Verwalten der Geräteinstallation mit Gruppenrichtlinie (Windows 10 und Windows 11)

Artikel
04/22/2023
Gilt für::
✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022

Zusammenfassung

Mithilfe von Windows-Betriebssystemen können Administratoren bestimmen, welche Geräte auf von ihnen verwalteten Computern installiert werden können. In diesem Leitfaden wird der Installationsvorgang für Geräte zusammengefasst und verschiedene Techniken zum Steuern der Geräteinstallation mithilfe von Gruppenrichtlinie veranschaulicht.

Einführung

Allgemein

In dieser Schritt-für-Schritt-Anleitung wird beschrieben, wie Sie die Geräteinstallation auf den von Ihnen verwalteten Computern steuern können, einschließlich der Angabe, welche Geräte Benutzer installieren können und welche nicht. Dieser Leitfaden gilt für alle Windows-Versionen ab RS5 (1809). Der Leitfaden enthält die folgenden Szenarien:

Benutzer daran hindern, Geräte zu installieren, die sich in einer "verbotenen" Liste befinden. Wenn ein Gerät nicht in der Liste enthalten ist, kann der Benutzer es installieren.
Benutzern erlauben, nur Geräte zu installieren, die in einer "genehmigten" Liste enthalten sind. Wenn ein Gerät nicht in der Liste enthalten ist, kann der Benutzer es nicht installieren.

In diesem Leitfaden wird der Geräteinstallationsprozess beschrieben und die Geräteidentifikationszeichenfolgen vorgestellt, die Windows verwendet, um ein Gerät mit den auf einem Computer verfügbaren Gerätetreiberpaketen abzugleichen. Der Leitfaden veranschaulicht auch zwei Methoden zum Steuern der Geräteinstallation. Jedes Szenario zeigt Schritt für Schritt eine Methode, die Sie verwenden können, um die Installation eines bestimmten Geräts oder einer Geräteklasse zuzulassen oder zu verhindern.

Das in den Szenarien verwendete Beispielgerät ist ein USB-Speichergerät. Sie können die Schritte in diesem Leitfaden mit einem anderen Gerät ausführen. Wenn Sie jedoch ein anderes Gerät verwenden, stimmen die Anweisungen im Leitfaden nicht genau mit der Benutzeroberfläche überein, die auf dem Computer angezeigt wird.

Es ist wichtig zu verstehen, dass die in diesem Leitfaden vorgestellten Gruppenrichtlinien nur auf Computer/Computergruppen und nicht auf Benutzer/Benutzergruppen angewendet werden.

Wichtig

Die in diesem Leitfaden beschriebenen Schritte sind für die Verwendung in einer Testumgebung vorgesehen. Diese Schritt-für-Schritt-Anleitung ist nicht für die Bereitstellung von Windows Server-Features ohne begleitende Dokumentation gedacht und sollte mit Diskretion als eigenständiges Dokument verwendet werden.

Wer sollte diesen Leitfaden verwenden?

Dieser Leitfaden richtet sich an die folgenden Zielgruppen:

It-Planer und Analysten, die Windows 10, Windows 11 oder Windows Server 2022 bewerten
It-Planer und Designer für Unternehmen
Sicherheitsarchitekten, die für die Implementierung von vertrauenswürdigen Computings in ihren organization
Administratoren, die sich mit der Technologie vertraut machen möchten

Vorteile der Steuerung der Geräteinstallation mithilfe von Gruppenrichtlinie

Das Einschränken der Geräte, die Benutzer installieren können, verringert das Risiko von Datendiebstahl und reduziert die Supportkosten.

Verringern des Risikos von Datendiebstahl

Es ist für Benutzer schwieriger, nicht autorisierte Kopien von Unternehmensdaten zu erstellen, wenn die Computer der Benutzer keine nicht genehmigten Geräte installieren können, die Wechselmedien unterstützen. Wenn Benutzer beispielsweise kein USB-Stick-Gerät installieren können, können sie keine Kopien von Unternehmensdaten auf einen Wechselspeicher herunterladen. Dieser Vorteil kann Datendiebstahl nicht ausschließen, aber er schafft eine weitere Barriere für die unbefugte Entfernung von Daten.

Reduzieren der Supportkosten

Sie können sicherstellen, dass Benutzer nur die Geräte installieren, für die Ihr technisches Supportteam geschult und für den Support ausgestattet ist. Dieser Vorteil reduziert die Supportkosten und die Benutzerverwechslung.

Szenarioübersicht

Die in diesem Handbuch vorgestellten Szenarien veranschaulichen, wie Sie die Geräteinstallation und -nutzung auf den von Ihnen verwalteten Computern steuern können. Die Szenarien verwenden Gruppenrichtlinie auf einem lokalen Computer, um die Verwendung der Verfahren in einer Labumgebung zu vereinfachen. In einer Umgebung, in der Sie mehrere Clientcomputer verwalten, sollten Sie diese Einstellungen mithilfe von Gruppenrichtlinie anwenden. Mit Gruppenrichtlinie, die von Active Directory bereitgestellt werden, können Sie Einstellungen auf alle Computer anwenden, die Mitglieder einer Domäne oder einer Organisationseinheit in einer Domäne sind. Weitere Informationen zur Verwendung von Gruppenrichtlinie zum Verwalten Ihrer Clientcomputer finden Sie unter Gruppenrichtlinie auf der Microsoft-Website.

Gruppenrichtlinie Leitfäden:

Erstellen eines Gruppenrichtlinie-Objekts (Windows 10) – Windows-Sicherheit
Advanced Gruppenrichtlinie Management – Microsoft Desktop Optimization Pack

Szenario 1: Verhindern der Installation aller Drucker

In diesem Szenario möchte der Administrator verhindern, dass Benutzer Drucker installieren. Daher ist ein grundlegendes Szenario, in dem Sie die Funktionalität "verhindern/zulassen" von Geräteinstallationsrichtlinien in Gruppenrichtlinie vorstellen können.

Szenario 2: Verhindern der Installation eines bestimmten Druckers

In diesem Szenario erlaubt der Administrator Standardbenutzern, alle Drucker zu installieren, ohne sie an der Installation eines bestimmten Druckers zu hindern.

Szenario 3: Verhindern der Installation aller Drucker, während die Installation eines bestimmten Druckers zugelassen wird

In diesem Szenario kombinieren Sie, was Sie aus Szenario 1 und Szenario 2 gelernt haben. Der Administrator möchte Standardbenutzern erlauben, nur einen bestimmten Drucker zu installieren, während die Installation aller anderen Drucker verhindert wird. Dieses Szenario ist realistischer und bringt Ihnen einen Schritt weiter im Verständnis der Richtlinien für Geräteinstallationseinschränkungen.

Szenario 4: Verhindern der Installation eines bestimmten USB-Geräts

Dieses Szenario ähnelt zwar Szenario 2, bietet aber eine weitere Ebene der Komplexität: Wie funktioniert die Gerätekonnektivität in der PnP-Struktur? Der Administrator möchte verhindern, dass Standardbenutzer ein bestimmtes USB-Gerät installieren. Am Ende des Szenarios sollten Sie verstehen, wie Geräte in Ebenen unter der PnP-Gerätekonnektivitätsstruktur geschachtelt werden.

Szenario 5: Verhindern der Installation aller USB-Geräte, während die Installation nur eines autorisierten USB-Sticks zugelassen wird

In diesem Szenario, indem Sie alle vorherigen vier Szenarien kombinieren, erfahren Sie, wie Sie einen Computer vor allen nicht autorisierten USB-Geräten schützen. Der Administrator möchte benutzern erlauben, nur einen kleinen Satz autorisierter USB-Geräte zu installieren und gleichzeitig zu verhindern, dass andere USB-Geräte installiert werden. Darüber hinaus enthält dieses Szenario eine Erläuterung, wie die "Verhindern"-Funktion auf vorhandene USB-Geräte angewendet wird, die bereits auf dem Computer installiert wurden, und der Administrator möchte eine weitere Interaktion mit ihnen verhindern (sie alle zusammen blockieren). Dieses Szenario baut auf den Richtlinien und der Struktur auf, die wir in den ersten vier Szenarien eingeführt haben, und daher wird es bevorzugt, sie zuerst zu behandeln, bevor Sie dieses Szenario versuchen.

Technologie-Review

Die folgenden Abschnitte bieten einen kurzen Überblick über die in diesem Leitfaden erläuterten Kerntechnologien und enthalten Hintergrundinformationen, die zum Verstehen der Szenarien erforderlich sind.

Geräteinstallation unter Windows

Ein Gerät ist ein Hardwareelement, mit dem Windows interagiert, um eine bestimmte Funktion auszuführen, oder in einer eher technischen Definition– es handelt sich um eine einzelne instance einer Hardwarekomponente mit einer eindeutigen Darstellung im Windows Plug & Play-Subsystem. Windows kann mit einem Gerät nur über eine Software kommunizieren, die als Gerätetreiber (auch als Treiber bezeichnet) bezeichnet wird. Um einen Treiber zu installieren, erkennt Windows das Gerät, erkennt seinen Typ und sucht dann nach dem Treiber, der diesem Typ entspricht.

Wenn Windows ein Gerät erkennt, das noch nie auf dem Computer installiert wurde, fragt das Betriebssystem das Gerät ab, um seine Liste der Geräteidentifikationszeichenfolgen abzurufen. Ein Gerät verfügt in der Regel über mehrere Geräteidentifikationszeichenfolgen, die der Gerätehersteller zuweist. Die gleichen Geräteidentifikationszeichenfolgen sind in der INF-Datei (auch als INF bezeichnet) enthalten, die Teil des Treiberpakets ist. Windows wählt aus, welches Treiberpaket installiert werden soll, indem die vom Gerät abgerufenen Geräteidentifikationszeichenfolgen mit den in den Treiberpaketen enthaltenen Zeichenfolgen abgegleicht werden.

Windows verwendet vier Arten von Bezeichnern, um die Geräteinstallation und -konfiguration zu steuern. Sie können die Gruppenrichtlinie Einstellungen in Windows verwenden, um anzugeben, welche dieser Bezeichner zugelassen oder blockiert werden sollen.

Die vier Arten von Bezeichnern sind:

Geräteinstanz-ID
Geräte-ID
Geräteeinrichtungsklassen
Gerätetyp "Wechselmedien"

Geräteinstanz-ID

Ein Gerät instance-ID ist eine vom System bereitgestellte Geräteidentifikationszeichenfolge, die ein Gerät im System eindeutig identifiziert. Der Plug & Play-Manager (PnP) weist jedem Geräteknoten (devnode) in der Gerätestruktur eines Systems ein Gerät instance-ID zu.

Geräte-ID

Windows kann jede Zeichenfolge verwenden, um ein Gerät einem Treiberpaket zuzuordnen. Die Zeichenfolgen reichen von der spezifischen, die einem einzelnen Produkt- und Modellmodell eines Geräts entspricht, bis hin zum Allgemeinen, der möglicherweise auf eine ganze Geräteklasse angewendet wird. Es gibt zwei Arten von Geräteidentifikationszeichenfolgen: Hardware-IDs und kompatible IDs.

