Existe alguma maneira de controlar as “Restrições de Instalação de Dispositivos” através do Registro (em vez da Política de Grupo) para usuários no Windows Home Editions?

2

Temos restrições de política de grupo para impedir a instalação de determinados IDs de hardware (veja abaixo), mas a política de grupo está disponível apenas para as edições Windows Pro / Ultimate e não para o Windows Home. Examinamos a adição da Diretiva de Grupo ao Windows Home por meio de soluções de terceiros (como a encontrada aqui), mas ela não é uma versão completa atualizada da Diretiva de Grupo e não há opções para "Restrições de instalação de dispositivos" . Também estou um pouco hesitante em implantar soluções de política de grupo de terceiros nas máquinas do meu cliente.

Localização da política de grupo: (Configuração do computador - > Modelos administrativos - > Sistema - > Instalação de dispositivos - > Restrições de instalação de dispositivos - > Impedir a instalação de dispositivos que correspondam a qualquer uma destas IDs de dispositivo)

Procurei obter a mesma funcionalidade por meio do registro e parece que encontrei pelo menos algumas das chaves de registro usadas para controlar isso por meio da Diretiva de Grupo, mas quando as edito manualmente, isso não funciona corretamente. Parte disso pode ter a ver com os GUIDs criados no registro em “Objetos de Diretiva de Grupo” (veja a figura abaixo). Alguém está familiarizado com a criação de objetos de política de grupo por meio do registro e fazendo com que permaneçam persistentes?

            Registry Location shown below: HKCU -> Software -> Microsoft -> Windows -> CurrentVersion -> Group Policy Objects

As chaves que são afetadas pelo padrão "Restrições de instalação de dispositivo de diretiva de grupo" são:

Restrições de instalação de dispositivos: HKCU - > Software - > Microsoft - > Windows - > CurrentVersion - > Objetos de política de grupo - > GUID (não tem certeza de como isso é gerado) - > Software - > Políticas - > Microsoft - > Windows - > DeviceInstall - > Restrições - > DenyDeviceIDs

EDITAR

As chaves reg indicadas abaixo realmente controlam esse conjunto de objetos de política de grupo. Grande ajuda, obrigado!

Curiosamente, quando configuro as chaves reg apropriadas em dois tablets Surface Pro 4 idênticos, posso controlar “Restrições de instalação de dispositivos” em uma máquina que configurei anteriormente “Restrições de instalação de dispositivos” na interface oficial de diretiva de grupo (gpedit ). Definir essas chaves que você referenciou através do Registro e reinicializar (ou executar o gpupdate.exe / force através do Prompt de Comando) funciona e faz com que o dispositivo específico seja ativado / desativado.

Quando eu configuro o mesmo conjunto de chaves em outro Surface Pro 4, que nunca definiu a diretiva de grupo por meio da interface do usuário da Diretiva de Grupo (gpedit), este tablet não refletirá as alterações ao vivo, mesmo após reinicializar ou executar o gpupdate. exe / force. Parece que algo mais pode estar controlando isso? Ambos são Windows Pro, portanto, todos os componentes apropriados da política de grupo devem existir nesta máquina.

Alguma ideia aqui? Parece que existe outra configuração de registro que pode controlar algo aqui?

    
por Dirk 16.03.2017 / 18:09

1 resposta

3

Até onde eu sei, a ramificação Group Policy Objects é apenas um cache dos GPOs ativos. O Windows, na verdade, verifica esse local do Registro para as configurações de política do computador:

HKLM\SOFTWARE\Policies

Para a configuração Impedir a instalação de dispositivos que correspondem a qualquer um desses IDs do dispositivo , a Diretiva de Grupo usa essa chave:

HKLM\Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions

O DenyDeviceIDs DWORD está definido como 1 quando a política é Ativada. O DenyDeviceIDsRetroactive DWORD corresponde à caixa de seleção Também se aplica a dispositivos correspondentes que já estão instalados : 1 para marcado, 0 para não.

As entradas restritas são mantidas em uma subchave de Restrictions que também é denominada DenyDeviceIDs . Um valor nessa chave é uma restrição. O nome de cada valor deve ser o mesmo que os dados.

Dica: encontrei essas informações usando a ferramenta Inspetor de elementos em meu próprio aplicativo de código aberto, Policy Plus .

Você precisará reinicializar para que as alterações entrem em vigor.

Observe que, mesmo se você definir todas as configurações do Registro corretamente, é possível que as edições da Página inicial não as respeitem. A maioria das configurações de Diretiva de Grupo funciona bem em todas as edições, mas há algumas que não funcionam; os componentes que fazem uso deles podem não estar em casa. Se você achar que essas configurações não funcionam, você precisará atualizar para o Pro.

    
por 17.03.2017 / 17:33