Freigeben über


Verwalten der Geräteinstallation mit Gruppenrichtlinien

Mithilfe von Windows-Betriebssystemen können Administratoren bestimmen, welche Geräte auf von ihnen verwalteten Computern installiert werden können. In diesem Leitfaden wird der Geräteinstallationsprozess zusammengefasst und verschiedene Techniken zum Steuern der Geräteinstallation mithilfe von Gruppenrichtlinie veranschaulicht.

Einführung

Allgemein

In dieser Schritt-für-Schritt-Anleitung wird beschrieben, wie Sie die Geräteinstallation auf den von Ihnen verwalteten Computern steuern können, einschließlich der Angabe, welche Geräte Benutzer installieren können und welche nicht. Dieser Leitfaden gilt für alle Windows-Versionen ab Windows 10, Version 1809. Der Leitfaden enthält die folgenden Szenarien:

  • Benutzer daran hindern, Geräte zu installieren, die sich in einer "verbotenen" Liste befinden. Wenn ein Gerät nicht in der Liste enthalten ist, kann der Benutzer es installieren.
  • Benutzern erlauben, nur Geräte zu installieren, die in einer "genehmigten" Liste enthalten sind. Wenn ein Gerät nicht in der Liste enthalten ist, kann der Benutzer es nicht installieren.

In diesem Leitfaden wird der Geräteinstallationsprozess beschrieben und die Geräteidentifikationszeichenfolgen vorgestellt, die Windows verwendet, um ein Gerät mit den auf einem Computer verfügbaren Gerätetreiberpaketen abzugleichen. Der Leitfaden veranschaulicht auch zwei Methoden zum Steuern der Geräteinstallation. Jedes Szenario zeigt Schritt für Schritt eine Methode, die Sie verwenden können, um die Installation eines bestimmten Geräts oder einer Geräteklasse zuzulassen oder zu verhindern.

Das in den Szenarien verwendete Beispielgerät ist ein USB-Speichergerät. Sie können die Schritte in diesem Leitfaden mit einem anderen Gerät ausführen. Wenn Sie jedoch ein anderes Gerät verwenden, stimmen die Anweisungen im Leitfaden nicht genau mit der Benutzeroberfläche überein, die auf dem Computer angezeigt wird.

Es ist wichtig zu verstehen, dass die in diesem Leitfaden vorgestellten Gruppenrichtlinien nur auf Computer/Computergruppen und nicht auf Benutzer/Benutzergruppen angewendet werden.

Wichtig

Die in diesem Leitfaden beschriebenen Schritte sind für die Verwendung in einer Testumgebung vorgesehen. Diese Schritt-für-Schritt-Anleitung ist nicht für die Bereitstellung von Windows Server-Features ohne begleitende Dokumentation gedacht und sollte mit Diskretion als eigenständiges Dokument verwendet werden.

Wer sollte diesen Leitfaden verwenden?

Dieser Leitfaden richtet sich an die folgenden Zielgruppen:

  • It-Planer und Analysten, die Windows 10, Windows 11 oder Windows Server 2022 bewerten
  • It-Planer und Designer für Unternehmen
  • Sicherheitsarchitekten, die für die Implementierung von vertrauenswürdigen Computings in ihren organization
  • Administratoren, die sich mit der Technologie vertraut machen möchten

Vorteile der Steuerung der Geräteinstallation mithilfe von Gruppenrichtlinie

Das Einschränken der Geräte, die Benutzer installieren können, verringert das Risiko von Datendiebstahl und reduziert die Supportkosten.

Verringern des Risikos von Datendiebstahl

Es ist für Benutzer schwieriger, nicht autorisierte Kopien von Unternehmensdaten zu erstellen, wenn die Computer der Benutzer keine nicht genehmigten Geräte installieren können, die Wechselmedien unterstützen. Wenn Benutzer beispielsweise kein USB-Stick-Gerät installieren können, können sie keine Kopien von Unternehmensdaten auf einen Wechselspeicher herunterladen. Dieser Vorteil kann Datendiebstahl nicht ausschließen, aber er schafft eine weitere Barriere für die unbefugte Entfernung von Daten.

Reduzieren der Supportkosten

Sie können sicherstellen, dass Benutzer nur die Geräte installieren, für die Ihr technisches Supportteam geschult und für den Support ausgestattet ist. Dieser Vorteil reduziert die Supportkosten und die Benutzerverwechslung.

Szenarioübersicht

Die in diesem Handbuch vorgestellten Szenarien veranschaulichen, wie Sie die Geräteinstallation und -nutzung auf den von Ihnen verwalteten Computern steuern können. Die Szenarien verwenden Gruppenrichtlinie auf einem lokalen Computer, um die Verwendung der Verfahren in einer Labumgebung zu vereinfachen. In einer Umgebung, in der Sie mehrere Clientcomputer verwalten, sollten Sie diese Einstellungen mithilfe von Gruppenrichtlinie anwenden. Mit Gruppenrichtlinie, die von Active Directory bereitgestellt werden, können Sie Einstellungen auf alle Computer anwenden, die Mitglieder einer Domäne oder einer Organisationseinheit in einer Domäne sind. Weitere Informationen zum Erstellen eines Gruppenrichtlinienobjekts zum Verwalten Ihrer Clientcomputer finden Sie unter Erstellen eines Gruppenrichtlinie-Objekts.

Szenario Beschreibung
Szenario 1: Verhindern der Installation aller Drucker In diesem Szenario möchte der Administrator verhindern, dass Benutzer Drucker installieren. Daher ist ein grundlegendes Szenario, in dem Sie die Funktionalität "verhindern/zulassen" von Geräteinstallationsrichtlinien in Gruppenrichtlinie vorstellen können.
Szenario 2: Verhindern der Installation eines bestimmten Druckers In diesem Szenario erlaubt der Administrator Standardbenutzern, alle Drucker zu installieren, aber verhindert, dass sie einen bestimmten Drucker installieren.
Szenario 3: Verhindern der Installation aller Drucker, während die Installation eines bestimmten Druckers zugelassen wird In diesem Szenario kombinieren Sie, was Sie aus Szenario 1 und Szenario 2 gelernt haben. Der Administrator möchte Standardbenutzern erlauben, nur einen bestimmten Drucker zu installieren, während die Installation aller anderen Drucker verhindert wird. Dieses Szenario ist realistischer und bringt Ihnen einen Schritt weiter im Verständnis der Richtlinien für Geräteinstallationseinschränkungen.
Szenario 4: Verhindern der Installation eines bestimmten USB-Geräts Dieses Szenario ähnelt zwar Szenario 2, bietet aber eine weitere Ebene der Komplexität: Wie funktioniert die Gerätekonnektivität in der PnP-Struktur? Der Administrator möchte verhindern, dass Standardbenutzer ein bestimmtes USB-Gerät installieren. Am Ende des Szenarios sollten Sie verstehen, wie Geräte in Ebenen unter der PnP-Gerätekonnektivitätsstruktur geschachtelt werden.
Szenario 5: Verhindern der Installation aller USB-Geräte, während die Installation nur eines autorisierten USB-Sticks zugelassen wird In diesem Szenario erfahren Sie, wie Sie einen Computer vor allen nicht autorisierten USB-Geräten schützen, indem Sie alle vorherigen vier Szenarien kombinieren. Der Administrator möchte benutzern erlauben, nur einen kleinen Satz autorisierter USB-Geräte zu installieren und gleichzeitig zu verhindern, dass andere USB-Geräte installiert werden. Darüber hinaus enthält dieses Szenario eine Erläuterung, wie die "Verhindern"-Funktion auf vorhandene USB-Geräte angewendet wird, die bereits auf dem Computer installiert wurden, und der Administrator möchte eine weitere Interaktion mit ihnen verhindern (sie alle zusammen blockieren). Dieses Szenario baut auf den Richtlinien und der Struktur auf, die wir in den ersten vier Szenarien eingeführt haben, und daher wird es bevorzugt, sie zuerst zu behandeln, bevor Sie dieses Szenario versuchen.

Technologie-Review

Die folgenden Abschnitte bieten einen kurzen Überblick über die in diesem Leitfaden erläuterten Kerntechnologien und enthalten Hintergrundinformationen, die zum Verstehen der Szenarien erforderlich sind.

Geräteinstallation unter Windows

Ein Gerät ist ein Hardwareelement, mit dem Windows interagiert, um eine bestimmte Funktion auszuführen, oder in einer eher technischen Definition– es handelt sich um eine einzelne instance einer Hardwarekomponente mit einer eindeutigen Darstellung im Windows Plug & Play-Subsystem. Windows kann mit einem Gerät nur über eine Software kommunizieren, die als Gerätetreiber (auch als Treiber bezeichnet) bezeichnet wird. Um einen Treiber zu installieren, erkennt Windows das Gerät, erkennt seinen Typ und sucht dann nach dem Treiber, der diesem Typ entspricht.