Hardware-IDs

Hardware-IDs sind die Bezeichner, die die genaue Übereinstimmung zwischen einem Gerät und einem Treiberpaket bereitstellen. Die erste Zeichenfolge in der Liste der Hardware-IDs wird als Geräte-ID bezeichnet, da sie mit der genauen Herstellung, dem Modell und der Revision des Geräts übereinstimmt. Die anderen Hardware-IDs in der Liste stimmen weniger genau mit den Details des Geräts überein. Beispielsweise kann eine Hardware-ID die Herstellung und das Modell des Geräts, aber nicht die spezifische Revision identifizieren. Dieses Schema ermöglicht Es Windows, einen Treiber für eine andere Revision des Geräts zu verwenden, wenn der Treiber für die richtige Revision nicht verfügbar ist.

Kompatible IDs

Windows verwendet diese Bezeichner, um einen Treiber auszuwählen, wenn das Betriebssystem keine Übereinstimmung mit der Geräte-ID oder einer der anderen Hardware-IDs finden kann. Kompatible IDs werden in der Reihenfolge der abnehmenden Eignung aufgeführt. Diese Zeichenfolgen sind optional und, wenn sie angegeben werden, generisch, z. B. Datenträger. Wenn eine Übereinstimmung mit einer kompatiblen ID vorgenommen wird, können Sie in der Regel nur die grundlegendsten Funktionen des Geräts verwenden.

Wenn Sie ein Gerät installieren, z. B. einen Drucker, ein USB-Speichergerät oder eine Tastatur, sucht Windows nach Treiberpaketen, die dem Gerät entsprechen, das Sie installieren möchten. Während dieser Suche weist Windows jedem ermittelten Treiberpaket einen "Rang" mit mindestens einer Übereinstimmung mit einer Hardware- oder kompatiblen ID zu. Der Rang gibt an, wie gut der Treiber mit dem Gerät übereinstimmt. Niedrigere Rangfolgen zeigen bessere Übereinstimmungen zwischen Treiber und Gerät an. Ein Rang von 0 (null) stellt die bestmögliche Übereinstimmung dar. Eine Übereinstimmung mit der Geräte-ID mit einem im Treiberpaket führt zu einem niedrigeren (besseren) Rang als eine Übereinstimmung mit einer der anderen Hardware-IDs. Ebenso führt eine Übereinstimmung mit einer Hardware-ID zu einem besseren Rang als eine Übereinstimmung mit einer der kompatiblen IDs. Nachdem Windows alle Treiberpakete bewertet hat, wird das Paket mit dem niedrigsten Gesamtrang installiert. Weitere Informationen zum Prozess der Rangfolge und Auswahl von Treiberpaketen finden Sie unter Auswählen eines Treiberpakets für ein Gerät durch Windows.

Hinweis

Weitere Informationen zum Treiberinstallationsprozess finden Sie im Abschnitt "Technologieüberprüfung" des Schritt-für-Schritt-Leitfadens zum Signieren und Staging von Treibern.

Einige physische Geräte erstellen ein oder mehrere logische Geräte, wenn sie installiert werden. Jedes logische Gerät kann einen Teil der Funktionalität des physischen Geräts verarbeiten. Beispielsweise kann ein Multifunktionsgerät, z. B. ein All-in-One-Scanner/Fax/Drucker, eine andere Geräteidentifikationszeichenfolge für jede Funktion aufweisen.

Wenn Sie Geräteinstallationsrichtlinien verwenden, um die Installation eines Geräts zuzulassen oder zu verhindern, das logische Geräte verwendet, müssen Sie alle Geräteidentifikationszeichenfolgen für dieses Gerät zulassen oder verhindern. Wenn ein Benutzer beispielsweise versucht, ein Multifunktionsgerät zu installieren, und Sie nicht alle Identifikationszeichenfolgen sowohl für physische als auch für logische Geräte zugelassen oder verhindert haben, können Sie unerwartete Ergebnisse aus dem Installationsversuch erhalten. Ausführlichere Informationen zu Hardware-IDs finden Sie unter Geräteidentifikationszeichenfolgen.

Geräteeinrichtungsklassen

Geräteeinrichtungsklassen (auch als Klasse bezeichnet) sind eine weitere Art von Identifikationszeichenfolge. Der Hersteller weist die Klasse einem Gerät im Treiberpaket zu. Die Klasse gruppiert Geräte, die auf die gleiche Weise installiert und konfiguriert sind. Beispielsweise gehören alle biometrischen Geräte zur Biometrischen Klasse (ClassGuid = {53D29EF7-377C-4D14-864B-EB3A85769359}), und sie verwenden bei der Installation denselben Co-Installer. Eine lange Zahl, die als GUID (Globally Unique Identifier) bezeichnet wird, stellt jede Geräteeinrichtungsklasse dar. Beim Starten von Windows wird eine In-Memory-Struktur mit den GUIDs für alle erkannten Geräte erstellt. Zusammen mit der GUID für die Klasse des Geräts selbst muss Windows möglicherweise die GUID für die Klasse des Busses, an den das Gerät angeschlossen ist, in die Struktur einfügen.

Wenn Sie Geräteklassen verwenden, um zuzulassen oder zu verhindern, dass Benutzer Treiber installieren, müssen Sie die GUIDs für alle Gerätesetupklassen des Geräts angeben. Andernfalls erzielen Sie möglicherweise nicht die gewünschten Ergebnisse. Die Installation kann fehlschlagen (wenn Sie möchten, dass sie erfolgreich ist) oder erfolgreich (wenn Sie möchten, dass sie fehlschlägt).

Beispielsweise verfügt ein Multifunktionsgerät, z. B. ein All-in-One-Scanner/Fax/Drucker, über eine GUID für ein generisches Multifunktionsgerät, eine GUID für die Druckerfunktion, eine GUID für die Scannerfunktion usw. Die GUIDs für die einzelnen Funktionen sind "untergeordnete Knoten" unter der Multi-Function-Geräte-GUID. Um einen untergeordneten Knoten zu installieren, muss Windows auch in der Lage sein, den übergeordneten Knoten zu installieren. Sie müssen die Installation der Geräteeinrichtungsklasse der übergeordneten GUID für das Multifunktionsgerät zusätzlich zu allen untergeordneten GUIDs für die Drucker- und Scannerfunktionen zulassen.

Weitere Informationen finden Sie unter Gerätesetupklassen.

In diesem Leitfaden werden keine Szenarien beschrieben, in denen Gerätesetupklassen verwendet werden. Die grundlegenden Prinzipien, die mit Geräteidentifikationszeichenfolgen in diesem Leitfaden veranschaulicht werden, gelten jedoch auch für Geräteeinrichtungsklassen. Nachdem Sie die Gerätesetupklasse für ein bestimmtes Gerät ermittelt haben, können Sie sie in einer Richtlinie verwenden, um die Installation von Treibern für diese Geräteklasse zuzulassen oder zu verhindern.

Die folgenden beiden Links enthalten die vollständige Liste der Geräteeinrichtungsklassen. "Systemverwendungsklassen" werden hauptsächlich auf Geräte bezeichnet, die mit einem Computer/Computer aus dem Werk geliefert werden, während "Vendor"-Klassen hauptsächlich auf Geräte bezogen werden, die mit einem vorhandenen Computer/Computer verbunden werden könnten:

Systemdefinierte Gerätesetupklassen, die für Anbieter verfügbar sind – Windows-Treiber
Systemdefinierte Geräteeinrichtungsklassen, die für die Systemverwendung reserviert sind – Windows-Treiber

Gerätetyp "Wechselmedium"

Einige Geräte können als Wechselmedium klassifiziert werden. Ein Gerät gilt als wechselbar , wenn der Treiber für das Gerät, mit dem es verbunden ist, angibt, dass das Gerät entfernbar ist. Beispielsweise wird gemeldet, dass ein USB-Gerät von den Treibern für den USB-Hub, mit dem das Gerät verbunden ist, wechselbar ist.

Gruppenrichtlinie Einstellungen für die Geräteinstallation

Gruppenrichtlinie ist eine Infrastruktur, mit der Sie verwaltete Konfigurationen für Benutzer und Computer über Gruppenrichtlinie Einstellungen und Gruppenrichtlinie Einstellungen angeben können.

Der Abschnitt "Geräteinstallation" in Gruppenrichtlinie enthält eine Reihe von Richtlinien, die steuern, welches Gerät auf einem Computer installiert werden kann oder nicht. Unabhängig davon, ob Sie die Einstellungen auf einen eigenständigen Computer oder auf viele Computer in einer Active Directory-Domäne anwenden möchten, verwenden Sie den Gruppenrichtlinie-Objekt-Editor, um die Richtlinieneinstellungen zu konfigurieren und anzuwenden. Weitere Informationen finden Sie unter Gruppenrichtlinie Objekt-Editor.

Die folgenden Passagen enthalten kurze Beschreibungen der Geräteinstallationsrichtlinien, die in diesem Leitfaden verwendet werden.

Hinweis

Die Geräteinstallationssteuerung wird aufgrund der Art des Windows-Betriebssystementwurfs nur auf Computer ("Computerkonfiguration") und nicht auf Benutzer ("Benutzerkonfiguration") angewendet. Diese Richtlinieneinstellungen wirken sich auf alle Benutzer aus, die sich an dem Computer anmelden, auf den die Richtlinieneinstellungen angewendet werden. Sie können diese Richtlinien nicht auf bestimmte Benutzer oder Gruppen anwenden, mit Ausnahme der Richtlinie Administratoren das Überschreiben der Geräteinstallationsrichtlinie gestatten. Diese Richtlinie befreit Mitglieder der lokalen Administratorgruppe von allen Geräteinstallationseinschränkungen, die Sie auf den Computer anwenden, indem andere Richtlinieneinstellungen konfiguriert werden, wie in diesem Abschnitt beschrieben.

Zulassen, dass Administratoren Richtlinien für Geräteinstallationseinschränkung außer Kraft setzen

Diese Richtlinieneinstellung ermöglicht mitgliedern der lokalen Administratorengruppe, die Treiber für jedes Gerät zu installieren und zu aktualisieren, unabhängig von anderen Richtlinieneinstellungen. Wenn Sie diese Richtlinieneinstellung aktivieren, können Administratoren den Assistenten zum Hinzufügen von Hardware oder den Assistenten zum Aktualisieren von Treibern verwenden, um die Treiber für jedes Gerät zu installieren und zu aktualisieren. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, unterliegen Administratoren allen Richtlinieneinstellungen, die die Geräteinstallation einschränken.

