Folosind Editorul de politici de grup pentru a personaliza PC-ul

În lecția de școală Geek din ziua de astăzi, vom explica modul de utilizare a editorului politicii locale de grup pentru a face modificări pe PC-ul dvs., care nu sunt disponibile în niciun alt mod.

ȘCOALĂ NAVIGAȚIE

1. Utilizarea programatorului de activități pentru a rula procesele mai târziu
2. Utilizarea Vizualizatorului de evenimente pentru depanarea problemelor
3. Înțelegerea partiționării pe hard disk cu gestionarea discurilor
4. Învățați să utilizați Editorul de registri ca un pro
5. Monitorizarea PC-ului cu Monitorul Resurse și Manager de activități
6. Înțelegerea panoului Proprietăți avansate ale sistemului
7. Înțelegerea și gestionarea serviciilor Windows
8. Folosind Editorul de politici de grup pentru a personaliza PC-ul
9. Înțelegerea instrumentelor de administrare Windows

Trebuie să reținem că editorul de politică de grup este disponibil numai în versiunile Pro pentru Windows - utilizatorii Home sau Home Premium nu vor avea acces la acesta. Încă merită să învățați despre asta.

Politicile de grup reprezintă o modalitate extrem de puternică de a configura o rețea corporativă cu fiecare dintre calculatoarele blocate, astfel încât utilizatorii să nu le poată împovăra cu modificări nedorite și să îi împiedice să ruleze software neaprobat, printre multe alte utilizări.

În mediul de acasă, cu toate acestea, probabil că nu veți dori să setați restricții privind lungimea parolei sau să vă forțați să schimbați parola. Și probabil că nu va trebui să blocați mașinile pentru a rula doar executabile specifice aprobate.

Există însă multe alte lucruri pe care le puteți configura, de exemplu, cum ar fi dezactivarea caracteristicilor Windows pe care nu le placiți, blocarea anumitor aplicații de la rulare sau crearea de script-uri care se execută în timpul Logon sau Logoff.

Înțelegerea interfeței

Interfața este foarte asemănătoare cu orice alt instrument de administrare - vizualizarea arborescentă din stânga vă permite să căutați setări într-o structură de directoare ierarhică, există o listă de setări și un panou de previzualizare care vă oferă mai multe informații despre setarea particulară.

Există două dosare de nivel superior pentru a fi conștiente de:

• Configurarea calculatorului - deține setările care sunt aplicate computerelor, indiferent de ce utilizatori se conectează.
• Configurarea utilizatorului - deține setările care sunt aplicate conturilor de utilizator.

Sub fiecare dintre aceste foldere există câteva foldere care vă permit să efectuați mai multe descoperiri în setările disponibile:

• Setări software - acest director este destinat configurațiilor software și este gol în mod implicit pe Windows client.
• Setări Windows - acest dosar conține setări de securitate și scripturi pentru conectare / deconectare și pornire / oprire.
• Șabloane de administrare - acest dosar conține configurații bazate pe registru, care reprezintă, în esență, o modalitate rapidă de a modifica setările pe computer sau pentru contul dvs. de utilizator. Există o mulțime de setări disponibile.

Ajustarea regulilor de securitate

Dacă ați face dublu clic pe elementul "Preveniți accesul la linia de comandă" din captura de ecran de mai sus, vi s-ar prezenta o fereastră care arată ca aceasta - de fapt, majoritatea setărilor din Șabloane de administrare se vor uita similare.

Această setare particulară vă va permite să blocați accesul la linia de comandă pentru utilizatorii de pe PC. De asemenea, puteți configura setările din interiorul dialogului pentru a bloca și fișierele batch.

O altă opțiune din același folder vă permite să creați o setare pentru "Executați numai aplicații Windows specificate" - ați configura configurarea la Enabled și apoi să furnizați o listă de aplicații permise. Orice altceva ar fi blocat de la rulare.

În acest caz, dacă ați rula o aplicație care nu se află pe listă, veți primi un mesaj de eroare ca acesta.

Merită remarcat că dezordinea cu reguli de genul asta ar putea să te blocheze de pe PC dacă faci ceva greșit, deci ai grijă.

Confirmați setările UAC pentru securitate

În fereastra Configurare computer -> Setări Windows -> Setări de securitate -> Politică locală -> Opțiuni securitate, veți găsi o grămadă de setări interesante pentru a vă face computerul mai sigur.

Prima opțiune poate fi găsită în acel folder ca elementul "Controlul contului de utilizator: Comportamentul promptului pentru elevație pentru administratori" și dacă alegeți "Solicitare pentru acreditări pe desktop securizat", vă va obliga (sau pe alt utilizator) să introduceți parola oricând încercați să rulați ceva în modul administrator.

Această opțiune face Windows să funcționeze mai mult ca Linux sau Mac, unde vi se cere să vă furnizați parola ori de câte ori aveți nevoie pentru a face o schimbare și deoarece Desktop-ul Secure nu permite altor aplicații să se împacă cu dialogul, este mult mai mult sigur.