Wenn Windows ein Gerät erkennt, das noch nie auf dem Computer installiert wurde, fragt das Betriebssystem das Gerät ab, um seine Liste der Geräteidentifikationszeichenfolgen abzurufen. Ein Gerät verfügt in der Regel über mehrere Geräteidentifikationszeichenfolgen, die der Gerätehersteller zuweist. Die gleichen Geräteidentifikationszeichenfolgen sind in der INF-Datei (auch als INF bezeichnet) enthalten, die Teil des Treiberpakets ist. Windows wählt aus, welches Treiberpaket installiert werden soll, indem die vom Gerät abgerufenen Geräteidentifikationszeichenfolgen mit den in den Treiberpaketen enthaltenen Zeichenfolgen abgegleicht werden.

Windows verwendet vier Arten von Bezeichnern, um die Geräteinstallation und -konfiguration zu steuern. Sie können die Gruppenrichtlinie Einstellungen in Windows verwenden, um anzugeben, welche dieser Bezeichner zugelassen oder blockiert werden sollen.

Die vier Arten von Bezeichnern sind:

  • Geräteinstanz-ID
  • Geräte-ID
  • Geräteeinrichtungsklassen
  • Gerätetyp "Wechselmedien"

Geräteinstanz-ID

Ein Gerät instance-ID ist eine vom System bereitgestellte Geräteidentifikationszeichenfolge, die ein Gerät im System eindeutig identifiziert. Der Plug & Play-Manager (PnP) weist jedem Geräteknoten (devnode) in der Gerätestruktur eines Systems ein Gerät instance-ID zu.

Geräte-ID

Windows kann jede Zeichenfolge verwenden, um ein Gerät einem Treiberpaket zuzuordnen. Die Zeichenfolgen reichen von der spezifischen, die einem einzelnen Produkt- und Modellmodell eines Geräts entspricht, bis hin zum Allgemeinen, was möglicherweise auf eine ganze Geräteklasse angewendet wird. Es gibt zwei Arten von Geräteidentifikationszeichenfolgen: Hardware-IDs und kompatible IDs.

Hardware-IDs

Hardware-IDs sind die Bezeichner, die die genaue Übereinstimmung zwischen einem Gerät und einem Treiberpaket bereitstellen. Die erste Zeichenfolge in der Liste der Hardware-IDs wird als Geräte-ID bezeichnet, da sie mit der genauen Herstellung, dem Modell und der Revision des Geräts übereinstimmt. Die anderen Hardware-IDs in der Liste stimmen weniger genau mit den Details des Geräts überein. Beispielsweise kann eine Hardware-ID die Herstellung und das Modell des Geräts, aber nicht die spezifische Revision identifizieren. Dieses Schema ermöglicht Es Windows, einen Treiber für eine andere Revision des Geräts zu verwenden, wenn der Treiber für die richtige Revision nicht verfügbar ist.

Kompatible IDs

Windows verwendet diese Bezeichner, um einen Treiber auszuwählen, wenn das Betriebssystem keine Übereinstimmung mit der Geräte-ID oder einer der anderen Hardware-IDs finden kann. Kompatible IDs werden in der Reihenfolge der abnehmenden Eignung aufgeführt. Diese Zeichenfolgen sind optional und, wenn sie angegeben werden, generisch, z. B. Datenträger. Wenn eine Übereinstimmung mit einer kompatiblen ID vorgenommen wird, können Sie in der Regel nur die grundlegendsten Funktionen des Geräts verwenden.

Wenn Sie ein Gerät installieren, z. B. einen Drucker, ein USB-Speichergerät oder eine Tastatur, sucht Windows nach Treiberpaketen, die dem Gerät entsprechen, das Sie installieren möchten. Während dieser Suche weist Windows jedem ermittelten Treiberpaket einen "Rang" mit mindestens einer Übereinstimmung mit einer Hardware- oder kompatiblen ID zu. Der Rang gibt an, wie gut der Treiber mit dem Gerät übereinstimmt. Niedrigere Rangfolgen zeigen bessere Übereinstimmungen zwischen Treiber und Gerät an. Ein Rang von 0 (null) stellt die bestmögliche Übereinstimmung dar. Eine Übereinstimmung mit der Geräte-ID mit einem im Treiberpaket führt zu einem niedrigeren (besseren) Rang als eine Übereinstimmung mit einer der anderen Hardware-IDs. Ebenso führt eine Übereinstimmung mit einer Hardware-ID zu einem besseren Rang als eine Übereinstimmung mit einer der kompatiblen IDs. Nachdem Windows alle Treiberpakete bewertet hat, wird das Paket mit dem niedrigsten Gesamtrang installiert. Weitere Informationen zum Prozess der Rangfolge und Auswahl von Treiberpaketen finden Sie unter Auswählen eines Treiberpakets für ein Gerät durch Windows.

Hinweis

Weitere Informationen zum Treiberinstallationsprozess finden Sie im Abschnitt "Technologieüberprüfung" des Schritt-für-Schritt-Leitfadens zum Signieren und Staging von Treibern.

Einige physische Geräte erstellen ein oder mehrere logische Geräte, wenn sie installiert werden. Jedes logische Gerät kann einen Teil der Funktionalität des physischen Geräts verarbeiten. Beispielsweise kann ein Multifunktionsgerät, z. B. ein All-in-One-Scanner/Fax/Drucker, eine andere Geräteidentifikationszeichenfolge für jede Funktion aufweisen.

Wenn Sie Geräteinstallationsrichtlinien verwenden, um die Installation eines Geräts zuzulassen oder zu verhindern, das logische Geräte verwendet, müssen Sie alle Geräteidentifikationszeichenfolgen für dieses Gerät zulassen oder verhindern. Wenn ein Benutzer beispielsweise versucht, ein Multifunktionsgerät zu installieren, und Sie nicht alle Identifikationszeichenfolgen sowohl für physische als auch für logische Geräte zugelassen oder verhindert haben, können Sie unerwartete Ergebnisse aus dem Installationsversuch erhalten. Ausführlichere Informationen zu Hardware-IDs finden Sie unter Geräteidentifikationszeichenfolgen.

Geräteeinrichtungsklassen

Geräteeinrichtungsklassen (auch als Klasse bezeichnet) sind eine weitere Art von Identifikationszeichenfolge. Der Hersteller weist die Klasse einem Gerät im Treiberpaket zu. Die Klasse gruppiert Geräte, die auf die gleiche Weise installiert und konfiguriert sind. Beispielsweise gehören alle biometrischen Geräte zur Biometrischen Klasse (ClassGuid = {53D29EF7-377C-4D14-864B-EB3A85769359}), und sie verwenden bei der Installation denselben Co-Installer. Eine lange Zahl, die als GUID (Globally Unique Identifier) bezeichnet wird, stellt jede Geräteeinrichtungsklasse dar. Beim Starten von Windows wird eine In-Memory-Struktur mit den GUIDs für alle erkannten Geräte erstellt. Zusammen mit der GUID für die Klasse des Geräts selbst muss Windows möglicherweise die GUID für die Klasse des Busses, an den das Gerät angeschlossen ist, in die Struktur einfügen.

Wenn Sie Geräteklassen verwenden, um die Installation von Treibern durch Benutzer zuzulassen oder zu verhindern, müssen Sie die GUIDs für alle Gerätesetupklassen des Geräts angeben. Andernfalls erzielen Sie möglicherweise nicht die gewünschten Ergebnisse. Die Installation kann fehlschlagen (wenn Sie möchten, dass sie erfolgreich ist) oder erfolgreich (wenn Sie möchten, dass sie fehlschlägt).

Beispielsweise verfügt ein Multifunktionsgerät, z. B. ein All-in-One-Scanner/Fax/Drucker, über eine GUID für ein generisches Multifunktionsgerät, eine GUID für die Druckerfunktion, eine GUID für die Scannerfunktion usw. Die GUIDs für die einzelnen Funktionen sind "untergeordnete Knoten" unter der Multi-Function-Geräte-GUID. Um einen untergeordneten Knoten zu installieren, muss Windows auch in der Lage sein, den übergeordneten Knoten zu installieren. Sie müssen die Installation der Geräteeinrichtungsklasse der übergeordneten GUID für das Multifunktionsgerät zusätzlich zu allen untergeordneten GUIDs für die Drucker- und Scannerfunktionen zulassen.

Weitere Informationen finden Sie unter Gerätesetupklassen.