Installation von Geräten zulassen, die mit einer dieser Geräte-IDs übereinstimmen

Diese Richtlinieneinstellung gibt eine Liste von Plug & Play Hardware-IDs und kompatiblen IDs an, die Geräte beschreiben, die Benutzer installieren können. Diese Einstellung soll nur verwendet werden, wenn die Richtlinieneinstellung Installation von Geräten verhindern, die nicht durch andere Richtlinieneinstellungen beschrieben werden aktiviert ist und keine Vorrang vor Richtlinieneinstellungen hat, die Benutzer daran hindern würden, ein Gerät zu installieren. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer jedes Gerät mit einer Hardware-ID oder einer kompatiblen ID, die mit einer ID in dieser Liste übereinstimmt, installieren und aktualisieren, wenn diese Installation nicht durch die Richtlinieneinstellung Installation von Geräten verhindern, die mit diesen Geräte-IDs übereinstimmen, der Richtlinieneinstellung Installation von Geräten für diese Geräteklassen verhindern verhindert wurde. oder die Richtlinieneinstellung Installation von Wechselmedien verhindern. Wenn eine andere Richtlinieneinstellung verhindert, dass Benutzer ein Gerät installieren, können Benutzer es auch dann nicht installieren, wenn das Gerät auch durch einen Wert in dieser Richtlinieneinstellung beschrieben wird. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren und keine andere Richtlinie das Gerät beschreibt, bestimmt die Richtlinieneinstellung Installation von Geräten verhindern, die nicht von anderen Richtlinieneinstellungen beschrieben werden, ob Benutzer das Gerät installieren können.

Zulassen der Installation von Geräten, die mit einer dieser Geräte instance-IDs übereinstimmen

Mit dieser Richtlinieneinstellung können Sie eine Liste von Plug & Play Geräte-instance-IDs für Geräte angeben, die Windows installieren darf. Verwenden Sie diese Richtlinieneinstellung nur, wenn die Richtlinieneinstellung "Installation von Geräten verhindern, die von anderen Richtlinieneinstellungen nicht beschrieben werden" aktiviert ist. Andere Richtlinieneinstellungen, die die Geräteinstallation verhindern, haben Vorrang vor dieser. Wenn Sie diese Richtlinieneinstellung aktivieren, darf Windows jedes Gerät installieren oder aktualisieren, dessen Plug & Play Geräte-instance-ID in der von Ihnen erstellten Liste angezeigt wird, es sei denn, eine andere Richtlinieneinstellung verhindert diese Installation ausdrücklich (z. B. die Richtlinieneinstellung "Installation von Geräten verhindern, die mit einer dieser Geräte-IDs übereinstimmen", die Richtlinieneinstellung "Installation von Geräten für diese Geräteklassen verhindern", Die Richtlinieneinstellung "Installation von Geräten verhindern, die mit einem dieser Geräte instance IDs übereinstimmen" oder die Richtlinieneinstellung "Installation von Wechselmedien verhindern"). Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient zum Remotedesktopserver aus.

Zulassen der Installation von Geräten mit Treibern, die diesen Gerätesetupklassen entsprechen

Diese Richtlinieneinstellung gibt eine Liste der Gerätesetupklassen-GUIDs an, die Geräte beschreiben, die Benutzer installieren können. Diese Einstellung soll nur verwendet werden, wenn die Richtlinieneinstellung Installation von Geräten verhindern, die nicht durch andere Richtlinieneinstellungen beschrieben werden aktiviert ist und keine Vorrang vor Richtlinieneinstellungen hat, die Benutzer daran hindern würden, ein Gerät zu installieren. Wenn Sie diese Einstellung aktivieren, können Benutzer jedes Gerät mit einer Hardware-ID oder einer kompatiblen ID installieren und aktualisieren, die einer der IDs in dieser Liste entspricht, wenn diese Installation nicht durch die Richtlinieneinstellung Installation von Geräten verhindern, die mit diesen Geräte-IDs übereinstimmen, der Richtlinieneinstellung Installation von Geräten für diese Geräteklassen verhindern verhindert wurde. oder die Richtlinieneinstellung Installation von Wechselmedien verhindern. Wenn eine andere Richtlinieneinstellung verhindert, dass Benutzer ein Gerät installieren, können Benutzer es auch dann nicht installieren, wenn das Gerät auch durch einen Wert in dieser Richtlinieneinstellung beschrieben wird. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren und keine andere Richtlinieneinstellung das Gerät beschreibt, bestimmt die Richtlinieneinstellung Installation von Geräten verhindern, die nicht von anderen Richtlinieneinstellungen beschrieben werden, ob Benutzer das Gerät installieren können.

Verhindern der Installation von Geräten, die mit diesen Geräte-IDs übereinstimmen

Diese Richtlinieneinstellung gibt eine Liste von Plug & Play Hardware-IDs und kompatiblen IDs für Geräte an, die Benutzer nicht installieren können. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer den Treiber für ein Gerät nicht installieren oder aktualisieren, wenn dessen Hardware-ID oder kompatible ID mit einer in dieser Liste übereinstimmen. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer Geräte installieren und ihre Treiber aktualisieren, wie in anderen Richtlinieneinstellungen für die Geräteinstallation zulässig.Hinweis: Diese Richtlinieneinstellung hat Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Benutzer ein Gerät installieren können. Diese Richtlinieneinstellung verhindert, dass Benutzer ein Gerät installieren, auch wenn es mit einer anderen Richtlinieneinstellung übereinstimmt, die die Installation dieses Geräts zulassen würde.

Verhindern der Installation von Geräten, die mit einer dieser Geräte instance-IDs übereinstimmen

Mit dieser Richtlinieneinstellung können Sie eine Liste von Plug & Play Geräte-instance-IDs für Geräte angeben, die von Windows nicht installiert werden können. Diese Richtlinieneinstellung hat Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Windows ein Gerät installieren kann. Wenn Sie diese Richtlinieneinstellung aktivieren, wird Windows daran gehindert, ein Gerät zu installieren, dessen Geräte-instance-ID in der von Ihnen erstellten Liste angezeigt wird. Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient zum Remotedesktopserver aus. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Geräte installiert und aktualisiert werden, da sie von anderen Richtlinieneinstellungen zugelassen oder verhindert werden.

Verhindern der Installation von Geräten mithilfe von Treibern, die diesen Gerätesetupklassen entsprechen

Diese Richtlinieneinstellung gibt eine Liste mit Plug & Play Gerätesetupklassen-GUIDs für Geräte an, die Benutzer nicht installieren können. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer keine Geräte installieren oder aktualisieren, die zu einer der aufgeführten Gerätesetupklassen gehören. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer Geräte gemäß den anderen Richtlinieneinstellungen für die Geräteinstallation installieren und aktualisieren.Hinweis: Diese Richtlinieneinstellung hat Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Benutzer ein Gerät installieren können. Diese Richtlinieneinstellung verhindert, dass Benutzer ein Gerät installieren, auch wenn es mit einer anderen Richtlinieneinstellung übereinstimmt, die die Installation dieses Geräts ermöglichen würde.

Anwenden der mehrstufigen Auswertungsreihenfolge für die Richtlinien zum Zulassen und Verhindern von Geräteinstallationen für alle Geräteübereinstimmungskriterien

Diese Richtlinieneinstellung ändert die Auswertungsreihenfolge, in der die Richtlinieneinstellungen Zulassen und Verhindern angewendet werden, wenn mehrere Installationsrichtlinieneinstellungen für ein bestimmtes Gerät gelten. Aktivieren Sie diese Richtlinieneinstellung, um sicherzustellen, dass sich überlappende Geräteübereinstimmungskriterien basierend auf einer festgelegten Hierarchie angewendet werden, in der spezifischere Übereinstimmungskriterien weniger spezifische Übereinstimmungskriterien ersetzen. Die hierarchische Reihenfolge der Auswertung für Richtlinieneinstellungen, die Geräte-Übereinstimmungskriterien angeben, lautet wie folgt:

Geräte-instance-IDs>Geräte-IDs>Geräteeinrichtungsklasse>Wechselgeräte

Hinweis

Diese Richtlinieneinstellung bietet eine präzisere Steuerung als die Richtlinieneinstellung "Installation von Geräten verhindern, die von anderen Richtlinieneinstellungen nicht beschrieben werden". Wenn diese in Konflikt stehenden Richtlinieneinstellungen gleichzeitig aktiviert sind, wird die Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Geräteinstallationsrichtlinien für alle Geräteübereinstimmungskriterien zulassen und verhindern" aktiviert, und die andere Richtlinieneinstellung wird ignoriert.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die Standardauswertung verwendet. Standardmäßig alle "Installation verhindern..." Richtlinieneinstellungen haben Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Windows ein Gerät installieren kann.

Einige dieser Richtlinien haben Vorrang vor anderen Richtlinien. Das unten gezeigte Flussdiagramm veranschaulicht, wie Windows sie verarbeitet, um zu bestimmen, ob ein Benutzer ein Gerät installieren kann oder nicht, wie in der folgenden Abbildung dargestellt.

Flussdiagramm für Geräteinstallationsrichtlinien

Anforderungen für die Durchführung der Szenarien

Allgemein

Stellen Sie sicher, dass Sie über Folgendes verfügen, um die einzelnen Szenarien abzuschließen:

Ein Clientcomputer, auf dem Windows ausgeführt wird.
Ein USB-Stick. Die in diesem Leitfaden beschriebenen Szenarien verwenden ein USB-Stick als Beispielgerät (auch bekannt als "Wechseldatenträger", "Speicherlaufwerk", "Flashlaufwerk" oder "Schlüsselbundlaufwerk"). Für die meisten USB-Sticks sind keine vom Hersteller bereitgestellten Treiber erforderlich, und diese Geräte funktionieren mit den im Windows-Build bereitgestellten Posteingangstreibern.
Auf dem Computer ist ein USB-/Netzwerkdrucker vorinstalliert.
Zugriff auf das Administratorkonto auf dem Testcomputer. Für die Verfahren in diesem Handbuch sind für die meisten Schritte Administratorrechte erforderlich.

Grundlegendes zu den Auswirkungen der rückwirkende Anwendung von "Prevent"-Richtlinien

Alle "Verhindern"-Richtlinien können die Blockierungsfunktionalität auf bereits installierte Geräte anwenden, die auf dem Computer installiert wurden, bevor die Richtlinie wirksam wurde. Die Verwendung dieser Option wird empfohlen, wenn der Administrator den Installationsverlauf der Geräte auf dem Computer nicht sicher ist und sicherstellen möchte, dass die Richtlinie für alle Geräte gilt.

Beispiel: Ein Drucker ist bereits auf dem Computer installiert. Wenn Sie die Installation aller Drucker verhindern, wird verhindert, dass zukünftige Drucker installiert werden, während nur der installierte Drucker verwendet werden kann. Um den Block rückwirkend anzuwenden, sollte der Administrator die Option "Diese Richtlinie auf bereits installierte Geräte anwenden" aktivieren. Wenn Sie diese Option markieren, wird der Zugriff auf bereits installierte Geräte zusätzlich zu zukünftigen Geräten verhindert.

Diese Option ist ein leistungsfähiges Tool, aber als solches muss sie sorgfältig verwendet werden.

