我们已设置组策略限制,以防止某些硬件 ID 安装设备(见下文),但组策略仅适用于 Windows Pro/Ultimate 版本,而不适用于 Windows Home 版本。我曾研究过通过第三方解决方案(例如此处找到的解决方案)将组策略添加到 Windows Home 版本,但它不是完整的最新版本的组策略,并且缺少“设备安装限制”选项。我也不太愿意在客户的机器上部署第三方组策略解决方案。
组策略位置:(计算机配置 -> 管理模板 -> 系统 -> 设备安装 -> 设备安装限制 -> 阻止安装与任何这些设备 ID 匹配的设备)
我研究了如何通过注册表实现相同的功能,似乎找到了至少一些用于通过组策略控制此功能的注册表项,但当我手动编辑它们时,它无法正常工作。部分原因可能与注册表中“组策略对象”下创建的 GUID 有关(见下图)。有谁知道如何通过注册表创建组策略对象并让它们保持持久性?
Registry Location shown below: HKCU -> Software -> Microsoft -> Windows -> CurrentVersion -> Group Policy Objects
受标准“组策略设备安装限制”影响的键包括:
设备安装限制:HKCU -> 软件 -> 微软 -> Windows -> CurrentVersion -> 组策略对象 -> GUID(不确定如何生成)-> 软件 -> 策略 -> 微软 -> Windows -> DeviceInstall -> 限制 -> DenyDeviceIDs
](https://i.stack.imgur.com/Col2y.jpg)
编辑
您在下面指出的注册表项确实控制了这组组策略对象。非常感谢您的帮助!
有趣的是,当我在 2 台相同的 Surface Pro 4 平板电脑上配置正确的注册表项时,我可以通过官方组策略 UI (gpedit) 控制一台我之前配置了“设备安装限制”的机器上的“设备安装限制”。通过注册表设置您引用的这些键并重新启动(或通过命令提示符运行 gpupdate.exe /force)确实有效,并导致特定设备启用/禁用。
当我在另一台 Surface Pro 4 上配置相同的一组键时,该 Surface Pro 4 从未通过组策略 UI (gpedit) 设置过组策略,即使在重新启动或运行 gpupdate.exe /force 后,此平板电脑也不会实时反映注册表更改。似乎有其他东西在控制它?两者都是 Windows Pro,因此这台机器上应该存在所有正确的组策略组件。
有什么想法吗?似乎还有另一个注册表设置可以控制某些东西?
答案1
据我所知,该Group Policy Objects分支只是活动 GPO 的缓存。Windows 实际上会检查此注册表位置以查找计算机策略设置:
HKLM\SOFTWARE\Policies
为了阻止安装与以下任何设备 ID 匹配的设备设置,组策略使用此项:
HKLM\Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions
DenyDeviceIDs策略启用时,DWORD 设置为 1。DWORD对应DenyDeviceIDsRetroactive于也适用于已安装的匹配设备checkbox:1 表示选中,0 表示未选中。
受限制的条目保存在Restrictions名为 的子项中DenyDeviceIDs。该项上的一个值就是一个限制。每个值的名称应与其数据相同。
提示:我使用我自己的开源应用程序中的元素检查器工具找到了此信息,政策加分。
您需要重新启动才能使更改生效。
请注意,即使您完全正确地设置了所有注册表设置,家庭版也可能无法遵循这些设置。大多数组策略设置在所有版本上都能正常工作,但有些则不行;使用它们的组件可能不存在于家庭版中。如果您发现这些设置不起作用,则需要升级到专业版。