На сьогоднішньому уроці ми побачимо, як користуватися редактором локальної групової політики, прихованим і дуже повним розділом Windows, з якого можна внести багато змін на ПК, які в іншому випадку були б можливі лише змінивши складніші ключі реєстру. Редактор групової політики доступний лише у версіях Pro Windows та відсутній у домашній та преміум версіях.
Однак ви можете завантажити та встановити gpedit.msc у Windows 10, 7 та 8 Home.
Як правило, немає ніяких причин торкатися цих групових політик на домашньому ПК, але все одно важливо знати, як отримати доступ до них і що ви можете зробити, щоб не бути непідготовленими, якщо потрібні зміни.
Наприклад, групова політика корисна для налаштування безпеки в корпоративній мережі для блокування певних змін на всіх комп’ютерах або для запобігання користувачам запуску неприйнятого програмного забезпечення.
Щоб відкрити редактор групової політики в Windows, потрібно відкрити вікно Run, натиснувши клавіші Windows-R, а потім записати та запустити команду gpedit.msc .
Відкриється вікно схоже на будь-який інший інструмент адміністрування, з ієрархічним деревом папок, у кожному з яких є багато налаштувань.
Налаштувань дійсно багато, але все ще докладно описано.
Є дві основні папки: Конфігурація комп’ютера з налаштуваннями, які впливають на поведінку системи для всіх користувачів, і Конфігурація користувача, щоб змінити поведінку Windows на основі користувача, який ним користується.
Нижче двох основних папок - три розділи:
- Параметри програмного забезпечення, де можна створити нові індивідуальні конфігурації.
- Налаштування Windows - це папка, яка містить налаштування безпеки та сценарій запуску / зупинки.
- Адміністративні моделі, з конфігураціями на основі реєстру, що є частиною, в яку простіше втручатися, маючи багато варіантів.
Налаштування безпеки (кілька прикладів)
Щоб навести приклад того, що можна зробити для обмеження захисту комп’ютера на рівні користувача, перейдіть у розділ Конфігурація користувача -> Адміністративні шаблони -> Система та двічі клацніть на налаштуваннях " Запобігти доступу до командного рядка ".
У вікні, що відкриється, ви можете активувати елемент керування, а потім натиснути Застосувати, щоб заблокувати доступ до командного рядка для всіх користувачів ПК.
Інший варіант у цій же папці дозволяє створити, які програми можна відкрити на вашому комп’ютері.
Двічі клацніть на « Запустити лише вказані програми Windows », увімкніть, а потім вкажіть, які програми дозволяти.
Все інше зараз заблоковано.
У розділі Конфігурація комп'ютера -> Налаштування Windows -> Налаштування безпеки -> Локальна політика -> Папка Параметри безпеки, ви знайдете безліч корисних налаштувань, щоб зробити комп'ютер трохи безпечнішим.
Наприклад, ви можете перейменувати обліковий запис адміністратора та обліковий запис гостя, а також можете активувати запит на вхід в " Контроль облікових записів користувачів: поведінка запиту про підвищення пільг для адміністраторів ", щоб просити кожного разу вводити пароль. ви намагаєтесь щось зробити в режимі адміністратора.
Завдяки цій опції Windows стає більш захищеною та схожою на Linux та Mac, де вас вимагають вводити свій пароль щоразу, коли вам потрібно внести зміни.
При керуванні обліковим записом користувача: піднімає лише підписані та перевірені виконувані файли, програми, які не мають цифрового підпису, запускаються як адміністратор.
Консоль відновлення, дозвольте автоматичному доступу адміністратора не мати запитів на пароль при використанні консолі відновлення для виконання системних операцій.
Як ви помітите, у редакторі групової політики існує величезна кількість налаштувань, тому з цікавості, безумовно, варто витратити трохи часу на їх перегляд.
Більшість налаштувань дозволяють вимкнути функції Windows, які ви не хочете використовувати.
Варто зазначити, що багато політик у списку не стосуються всіх версій Windows.
Ще одним прикладом того, що можна зробити лише за допомогою редактора групової політики, є створення сценарію, який запускається після виходу з системи або після відключення, щоразу при перезавантаженні ПК.
Це може бути корисно для очищення вашої системи або створення швидкої резервної копії деяких файлів кожного разу, коли ви вимикаєте комп'ютер, і ви можете використовувати пакетні файли або навіть сценарії PowerShell для обох.
Єдине застереження полягає в тому, що ці сценарії потрібно запускати у фоновому режимі, або процес виходу з системи буде заблокований.
Є два різних типи сценаріїв, які можна запустити.
Сценарій запуску / зупинки в Конфігурація комп'ютера -> Налаштування Windows -> Сценарій і працюватиме під локальним обліковим записом системи, щоб вони могли маніпулювати системними файлами, але не працюватимуть як обліковий запис користувача.
Сценарій входу / виходу в конфігурацію користувача -> Налаштування Windows -> Сценарій .
Сценарії входу та виходу не дозволяють запускати команди, які потребують доступу адміністратора, якщо повністю відключений UAC.
Варто зазначити, що такі ж операції можна запланувати в планувальнику, одному з інструментів адміністрування на панелі керування, набагато простіше у використанні.
Редактор групової політики настільки багатий, що неможливо знайти повне та всебічне керівництво про те, що найкраще редагувати.
В інших статтях я поставив їх під сумнів щодо:
- Як відключити Skydrive в Windows 8.1 (або приховати його)
- Активуйте Bitlocker в Windows 7
- Активуйте режим підприємства в Internet Explorer 11
- Вимкнути управління UAC у Windows 7 та 8