Wichtig

Das Anwenden der Option "Rückwirkend verhindern" auf wichtige Geräte könnte den Computer unbrauchbar/inakzeptabel machen! Beispiel: Wenn Sie rückwirkend alle "Datenträgerlaufwerke" verhindern, kann der Zugriff auf den Datenträger blockiert werden, auf dem das Betriebssystem gestartet wird. Wenn Sie verhindern, dass alle "Net"-Elemente rückwirken, kann dieser Computer den Zugriff auf das Netzwerk blockieren, und um das Problem zu beheben, muss der Administrator über eine direkte Verbindung verfügen.

Bestimmen von Geräteidentifikationszeichenfolgen

Mithilfe dieser Schritte können Sie die Geräteidentifikationszeichenfolgen für Ihr Gerät ermitteln. Wenn die Hardware-IDs und kompatiblen IDs für Ihr Gerät nicht mit den in diesem Leitfaden aufgeführten IDs übereinstimmen, verwenden Sie die IDs, die für Ihr Gerät geeignet sind (diese Richtlinie gilt für Instanz-IDs und Klassen, aber wir werden in diesem Leitfaden kein Beispiel dafür geben).

Sie können die Hardware-IDs und kompatiblen IDs für Ihr Gerät auf zwei Arten bestimmen. Sie können Geräte-Manager verwenden, ein grafisches Tool, das im Betriebssystem enthalten ist, oder PnPUtil, ein Befehlszeilentool, das für alle Windows-Versionen verfügbar ist. Verwenden Sie das folgende Verfahren, um die Geräteidentifikationszeichenfolgen für Ihr Gerät anzuzeigen.

Hinweis

Diese Verfahren sind spezifisch für einen Canon-Drucker. Wenn Sie einen anderen Gerätetyp verwenden, müssen Sie die Schritte entsprechend anpassen. Der wesentliche Unterschied besteht in der Position des Geräts in der Geräte-Manager Hierarchie. Anstatt sich im Knoten Drucker zu befinden, müssen Sie Ihr Gerät im entsprechenden Knoten suchen.

So suchen Sie Geräteidentifikationszeichenfolgen mithilfe von Geräte-Manager

Stellen Sie sicher, dass der Drucker angeschlossen und installiert ist.
Um Geräte-Manager zu öffnen, klicken Sie auf die Schaltfläche Start, geben Sie mmc devmgmt.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE, oder suchen Sie nach Geräte-Manager als Anwendung.
Geräte-Manager startet und zeigt eine Struktur an, die alle auf Ihrem Computer erkannten Geräte darstellt. Oben in der Struktur befindet sich ein Knoten mit dem Namen Ihrer Computer. Untere Knoten stellen die verschiedenen Hardwarekategorien dar, in denen Die Computergeräte gruppiert sind.
Suchen Sie den Abschnitt "Drucker", und suchen Sie den Zieldrucker.

Auswählen des Druckers in Geräte-Manager
Doppelklicken Sie auf den Drucker, und wechseln Sie zur Registerkarte "Details".

Öffnen Sie die Registerkarte "Details", um nach den Gerätebezeichnern zu suchen.
Kopieren Sie im Fenster "Wert" die detaillierteste Hardware-ID. Wir verwenden diesen Wert in den Richtlinien.

HWID und kompatible ID
Tipp
Sie können ihre Geräteidentifikationszeichenfolgen auch mithilfe des Befehlszeilenprogramms PnPUtil ermitteln. Weitere Informationen finden Sie unter PnPUtil – Windows-Treiber.

Abrufen von Gerätebezeichnern mithilfe von PnPUtil

pnputil /enum-devices /ids

Hier sehen Sie ein Beispiel für eine Ausgabe für ein einzelnes Gerät auf einem Computer:

<snip>Instance ID: PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02\3&103a9d54&0&81Device Description: Intel(R) Xeon(R) E7 v3/Xeon(R) E5 v3/Core i7 PCIe Ring Interface - 2F34Class Name: SystemClass GUID: {4d36e97d-e325-11ce-bfc1-08002be10318}Manufacturer Name: INTELStatus: StoppedDriver Name: oem6.infHardware IDs: PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02 PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086 PCI\VEN_8086&DEV_2F34&CC_110100 PCI\VEN_8086&DEV_2F34&CC_1101Compatible IDs: PCI\VEN_8086&DEV_2F34&REV_02 PCI\VEN_8086&DEV_2F34 PCI\VEN_8086&CC_110100 PCI\VEN_8086&CC_1101 PCI\VEN_8086 PCI\CC_110100 PCI\CC_1101<snip>

Szenario 1: Verhindern der Installation aller Drucker

In diesem einfachen Szenario erfahren Sie, wie Sie die Installation einer gesamten Geräteklasse verhindern.

Einrichten der Umgebung

Richten Sie die Umgebung für das Szenario mit den folgenden Schritten ein:

Öffnen Sie Gruppenrichtlinie Editor, und navigieren Sie zum Abschnitt Geräteinstallationseinschränkung.
Deaktivieren Sie alle vorherigen Geräteinstallationsrichtlinien mit Ausnahme von "Mehrschichtreihenfolge der Auswertung anwenden". Obwohl die Richtlinie standardmäßig deaktiviert ist, empfiehlt es sich, diese Richtlinie in den meisten praktischen Anwendungen zu aktivieren.
Wenn es aktivierte Richtlinien gibt, würden sie durch Ändern der status in "deaktiviert" aus allen Parametern gelöscht.
Stellen Sie einen USB-/Netzwerkdrucker bereit, um die Richtlinie mit zu testen.

Szenarioschritte: Verhindern der Installation von verbotenen Geräten

Abrufen des richtigen Gerätebezeichners, um die Installation zu verhindern:

Wenn Sie auf Ihrem System ein Gerät aus der Klasse haben, die Sie blockieren möchten, können Sie die Schritte im vorherigen Abschnitt ausführen, um den Geräteklassenbezeichner über Geräte-Manager oder PnPUtil (Klassen-GUID) zu suchen.
Wenn Sie ein solches Gerät nicht auf Ihrem System installiert haben oder den Namen der Klasse kennen, können Sie die folgenden beiden Links überprüfen:
- Systemdefinierte Gerätesetupklassen, die für Anbieter verfügbar sind – Windows-Treiber
- Systemdefinierte Geräteeinrichtungsklassen, die für die Systemverwendung reserviert sind – Windows-Treiber
Unser aktuelles Szenario konzentriert sich darauf, zu verhindern, dass alle Drucker installiert werden. Dies ist die Klassen-GUID für die meisten Drucker auf dem Markt:
Drucker
Klasse = Drucker
ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
Diese Klasse enthält Drucker.
Hinweis
Wie bereits erwähnt, kann das Verhindern einer gesamten Klasse verhindern, dass Sie Ihr System vollständig verwenden können. Stellen Sie sicher, dass Sie wissen, welche Geräte beim Angeben einer Klasse blockiert werden. Für unser Szenario gibt es andere Klassen, die sich auf Drucker beziehen. Bevor Sie sie jedoch anwenden, stellen Sie sicher, dass sie kein anderes vorhandenes Gerät blockieren, das für Ihr System von entscheidender Bedeutung ist.

Erstellen der Richtlinie, um zu verhindern, dass alle Drucker installiert werden:

Öffnen Sie Gruppenrichtlinie Objekt-Editor. Klicken Sie entweder auf die Schaltfläche Start, geben Sie mmc gpedit.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE, oder geben Sie in der Windows-Suche "Gruppenrichtlinie Editor" ein, und öffnen Sie die Benutzeroberfläche.
Navigieren Sie zur Seite Geräteinstallationseinschränkung:
Computerkonfiguration > Administrative Vorlagen > Systemgeräteinstallation >> Geräteinstallationseinschränkungen
Stellen Sie sicher, dass alle Richtlinien deaktiviert sind (empfohlen, um die Richtlinie "Angewendete Mehrschichtreihenfolge der Auswertung" aktiviert zu lassen).
Öffnen Sie Installation von Geräten mit Treibern verhindern, die dieser Richtlinie für Gerätesetupklassen entsprechen, und wählen Sie das Optionsfeld "Aktivieren" aus.
Klicken Sie unten links im Fenster "Optionen" auf "Anzeigen...". Box. Mit dieser Option gelangen Sie zu einer Tabelle, in der Sie den zu blockierenden Klassenbezeichner eingeben können.
Geben Sie die oben gefundene Guid der Druckerklasse mit den geschweiften Klammern ein: {4d36e979-e325-11ce-bfc1-08002be10318}.

Liste der verhindernden Klassen-GUIDs
Klicken Sie auf "OK".
Klicken Sie unten rechts im Fenster der Richtlinie auf "Anwenden". Diese Option pusht die Richtlinie und blockiert alle zukünftigen Druckerinstallationen, gilt jedoch nicht für vorhandene Installationen.
Optional – wenn Sie die Richtlinie auf vorhandene Installationen anwenden möchten: Öffnen Sie die Richtlinie Installation von Geräten mithilfe von Treibern verhindern, die diesen Geräteeinrichtungsklassen entsprechen . Aktivieren Sie im Fenster "Optionen" das Kontrollkästchen "Gilt auch für übereinstimmende Geräte, die bereits installiert sind"

Wichtig

Die Verwendung einer Richtlinie zum Verhindern (wie in Szenario 1 oben verwendet) und deren Anwendung auf alle zuvor installierten Geräte (siehe Schritt 9) kann dazu führen, dass wichtige Geräte unbrauchbar sind. daher mit Vorsicht verwenden. Beispiel: Wenn ein IT-Administrator verhindern möchte, dass alle Wechselmedien auf dem Computer installiert werden, kann die Verwendung der Klasse "Datenträgerlaufwerk" zum Blockieren und rückwirkenden Anwenden die interne Festplatte unbrauchbar machen und den Computer unterbrechen.

Testen des Szenarios

Wenn Sie Schritt 9 noch nicht abgeschlossen haben, führen Sie die folgenden Schritte aus:
1. Deinstallieren Sie Ihren Drucker: Geräte-Manager > Drucker > klicken Sie mit der rechten Maustaste auf den Canon-Drucker > auf "Gerät deinstallieren".
2. Für USB-Drucker – trennen Sie das Kabel, und schließen Sie es wieder an. für Netzwerkgerät : Suchen Sie in der Windows-Einstellungs-App nach dem Drucker.
3. Sie sollten den Drucker nicht erneut installieren können.
Wenn Sie Schritt 9 oben abgeschlossen und den Computer neu gestartet haben, suchen Sie unter Geräte-Manager oder der Windows-Einstellungs-App nach Ihrem Drucker, und stellen Sie fest, dass er nicht mehr verfügbar ist.

Szenario 2: Verhindern der Installation eines bestimmten Druckers

Dieses Szenario baut auf Szenario Nr. 1 auf, Installation aller Drucker verhindern. In diesem Szenario zielen Sie auf einen bestimmten Drucker ab, um zu verhindern, dass auf dem Computer installiert wird.