In diesem Leitfaden werden keine Szenarien beschrieben, in denen Gerätesetupklassen verwendet werden. Die grundlegenden Prinzipien, die mit Geräteidentifikationszeichenfolgen in diesem Leitfaden veranschaulicht werden, gelten jedoch auch für Geräteeinrichtungsklassen. Nachdem Sie die Gerätesetupklasse für ein bestimmtes Gerät ermittelt haben, können Sie sie in einer Richtlinie verwenden, um die Installation von Treibern für diese Geräteklasse zuzulassen oder zu verhindern.

Die folgenden beiden Links enthalten die vollständige Liste der Geräteeinrichtungsklassen. "Systemverwendungsklassen" werden hauptsächlich auf Geräte bezeichnet, die mit einem Computer/Computer aus dem Werk geliefert werden, während "Vendor"-Klassen hauptsächlich auf Geräte bezogen werden, die mit einem vorhandenen Computer/Computer verbunden werden könnten:

Gerätetyp "Wechselmedium"

Einige Geräte können als Wechselmedium klassifiziert werden. Ein Gerät gilt als wechselbar , wenn der Treiber für das Gerät, mit dem es verbunden ist, angibt, dass das Gerät entfernbar ist. Beispielsweise wird gemeldet, dass ein USB-Gerät von den Treibern für den USB-Hub, mit dem das Gerät verbunden ist, wechselbar ist.

Gruppenrichtlinie Einstellungen für die Geräteinstallation

Gruppenrichtlinie ist eine Infrastruktur, mit der Sie verwaltete Konfigurationen für Benutzer und Computer über Gruppenrichtlinie Einstellungen und Gruppenrichtlinie Einstellungen angeben können.

Der Abschnitt "Geräteinstallation" in Gruppenrichtlinie enthält eine Reihe von Richtlinien, die steuern, welches Gerät auf einem Computer installiert werden kann oder nicht. Unabhängig davon, ob Sie die Einstellungen auf einen eigenständigen Computer oder auf viele Computer in einer Active Directory-Domäne anwenden möchten, verwenden Sie die Gruppenrichtlinie Object Editor, um die Richtlinieneinstellungen zu konfigurieren und anzuwenden. Weitere Informationen finden Sie unter Gruppenrichtlinie Object Editor.

Die folgenden Passagen enthalten kurze Beschreibungen der Geräteinstallationsrichtlinien, die in diesem Leitfaden verwendet werden.

Hinweis

Die Geräteinstallationssteuerung wird aufgrund der Art des Windows-Betriebssystementwurfs nur auf Computer ("Computerkonfiguration") und nicht auf Benutzer ("Benutzerkonfiguration") angewendet. Diese Richtlinieneinstellungen wirken sich auf alle Benutzer aus, die sich an dem Computer anmelden, auf den die Richtlinieneinstellungen angewendet werden. Sie können diese Richtlinien nicht auf bestimmte Benutzer oder Gruppen anwenden, mit Ausnahme der Richtlinie Administratoren das Überschreiben der Geräteinstallationsrichtlinie gestatten. Diese Richtlinie befreit Mitglieder der lokalen Administratorgruppe von allen Geräteinstallationseinschränkungen, die Sie auf den Computer anwenden, indem andere Richtlinieneinstellungen konfiguriert werden, wie in diesem Abschnitt beschrieben.

Zulassen, dass Administratoren Richtlinien für Geräteinstallationseinschränkung außer Kraft setzen

Diese Richtlinieneinstellung ermöglicht mitgliedern der lokalen Administratorengruppe, die Treiber für jedes Gerät zu installieren und zu aktualisieren, unabhängig von anderen Richtlinieneinstellungen. Wenn Sie diese Richtlinieneinstellung aktivieren, können Administratoren den Assistenten zum Hinzufügen von Hardware oder den Assistenten zum Aktualisieren von Treibern verwenden, um die Treiber für jedes Gerät zu installieren und zu aktualisieren. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, unterliegen Administratoren allen Richtlinieneinstellungen, die die Geräteinstallation einschränken.

Installation von Geräten zulassen, die mit einer dieser Geräte-IDs übereinstimmen

Diese Richtlinieneinstellung gibt eine Liste von Plug & Play Hardware-IDs und kompatiblen IDs an, die Geräte beschreiben, die Benutzer installieren können. Diese Einstellung soll nur verwendet werden, wenn die Richtlinieneinstellung Installation von Geräten verhindern, die nicht durch andere Richtlinieneinstellungen beschrieben werden aktiviert ist und keine Vorrang vor Richtlinieneinstellungen hat, die Benutzer daran hindern würden, ein Gerät zu installieren. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer jedes Gerät mit einer Hardware-ID oder einer kompatiblen ID, die mit einer ID in dieser Liste übereinstimmt, installieren und aktualisieren, wenn diese Installation nicht durch die Richtlinieneinstellung Installation von Geräten verhindern, die mit diesen Geräte-IDs übereinstimmen, der Richtlinieneinstellung Installation von Geräten für diese Geräteklassen verhindern verhindert wurde. oder die Richtlinieneinstellung Installation von Wechselmedien verhindern. Wenn eine andere Richtlinieneinstellung verhindert, dass Benutzer ein Gerät installieren, können Benutzer es auch dann nicht installieren, wenn das Gerät auch durch einen Wert in dieser Richtlinieneinstellung beschrieben wird. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren und keine andere Richtlinie das Gerät beschreibt, bestimmt die Richtlinieneinstellung Installation von Geräten verhindern, die nicht von anderen Richtlinieneinstellungen beschrieben werden, ob Benutzer das Gerät installieren können.

Zulassen der Installation von Geräten, die mit einer dieser Geräte instance-IDs übereinstimmen

Mit dieser Richtlinieneinstellung können Sie eine Liste von Plug & Play Geräte-instance-IDs für Geräte angeben, die Windows installieren darf. Verwenden Sie diese Richtlinieneinstellung nur, wenn die Richtlinieneinstellung "Installation von Geräten verhindern, die von anderen Richtlinieneinstellungen nicht beschrieben werden" aktiviert ist. Andere Richtlinieneinstellungen, die die Geräteinstallation verhindern, haben Vorrang vor dieser. Wenn Sie diese Richtlinieneinstellung aktivieren, darf Windows jedes Gerät installieren oder aktualisieren, dessen Plug & Play Geräte-instance-ID in der von Ihnen erstellten Liste angezeigt wird, es sei denn, eine andere Richtlinieneinstellung verhindert diese Installation ausdrücklich (z. B. die Richtlinieneinstellung "Installation von Geräten verhindern, die mit einer dieser Geräte-IDs übereinstimmen", die Richtlinieneinstellung "Installation von Geräten für diese Geräteklassen verhindern", Die Richtlinieneinstellung "Installation von Geräten verhindern, die mit einem dieser Geräte instance IDs übereinstimmen" oder die Richtlinieneinstellung "Installation von Wechselmedien verhindern"). Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient zum Remotedesktopserver aus.

Zulassen der Installation von Geräten mit Treibern, die diesen Gerätesetupklassen entsprechen

Diese Richtlinieneinstellung gibt eine Liste der Gerätesetupklassen-GUIDs an, die Geräte beschreiben, die Benutzer installieren können. Diese Einstellung soll nur verwendet werden, wenn die Richtlinieneinstellung Installation von Geräten verhindern, die nicht durch andere Richtlinieneinstellungen beschrieben werden aktiviert ist und keine Vorrang vor Richtlinieneinstellungen hat, die Benutzer daran hindern würden, ein Gerät zu installieren. Wenn Sie diese Einstellung aktivieren, können Benutzer jedes Gerät mit einer Hardware-ID oder einer kompatiblen ID installieren und aktualisieren, die einer der IDs in dieser Liste entspricht, wenn diese Installation nicht durch die Richtlinieneinstellung Installation von Geräten verhindern, die mit diesen Geräte-IDs übereinstimmen, der Richtlinieneinstellung Installation von Geräten für diese Geräteklassen verhindern verhindert wurde. oder die Richtlinieneinstellung Installation von Wechselmedien verhindern. Wenn eine andere Richtlinieneinstellung verhindert, dass Benutzer ein Gerät installieren, können Benutzer es auch dann nicht installieren, wenn das Gerät auch durch einen Wert in dieser Richtlinieneinstellung beschrieben wird. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren und keine andere Richtlinieneinstellung das Gerät beschreibt, bestimmt die Richtlinieneinstellung Installation von Geräten verhindern, die nicht durch andere Richtlinieneinstellungen beschrieben werden, ob Benutzer das Gerät installieren können.

