยนแปลงคือต้องทำความเข้าใจว่านโยบายกลุ่มทำงานอย่างไร ก่อนที่คุณจะสามารถนำไปใช้ในองค์กรของคุณได้สำเร็จ คู่มือนี้ให้ข้อมูลเบื้องต้นเกี่ยวกับการจัดการ Group Policy และวิธีใช้ Group Policy แบบเลเยอร์ใน Windows 11
นโยบายกลุ่มบนอุปกรณ์ Windows:ภาพรวมโดยย่อ
ก่อนสิ่งอื่นใด Group Policy คืออะไร
เป็นคุณลักษณะของ Windows ที่ผู้ดูแลระบบเครือข่ายสามารถจัดการและควบคุมการตั้งค่าต่างๆ ได้มากมาย ทำหน้าที่เป็นศูนย์กลางสำหรับผู้ดูแลระบบในการกำหนดค่าแอปพลิเคชัน การตั้งค่าผู้ใช้ และอื่นๆ
เมื่อใช้อย่างถูกต้อง ตัวแก้ไขนโยบายกลุ่มจะช่วยให้องค์กรปรับปรุงความปลอดภัยของคอมพิวเตอร์และอุปกรณ์อื่นๆ ภายในเครือข่ายเดียวกันได้ ซึ่งจะช่วยปกป้องเครือข่ายจากภัยคุกคาม มัลแวร์ และการโจมตีอื่นๆ
วัตถุนโยบายกลุ่ม (GPO) คืออะไร
GPO คือกลุ่มของการตั้งค่าที่สร้างขึ้นโดยใช้ตัวแก้ไขนโยบายกลุ่มของ Microsoft Management Console ออบเจ็กต์เหล่านี้สามารถเชื่อมโยงกับคอนเทนเนอร์ Active Directory ต่างๆ เช่น โดเมนและไซต์
สามารถใช้ Group Policy Objects ได้หลายวิธีเพื่อความปลอดภัย ด้านล่างนี้คือตัวอย่างสถานการณ์บางส่วน:
- สามารถใช้ GPO เพื่อตั้งค่าหน้า Landing Page ที่ผู้ใช้เห็นเมื่อเปิดเบราว์เซอร์หรือเปิดแท็บใหม่
- ผู้ดูแลระบบสามารถใช้ GPO เพื่อกำหนดว่าเครื่องพิมพ์ที่เชื่อมต่อกับเครือข่ายใดจะปรากฏในรายการเครื่องพิมพ์ที่พร้อมใช้งานในเครือข่าย
- สามารถใช้ GPO เพื่อเปลี่ยนแนวทางปฏิบัติและโปรโตคอลด้านความปลอดภัยบางอย่างได้ เช่น การตั้งข้อจำกัดการเชื่อมต่ออินเทอร์เน็ตและเวลาหน้าจอ
มีการประมวลผล GPO อย่างไร
ลำดับชั้นของ GPO ที่จะประมวลผลจะส่งผลต่อการตั้งค่าที่ใช้กับอุปกรณ์ของผู้ใช้ ลำดับชั้นนี้เรียกว่า LSDOU ซึ่งเป็นตัวย่อสำหรับ ท้องถิ่น ไซต์ โดเมน หน่วยขององค์กร
ด้วย LSDOU นโยบายคอมพิวเตอร์ในพื้นที่จะได้รับการประมวลผลก่อน ตามด้วยนโยบายโฆษณาระดับไซต์ถึงโดเมน ในที่สุด หน่วยองค์กรจะได้รับการประมวลผล หากนโยบายขัดแย้งกับ LSDOU นโยบายที่ใช้ล่าสุดจะชนะ
เหตุใดจึงต้องใช้นโยบายกลุ่ม
คุณควรใช้นโยบายเหล่านี้หรือไม่? คุณจะได้รับประโยชน์จากพวกเขาหรือไม่