Einrichten der Umgebung

Richten Sie die Umgebung für das Szenario mit den folgenden Schritten ein:

Öffnen Sie Gruppenrichtlinie Editor, und navigieren Sie zum Abschnitt Geräteinstallationseinschränkung.
Stellen Sie sicher, dass alle vorherigen Geräteinstallationsrichtlinien mit Ausnahme von "Mehrschichtreihenfolge der Auswertung anwenden" deaktiviert sind (diese Voraussetzung ist optional, um in diesem Szenario ein-/aus zu sein). Obwohl die Richtlinie standardmäßig deaktiviert ist, wird empfohlen, in den meisten praktischen Anwendungen aktiviert zu sein. Für Szenario 2 ist dies optional.

Szenarioschritte: Verhindern der Installation eines bestimmten Geräts

Abrufen des richtigen Gerätebezeichners, um die Installation zu verhindern:

Rufen Sie die Hardware-ID Ihres Druckers ab. In diesem Beispiel verwenden wir den bezeichner, den wir zuvor gefunden haben.

Druckerhardware-ID
Notieren Sie sich die Geräte-ID (in diesem Fall Hardware-ID): WSDPRINT\CanonMX920_seriesC1A0;. Verwenden Sie den spezifischeren Bezeichner, um sicherzustellen, dass Sie einen bestimmten Drucker und keine Druckerfamilie blockieren.

Erstellen der Richtlinie, um zu verhindern, dass ein einzelner Drucker installiert wird:

Öffnen Sie Gruppenrichtlinie Objekt-Editor.
Navigieren Sie zur Seite Geräteinstallationseinschränkung:
Computerkonfiguration > Administrative Vorlagen > Systemgeräteinstallation >> Geräteinstallationseinschränkungen
Öffnen Sie Installation von Geräten verhindern, die mit einer dieser Geräte-IDs-Richtlinie übereinstimmen , und wählen Sie das Optionsfeld "Aktivieren" aus.
Klicken Sie unten links im Fenster "Optionen" auf "Anzeigen...". Box. Mit dieser Option gelangen Sie zu einer Tabelle, in der Sie den zu blockierenden Gerätebezeichner eingeben können.
Geben Sie die id des Druckergeräts ein, die Sie oben gefunden haben: WSDPRINT\CanonMX920_seriesC1A0.

Liste "Geräte-ID verhindern"
Klicken Sie auf "OK".
Klicken Sie unten rechts im Fenster der Richtlinie auf "Übernehmen". Diese Option pusht die Richtlinie und blockiert den Zieldrucker in zukünftigen Installationen, gilt jedoch nicht für eine vorhandene Installation.
Wenn Sie die Richtlinie auf eine vorhandene Installation anwenden möchten, öffnen Sie optional die Richtlinie Installation von Geräten verhindern, die mit einer dieser Geräte-IDs übereinstimmen . Aktivieren Sie im Fenster "Optionen" das Kontrollkästchen "Gilt auch für übereinstimmende Geräte, die bereits installiert sind".

Testen des Szenarios

Wenn Sie Schritt 8 oben abgeschlossen und den Computer neu gestartet haben, suchen Sie unter Geräte-Manager oder der Windows-Einstellungs-App nach Ihrem Drucker, und stellen Sie fest, dass er nicht mehr verfügbar ist.

Wenn Sie Schritt 8 noch nicht abgeschlossen haben, führen Sie die folgenden Schritte aus:

Deinstallieren Sie Ihren Drucker: Geräte-Manager > Drucker > klicken Sie mit der rechten Maustaste auf den Canon-Drucker > auf "Gerät deinstallieren".
Ziehen Sie für USB-Drucker das Kabel ab, und schließen Sie es wieder an. Suchen Sie für Netzwerkgeräte in der Windows-Einstellungs-App nach dem Drucker.
Sie sollten den Drucker nicht erneut installieren können.

Szenario 3: Verhindern der Installation aller Drucker, während die Installation eines bestimmten Druckers zugelassen wird

Nun erfahren Sie anhand der Kenntnisse aus beiden vorherigen Szenarien, wie Sie die Installation einer gesamten Geräteklasse verhindern und gleichzeitig die Installation eines einzelnen Druckers zulassen.

Einrichten der Umgebung

Richten Sie die Umgebung für das Szenario mit den folgenden Schritten ein:

Öffnen Sie Gruppenrichtlinie Editor, und navigieren Sie zum Abschnitt Geräteinstallationseinschränkung.
Deaktivieren Sie alle vorherigen Geräteinstallationsrichtlinien, und aktivieren Sie "Mehrstufige Auswertungsreihenfolge anwenden".
Wenn es aktivierte Richtlinien gibt, würden sie durch Ändern der status in "deaktiviert" aus allen Parametern gelöscht.
Stellen Sie einen USB-/Netzwerkdrucker bereit, mit dem Sie die Richtlinie testen können.

Szenarioschritte: Verhindern der Installation einer gesamten Klasse beim Zulassen eines bestimmten Druckers

Abrufen des Gerätebezeichners sowohl für die Druckerklasse als auch für einen bestimmten Drucker: Befolgen Sie die Schritte in Szenario 1, um nach Klassenbezeichner zu suchen, und Szenario Nr. 2, um nach Gerätebezeichner zu suchen, können Sie die Bezeichner abrufen, die Sie für dieses Szenario benötigen:

ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
Hardware-ID = WSDPRINT\CanonMX920_seriesC1A0

Erstellen Sie zunächst die Richtlinie "Klasse verhindern" und dann eine Richtlinie zum Zulassen von Geräten:

Öffnen Sie Gruppenrichtlinie Objekt-Editor. Klicken Sie entweder auf die Schaltfläche Start, geben Sie mmc gpedit.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE, oder geben Sie in der Windows-Suche "Gruppenrichtlinie Editor" ein, und öffnen Sie die Benutzeroberfläche.
Navigieren Sie zur Seite Geräteinstallationseinschränkung:
Computerkonfiguration > Administrative Vorlagen > Systemgeräteinstallation >> Geräteinstallationseinschränkungen
Stellen Sie sicher, dass alle Richtlinien deaktiviert sind.
Öffnen Sie Installation von Geräten mit Treibern verhindern, die dieser Richtlinie für Gerätesetupklassen entsprechen, und wählen Sie das Optionsfeld "Aktivieren" aus.
Klicken Sie unten links im Fenster "Optionen" auf "Anzeigen...". Box. Mit dieser Option gelangen Sie zu einer Tabelle, in der Sie den zu blockierenden Klassenbezeichner eingeben können.
Geben Sie die oben gefundene Druckerklassen-GUID mit den geschweiften Klammern ein (dieser Wert ist wichtig! Andernfalls funktioniert es nicht): {4d36e979-e325-11ce-bfc1-08002be10318}

Liste der verhindernden Klassen-GUIDs
Klicken Sie auf "OK".
Klicken Sie unten rechts im Fenster der Richtlinie auf "Anwenden". Diese Option pusht die Richtlinie und blockiert alle zukünftigen Druckerinstallationen, gilt jedoch nicht für vorhandene Installationen.
Um die Abdeckung aller zukünftigen und vorhandenen Drucker abzuschließen, öffnen Sie die Richtlinie Installation von Geräten mit Treibern verhindern, die diesen Gerätesetupklassen entsprechen . Aktivieren Sie im Fenster "Optionen" das Kontrollkästchen "Gilt auch für übereinstimmende Geräte, die bereits installiert sind" und klicken Sie auf "OK".
Öffnen Sie die Richtlinie Mehrstufige Auswertungsreihenfolge anwenden für Die Richtlinien für die Geräteinstallation für alle Geräteübereinstimmungskriterien zulassen und verhindern , und aktivieren Sie sie. Mit dieser Richtlinie können Sie die breite Abdeckung der Richtlinie "Verhindern" mit einem bestimmten Gerät außer Kraft setzen.

Anwenden der Mehrschichtreihenfolge der Auswertungsrichtlinie
Öffnen Sie nun Installation von Geräten zulassen, die mit einer dieser Geräte-IDs-Richtlinie übereinstimmen, und wählen Sie das Optionsfeld "Aktivieren" aus.
Klicken Sie unten links im Fenster "Optionen" auf "Anzeigen...". Box. Mit dieser Option gelangen Sie zu einer Tabelle, in der Sie den zuzulassenden Gerätebezeichner eingeben können.
Geben Sie die id des Druckergeräts ein, die Sie oben gefunden haben: WSDPRINT\CanonMX920_seriesC1A0.

Druckerhardware-ID zulassen
Klicken Sie auf "OK".
Klicken Sie unten rechts im Fenster der Richtlinie auf "Anwenden". Mit dieser Option wird die Richtlinie gepusht und der Zieldrucker kann installiert werden (oder beibehalten werden).

Testen des Szenarios

Suchen Sie unter Geräte-Manager oder der Windows-Einstellungs-App nach Ihrem Drucker, und stellen Sie fest, dass er noch vorhanden und zugänglich ist. Oder drucken Sie einfach ein Testdokument.
Zurück zum Gruppenrichtlinie-Editor, deaktivieren Sie mehrstufige Auswertungsreihenfolge anwenden für Richtlinien zur Geräteinstallation für alle Geräteübereinstimmungskriterien zulassen und verhindern, und testen Sie Ihren Drucker erneut. Sie sollten weder drucken noch überhaupt auf den Drucker zugreifen können.

Szenario 4: Verhindern der Installation eines bestimmten USB-Geräts

Das Szenario baut auf den Kenntnissen aus Szenario 2, Installation eines bestimmten Druckers verhindern auf. In diesem Szenario erfahren Sie, wie einige Geräte in die PnP-Gerätestruktur (Plug & Play) integriert sind.

Einrichten der Umgebung

Richten Sie die Umgebung für das Szenario mit den folgenden Schritten ein:

Öffnen Sie Gruppenrichtlinie Editor, und navigieren Sie zum Abschnitt Geräteinstallationseinschränkung.
Stellen Sie sicher, dass alle vorherigen Geräteinstallationsrichtlinien mit Ausnahme von "Mehrstufige Auswertungsreihenfolge anwenden" deaktiviert sind. Diese Voraussetzung ist optional, um in diesem Szenario ein-/aus zu sein. Obwohl die Richtlinie standardmäßig deaktiviert ist, wird empfohlen, in den meisten praktischen Anwendungen aktiviert zu sein.

Szenarioschritte: Verhindern der Installation eines bestimmten Geräts

Abrufen des richtigen Gerätebezeichners, um zu verhindern, dass es installiert wird, und seinen Speicherort in der PnP-Struktur:

Verbinden eines USB-Sticks mit dem Computer
Öffnen des Geräte-Managers
Suchen Sie den USB-Stick, und wählen Sie ihn aus.

Auswählen des USB-Sticks in Geräte-Manager
Ändern Sie die Ansicht (im oberen Menü) in "Geräte nach Verbindungen". Diese Ansicht stellt die Art und Weise dar, wie Geräte in der PnP-Struktur installiert werden.