Verhindern der Installation von Geräten, die mit diesen Geräte-IDs übereinstimmen

Diese Richtlinieneinstellung gibt eine Liste von Plug & Play Hardware-IDs und kompatiblen IDs für Geräte an, die Benutzer nicht installieren können. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer den Treiber für ein Gerät nicht installieren oder aktualisieren, wenn dessen Hardware-ID oder kompatible ID mit einer in dieser Liste übereinstimmt. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer Geräte installieren und ihre Treiber aktualisieren, wie in anderen Richtlinieneinstellungen für die Geräteinstallation zulässig. Hinweis: Diese Richtlinieneinstellung hat Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Benutzer ein Gerät installieren können. Diese Richtlinieneinstellung verhindert, dass Benutzer ein Gerät installieren, auch wenn es mit einer anderen Richtlinieneinstellung übereinstimmt, die die Installation dieses Geräts zulassen würde.

Verhindern der Installation von Geräten, die mit einer dieser Geräte instance-IDs übereinstimmen

Mit dieser Richtlinieneinstellung können Sie eine Liste von Plug & Play Geräte-instance-IDs für Geräte angeben, die von Windows nicht installiert werden können. Diese Richtlinieneinstellung hat Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Windows ein Gerät installieren kann. Wenn Sie diese Richtlinieneinstellung aktivieren, wird Windows daran gehindert, ein Gerät zu installieren, dessen Geräte-instance-ID in der von Ihnen erstellten Liste angezeigt wird. Wenn Sie diese Richtlinieneinstellung auf einem Remotedesktopserver aktivieren, wirkt sich die Richtlinieneinstellung auf die Umleitung der angegebenen Geräte von einem Remotedesktopclient zum Remotedesktopserver aus. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Geräte installiert und aktualisiert werden, da sie von anderen Richtlinieneinstellungen zugelassen oder verhindert werden.

Verhindern der Installation von Geräten mithilfe von Treibern, die diesen Geräteeinrichtungsklassen entsprechen

Diese Richtlinieneinstellung gibt eine Liste mit Plug & Play Gerätesetupklassen-GUIDs für Geräte an, die Benutzer nicht installieren können. Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer keine Geräte installieren oder aktualisieren, die zu einer der aufgeführten Gerätesetupklassen gehören. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer Geräte gemäß den anderen Richtlinieneinstellungen für die Geräteinstallation installieren und aktualisieren. Hinweis: Diese Richtlinieneinstellung hat Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Benutzer ein Gerät installieren können. Diese Richtlinieneinstellung verhindert, dass Benutzer ein Gerät installieren, auch wenn es mit einer anderen Richtlinieneinstellung übereinstimmt, die die Installation dieses Geräts ermöglichen würde.

Anwenden der mehrstufigen Auswertungsreihenfolge für die Richtlinien zum Zulassen und Verhindern von Geräteinstallationen für alle Geräteübereinstimmungskriterien

Diese Richtlinieneinstellung ändert die Auswertungsreihenfolge, in der die Richtlinieneinstellungen Zulassen und Verhindern angewendet werden, wenn mehrere Installationsrichtlinieneinstellungen für ein bestimmtes Gerät gelten. Aktivieren Sie diese Richtlinieneinstellung, um sicherzustellen, dass sich überlappende Geräteübereinstimmungskriterien basierend auf einer festgelegten Hierarchie angewendet werden, in der spezifischere Übereinstimmungskriterien weniger spezifische Übereinstimmungskriterien ersetzen. Die hierarchische Reihenfolge der Auswertung für Richtlinieneinstellungen, die Geräte-Übereinstimmungskriterien angeben, lautet wie folgt:

Geräte-instance-IDs>Geräte-IDs>Geräteeinrichtungsklasse>Wechselgeräte

Hinweis

Diese Richtlinieneinstellung bietet eine präzisere Steuerung als die Richtlinieneinstellung "Installation von Geräten verhindern, die von anderen Richtlinieneinstellungen nicht beschrieben werden". Wenn diese in Konflikt stehenden Richtlinieneinstellungen gleichzeitig aktiviert sind, wird die Richtlinieneinstellung "Mehrstufige Auswertungsreihenfolge für Geräteinstallationsrichtlinien für alle Geräteübereinstimmungskriterien zulassen und verhindern" aktiviert, und die andere Richtlinieneinstellung wird ignoriert.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die Standardauswertung verwendet. Standardmäßig alle "Installation verhindern..." Richtlinieneinstellungen haben Vorrang vor allen anderen Richtlinieneinstellungen, mit denen Windows ein Gerät installieren kann.

Einige dieser Richtlinien haben Vorrang vor anderen Richtlinien. Das folgende Flussdiagramm veranschaulicht, wie Windows sie verarbeitet, um zu bestimmen, ob ein Benutzer ein Gerät installieren kann oder nicht.

Flussdiagramm für Geräteinstallationsrichtlinien.
Flussdiagramm für Geräteinstallationsrichtlinien

Anforderungen für die Durchführung der Szenarien

Allgemein

Stellen Sie sicher, dass Sie über Folgendes verfügen, um die einzelnen Szenarien abzuschließen:

  • Ein Clientcomputer, auf dem Windows ausgeführt wird.
  • Ein USB-Stick. Die in diesem Leitfaden beschriebenen Szenarien verwenden ein USB-Stick als Beispielgerät (auch bekannt als "Wechseldatenträger", "Speicherlaufwerk", "Flashlaufwerk" oder "Schlüsselbundlaufwerk"). Für die meisten USB-Sticks sind keine vom Hersteller bereitgestellten Treiber erforderlich, und diese Geräte funktionieren mit den im Windows-Build bereitgestellten Posteingangstreibern.
  • Auf dem Computer ist ein USB-/Netzwerkdrucker vorinstalliert.
  • Zugriff auf das Administratorkonto auf dem Testcomputer. Für die Verfahren in diesem Leitfaden sind für die meisten Schritte Administratorrechte erforderlich.

Grundlegendes zu den Auswirkungen der rückwirkende Anwendung von "Prevent"-Richtlinien

Alle "Verhindern"-Richtlinien können die Blockierungsfunktionalität auf bereits installierte Geräte anwenden, die auf dem Computer installiert wurden, bevor die Richtlinie wirksam wurde. Die Verwendung dieser Option wird empfohlen, wenn der Administrator den Installationsverlauf der Geräte auf dem Computer nicht sicher ist und sicherstellen möchte, dass die Richtlinie für alle Geräte gilt.

Beispiel: Ein Drucker ist bereits auf dem Computer installiert. Wenn Sie die Installation aller Drucker verhindern, wird verhindert, dass zukünftige Drucker installiert werden, während nur der installierte Drucker verwendet werden kann. Um den Block rückwirkend anzuwenden, sollte der Administrator die Option "Diese Richtlinie auf bereits installierte Geräte anwenden" aktivieren. Wenn Sie diese Option markieren, wird der Zugriff auf bereits installierte Geräte zusätzlich zu zukünftigen Geräten verhindert.

Diese Option ist ein leistungsfähiges Tool, aber als solches muss sie sorgfältig verwendet werden.

Wichtig

Das Anwenden der Option "Rückwirkend verhindern" auf wichtige Geräte könnte den Computer unbrauchbar/inakzeptabel machen! Beispiel: Wenn Sie rückwirkend alle "Datenträgerlaufwerke" verhindern, kann der Zugriff auf den Datenträger blockiert werden, auf dem das Betriebssystem gestartet wird. Wenn Sie verhindern, dass alle "Net"-Elemente rückwirken, kann dieser Computer den Zugriff auf das Netzwerk blockieren, und um das Problem zu beheben, muss der Administrator über eine direkte Verbindung verfügen.

Bestimmen von Geräteidentifikationszeichenfolgen

Mithilfe dieser Schritte können Sie die Geräteidentifikationszeichenfolgen für Ihr Gerät ermitteln. Wenn die Hardware-IDs und kompatiblen IDs für Ihr Gerät nicht mit den in diesem Leitfaden aufgeführten IDs übereinstimmen, verwenden Sie die IDs, die für Ihr Gerät geeignet sind (diese Richtlinie gilt für Instanz-IDs und Klassen, aber wir werden in diesem Leitfaden kein Beispiel dafür geben).

Sie können die Hardware-IDs und kompatiblen IDs für Ihr Gerät auf zwei Arten bestimmen. Sie können Geräte-Manager verwenden, ein grafisches Tool, das im Betriebssystem enthalten ist, oder PnPUtil, ein Befehlszeilentool, das für alle Windows-Versionen verfügbar ist. Verwenden Sie das folgende Verfahren, um die Geräteidentifikationszeichenfolgen für Ihr Gerät anzuzeigen.