แน่นอนคุณสามารถ. นโยบายกลุ่มช่วยให้มั่นใจได้ว่าข้อมูลที่ละเอียดอ่อนของคุณจะปลอดภัยจากแฮกเกอร์ และโครงสร้างพื้นฐานด้านไอทีของคุณได้รับการตั้งค่าอย่างถูกวิธี
เป็นเรื่องน่าประหลาดใจที่รู้ว่า Windows ไม่ปลอดภัยอย่างที่คิด โชคดีที่ GPO ได้รับการออกแบบมาเพื่อแก้ไขช่องว่างด้านความปลอดภัยภายในระบบปฏิบัติการ ตัวอย่างเช่น อนุญาตให้คุณใช้นโยบายที่ผู้ใช้มีสิทธิ์เข้าถึงเครื่องมือที่จำเป็นในการทำงานอย่างจำกัด
อย่างไรก็ตาม ประโยชน์ของตัวแก้ไขนโยบายกลุ่มไม่ได้จำกัดอยู่เพียงความปลอดภัยเพียงอย่างเดียว ด้านล่างนี้คือข้อดีอื่นๆ ของการนำนโยบายกลุ่มไปใช้:
- การจัดการระบบ – สามารถใช้นโยบายกลุ่มเพื่อลดความซับซ้อนของงานที่ใช้เวลานาน ใช้สิ่งนี้เพื่อประหยัดเวลาในการกำหนดค่าสภาพแวดล้อมของผู้ใช้ใหม่ที่เข้าร่วมองค์กรของคุณ
- นโยบายรหัสผ่าน – องค์กรจำนวนมากดำเนินงานโดยไม่มีนโยบายรหัสผ่าน และองค์กรอื่นๆ ยังอนุญาตให้ผู้ใช้ตั้งค่าข้อมูลประจำตัวที่ไม่หมดอายุ อย่างที่เราทราบกันดีว่ารหัสผ่านที่ไม่ได้เปลี่ยนเป็นประจำนั้นมีความเสี่ยงที่จะถูกแฮ็ก ด้วยนโยบายกลุ่ม องค์กรสามารถตั้งกฎในการสร้างรหัสผ่าน ซึ่งรวมถึงพารามิเตอร์ต่างๆ เช่น ความยาวและความซับซ้อน
- ตรวจสุขภาพ – คุณสามารถใช้นโยบายกลุ่มเพื่อปรับใช้การอัปเดตแอปและซอฟต์แวร์ การทำเช่นนี้จะช่วยให้มั่นใจได้ว่าสภาพแวดล้อมของคุณปลอดภัยและได้รับการปกป้องจากภัยคุกคามด้านความปลอดภัย
ฟีเจอร์ Layered Group Policy ใน Windows 11 คืออะไร
คุณลักษณะ Group Policy แบบแบ่งชั้นเป็นฟังก์ชันใหม่ที่ Microsoft นำเสนอบนอุปกรณ์ Windows 10/11 และ Windows 11 นี่คือวิธีที่ซอฟต์แวร์ยักษ์อธิบายคุณลักษณะนี้:
“นโยบายการติดตั้งอุปกรณ์ใช้เพื่อจำกัดการติดตั้งอุปกรณ์ใดๆ ทั้งภายในและภายนอก สำหรับเครื่องทั้งหมดทั่วทั้งองค์กร ในขณะที่อนุญาตให้ใช้/ติดตั้งอุปกรณ์ที่ได้รับอนุญาตล่วงหน้าชุดเล็กๆ อุปกรณ์ทุกเครื่องมีชุด "ตัวระบุอุปกรณ์" ที่ระบบเข้าใจ (คลาส รหัสอุปกรณ์ และ ID อินสแตนซ์) รายการที่อนุญาตซึ่งเขียนโดยผู้ดูแลระบบ มีชุดของตัวระบุที่แสดงถึงอุปกรณ์ต่างๆ วิธีนี้จะทำให้ระบบเข้าใจว่าอุปกรณ์ใดได้รับอนุญาตและอุปกรณ์ใดบ้างที่ถูกบล็อก"