Ändern der Ansicht in Geräte-Manager, um die PnP-Verbindungsstruktur anzuzeigen
Hinweis
Beim Blockieren\Verhindern eines Geräts, das sich höher in der PnP-Struktur befindet, werden alle darunter befindlichen Geräte blockiert. Beispiel: Wenn sie verhindern, dass ein "generischer USB-Hub" installiert wird, werden alle Geräte blockiert, die sich unterhalb eines "generischen USB-Hubs" befinden.

Beim Blockieren eines Geräts werden auch alle darunter geschachtelten Geräte blockiert.
Doppelklicken Sie auf den USB-Stick, und wechseln Sie zur Registerkarte "Details".
Kopieren Sie im Fenster "Wert" die detaillierteste Hardware-ID. Wir verwenden diesen Wert in den Richtlinien. In diesem Fall Geräte-ID = USBSTOR\DiskGeneric_Flash_Disk______8.07

HARDWARE-IDs für USB-Geräte

Erstellen der Richtlinie, um zu verhindern, dass ein einzelner USB-Stick installiert wird:

Öffnen Sie Gruppenrichtlinie Objekt-Editor, und klicken Sie entweder auf die Schaltfläche Start, geben Sie mmc gpedit.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE, oder geben Sie in der Windows-Suche "Gruppenrichtlinie Editor" ein, und öffnen Sie die Benutzeroberfläche.
Navigieren Sie zur Seite Geräteinstallationseinschränkung:
Computerkonfiguration > Administrative Vorlagen > Systemgeräteinstallation >> Geräteinstallationseinschränkungen
Öffnen Sie Installation von Geräten verhindern, die mit einer dieser Geräte-IDs-Richtlinie übereinstimmen , und wählen Sie das Optionsfeld "Aktivieren" aus.
Klicken Sie unten links im Fenster "Optionen" auf das Feld "Anzeigen". Mit dieser Option gelangen Sie zu einer Tabelle, in der Sie den zu blockierenden Gerätebezeichner eingeben können.
Geben Sie die USB-Usb-Stick-Geräte-ID ein, die Sie oben gefunden haben –USBSTOR\DiskGeneric_Flash_Disk______8.07 .

Liste "Geräte-IDs verhindern"
Klicken Sie auf "OK".
Klicken Sie unten rechts im Fenster der Richtlinie auf "Übernehmen". Diese Option pusht die Richtlinie und blockiert den ZIEL-USB-Stick bei zukünftigen Installationen, gilt jedoch nicht für eine vorhandene Installation.
Optional: Wenn Sie die Richtlinie auf eine vorhandene Installation anwenden möchten, öffnen Sie die Richtlinie Installation von Geräten verhindern, die mit einer dieser Geräte-IDs übereinstimmen erneut. Aktivieren Sie im Fenster "Optionen" das Kontrollkästchen "Gilt auch für übereinstimmende Geräte, die bereits installiert sind".

Testen des Szenarios

Wenn Sie Schritt 8 noch nicht abgeschlossen haben, führen Sie die folgenden Schritte aus:
- Deinstallieren Sie Ihren USB-Stick: Geräte-Manager > Datenträgerlaufwerke > klicken Sie mit der rechten Maustaste auf das ZIEL-USB-Stick > und klicken Sie auf "Gerät deinstallieren".
- Sie sollten das Gerät nicht neu installieren können.
Wenn Sie Schritt 8 oben abgeschlossen und den Computer neu gestartet haben, suchen Sie unter Geräte-Manager nach Ihren Datenträgerlaufwerken, und stellen Sie fest, dass sie nicht mehr verfügbar sind.

Szenario 5: Verhindern der Installation aller USB-Geräte, während die Installation nur eines autorisierten USB-Sticks zugelassen wird

Nun erfahren Sie anhand des Wissens aus allen vorherigen vier Szenarien, wie Sie die Installation einer ganzen Klasse von Geräten verhindern und gleichzeitig die Installation eines einzelnen autorisierten USB-Sticks zulassen.

Einrichten der Umgebung

Richten Sie die Umgebung für das Szenario mit den folgenden Schritten ein:

Öffnen Sie Gruppenrichtlinie Editor, und navigieren Sie zum Abschnitt Geräteinstallationseinschränkung.
Deaktivieren Sie alle vorherigen Geräteinstallationsrichtlinien, und aktivieren Sie "Mehrstufige Auswertungsreihenfolge anwenden".
Wenn es aktivierte Richtlinien gibt, würden sie durch Ändern der status in "deaktiviert" aus allen Parametern gelöscht.
Stellen Sie einen USB-Stick bereit, mit dem Sie die Richtlinie testen können.

Szenarioschritte: Verhindern der Installation aller USB-Geräte, während nur ein autorisierter USB-Stick zugelassen wird

Abrufen des Gerätebezeichners für die USB-Klassen und eines bestimmten USB-Sticks und Ausführen der Schritte in Szenario Nr. 1 zum Suchen nach Klassenbezeichner und Szenario Nr. 4 zum Ermitteln der Geräte-ID, die Sie für dieses Szenario benötigen:

USB-Busgeräte (Hubs und Hostcontroller)
- Klasse = USB
- ClassGuid = {36fc9e60-c465-11cf-8056-444553540000}
- Diese Klasse umfasst USB-Hostcontroller und USB-Hubs, aber keine USB-Peripheriegeräte. Treiber für diese Klasse werden vom System bereitgestellt.
USB-Gerät
- Class = USBDevice
- ClassGuid = {88BAE032-5A81-49f0-BC3D-A4FF138216D6}
- USBDevice enthält alle USB-Geräte, die keiner anderen Klasse angehören. Diese Klasse wird nicht für USB-Hostcontroller und -Hubs verwendet.
Hardware-ID = USBSTOR\DiskGeneric_Flash_Disk______8.07

Wie in Szenario 4 erwähnt, reicht es nicht aus, nur eine einzelne Hardware-ID zu aktivieren, um einen einzelnen USB-Stick zu aktivieren. Der IT-Administrator muss sicherstellen, dass alle USB-Geräte, die vor dem Zielgerät stehen, nicht ebenfalls blockiert (zulässig) werden. In unserem Fall müssen die folgenden Geräte zugelassen werden, damit auch der ZIEL-USB-Stick zugelassen werden kann:

"Intel(R) USB 3.0 eXtensible Host Controller – 1.0 (Microsoft)" –> PCI\CC_0C03
"USB Root Hub (USB 3.0)" –> USB\ROOT_HUB30
"Generischer USB-Hub" –> USB\USB20_HUB

USB-Geräte, die in der PnP-Struktur untereinander geschachtelt sind

Diese Geräte sind interne Geräte auf dem Computer, die die USB-Anschlussverbindung zur Außenwelt definieren. Wenn Sie sie aktivieren, sollte es nicht möglich sein, dass externe/Peripheriegeräte auf dem Computer installiert werden.

Wichtig

Einige Geräte im System verfügen über mehrere Konnektivitätsebenen, um ihre Installation auf dem System zu definieren. USB-Sticks sind solche Geräte. Daher ist es wichtig, den Konnektivitätspfad für jedes Gerät zu verstehen, wenn Sie sie auf einem System blockieren oder zulassen möchten. Es gibt mehrere generische Geräte-IDs, die häufig in Systemen verwendet werden und in solchen Fällen einen guten Start zum Erstellen einer Zulassungsliste bieten könnten. Die Liste finden Sie unten:

PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST (für Hostcontroller)/ USB\ROOT_HUB30; USB\ROOT_HUB20 (für USB-Stammhubs)/ USB\USB20_HUB (für generische USB-Hubs)/

Speziell für Desktopcomputer ist es sehr wichtig, alle USB-Geräte aufzulisten, über die Ihre Tastaturen und Mäuse in der obigen Liste verbunden sind. Andernfalls kann ein Benutzer nicht über HID-Geräte auf seinen Computer zugreifen.

Verschiedene PC-Hersteller haben manchmal unterschiedliche Möglichkeiten, USB-Geräte in der PnP-Struktur zu schachteln, aber im Allgemeinen wird dies so gemacht.

Erstellen Sie zunächst die Richtlinie "Klasse verhindern" und dann eine Richtlinie zum Zulassen von Geräten:

Öffnen Sie Gruppenrichtlinie Objekt-Editor: Klicken Sie entweder auf die Schaltfläche Start, geben Sie mmc gpedit.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE, oder geben Sie in der Windows-Suche "Gruppenrichtlinie Editor" ein, und öffnen Sie die Benutzeroberfläche.
Navigieren Sie zur Seite Geräteinstallationseinschränkung:
Computerkonfiguration > Administrative Vorlagen > Systemgeräteinstallation >> Geräteinstallationseinschränkungen
Stellen Sie sicher, dass alle Richtlinien deaktiviert sind.
Öffnen Sie Installation von Geräten mit Treibern verhindern, die dieser Richtlinie für Gerätesetupklassen entsprechen, und wählen Sie das Optionsfeld "Aktivieren" aus.
Klicken Sie unten links im Fenster "Optionen" auf "Anzeigen...". Box. Mit dieser Option gelangen Sie zu einer Tabelle, in der Sie den zu blockierenden Klassenbezeichner eingeben können.
Geben Sie die oben gefundene GUID für beide USB-Klassen mit den geschweiften Klammern ein:
{36fc9e60-c465-11cf-8056-444553540000}/ {88BAE032-5A81-49f0-BC3D-A4FF138216D6}
Klicken Sie auf "OK".
Klicken Sie unten rechts im Fenster der Richtlinie auf "Übernehmen". Diese Option pusht die Richtlinie und blockiert alle zukünftigen INSTALLATIONEN von USB-Geräten, gilt jedoch nicht für vorhandene Installationen.
Wichtig
Im vorherigen Schritt wird verhindert, dass alle zukünftigen USB-Geräte installiert werden. Bevor Sie mit dem nächsten Schritt fortfahren, stellen Sie sicher, dass Sie über eine möglichst vollständige Liste aller verfügbaren USB-Hostcontroller, USB-Root Hubs und generischen USB-Hubs verfügen, um zu verhindern, dass Sie über Tastaturen und Mäuse mit Ihrem System interagieren.
Öffnen Sie die Richtlinie Mehrstufige Auswertungsreihenfolge anwenden für die Richtlinien Zulassen und Verhindern von Geräteinstallationsrichtlinien für alle Geräteübereinstimmungskriterien , und aktivieren Sie sie. Mit dieser Richtlinie können Sie die breite Abdeckung der Richtlinie "Verhindern" mit einem bestimmten Gerät überschreiben.