Hinweis

Diese Verfahren sind spezifisch für einen Canon-Drucker. Wenn Sie einen anderen Gerätetyp verwenden, müssen Sie die Schritte entsprechend anpassen. Der wesentliche Unterschied besteht in der Position des Geräts in der Geräte-Manager Hierarchie. Anstatt sich im Knoten Drucker zu befinden, müssen Sie Ihr Gerät im entsprechenden Knoten suchen.

So suchen Sie Geräteidentifikationszeichenfolgen mithilfe von Geräte-Manager

  1. Stellen Sie sicher, dass Der Drucker angeschlossen und installiert ist.

  2. Um Geräte-Manager zu öffnen, wählen Sie die Schaltfläche Start aus, geben Sie mmc devmgmt.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE, oder suchen Sie nach Geräte-Manager als Anwendung.

  3. Geräte-Manager startet und zeigt eine Struktur an, die alle auf Ihrem Computer erkannten Geräte darstellt. Oben in der Struktur befindet sich ein Knoten mit dem Namen Ihrer Computer. Untere Knoten stellen die verschiedenen Hardwarekategorien dar, in denen Die Computergeräte gruppiert sind.

  4. Suchen Sie den Abschnitt "Drucker", und suchen Sie den Zieldrucker.

    Auswählen des Druckers in Geräte-Manager.
    Auswählen des Druckers in Geräte-Manager

  5. Doppelklicken Sie auf den Drucker, und wechseln Sie zur Registerkarte "Details".

    Registerkarte
    Öffnen Sie die Registerkarte "Details", um nach den Gerätebezeichnern zu suchen.

  6. Kopieren Sie im Fenster "Wert" die detaillierteste Hardware-ID. Wir verwenden diesen Wert in den Richtlinien.

    HWID.

    Kompatible ID.
    HWID und kompatible ID

    Tipp

    Sie können ihre Geräteidentifikationszeichenfolgen auch mithilfe des Befehlszeilenprogramms PnPUtil ermitteln. Weitere Informationen finden Sie unter PnPUtil – Windows-Treiber.

Abrufen von Gerätebezeichnern mithilfe von PnPUtil

pnputil /enum-devices /ids

Hier sehen Sie ein Beispiel für eine Ausgabe für ein einzelnes Gerät auf einem Computer:

<snip>
Instance ID:                PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02\3&103a9d54&0&81
Device Description:         Intel(R) Xeon(R) E7 v3/Xeon(R) E5 v3/Core i7 PCIe Ring Interface - 2F34
Class Name:                 System
Class GUID:                 {4d36e97d-e325-11ce-bfc1-08002be10318}
Manufacturer Name:          INTEL
Status:                     Stopped
Driver Name:                oem6.inf
Hardware IDs:               PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086&REV_02
                            PCI\VEN_8086&DEV_2F34&SUBSYS_2F348086
                            PCI\VEN_8086&DEV_2F34&CC_110100
                            PCI\VEN_8086&DEV_2F34&CC_1101
Compatible IDs:             PCI\VEN_8086&DEV_2F34&REV_02
                            PCI\VEN_8086&DEV_2F34
                            PCI\VEN_8086&CC_110100
                            PCI\VEN_8086&CC_1101
                            PCI\VEN_8086
                            PCI\CC_110100
                            PCI\CC_1101
<snip>

Szenario 1: Verhindern der Installation aller Drucker

In diesem einfachen Szenario erfahren Sie, wie Sie die Installation einer gesamten Geräteklasse verhindern.

Einrichten der Umgebung

Richten Sie die Umgebung für das Szenario mit den folgenden Schritten ein:

  1. Öffnen Sie Gruppenrichtlinie Editor, und navigieren Sie zum Abschnitt Geräteinstallationseinschränkung.

  2. Deaktivieren Sie alle vorherigen Geräteinstallationsrichtlinien mit Ausnahme von "Mehrschichtreihenfolge der Auswertung anwenden". Obwohl die Richtlinie standardmäßig deaktiviert ist, empfiehlt es sich, diese Richtlinie in den meisten praktischen Anwendungen zu aktivieren.

  3. Wenn es aktivierte Richtlinien gibt, würden sie durch Ändern der status in "deaktiviert" aus allen Parametern gelöscht.

  4. Stellen Sie einen USB-/Netzwerkdrucker bereit, um die Richtlinie mit zu testen.

Szenarioschritte: Verhindern der Installation von verbotenen Geräten

Abrufen des richtigen Gerätebezeichners, um die Installation zu verhindern:

  1. Wenn Auf Ihrem System ein Gerät aus der Klasse vorhanden ist, die Sie blockieren möchten, können Sie die Schritte im vorherigen Abschnitt ausführen, um den Geräteklassenbezeichner über Geräte-Manager oder PnPUtil (Klassen-GUID) zu suchen.

  2. Wenn Sie ein solches Gerät nicht auf Ihrem System installiert haben oder den Namen der Klasse kennen, können Sie die folgenden beiden Links überprüfen:

  3. Unser aktuelles Szenario konzentriert sich darauf, zu verhindern, dass alle Drucker installiert werden. Dies ist die Klassen-GUID für die meisten Drucker auf dem Markt:

    Drucker
    Klasse = Drucker
    ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
    Diese Klasse enthält Drucker.

    Hinweis

    Wie bereits erwähnt, kann das Verhindern einer gesamten Klasse verhindern, dass Sie Ihr System vollständig verwenden können. Stellen Sie sicher, dass Sie wissen, welche Geräte beim Angeben einer Klasse blockiert werden. Für unser Szenario gibt es andere Klassen, die sich auf Drucker beziehen. Bevor Sie sie jedoch anwenden, stellen Sie sicher, dass sie kein anderes vorhandenes Gerät blockieren, das für Ihr System von entscheidender Bedeutung ist.

Erstellen der Richtlinie, um zu verhindern, dass alle Drucker installiert werden:

  1. Öffnen Sie Gruppenrichtlinie Objekt Editor klicken Sie entweder auf die Schaltfläche Start, geben Sie mmc gpedit.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE, oder geben Sie in der Windows-Suche "Gruppenrichtlinie Editor" ein, und öffnen Sie die Benutzeroberfläche.

  2. Navigieren Sie zur Seite Geräteinstallationseinschränkung:

    Computerkonfiguration > Administrative Vorlagen > Systemgeräteinstallation >> Geräteinstallationseinschränkungen

  3. Stellen Sie sicher, dass alle Richtlinien deaktiviert sind (empfohlen, um die Richtlinie "Angewendete Mehrschichtreihenfolge der Auswertung" aktiviert zu lassen).

  4. Öffnen Sie Installation von Geräten mit Treibern verhindern, die dieser Richtlinie für Gerätesetupklassen entsprechen, und wählen Sie das Optionsfeld "Aktivieren" aus.

  5. Klicken Sie unten links im Fenster "Optionen" auf "Anzeigen...". Box. Mit dieser Option gelangen Sie zu einer Tabelle, in der Sie den zu blockierenden Klassenbezeichner eingeben können.

  6. Geben Sie die Guid der Druckerklasse ein, die Sie mit den geschweiften Klammern gefunden haben: {4d36e979-e325-11ce-bfc1-08002be10318}.

    Liste der verhindernden Klassen-GUIDs
    Liste der verhindernden Klassen-GUIDs

  7. Klicken Sie auf "OK".

  8. Klicken Sie unten rechts im Fenster der Richtlinie auf "Anwenden". Diese Option pusht die Richtlinie und blockiert alle zukünftigen Druckerinstallationen, gilt jedoch nicht für vorhandene Installationen.

  9. Optional– wenn Sie die Richtlinie auf vorhandene Installationen anwenden möchten: Öffnen Sie die Richtlinie Installation von Geräten mithilfe von Treibern verhindern, die diesen Gerätesetupklassen entsprechen . Aktivieren Sie im Fenster "Optionen" das Kontrollkästchen "Gilt auch für übereinstimmende Geräte, die bereits installiert sind"

Wichtig

Die Verwendung einer Richtlinie zum Verhindern (wie in Szenario 1 oben verwendet) und deren Anwendung auf alle zuvor installierten Geräte (siehe Schritt 9) kann dazu führen, dass wichtige Geräte unbrauchbar sind. daher mit Vorsicht verwenden. Beispiel: Wenn ein IT-Administrator verhindern möchte, dass alle Wechseldatenträger auf dem Computer installiert werden, kann die Verwendung der Klasse "Datenträgerlaufwerk" zum Blockieren und rückwirkenden Anwenden die interne Festplatte unbrauchbar machen und den Computer unterbrechen.