เป้าหมายของคุณลักษณะนี้คือการปกป้องเครื่องจากการทุจริต ลดจำนวนกรณีการสนับสนุนภายในองค์กร และที่สำคัญที่สุดคือการหลีกเลี่ยงการขโมยข้อมูล สามารถใช้นโยบายนี้เพื่อจำกัดการติดตั้งหรือการใช้อุปกรณ์ในองค์กรภายในหรือภายนอก โดยพื้นฐานแล้ว ผู้ดูแลระบบไอทีสามารถควบคุมอุปกรณ์ที่จะติดตั้งหรือใช้งานได้อย่างเต็มที่
นโยบายกลุ่มแบบเลเยอร์ทำงานบน Windows 10/11 หรือไม่
สำหรับผู้ใช้ WinAero นโยบายกลุ่มแบบแบ่งชั้นอาจไม่ใช่เรื่องใหม่ เนื่องจากเปิดตัวครั้งแรกใน Windows 10 เวอร์ชัน 21H2 สำหรับ Windows 10 เวอร์ชันอื่นๆ นโยบายนี้เปิดตัวโดย Microsoft เมื่อเดือนกรกฎาคม 2021 เท่านั้น
นโยบายการจำกัดสามารถตั้งค่าได้โดยใช้ตัวระบุอุปกรณ์บางอย่าง ซึ่ง Windows 10/11 คุ้นเคยอยู่แล้ว ตัวระบุเหล่านี้รวมถึงคลาส รหัสอินสแตนซ์ และรหัสอุปกรณ์
รายการอนุญาตของฟีเจอร์นี้จำเป็นต้องเขียนโดยผู้ดูแลระบบ และมีชุดของตัวระบุที่แต่ละรายการแสดงถึงอุปกรณ์เฉพาะ จากรายการนี้ ระบบสามารถกำหนดได้ว่าอุปกรณ์ใดบ้างที่สามารถให้สิทธิ์เข้าถึงได้และควรบล็อกอุปกรณ์ใด
เมื่อเพิ่มนโยบายกลุ่มแบบเลเยอร์นี้ ผู้ดูแลระบบจะได้รับประโยชน์จาก:
- การใช้งานที่เข้าใจง่าย – ด้วยนโยบายนี้ ผู้ดูแลระบบไม่จำเป็นต้องรู้คลาสอุปกรณ์เพื่อป้องกันการติดตั้งคลาส USB อื่น ช่วยให้พวกเขาโฟกัสที่สคริปต์ได้เท่านั้น
- ความยืดหยุ่น – นอกเหนือจากการใช้งานที่เป็นธรรมชาติแล้ว นโยบายนี้ยังแนะนำการเลเยอร์ตามลำดับชั้นในลำดับนี้:รหัสอินสแตนซ์ รหัสฮาร์ดแวร์ และ ID ที่เข้ากันได้ คลาส และคุณสมบัติของอุปกรณ์แบบถอดได้
วิธีการใช้ Layered Group Policy ใน Windows 11
Layered Group Policy สามารถเข้าถึงได้และใช้งานได้สะดวกโดยทำตามเส้นทางนี้:
การกำหนดค่าคอมพิวเตอร์ -> เทมเพลตการดูแลระบบ -> ระบบ -> การติดตั้งอุปกรณ์ -> ข้อจำกัดในการติดตั้งอุปกรณ์ .
เมื่ออยู่ในโฟลเดอร์ข้อจำกัดในการติดตั้งอุปกรณ์ นโยบายแรกที่จำเป็นต้องเปิดใช้งานคือ ใช้ลำดับชั้นของการประเมินสำหรับการอนุญาตและป้องกันนโยบายการติดตั้งอุปกรณ์ในเกณฑ์การจับคู่อุปกรณ์ทั้งหมด . หลังจากนี้ จะมีชุดนโยบายอีกชุดที่ต้องเปิดใช้งานตามลำดับชั้น:Device Instance ID -> Device IDs -> Device Setup Class -> Removable Devices .