Alte opțiuni utile:

• Controlul contului de utilizator: Executați numai executabile care sunt semnate și validate - această opțiune interzice ca aplicațiile care nu sunt semnate digital să fie difuzate ca administratori.
• Consola de recuperare, permite conectarea automată administrativă - când trebuie să utilizați consola de recuperare pentru a efectua sarcini de sistem, în general, trebuie să furnizați parola de administrator. Dacă ați uitat acea parolă, acest lucru vă va permite să intrați mai ușor în resetare. (Și din moment ce puteți șterge cu ușurință o parolă Windows, nu este cu adevărat mai puțin sigur).

Un lucru care merită menționat este că multe dintre politicile din listă nu se aplică în mod efectiv la fiecare versiune Windows. De exemplu, în ecranul de mai jos, setarea "Eliminați Documentele mele" este disponibilă numai pentru Windows XP și 2000. Anumite alte politici vor spune "Cel puțin Windows XP" sau ceva de genul acesta, ceea ce ar însemna că va continua să lucreze la toate versiunile.

Există un număr enorm de setări în editorul de politici de grup, deci este cu siguranță merită să vă petreceți ceva timp în căutarea prin ele dacă sunteți curios.Majoritatea setărilor vă permit să dezactivați funcțiile Windows pe care nu le place foarte mult - foarte puține vă oferă funcționalități pe care nu le-ați avut în mod implicit.

Configurarea script-urilor pentru a rula la Logon, Logoff, Startup sau Shutdown

Un alt exemplu de lucru pe care îl puteți face numai utilizând editorul de politică de grup este setarea unui script de dezactivare sau de închidere pentru a rula de fiecare dată când reporniți calculatorul.

Acest lucru poate fi cu adevărat util pentru curățarea sistemului sau efectuarea unei copii rapide de siguranță a anumitor fișiere de fiecare dată când închideți și puteți utiliza fișiere batch sau chiar scripturi PowerShell pentru oricare dintre acestea. Singurul avertisment este că aceste scripturi trebuie să ruleze în tăcere sau vor bloca procesul de logare.

Există două tipuri diferite de script-uri pe care le puteți rula.

• Scripturi de pornire / oprire - aceste scripturi se găsesc sub Computer Configuration -> Windows Settings -> Scripts și vor fi difuzate în contul Local System, astfel încât să poată manipula fișierele de sistem, dar nu vor fi difuzate ca cont de utilizator.
• Logon / Logoff Scripts - aceste scripturi sunt găsite în Configurare utilizator -> Setări Windows -> Scripturi și vor fi difuzate în contul dvs. de utilizator.

Merită menționat faptul că script-urile de conectare și logare nu vă vor lăsa să executați utilitare care necesită acces la administratori, cu excepția cazului în care aveți UAC complet dezactivat.

Pentru exemplul de astăzi, vom face un script de deplasare, îndreptându-se spre Configurație utilizator -> Setări Windows -> Scripturi și dublu clic pe Logoff.

Fereastra de proprietăți Logoff vă permite să adăugați mai multe scripturi de logare pentru a rula.

Puteți, de asemenea, să configurați scripturile PowerShell.

Lucrul cu adevărat important de observat aici este că script-urile dvs. trebuie să fie într-un anumit dosar pentru ca aceștia să funcționeze corect.

Scripturile de conectare și logare vor trebui să fie în următoarele dosare:

• C: \ Windows \ System32 \ GroupPolicy \ utilizator \ Scripts \ Logoff
• C: \ Windows \ System32 \ GroupPolicy \ utilizator \ scripts \ Logon

În timp ce Scripturile de pornire și închidere vor trebui să fie în aceste dosare:

• C: \ Windows \ System32 \ GroupPolicy \ mașină \ Scripts \ Shutdown
• C: \ Windows \ System32 \ GroupPolicy \ mașină \ Scripts \ Startup

Odată ce ați configurat scriptul de logare, puteți să-l testați - vom configura un script simplu care a creat un fișier text pe desktop și apoi logat off și înapoi. Dar ai putea să faci tot ce ai vrut.

Și, bineînțeles, dacă ați face un script de conectare în loc, ar putea lansa de fapt aplicații.

Un lucru important este faptul că dacă scriptul dvs. solicită introducerea de către utilizator, Windows se va agăța în timpul opririi sau dezactivării timp de 10 minute înainte ca scriptul să fie ucis și Windows să se repornească. Acesta este un lucru pe care trebuie să-l țineți minte când vă proiectați scenariul.

Politica de grup nu se termină aici

Tocmai am zgâriat suprafața pentru ceea ce face politica de grup și într-un mediu corporativ este unul dintre cele mai puternice și mai importante instrumente de care aveți la dispoziție. Din moment ce această serie nu este despre utilizatorii IT, nu vom merge în restul, dar merită să faceți niște cercetări pe cont propriu.