我們設定了群組原則限制來阻止某些硬體 ID 的裝置安裝(見下文),但群組原則僅適用於 Windows 專業版/旗艦版,不適用於 Windows 家用版。我考慮過透過第 3 方解決方案(例如此處找到的解決方案)將群組原則新增至 Windows Home,但它不是群組原則的完整最新版本,並且缺少「裝置安裝限制」選項。我也有點猶豫是否要在客戶的電腦上部署第 3 方組策略解決方案。
群組原則位置:(電腦設定 -> 管理範本 -> 系統 -> 裝置安裝 -> 裝置安裝限制 -> 阻止安裝與任何這些裝置 ID 相符的裝置)
我研究了透過註冊表實現相同的功能,並且似乎至少找到了一些用於透過群組原則控制此功能的註冊表項,但是當我手動編輯它們時,它無法正常工作。部分原因可能與登錄中「群組原則物件」下所建立的 GUID 有關(請參閱下圖)。是否有人熟悉透過註冊表建立群組原則物件並使它們保持持久性?
Registry Location shown below: HKCU -> Software -> Microsoft -> Windows -> CurrentVersion -> Group Policy Objects
受標準「群組原則設備安裝限制」影響的按鍵是:
裝置安裝限制:HKCU -> 軟體 -> Microsoft -> Windows -> CurrentVersion -> 群組原則物件 -> GUID(不確定如何產生) -> 軟體 -> 策略 -> Microsoft -> Windows -> DeviceInstall -> 限制- > 拒絕DeviceID
](https://i.stack.imgur.com/Col2y.jpg)
編輯
您在下面指出的註冊表項確實控制了這組組策略物件。很大的幫助,謝謝!
有趣的是,當我在2 台相同的Surface Pro 4 平板電腦上配置正確的註冊表項時,我可以在我之前透過官方群組原則UI (gpedit) 配置過「裝置安裝限制」的一台電腦上控制“設備安裝限制”。透過註冊表設定您引用的這些鍵並重新啟動(或透過命令提示字元執行 gpupdate.exe /force)確實有效,並導致特定裝置啟用/停用。
當我在另一台從未透過群組原則UI (gpedit) 設定群組原則的Surface Pro 4 上配置相同的一組按鍵時,即使在重新啟動或執行gpupdate.exe /force 後,該平板電腦也不會即時反映註冊表更改。似乎有其他東西在控制這個?兩者都是 Windows Pro,因此所有正確的群組原則元件都應該存在於該電腦上。
這裡有什麼想法嗎?似乎還有另一個註冊表設定可能可以控制這裡的某些內容?
答案1
據我所知,Group Policy Objects分支只是活動 GPO 的快取。 Windows 實際上會檢查此註冊表位置的電腦原則設定:
HKLM\SOFTWARE\Policies
為了阻止安裝與任何這些設備 ID 相符的設備設置,群組原則使用此鍵:
HKLM\Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
DenyDeviceIDs當策略啟用時,DWORD 設定為 1 。DWORDDenyDeviceIDsRetroactive對應於也適用於已安裝的匹配設備複選框:1 表示選中,0 表示未選中。
受限制的條目保存在一個Restrictions名為 的子項中DenyDeviceIDs。該鍵上的一個值就是一項限制。每個值的名稱應與其資料相同。
提示:我在我自己的開源應用程式中使用 Element Inspector 工具找到了此信息,政策加。
您需要重新啟動才能使變更生效。
請注意,即使您將所有註冊表設定設定得完全正確,家庭版也可能不尊重它們。大多數群組原則設定在所有版本上都可以正常運作,但有些則不然;使用它們的元件可能不在主頁上。如果您發現這些設定不起作用,則需要升級到專業版。