ต่อไปนี้คือคำอธิบายที่ดีกว่าสำหรับแต่ละรายการ:
- รหัสอินสแตนซ์อุปกรณ์ – เป็นสตริงระบุอุปกรณ์ที่ระบบจัดหาให้โดยเฉพาะ ซึ่งสามารถระบุอุปกรณ์ใหม่ในระบบได้ ID อินสแตนซ์อุปกรณ์ป้องกันการติดตั้งอุปกรณ์อื่นๆ ซึ่งใช้ไดรเวอร์ที่ตรงกัน ในทำนองเดียวกัน ID เหล่านี้ทำให้สามารถติดตั้งอุปกรณ์ที่ใช้ไดรเวอร์ที่ตรงกันได้
- รหัสอุปกรณ์ – Windows ใช้สตริงนี้เพื่อจับคู่อุปกรณ์กับแพ็คเกจไดรเวอร์ สตริงนี้มีตั้งแต่แบบเฉพาะเจาะจงไปจนถึงแบบทั่วไป สตริง ID อุปกรณ์สามารถเป็น ID ฮาร์ดแวร์หรือ ID ที่เข้ากันได้ รหัสอุปกรณ์ป้องกันการติดตั้งอุปกรณ์ซึ่งใช้ไดรเวอร์ที่ตรงกัน รหัสเหล่านี้ยังอนุญาตให้ติดตั้งอุปกรณ์ซึ่งใช้ไดรเวอร์ที่ตรงกันได้
- คลาสการตั้งค่าอุปกรณ์ – เรียกอีกอย่างว่าคลาส นี่เป็นสตริงระบุประเภทอื่น เป็นผู้ผลิตอุปกรณ์ที่กำหนดคลาสให้กับอุปกรณ์ในแพ็คเกจไดรเวอร์ คลาสการตั้งค่าอุปกรณ์ป้องกันการติดตั้งอุปกรณ์ ซึ่งใช้ไดรเวอร์ที่ตรงกัน นอกจากนี้ยังอนุญาตให้ติดตั้งอุปกรณ์ซึ่งใช้ไดรเวอร์ที่ตรงกับอุปกรณ์เหล่านั้นด้วย
- อุปกรณ์ที่ถอดออกได้ – พารามิเตอร์เหล่านี้ใช้เพื่อป้องกันการติดตั้งอุปกรณ์ที่ถอดออกได้ อุปกรณ์ที่ถอดออกได้สามารถกำหนดค่าได้โดยการเพิ่ม ID คลาสหรือ ID อุปกรณ์ จากนั้น ใช้การเปลี่ยนแปลง
เนื่องจากโครงสร้างแบบเลเยอร์ของนโยบาย จึงสามารถใช้กับป้องกันการติดตั้งอุปกรณ์ที่ไม่ได้อธิบายไว้ในฟีเจอร์การตั้งค่านโยบายอื่นๆ .
วิธีค้นหา ID ที่เข้ากันได้และ ID ฮาร์ดแวร์
หากต้องการค้นหา ID และรหัสฮาร์ดแวร์ที่เข้ากันได้ ให้ทำตามขั้นตอนเหล่านี้:
- เข้าถึง Device Manager โดยใช้ Windows + X เลือกตัวจัดการอุปกรณ์จากรายการ
- คลิกขวาที่อุปกรณ์
- เลือก คุณสมบัติ .
- เข้าถึง รายละเอียด
- คลิก ทรัพย์สิน เพื่อค้นหารายละเอียดที่คุณต้องการ เช่น รหัสฮาร์ดแวร์ รหัสคลาส และอื่นๆ
วิธีการเพิ่ม ID อุปกรณ์ในรายการอนุญาต
หากต้องการเพิ่มรหัสอุปกรณ์ในรายการอนุญาต ให้ทำตามขั้นตอนด้านล่าง:
- เปิดอนุญาตให้ติดตั้งอุปกรณ์ที่ตรงกับรหัสอุปกรณ์เหล่านี้
- เลือก เปิดใช้งาน .
- ไปที่ ตัวเลือก ส่วนแล้วคลิก แสดง
- เพิ่ม Hardware ID หรือ รหัสที่เข้ากันได้ ไปที่รายการ
- บันทึกการเปลี่ยนแปลงโดยกดปุ่ม ใช้
วิธีอนุญาตให้ผู้ดูแลระบบแทนที่ข้อจำกัดการติดตั้งอุปกรณ์
คุณต้องเปิดใช้นโยบายบางอย่างเพื่อให้สามารถแทนที่ข้อจำกัดในการติดตั้งอุปกรณ์ได้ เมื่อเปิดใช้งานแล้ว ผู้ดูแลระบบสามารถใช้ เพิ่มฮาร์ดแวร์ หรือ อัปเดตไดรเวอร์ วิซาร์ดเพื่อติดตั้งและอัปเดตอุปกรณ์
สรุป
ในบทความนี้ เราได้แสดงให้คุณเห็นถึงวิธีการใช้นโยบายกลุ่มแบบเลเยอร์สำหรับสภาพแวดล้อม Windows 10/11 ของคุณ เราได้พูดคุยกันด้วยว่านโยบายกลุ่มคืออะไร และจะเป็นประโยชน์ต่อองค์กรของคุณอย่างไร เราหวังว่าสิ่งนี้จะเป็นประโยชน์! หากมีสิ่งใดที่เราสามารถทำได้สำหรับคุณ โปรดแจ้งให้เราทราบโดยอ่านเพิ่มเติมหรือเยี่ยมชมเว็บไซต์ของเราวันนี้