Anwenden der Mehrschichtreihenfolge der Auswertungsrichtlinie
Öffnen Sie nun Installation von Geräten zulassen, die mit einer dieser Geräte-IDs-Richtlinie übereinstimmen, und wählen Sie das Optionsfeld "Aktivieren" aus.
Klicken Sie unten links im Fenster "Optionen" auf "Anzeigen...". Box. Mit dieser Option gelangen Sie zu einer Tabelle, in der Sie den zuzulassenden Gerätebezeichner eingeben können.
Geben Sie die vollständige Liste der USB-Geräte-IDs ein, die Sie oben gefunden haben, einschließlich des spezifischen USB-Thumb-Laufwerks, das Sie für die Installation autorisieren möchten.USBSTOR\DiskGeneric_Flash_Disk______8.07

Liste zulässiger USB-Geräte-IDs
Klicken Sie auf "OK".
Klicken Sie unten rechts im Fenster der Richtlinie auf "Übernehmen".
Um die Abdeckung "Verhindern" auf alle derzeit installierten USB-Geräte anzuwenden, öffnen Sie die Richtlinie Installation von Geräten mithilfe von Treibern verhindern, die diesen Gerätesetupklassen entsprechen . Aktivieren Sie im Fenster "Optionen" das Kontrollkästchen "Gilt auch für übereinstimmende Geräte, die bereits installiert sind" und klicken Sie auf "OK".

Testen des Szenarios

Sie sollten kein USB-Stick mit Ausnahme des usb-Sticks installieren können, den Sie für die Verwendung autorisiert haben.

Verwalten der Geräteinstallation mit Gruppenrichtlinie (Windows 10 und Windows 11) - Windows Client Management (2024)

FAQs

How to bypass Windows 11 system requirements Microsoft? ›

The easiest way to bypass this Windows 11 system requirement is to install Rufus. This free utility helps you create a bootable USB flash drive that you can download here.

Explore More ›

What is the simplest way to see if eligible Windows 10 PC is ready for 11 upgrade? ›

Go to the Microsoft website and then click on Windows 11. Scroll down to the Check compatibility section and tap on the Download app. Alternatively, you can click on this link to download the app. Download and install the Microsoft PC Health Check app on your laptop or PC.

Know More ›

Will Windows 10 GPO work on Windows 11? ›

Once configured your GPOs will work on both operating systems. As long as we support Windows 10 it could occur that new Windows 10 features are not reflected in Windows 11 ADMX files and vice versa. The table at the end of this article shows differences between the Win10 and Win11 templates (as of Dec 16, 2021).

Get More Info Here ›

How do I Deupgrade Windows 11 to 10? ›

Open Settings app on your Windows 11, go to System > Recovery. Under Recovery options, click Go back. 2. Now Go back to Windows 10 screen should appear.

Know More ›

Is it safe to bypass Windows 11 requirements? ›

Bypassing these may seriously impact your user experience. You could expect your system to slow down or even crash on a frequent basis. On the other hand, the display and GPU requirements are almost light suggestions. Windows 11 is flexible enough to run on weaker GPUs, and its display can scale down considerably.

Read The Full Story ›

How to bypass Windows 10 password? ›

In the Command Prompt window, type net user username “” and press Enter. Replace username with your actual Windows account name. This will reset your Windows 10 password to blank. Close the Command Prompt window and click Sign in on the login screen to log in to Windows 10 without a password.

Can I get Windows 11 for an older computer? ›

The processor requirement is the most restrictive; supported processors include 8th-generation and newer Intel Core processors as well as AMD Ryzen 2000-series processors and newer. These are all chips that launched in late 2017 and early 2018. Older computers can't officially run Windows 11.

What happens if your computer doesn t meet system requirements for Windows 11? ›

After you install Windows 11

When Windows 11 is installed on a device that does not meet the minimum system requirements, we'll notify you using a watermark on your Windows 11 desktop. You might also see a notification in Settings to let you know the requirements are not met.

Get More Info ›

Will Microsoft allow Windows 11 on older PCs? ›

Microsoft doesn't want you to, but you can actually install Windows 11 on your old PC if you really want to.

Learn More Now ›

How to enable local user and group management in Windows 11? ›

How to Enable the Local User and Group Management (Lusrmgr. msc) Console in Windows 11/10 Home Edition

Open the lusrmgr GitHub page. ...
Then click the Download button right corner to download the file to your PC.
Once downloaded, double-click on the lusrmgr.exe file to run the program.

Mar 10, 2022

Read The Full Story ›

What is the Windows 10 21h2 Group Policy? ›

The Windows 10 21h2 group policy Specify source service for specific classes of Windows Updates now allows you to obtain different types of updates (quality, feature update, driver, or other) from Windows Server Update Service or Windows Update, respectively.

How to run program in Windows 10 Compatibility Mode in Windows 11? ›

In the search box on the taskbar, type the name of the program or app you want to troubleshoot. Select and hold (or right-click) it, and then select Open file location. Select and hold (or right-click) the program file, select Properties, and then select the Compatibility tab. Select Run compatibility troubleshooter.

Explore More ›

How long do I have to upgrade to Windows 11 for free? ›

The free upgrade offer does not have a specific end date for eligible systems. However, Microsoft reserves the right to eventually end support for the free offer. This end date will be no sooner than one year from general availability. Can I continue to use Windows 10?

How to downgrade from Windows 11 to Windows 10 without go back option? ›

Go to Settings > System > Recovery and, under the Advanced Startup heading, click Restart Now. At the Windows 11 recovery menu, choose Use A Device and select your USB drive. When you see the prompt to boot from the USB drive, tap the spacebar to start Windows Setup. Follow the prompts to install Windows 10.

Explore More ›

Can I downgrade from Windows 11 to 10 after 10 days? ›

There is a 10-day period where you can move back to Windows 10 while keeping files and data. After the 10 days, back up your data and do a clean install to move back to Windows 10. Note: This information only applies to systems preloaded with Windows 10.

Who should not install Windows 11? ›

When Windows 11 first came out, the largest fuss was made over its new hardware specifications. Additionally, you are unable to install the OS if your computer still has a 32-bit CPU; it only supports 64-bit Intel/AMD and Arm processors.

What are the risks of not upgrading to Windows 11? ›

First, you will miss out on the latest system features, security updates, patches, and compatibility for upcoming security features and programs. This lack of updates will mean your system will become more vulnerable to attacks.

Read On ›

Can I refuse to install Windows 11? ›

To postpone the Windows 11 upgrade, just select the Stay on Windows 10 for now option. To avoid Windows 11 updates in the future, you may also delay them manually. To halt updates for 7 days, go to the Windows Update page and choose Pause updates for 7 days.

Know More ›

What is the default password for Windows 10? ›

Sadly, there is no default password or admin default password for your Microsoft Windows. However, there are ways to regain access to your Windows if you don't remember your login info. If you have Windows 8, 10, or 11 and use a Microsoft account, the easiest way to do this is by running an online reset.

Discover More Details ›

How to bypass Windows 11 login screen without password? ›

Enter netplwiz in the Run window search box field. The User Accounts window will open. Select the account you want to disable the password option. Uncheck the option that indicates Users must enter a user name and password to use this computer.

Read On ›

Can I put Windows 10 on an old computer? ›

Can you run and install Windows 10 on a 9-year-old PC? Yes you can!

Explore More ›

Does Windows 11 run better than Windows 10 on older computers? ›

Windows 11 is snappier than Windows 10, but the differences are small in real-world use. The various optimizations in Windows 11 help it to run faster on weaker laptops, but you're not giving up a ton of performance with Windows 10.

Learn More ›

Is Windows 10 or 11 better for older computers? ›

If your PC has less RAM and CPU power, then Windows 11 will definitely offer better performance as it focuses on the foreground apps and has fewer background processes consuming limited resources.

Show Me More ›

Is Windows 11 still free? ›

Can I upgrade for free? Upgrades to Windows 11 from Windows 10 will be free. Due to the size of the download, however, ISP fees may apply for downloads that occur over metered connections.

Read On ›

Is it worth upgrading to Windows 11? ›

You want or need the latest features: Windows 11 looks and feels like a fresh coat of paint on Windows 10, but there are some features that you won't get without upgrading. Some interesting improvements include better widgets and snap layouts, better virtual desktops, and support for Android apps.

Why can t some computers run Windows 11? ›

For Windows 11 to be compatible with your computer, it must support UEFI with Secure Boot, and TPM 1.2 or 2.0 must be enabled. Since Windows 11 requires a UEFI Secure Boot compatible system, the setup will fail to detect required features if you have installed Windows 10 via the legacy boot mode.

Keep Reading ›

Why doesn t Windows 11 support older processors? ›

Specifically: Processors that were designed and built before the current generation of internet attacks do not have the features needed by the new code in Windows 11 that was created to defend against these attacks, and as a result they caused Windows 11 to crash during testing.

How much does a Windows 11 cost? ›

If you want to buy a license by itself, the Windows 11 Home edition will cost $139.99, while Pro will cost $199.99. However, most laptops will just come with either one preinstalled. If you have Windows 11 Home and you want to upgrade to Pro, that will cost you $99.99.

View Details ›

How do I force group policy to update in Windows 11? ›

How force group policy update

Press Windows key + X or right-click on the start menu.
Select Windows PowerShell or Command Prompt.
Type gpupdate /force and press enter. Wait for the Computer and User policy to update.
Reboot your computer. A reboot is necessary to be sure that all settings are applied.

Feb 18, 2021

Explore More ›

What is the run command for group policy Windows 11? ›

Open Local Group Policy Editor via the Run Command

Press Win + R to open the Run dialog box. Type gpedit. msc in the text box and click OK or press Enter to open the Local Group Policy Editor.

Read The Full Story ›

How do I block group policy management in Windows 11? ›

Here's what I ended up doing: So, edit the registry on your Windows 11 machine. Install the Windows RSAT tools for Group Policy Management. Launch regedit and create a new Key and then DWORD value: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Group Policy, EnableLocalStoreOverride = 1, reboot.

Learn More ›

How do I upgrade Windows with Group Policy? ›

To enable Microsoft Updates, use the Group Policy Management Console go to Computer Configuration > Administrative Templates > Windows Components > Windows Update > Configure Automatic Updates and select Install updates for other Microsoft products.

Keep Reading ›

How do I enable Group Policy in Windows 10 update? ›

Manually re-enable Windows automatic updates

On the device, open Edit Group Policy. ...
From the Computer Configuration directory, select Administrative Templates.
Then select Windows Components.
Select Windows Update.
Select Configure Automatic Updates. ...
Select 'Enabled' then click Apply.

More items...

Mar 29, 2023

See Details ›

Does Windows 10 Home come with Group Policy Editor? ›

Gpedit. msc is a standard mmc snap-in available in all Windows editions (Pro/Enterprise/Education) except Home editions (Home/Single Language). In this article, we'll go over the specifics of using the local GPO editor, as well as how to install and run gpedit. msc on Windows 10 and Windows 11 Home editions.

How do I force a program to run in compatibility mode? ›

Right-click (or press and hold) the program icon and select Properties from the drop-down menu. Select the Compatibility tab. Under Compatibility mode, check the box next to Run this program in compatibility mode for and select the appropriate version of Windows from the drop-down list.

Show Me More ›

How do I turn on Windows program compatibility mode? ›

Turn on or change compatibility mode

Right-click the executable or shortcut file and select Properties in the pop-up menu. On the Properties window, click the Compatibility tab. Under the Compatibility mode section, check the box for the Run this program in compatibility mode for option.