Testszenario 1

  1. Wenn Sie Schritt 9 noch nicht abgeschlossen haben, führen Sie die folgenden Schritte aus:

    1. Deinstallieren Sie Ihren Drucker: Geräte-Manager > Drucker > klicken Sie mit der rechten Maustaste auf den Canon-Drucker > auf "Gerät deinstallieren".
    2. Für USB-Drucker-Trennen und Wiederstecken des Kabels; für Netzwerkgerät: Suchen Sie in der Windows-Einstellungs-App nach dem Drucker.
    3. Sie sollten den Drucker nicht erneut installieren können.
  2. Wenn Sie Schritt 9 oben abgeschlossen und den Computer neu gestartet haben, suchen Sie unter Geräte-Manager oder der Windows-Einstellungs-App nach Ihrem Drucker, und stellen Sie fest, dass er nicht mehr verfügbar ist.

Szenario 2: Verhindern der Installation eines bestimmten Druckers

Dieses Szenario baut auf Szenario Nr. 1 auf: Installation aller Drucker verhindern. In diesem Szenario zielen Sie auf einen bestimmten Drucker ab, um zu verhindern, dass auf dem Computer installiert wird.

Einrichten der Umgebung

Richten Sie die Umgebung für das Szenario mit den folgenden Schritten ein:

  1. Öffnen Sie Gruppenrichtlinie Editor, und navigieren Sie zum Abschnitt Geräteinstallationseinschränkung.

  2. Stellen Sie sicher, dass alle vorherigen Geräteinstallationsrichtlinien mit Ausnahme von "Mehrschichtreihenfolge der Auswertung anwenden" deaktiviert sind (diese Voraussetzung ist optional, um in diesem Szenario ein-/aus zu sein). Obwohl die Richtlinie standardmäßig deaktiviert ist, wird empfohlen, in den meisten praktischen Anwendungen aktiviert zu sein. Für Szenario 2 ist dies optional.

Szenarioschritte: Verhindern der Installation eines bestimmten Geräts

Abrufen des richtigen Gerätebezeichners, um die Installation zu verhindern:

  1. Rufen Sie die Hardware-ID Ihres Druckers ab. In diesem Beispiel verwenden wir den bezeichner, den wir zuvor gefunden haben.

    Bezeichner der Druckerhardware-ID.
    Druckerhardware-ID

  2. Notieren Sie sich die Geräte-ID (in diesem Fall Hardware-ID): WSDPRINT\CanonMX920_seriesC1A0;. Verwenden Sie den spezifischeren Bezeichner, um sicherzustellen, dass Sie einen bestimmten Drucker und keine Druckerfamilie blockieren.

Erstellen der Richtlinie, um zu verhindern, dass ein einzelner Drucker installiert wird:

  1. Öffnen Sie Gruppenrichtlinie Object Editor.

  2. Navigieren Sie zur Seite Geräteinstallationseinschränkung:

    Computerkonfiguration > Administrative Vorlagen > Systemgeräteinstallation >> Geräteinstallationseinschränkungen

  3. Öffnen Sie Installation von Geräten verhindern, die mit einer dieser Geräte-IDs-Richtlinie übereinstimmen , und wählen Sie das Optionsfeld "Aktivieren" aus.

  4. Klicken Sie unten links im Fenster "Optionen" auf "Anzeigen...". Box. Mit dieser Option gelangen Sie zu einer Tabelle, in der Sie den zu blockierenden Gerätebezeichner eingeben können.

  5. Geben Sie die id des Druckergeräts ein, die Sie oben gefunden haben: WSDPRINT\CanonMX920_seriesC1A0.

    Liste
    Liste "Geräte-ID verhindern"

  6. Klicken Sie auf "OK".

  7. Klicken Sie unten rechts im Fenster der Richtlinie auf "Übernehmen". Diese Option pusht die Richtlinie und blockiert den Zieldrucker in zukünftigen Installationen, gilt jedoch nicht für eine vorhandene Installation.

  8. Wenn Sie die Richtlinie auf eine vorhandene Installation anwenden möchten, öffnen Sie optional die Richtlinie Installation von Geräten verhindern, die mit einer dieser Geräte-IDs übereinstimmen . Aktivieren Sie im Fenster "Optionen" das Kontrollkästchen "Gilt auch für übereinstimmende Geräte, die bereits installiert sind".

Testszenario 2

Wenn Sie Schritt 8 oben abgeschlossen und den Computer neu gestartet haben, suchen Sie unter Geräte-Manager oder der Windows-Einstellungs-App nach Ihrem Drucker, und stellen Sie fest, dass er nicht mehr verfügbar ist.

Wenn Sie Schritt 8 noch nicht abgeschlossen haben, führen Sie die folgenden Schritte aus:

  1. Deinstallieren Sie Ihren Drucker: Geräte-Manager > Drucker > klicken Sie mit der rechten Maustaste auf den Canon-Drucker > auf "Gerät deinstallieren".

  2. Ziehen Sie für USB-Drucker das Kabel ab, und schließen Sie es wieder an. Suchen Sie für Netzwerkgeräte in der Windows-Einstellungs-App nach dem Drucker.

  3. Sie sollten den Drucker nicht erneut installieren können.

Szenario 3: Verhindern der Installation aller Drucker, während die Installation eines bestimmten Druckers zugelassen wird

Nun erfahren Sie anhand der Kenntnisse aus beiden vorherigen Szenarien, wie Sie die Installation einer gesamten Geräteklasse verhindern und gleichzeitig die Installation eines einzelnen Druckers zulassen.

Einrichten der Umgebung

Richten Sie die Umgebung für das Szenario mit den folgenden Schritten ein:

  1. Öffnen Sie Gruppenrichtlinie Editor, und navigieren Sie zum Abschnitt Geräteinstallationseinschränkung.

  2. Deaktivieren Sie alle vorherigen Geräteinstallationsrichtlinien, und aktivieren Sie "Mehrstufige Auswertungsreihenfolge anwenden".

  3. Wenn es aktivierte Richtlinien gibt, würden sie durch Ändern der status in "deaktiviert" aus allen Parametern gelöscht.

  4. Stellen Sie einen USB-/Netzwerkdrucker bereit, mit dem Sie die Richtlinie testen können.

Szenarioschritte: Verhindern der Installation einer gesamten Klasse beim Zulassen eines bestimmten Druckers

Abrufen des Gerätebezeichners sowohl für die Druckerklasse als auch für einen bestimmten Drucker: Befolgen Sie die Schritte in Szenario 1, um nach Klassenbezeichner zu suchen, und Szenario Nr. 2, um den Gerätebezeichner zu finden, können Sie die Bezeichner abrufen, die Sie für dieses Szenario benötigen:

  • ClassGuid = {4d36e979-e325-11ce-bfc1-08002be10318}
  • Hardware-ID = WSDPRINT\CanonMX920_seriesC1A0

Erstellen Sie zunächst die Richtlinie "Klasse verhindern" und dann eine Richtlinie zum Zulassen von Geräten:

  1. Öffnen Sie Gruppenrichtlinie Objekt Editor klicken Sie entweder auf die Schaltfläche Start, geben Sie mmc gpedit.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE, oder geben Sie in der Windows-Suche "Gruppenrichtlinie Editor" ein, und öffnen Sie die Benutzeroberfläche.

  2. Navigieren Sie zur Seite Geräteinstallationseinschränkung:

    Computerkonfiguration > Administrative Vorlagen > Systemgeräteinstallation >> Geräteinstallationseinschränkungen

  3. Stellen Sie sicher, dass alle Richtlinien deaktiviert sind.

  4. Öffnen Sie Installation von Geräten mit Treibern verhindern, die dieser Richtlinie für Gerätesetupklassen entsprechen, und wählen Sie das Optionsfeld "Aktivieren" aus.

  5. Klicken Sie unten links im Fenster "Optionen" auf "Anzeigen...". Box. Mit dieser Option gelangen Sie zu einer Tabelle, in der Sie den zu blockierenden Klassenbezeichner eingeben können.

  6. Geben Sie die oben gefundene Druckerklassen-GUID mit den geschweiften Klammern ein (dieser Wert ist wichtig! Andernfalls funktioniert es nicht): {4d36e979-e325-11ce-bfc1-08002be10318}

    Liste der Verhindern von Klassen-IDs
    Liste der verhindernden Klassen-GUIDs

  7. Klicken Sie auf "OK".

  8. Klicken Sie unten rechts im Fenster der Richtlinie auf "Anwenden". Diese Option pusht die Richtlinie und blockiert alle zukünftigen Druckerinstallationen, gilt jedoch nicht für vorhandene Installationen.

  9. Um die Abdeckung aller zukünftigen und vorhandenen Drucker abzuschließen, öffnen Sie die Richtlinie Installation von Geräten mithilfe von Treibern verhindern, die diesen Gerätesetupklassen entsprechen . Aktivieren Sie im Fenster "Optionen" das Kontrollkästchen "Gilt auch für übereinstimmende Geräte, die bereits installiert sind" und klicken Sie auf "OK".

