Есть ли способ контролировать «Ограничения установки устройства» через реестр (вместо групповой политики) для пользователей в Windows Home Editions?

Question

У нас есть ограничения групповой политики, чтобы предотвратить установку устройства для определенных идентификаторов оборудования (см. Ниже), но групповая политика доступна только для выпусков Windows Pro/Ultimate, но не для Windows Home. Я рассмотрел вопрос о добавлении групповой политики в Windows Home с помощью решений сторонних производителей (например, найденного здесь), однако это не полная актуальная версия групповой политики, в которой отсутствуют параметры «Ограничения при установке устройств». , Я также немного колеблюсь, чтобы развернуть сторонние решения групповой политики на машинах моего клиента.

Расположение групповой политики: (Конфигурация компьютера -> Административные шаблоны -> Система -> Установка устройства -> Ограничения установки устройства -> Запретить установку устройств, соответствующих любому из этих идентификаторов устройств)

Я посмотрел на достижение той же функциональности через реестр и, похоже, нашел по крайней мере некоторые ключи реестра, используемые для управления этим через групповую политику, но когда я вручную их редактирую, он не работает должным образом. Частично это может быть связано с GUID, созданными в реестре в разделе «Объекты групповой политики» (см. Рисунок ниже). Кто-нибудь знаком с созданием объектов групповой политики через реестр и заставляет их оставаться постоянными?

            Registry Location shown below: HKCU -> Software -> Microsoft -> Windows -> CurrentVersion -> Group Policy Objects

Ключи, на которые влияют стандартные «Ограничения установки устройства групповой политики»:

Ограничения установки устройства: HKCU -> Программное обеспечение -> Microsoft -> Windows -> CurrentVersion -> Объекты групповой политики -> GUID (не знаю, как это сгенерировано) -> Программное обеспечение -> Политики -> Microsoft -> Windows -> DeviceInstall -> Ограничения -> DenyDeviceIDs

РЕДАКТИРОВАТЬ

Ключи reg, на которые вы указали ниже, действительно управляют этим набором объектов групповой политики. Большая помощь, спасибо!

Интересно, что когда я настраиваю правильные ключи reg на 2 идентичных планшетах Surface Pro 4, я могу управлять «Ограничениями установки устройств» на одном компьютере, на котором я ранее настраивал «Ограничения установки устройств» через официальный интерфейс групповой политики (gpedit). Установка этих ключей, на которые вы ссылаетесь через реестр, и перезагрузка (или запуск gpupdate.exe /force через командную строку) работают и вызывают включение / отключение определенного устройства.

Когда я настраиваю тот же набор ключей на другом Surface Pro 4, для которого никогда не задавалась групповая политика через пользовательский интерфейс групповой политики (gpedit), этот планшет не будет отражать изменения реестра в реальном времени, даже после перезагрузки или запуска gpupdate.exe /force , Кажется, что-то еще может контролировать это? Оба являются Windows Pro, поэтому все необходимые компоненты групповой политики должны существовать на этом компьютере.

Есть идеи здесь? Кажется, что есть другая настройка реестра, которая может что-то здесь контролировать?

Answer 1

Насколько я могу судить, ветвь Group Policy Objects - это только кеш активных объектов групповой политики. Windows фактически проверяет это местоположение реестра для параметров политики компьютера:

HKLM\SOFTWARE\Policies

Для предотвращения установки устройств, которые соответствуют любому из этих параметров идентификаторов устройств , групповая политика использует этот ключ:

HKLM\Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions

Параметр DWORD DenyDeviceIDs имеет значение 1, когда политика включена. Параметр DenyDeviceIDsRetroactive DWORD соответствует флажку « Также применять к соответствующим устройствам, которые уже установлены» : 1 для проверенного, 0 для нет.

Ограниченные записи хранятся в подразделе Restrictions который также называется DenyDeviceIDs . Одно значение для этого ключа - одно ограничение. Имя каждого значения должно совпадать с его данными.

Совет: я нашел эту информацию с помощью инструмента Element Inspector в моем собственном приложении с открытым исходным кодом, Policy Plus.

Вам нужно будет перезагрузиться, чтобы изменения вступили в силу.

Обратите внимание, что даже если вы правильно настроите все параметры реестра, вполне возможно, что домашние выпуски могут их не соблюдать. Большинство параметров групповой политики прекрасно работают во всех выпусках, но есть некоторые, которые этого не делают; Компоненты, которые их используют, могут отсутствовать в Home. Если вы обнаружите, что эти настройки не работают, вам нужно перейти на Pro.