Learn More Now ›

Where is compatibility view settings in Windows 10? ›

For Windows 10

Open Internet Explorer, select the Tools button , and then select Compatibility View settings.
Under Add this website, enter the URL of the site you want to add to the list, and then select Add.

How much does it cost to upgrade from Windows 10 to Windows 11? ›

How much does it cost to upgrade from Windows 10 to Windows 11? It's free. But only Windows 10 PCs that are running the most current version of Windows 10 and meet the minimum hardware specifications will be able to upgrade. You can check to see if you have the latest updates for Windows 10 in Settings/Windows Update.

Show Me More ›

Can I still use Windows 10 after 2025? ›

Windows 10 will reach end of support on October 14, 2025. The current version, 22H2, will be the final version of Windows 10, and all editions will remain in support with monthly security update releases through that date.

How long do I have to upgrade Windows 10 to 11? ›

Try before you buy

After upgrading from Windows 10 to 11, you have ten days to revert. After that, if you've upgraded from a Windows 10 device, you can reinstall Windows 10 via a clean installation. Buy a new laptop, and you're going to get Windows 11.

View Details ›

Will I lose data if I downgrade from Windows 11 to Windows 10? ›

If you recently upgraded to Windows 11 and it hasn't been more than 10 days since the successful upgrade, yes, you can still downgrade from Windows 11 to Windows 10 without losing data.

Explore More ›

What happens if I revert back to Windows 10? ›

First of all, we will tell you what gonna happen if you roll back to Windows 10. You won't lose data, but the programs you have downloaded and installed on the desktop will be deleted. If you don't want to lose these programs, you can back them up in advance.

Keep Reading ›

How do I go back to Windows 11 after downgrade? ›

Open the System Settings. Click on System. Under the Recovery options section, in the Previous version of Windows settings. Click the Go back button.

Learn More Now ›

How long does it take to downgrade from Windows 11 to Windows 10? ›

Downgrade Within 10 Days

That's easy enough. Go to Settings > System > Recovery. In the Recovery options section, you should see Go back: If this version isn't working, try going back to Windows 10.

How to downgrade Windows 10 to 8.1 after 1 month? ›

Select the Start button > Settings > Update & Security > Recovery. Under Go back to the previous version of Windows 10,Go back to Windows 8.1, select Get started. By following the prompts, you'll keep your personal files but remove apps and drivers installed after the upgrade, plus any changes you made to settings.

Read The Full Story ›

How to check whether my PC is eligible for Windows 11 upgrade? ›

Your device must be running Windows 10, version 2004 or later, to upgrade. Free updates are available through Windows Update in Settings>Update and Security. 1 gigahertz (GHz) or faster with 2 or more cores on a compatible 64-bit processor or System on a Chip (SoC).

View Details ›

How to bypass this PC doesn t currently meet Windows 11 system requirements? ›

In the Rufus dialog, expand the dropdown menu under Image and select the Extended Windows 11 Installation (No TPM/no Secure Boot/8GB- RAM) option. By choosing this option, you will skip Windows 11's secure boot and TPM 2.0 requirements, along with the minimum demand for 8GB of RAM.

How do I know if my computer is eligible for Windows 10? ›

These are the basic requirements for installing Windows 10 on a PC.
...
System requirements for installing Windows 10.

RAM:	1 gigabyte (GB) for 32-bit or 2 GB for 64-bit
Hard drive space:	16 GB for 32-bit OS 32 GB for 64-bit OS
Graphics card:	DirectX 9 or later with WDDM 1.0 driver
Display:	800x600

3 more rows

Read The Full Story ›

How do I check Windows Update compatibility? ›

Step 1: Open the Run box by hitting Win + R keys. Step 2: Input dxdiag and click OK. Step 3: Go to the Display tab and you can see much information about your graphics card. Step 4: Go to the Internet and check if the specifications of your graphics card support DirectX9 or later.

How do I force install Windows 11 on unsupported hardware? ›

To upgrade an incompatible computer to Windows 11 (version 22H2 or 21H2) with an ISO file, use these steps:

Open Microsoft Support website.
Under the “Download Windows 11 Disk Image (ISO)” section, select the Windows 11 option.
Click the Download button.
Select the installation language.
Click the Confirm button.

More items...

4 days ago

Explore More ›

Will all my programs work if I upgrade to Windows 11? ›

The win 11 update will format/remove nothing other than incompatible programs. But how you proceed depends whether its a win10 device in which the Maker states is "Ready for win11" or whether its a system you have had for some time.

Explore More ›

Why does my PC not meet the requirements for Windows 11 your device is not eligible to join the Windows Insider? ›

If you have not enabled the Telemetry configuration on Windows 11 or Windows 10 PCs, you won't be able to enroll in Windows Insider Program. So, you will need to make sure that there is no Diagnostics Data policy set to disable. You can option GPEDIT.

Tell Me More ›

How to bypass Windows 11 requirements using regedit? ›

How to bypass Windows 11 CPU requirements

Windows+r and then type regedit.
After that navigate to HKEY_LOCAL_MACHINE\SYSTEM\Setup\MoSetup.
Then right-click on the left side and create a new DWORD (32-bit) Value.
Now you have to set its name to AllowUpgradesWithUnsupportedTPMOrCPU and set its value to 1.

More items...

Mar 6, 2023

Keep Reading ›

How to bypass Windows 11 requirements using cmd? ›

In Command Prompt, type the OOBE\BYPASSNRO command to bypass network requirements on Windows 11 and press Enter. The computer will restart automatically, and the out-of-box experience (OOBE) will start again.

Find Out More ›

How do I enable UEFI secure boot? ›

Enable UEFI Optimized Boot. From the System Utilities screen, select System Configuration > BIOS/Platform Configuration (RBSU) > Server Security > Secure Boot Settings > Secure Boot Enforcement and press Enter. Select a setting and press Enter: Enabled — Enables Secure Boot.

Get More Info Here ›

How do I know what version of Windows is on a locked computer? ›

Similarly to the previous guide, press the Windows logo and R keys on your keyboard simultaneously to open the Run utility. Type in “winver” without the quotation marks and click on the OK button. This skips having to use the Command Prompt to look up your exact version of Windows.

How do I fix error code 0x80072f8f 0x20000? ›

How to Fix the Error Code 0x80072f8f - 0x20000 on Windows

Run the Media Creation Tool as an Administrator. ...
Use a Different USB Port. ...
Modify the Windows Registry. ...
Delete the Content of the Software Distribution Folder. ...
Enable Relevant Services. ...
Perform a Clean Boot. ...
Disable Your Antivirus.

Feb 10, 2023

Show Me More ›

Is Windows 10 upgrade still free? ›

Editors Note: Windows 11 arrived in 2021. See our Windows 11 system requirements guide to see if your laptop or desktop is compatible. Windows 11 is a free upgrade, much like Windows 10. Microsoft shut down its free Windows 10 upgrade program five years ago in November 2017.

Learn More ›

How much does a Windows 10 cost? ›

A Windows 10 Home download license costs $139, while Windows 10 Pro costs $199.99. However, visiting either purchase page reveals a note stating, "January 31, 2023 will be the last day this Windows 10 download is offered for sale.

Read On ›

Verwalten der Geräteinstallation mit Gruppenrichtlinie (Windows 10 und Windows 11) - Windows Client Management (2024)

Zusammenfassung

Einführung

Allgemein

Wer sollte diesen Leitfaden verwenden?

Vorteile der Steuerung der Geräteinstallation mithilfe von Gruppenrichtlinie

Verringern des Risikos von Datendiebstahl

Reduzieren der Supportkosten

Szenarioübersicht

Szenario 1: Verhindern der Installation aller Drucker

Szenario 2: Verhindern der Installation eines bestimmten Druckers

Szenario 3: Verhindern der Installation aller Drucker, während die Installation eines bestimmten Druckers zugelassen wird

Szenario 4: Verhindern der Installation eines bestimmten USB-Geräts

Szenario 5: Verhindern der Installation aller USB-Geräte, während die Installation nur eines autorisierten USB-Sticks zugelassen wird

Technologie-Review

Geräteinstallation unter Windows

Geräteinstanz-ID

Geräte-ID

Hardware-IDs

Kompatible IDs

Geräteeinrichtungsklassen

Gerätetyp "Wechselmedium"

Gruppenrichtlinie Einstellungen für die Geräteinstallation

Zulassen, dass Administratoren Richtlinien für Geräteinstallationseinschränkung außer Kraft setzen

Installation von Geräten zulassen, die mit einer dieser Geräte-IDs übereinstimmen

Zulassen der Installation von Geräten, die mit einer dieser Geräte instance-IDs übereinstimmen

Zulassen der Installation von Geräten mit Treibern, die diesen Gerätesetupklassen entsprechen

Verhindern der Installation von Geräten, die mit diesen Geräte-IDs übereinstimmen

Verhindern der Installation von Geräten, die mit einer dieser Geräte instance-IDs übereinstimmen

Verhindern der Installation von Geräten mithilfe von Treibern, die diesen Gerätesetupklassen entsprechen

Anwenden der mehrstufigen Auswertungsreihenfolge für die Richtlinien zum Zulassen und Verhindern von Geräteinstallationen für alle Geräteübereinstimmungskriterien

Anforderungen für die Durchführung der Szenarien

Allgemein

Grundlegendes zu den Auswirkungen der rückwirkende Anwendung von "Prevent"-Richtlinien

Bestimmen von Geräteidentifikationszeichenfolgen

Abrufen von Gerätebezeichnern mithilfe von PnPUtil

Szenario 1: Verhindern der Installation aller Drucker

Einrichten der Umgebung

Szenarioschritte: Verhindern der Installation von verbotenen Geräten

Testen des Szenarios

Szenario 2: Verhindern der Installation eines bestimmten Druckers

Einrichten der Umgebung

Szenarioschritte: Verhindern der Installation eines bestimmten Geräts

Testen des Szenarios

Szenario 3: Verhindern der Installation aller Drucker, während die Installation eines bestimmten Druckers zugelassen wird

Einrichten der Umgebung

Szenarioschritte: Verhindern der Installation einer gesamten Klasse beim Zulassen eines bestimmten Druckers

Testen des Szenarios

Szenario 4: Verhindern der Installation eines bestimmten USB-Geräts

Einrichten der Umgebung

Szenarioschritte: Verhindern der Installation eines bestimmten Geräts

Testen des Szenarios

Szenario 5: Verhindern der Installation aller USB-Geräte, während die Installation nur eines autorisierten USB-Sticks zugelassen wird

Einrichten der Umgebung

Szenarioschritte: Verhindern der Installation aller USB-Geräte, während nur ein autorisierter USB-Stick zugelassen wird

Testen des Szenarios

FAQs

How to bypass Windows 11 system requirements Microsoft? ›

What is the Windows 10 21h2 Group Policy? ›

Can I put Windows 10 on an old computer? ›

How do I block group policy management in Windows 11? ›

Will I lose data if I downgrade from Windows 11 to Windows 10? ›

Will all my programs work if I upgrade to Windows 11? ›