  10. Öffnen Sie die Richtlinie Mehrstufige Auswertungsreihenfolge anwenden für Die Geräteinstallationsrichtlinien für alle Geräteübereinstimmungskriterien zulassen und verhindern , und aktivieren Sie sie. Diese Richtlinie ermöglicht es Ihnen, die breite Abdeckung der Richtlinie "Verhindern" mit einem bestimmten Gerät außer Kraft zu setzen.

    Screenshot: Lokale Gruppenrichtlinie Editor, der die Richtlinien unter Geräteinstallationseinschränkungen und die in diesem Schritt benannte Richtlinie zeigt.

    Abbildung, die die aktuellen Einstellungen der Richtlinie mit dem Namen in diesem Schritt zeigt:
    Anwenden der Mehrschichtreihenfolge der Auswertungsrichtlinie

  11. Öffnen Sie nun Installation von Geräten zulassen, die mit einer dieser Geräte-IDs-Richtlinie übereinstimmen, und wählen Sie das Optionsfeld "Aktivieren" aus.

  12. Klicken Sie unten links im Fenster "Optionen" auf "Anzeigen...". Box. Mit dieser Option gelangen Sie zu einer Tabelle, in der Sie den zuzulassenden Gerätebezeichner eingeben können.

  13. Geben Sie die id des Druckergeräts ein, die Sie oben gefunden haben: WSDPRINT\CanonMX920_seriesC1A0.

    Druckerhardware-ID zulassen.
    Druckerhardware-ID zulassen

  14. Klicken Sie auf "OK".

  15. Klicken Sie unten rechts im Fenster der Richtlinie auf "Anwenden". Mit dieser Option wird die Richtlinie gepusht und der Zieldrucker kann installiert werden (oder beibehalten werden).

Testszenario 3

  1. Suchen Sie unter Geräte-Manager oder der Windows-Einstellungs-App nach Ihrem Drucker, und sehen Sie, dass er noch vorhanden und zugänglich ist. Oder drucken Sie einfach ein Testdokument.

  2. Zurück zum Gruppenrichtlinie Editor, deaktivieren Sie mehrstufige Auswertungsreihenfolge anwenden für richtlinien zulassen und Geräteinstallationsrichtlinien für alle Geräteübereinstimmungskriterien zulassen und verhindern, und testen Sie ihren Drucker erneut. Sie sollten nicht dazu in der Lage sein, etwas zu drucken oder überhaupt auf den Drucker zugreifen zu können.

Szenario 4: Verhindern der Installation eines bestimmten USB-Geräts

Das Szenario baut auf den Kenntnissen aus Szenario 2, Installation eines bestimmten Druckers verhindern auf. In diesem Szenario erfahren Sie, wie einige Geräte in die PnP-Gerätestruktur (Plug & Play) integriert sind.

Einrichten der Umgebung

Richten Sie die Umgebung für das Szenario mit den folgenden Schritten ein:

  1. Öffnen Sie Gruppenrichtlinie Editor, und navigieren Sie zum Abschnitt Geräteinstallationseinschränkung.

  2. Stellen Sie sicher, dass alle vorherigen Geräteinstallationsrichtlinien mit Ausnahme von "Mehrstufige Auswertungsreihenfolge anwenden" deaktiviert sind. Diese Voraussetzung ist optional, um in diesem Szenario ein-/aus zu sein. Obwohl die Richtlinie standardmäßig deaktiviert ist, wird empfohlen, in den meisten praktischen Anwendungen aktiviert zu sein.

Szenarioschritte: Verhindern der Installation eines bestimmten Geräts

Abrufen des richtigen Gerätebezeichners, um zu verhindern, dass es installiert wird, und seinen Speicherort in der PnP-Struktur:

  1. Verbinden eines USB-Sticks mit dem Computer

  2. Öffnen des Geräte-Managers

  3. Suchen Sie den USB-Stick, und wählen Sie ihn aus.

    Auswählen des USB-Sticks in Geräte-Manager.
    Auswählen des USB-Sticks in Geräte-Manager

  4. Ändern Sie die Ansicht (im oberen Menü) in "Geräte nach Verbindungen". Diese Ansicht stellt die Art und Weise dar, wie Geräte in der PnP-Struktur installiert werden.

    Ändern der Ansicht in Geräte-Manager, um die PnP-Verbindungsstruktur anzuzeigen.
    Ändern der Ansicht in Geräte-Manager, um die PnP-Verbindungsstruktur anzuzeigen

    Hinweis

    Beim Blockieren\Verhindern eines Geräts, das sich höher in der PnP-Struktur befindet, werden alle darunter befindlichen Geräte blockiert. Beispiel: Wenn verhindert wird, dass ein "Generischer USB-Hub" installiert wird, werden alle Geräte blockiert, die sich unterhalb eines "Generischen USB-Hubs" befinden.

    Blockieren geschachtelter Geräte aus dem Stamm.
    Wenn sie ein Gerät blockieren, werden auch alle darunter geschachtelten Geräte blockiert.

  5. Doppelklicken Sie auf den USB-Stick, und wechseln Sie zur Registerkarte "Details".

  6. Kopieren Sie im Fenster "Wert" die detaillierteste Hardware-ID. Wir verwenden diesen Wert in den Richtlinien. In diesem Fall Geräte-ID = USBSTOR\DiskGeneric_Flash_Disk______8.07

    USB-Gerätehardware-IDs.
    HARDWARE-IDs für USB-Geräte

Erstellen der Richtlinie, um zu verhindern, dass ein einzelner USB-Stick installiert wird:

  1. Öffnen Sie Gruppenrichtlinie Object Editor, und klicken Sie entweder auf die Schaltfläche Start, geben Sie mmc gpedit.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE, oder geben Sie in der Windows-Suche "Gruppenrichtlinie Editor" ein, und öffnen Sie die Benutzeroberfläche.

  2. Navigieren Sie zur Seite Geräteinstallationseinschränkung:

    Computerkonfiguration > Administrative Vorlagen > Systemgeräteinstallation >> Geräteinstallationseinschränkungen

  3. Öffnen Sie Installation von Geräten verhindern, die mit einer dieser Geräte-IDs-Richtlinie übereinstimmen , und wählen Sie das Optionsfeld "Aktivieren" aus.

  4. Klicken Sie unten links im Fenster "Optionen" auf das Feld "Anzeigen". Mit dieser Option gelangen Sie zu einer Tabelle, in der Sie den zu blockierenden Gerätebezeichner eingeben können.

  5. Geben Sie die USB-Stick-Geräte-ID ein, die Sie oben gefunden haben.USBSTOR\DiskGeneric_Flash_Disk______8.07

    Liste
    Liste "Geräte-IDs verhindern"

  6. Klicken Sie auf "OK".

  7. Klicken Sie unten rechts im Fenster der Richtlinie auf "Übernehmen". Diese Option pusht die Richtlinie und blockiert den ZIEL-USB-Stick bei zukünftigen Installationen, gilt jedoch nicht für eine vorhandene Installation.

  8. Optional: Wenn Sie die Richtlinie auf eine vorhandene Installation anwenden möchten, öffnen Sie die Richtlinie Installation von Geräten verhindern, die mit einer dieser Geräte-IDs übereinstimmen erneut. Aktivieren Sie im Fenster "Optionen" das Kontrollkästchen "Gilt auch für übereinstimmende Geräte, die bereits installiert sind".

Testszenario 4

  1. Wenn Sie Schritt 8 noch nicht abgeschlossen haben, führen Sie die folgenden Schritte aus:

    • Deinstallieren Sie Ihren USB-Stick: Geräte-Manager > Datenträgerlaufwerke > klicken Sie mit der rechten Maustaste auf das ZIEL-USB-Stick > und klicken Sie auf "Gerät deinstallieren".
    • Sie sollten das Gerät nicht neu installieren können.
  2. Wenn Sie Schritt 8 oben abgeschlossen und den Computer neu gestartet haben, suchen Sie unter Geräte-Manager nach Ihren Datenträgerlaufwerken, und stellen Sie fest, dass sie nicht mehr zur Verwendung verfügbar sind.

Szenario 5: Verhindern der Installation aller USB-Geräte, während die Installation nur eines autorisierten USB-Sticks zugelassen wird

Nun erfahren Sie anhand des Wissens aus allen vorherigen vier Szenarien, wie Sie die Installation einer ganzen Klasse von Geräten verhindern und gleichzeitig die Installation eines einzelnen autorisierten USB-Sticks zulassen.

Einrichten der Umgebung

Richten Sie die Umgebung für das Szenario mit den folgenden Schritten ein:

  1. Öffnen Sie Gruppenrichtlinie Editor, und navigieren Sie zum Abschnitt Geräteinstallationseinschränkung.

  2. Deaktivieren Sie alle vorherigen Geräteinstallationsrichtlinien, und aktivieren Sie "Mehrstufige Auswertungsreihenfolge anwenden".

  3. Wenn es aktivierte Richtlinien gibt, würden sie durch Ändern der status in "deaktiviert" aus allen Parametern gelöscht.

  4. Stellen Sie einen USB-Stick bereit, mit dem Sie die Richtlinie testen können.

Szenarioschritte: Verhindern der Installation aller USB-Geräte, während nur ein autorisierter USB-Stick zugelassen wird

Abrufen des Gerätebezeichners für die USB-Klassen und eines bestimmten USB-Sticks und Ausführen der Schritte in Szenario Nr. 1 zum Suchen nach Klassenbezeichner und Szenario Nr. 4 zum Ermitteln der Geräte-ID, die Sie für dieses Szenario benötigen:

  • USB-Busgeräte (Hubs und Hostcontroller)

    • Klasse = USB
    • ClassGuid = {36fc9e60-c465-11cf-8056-444553540000}
    • Diese Klasse umfasst USB-Hostcontroller und USB-Hubs, aber keine USB-Peripheriegeräte. Treiber für diese Klasse werden vom System bereitgestellt.
  • USB-Gerät

    • Class = USBDevice
    • ClassGuid = {88BAE032-5A81-49f0-BC3D-A4FF138216D6}
    • USBDevice umfasst alle USB-Geräte, die nicht zu einer anderen Klasse gehören. Diese Klasse wird nicht für USB-Hostcontroller und -Hubs verwendet.
  • Hardware-ID = USBSTOR\DiskGeneric_Flash_Disk______8.07

Wie in Szenario 4 erwähnt, reicht es nicht aus, nur eine einzelne Hardware-ID zu aktivieren, um einen einzelnen USB-Stick zu aktivieren. Der IT-Administrator muss sicherstellen, dass alle USB-Geräte, die vor dem Zielgerät stehen, nicht ebenfalls blockiert (zulässig) werden. In unserem Fall müssen die folgenden Geräte zugelassen werden, damit auch der ZIEL-USB-Stick zugelassen werden kann:

  • "Intel(R) USB 3.0 eXtensible Host Controller – 1.0 (Microsoft)" –> PCI\CC_0C03
  • "USB Root Hub (USB 3.0)" –> USB\ROOT_HUB30
  • "Generischer USB-Hub" –> USB\USB20_HUB

USB-Geräte, die in der PnP-Struktur geschachtelt sind.
USB-Geräte, die in der PnP-Struktur untereinander geschachtelt sind

Diese Geräte sind interne Geräte auf dem Computer, die die USB-Anschlussverbindung zur Außenwelt definieren. Wenn Sie sie aktivieren, sollte es nicht möglich sein, dass externe/Peripheriegeräte auf dem Computer installiert werden.

Wichtig

Einige Geräte im System verfügen über mehrere Konnektivitätsebenen, um ihre Installation auf dem System zu definieren. USB-Sticks sind solche Geräte. Daher ist es wichtig, den Konnektivitätspfad für jedes Gerät zu verstehen, wenn Sie sie auf einem System blockieren oder zulassen möchten. Es gibt mehrere generische Geräte-IDs, die häufig in Systemen verwendet werden und in solchen Fällen einen guten Start zum Erstellen einer Zulassungsliste bieten könnten. Die Liste finden Sie unten:

PCI\CC_0C03; PCI\CC_0C0330; PCI\VEN_8086; PNP0CA1; PNP0CA1&HOST (für Hostcontroller)/ USB\ROOT_HUB30; USB\ROOT_HUB20 (für USB-Stammhubs)/ USB\USB20_HUB (für generische USB-Hubs)/

Speziell für Desktopcomputer ist es sehr wichtig, alle USB-Geräte aufzulisten, über die Ihre Tastaturen und Mäuse in der obigen Liste verbunden sind. Andernfalls kann ein Benutzer nicht über HID-Geräte auf seinen Computer zugreifen.

Verschiedene PC-Hersteller haben manchmal unterschiedliche Möglichkeiten, USB-Geräte in der PnP-Struktur zu schachteln, aber im Allgemeinen wird dies so gemacht.

Erstellen Sie zunächst die Richtlinie "Klasse verhindern" und dann eine Richtlinie zum Zulassen von Geräten:

  1. Öffnen Sie Gruppenrichtlinie Objekt Editor: Klicken Sie entweder auf die Schaltfläche Start, geben Sie mmc gpedit.msc in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE, oder geben Sie in der Windows-Suche "Gruppenrichtlinie Editor" ein, und öffnen Sie die Benutzeroberfläche.

  2. Navigieren Sie zur Seite Geräteinstallationseinschränkung:

    Computerkonfiguration > Administrative Vorlagen > Systemgeräteinstallation >> Geräteinstallationseinschränkungen

  3. Stellen Sie sicher, dass alle Richtlinien deaktiviert sind.

  4. Öffnen Sie Installation von Geräten mit Treibern verhindern, die dieser Richtlinie für Gerätesetupklassen entsprechen, und wählen Sie das Optionsfeld "Aktivieren" aus.

  5. Klicken Sie unten links im Fenster "Optionen" auf "Anzeigen...". Box. Mit dieser Option gelangen Sie zu einer Tabelle, in der Sie den zu blockierenden Klassenbezeichner eingeben können.

  6. Geben Sie die oben gefundene GUID für beide USB-Klassen mit den geschweiften Klammern ein:

    {36fc9e60-c465-11cf-8056-444553540000}/ {88BAE032-5A81-49f0-BC3D-A4FF138216D6}

  7. Klicken Sie auf "OK".

  8. Klicken Sie unten rechts im Fenster der Richtlinie auf "Übernehmen". Diese Option pusht die Richtlinie und blockiert alle zukünftigen INSTALLATIONEN von USB-Geräten, gilt jedoch nicht für vorhandene Installationen.

    Wichtig

    Im vorherigen Schritt wird verhindert, dass alle zukünftigen USB-Geräte installiert werden. Bevor Sie mit dem nächsten Schritt fortfahren, stellen Sie sicher, dass Sie eine möglichst vollständige Liste aller verfügbaren USB-Hostcontroller, USB-Root Hubs und generischen USB-Hubs-Geräte-IDs haben, um zu verhindern, dass Sie über Tastaturen und Mäuse mit Ihrem System interagieren.

  9. Öffnen Sie die Richtlinie Mehrstufige Auswertungsreihenfolge anwenden für die Richtlinien Zulassen und Verhindern von Geräteinstallationsrichtlinien für alle Geräteübereinstimmungskriterien , und aktivieren Sie sie. Mit dieser Richtlinie können Sie die breite Abdeckung der Richtlinie "Verhindern" mit einem bestimmten Gerät überschreiben.

    Wenden Sie die Mehrschichtreihenfolge der Auswertungsrichtlinie an.
    Anwenden der Mehrschichtreihenfolge der Auswertungsrichtlinie

  10. Öffnen Sie nun Installation von Geräten zulassen, die mit einer dieser Geräte-IDs-Richtlinie übereinstimmen, und wählen Sie das Optionsfeld "Aktivieren" aus.

  11. Klicken Sie unten links im Fenster "Optionen" auf "Anzeigen...". Box. Mit dieser Option gelangen Sie zu einer Tabelle, in der Sie den zuzulassenden Gerätebezeichner eingeben können.

  12. Geben Sie die vollständige Liste der USB-Geräte-IDs ein, die Sie oben gefunden haben, einschließlich des spezifischen USB-Thumb-Laufwerks, das Sie für die Installation autorisieren möchten.USBSTOR\DiskGeneric_Flash_Disk______8.07

    Abbildung einer Beispielliste von Geräten, die für die Richtlinie
    Liste zulässiger USB-Geräte-IDs

  13. Klicken Sie auf "OK".

  14. Klicken Sie unten rechts im Fenster der Richtlinie auf "Übernehmen".

  15. Um die Abdeckung "Verhindern" auf alle derzeit installierten USB-Geräte anzuwenden, öffnen Sie die Richtlinie Installation von Geräten mithilfe von Treibern verhindern, die diesen Gerätesetupklassen entsprechen . Aktivieren Sie im Fenster "Optionen" das Kontrollkästchen "Gilt auch für übereinstimmende Geräte, die bereits installiert sind" und klicken Sie auf "OK".

Testszenario 5

Sie sollten kein USB-Stick mit Ausnahme des usb-Sticks installieren können, den Sie für die Verwendung autorisiert haben.