Головна » школа » Використання редактора групової політики для налаштування комп'ютера

    Використання редактора групової політики для налаштування комп'ютера

    У сьогоднішньому уроці Geek School ми розповімо, як використовувати редактор локальної групової політики для внесення змін до вашого ПК, які не доступні будь-яким іншим способом.

    ШКОЛА НАВІГАЦІЇ
    1. Використання планувальника завдань для запуску процесів пізніше
    2. Використання засобу перегляду подій для усунення неполадок
    3. Розуміння розділів жорсткого диска за допомогою керування дисками
    4. Навчитися використовувати редактор реєстру, як Pro
    5. Моніторинг комп'ютера за допомогою монітора ресурсів і диспетчера завдань
    6. Розуміння панелі властивостей Advanced System
    7. Розуміння та керування службами Windows
    8. Використання редактора групової політики для налаштування комп'ютера
    9. Розуміння інструментів адміністрування Windows

    Слід зауважити, що редактор групової політики доступний лише в про-версіях Windows - Home або Home Premium, користувачі не матимуть доступу до неї. Проте варто дізнатися про це.

    Групова політика - це дійсно потужний спосіб налаштувати корпоративну мережу, коли кожен з комп'ютерів заблокований, тому користувачі не можуть зіпсувати їх із небажаними змінами та зупинити їх від запуску несанкціонованого програмного забезпечення..

    У домашньому середовищі, однак, ви, ймовірно, не захочете встановлювати обмеження довжини пароля або змушувати себе змінювати пароль. Можливо, вам не знадобиться блокувати машини лише для запуску окремих схвалених виконуваних файлів.

    Існує багато інших речей, які можна налаштувати, наприклад, вимкнення функцій Windows, які вам не подобаються, блокування запуску деяких програм або створення сценаріїв, які виконуються під час входу в систему або виходу з системи.

    Розуміння інтерфейсу

    Інтерфейс дуже схожий на будь-який інший інструмент адміністрування - деревопоказ ліворуч дозволяє шукати параметри в ієрархічній структурі папок, є список налаштувань і панель попереднього перегляду, яка надає додаткову інформацію про конкретну установку.

    Є дві папки верхнього рівня, які мають знати про:

    • Конфігурація комп'ютера - містить налаштування, які застосовуються до комп'ютерів незалежно від того, який користувач входить до системи.
    • Конфігурація користувача - містить налаштування, які застосовуються до облікових записів користувачів.

    Під кожною з цих папок є декілька папок, які дозволяють деталізувати доступні налаштування:

    • Параметри програмного забезпечення - ця папка призначена для конфігурацій, пов'язаних із програмним забезпеченням, і за замовчуванням по замовчуванню на клієнтських Windows.
    • Параметри Windows - ця папка містить параметри безпеки та сценарії для входу в систему / виходу з системи та запуску / завершення роботи.
    • Адміністративні шаблони - ця папка містить конфігурації на основі реєстру, які, по суті, є швидким способом налаштування параметрів на вашому комп'ютері або для облікового запису користувача. Є багато доступних налаштувань.

    Налаштування правил безпеки

    Якщо ви двічі клацнете на пункті "Запобігання доступу до командного рядка" з наведеного вище скріншота, вам буде показано вікно, яке виглядає так, - фактично, більшість налаштувань у розділі Адміністративні шаблони буде виглядати. подібні.

    Це налаштування дозволить вам заблокувати доступ до командного рядка для користувачів на ПК. Ви також можете налаштувати параметри в діалоговому вікні, щоб заблокувати також пакетні файли.

    Інший параметр у цій же папці дозволяє створити налаштування для "Запустити лише вказані програми Windows" - ви зможете налаштувати параметр на "Увімкнено", а потім надати список дозволених програм. Все інше буде заблоковано.

    У цьому випадку, якщо ви хочете запустити програму, якої немає в списку, ви отримаєте повідомлення про помилку, подібне до цього.

    Варто зауважити, що втручання з такими правилами може заблокувати вас від комп'ютера, якщо ви зробите щось не так, будьте обережні.

    Налаштування параметрів UAC для безпеки

    У розділі Конфігурація комп'ютера -> Параметри Windows -> Параметри безпеки -> Локальні політики -> Папка "Параметри безпеки" ви знайдете купу цікавих налаштувань, щоб зробити ваш комп'ютер більш безпечним.

    Першу опцію можна знайти в цій папці як пункт "Керування обліковими записами користувачів: поведінка адміністраторів", і якщо ви оберете "Запитувати облікові дані на захищеному робочому столі", це змусить вас (або іншого користувача) введіть пароль у будь-який час, коли ви намагаєтеся запустити щось у режимі адміністратора.

    Ця опція робить роботу Windows більш схожою на Linux або Mac, де вас просять надати пароль у будь-який час, коли потрібно внести зміни, і оскільки Secure Desktop не дозволяє жодним іншим програмам переривати діалог, це набагато більше. безпечно.

    Інші корисні опції:

    • Контроль облікових записів користувачів: лише підняти виконувані файли, які підписані та перевірені - цей параметр забороняє програми, які не мають цифрового підпису, працювати як адміністратор.
    • Консоль відновлення, що дозволяє автоматично входити в адміністративні системи - коли потрібно використовувати консоль відновлення для виконання системних завдань, зазвичай потрібно надати пароль адміністратора. Якщо ви забули цей пароль, це дозволить вам легше скинути його. (А оскільки ви можете легко знищити пароль Windows, це не дуже безпечно).

    Варто зазначити, що багато політик у списку фактично не застосовуються до кожної версії Windows. Наприклад, на скріншоті нижче, параметр "Видалити піктограму моїх документів" доступний лише для Windows XP і 2000 року. Деякі інші правила скажуть "Принаймні Windows XP" або щось подібне, що означатиме, що вони продовжуватимуть працювати на всі версії.

    У редакторі групової політики існує величезна кількість налаштувань, тому, якщо вам цікаво, варто витратити деякий час на перегляд їх. Більшість налаштувань дозволяють вимкнути функції Windows, які вам особливо не подобаються - дуже мало хто надає вам функціональність, яку ви не мали за замовчуванням.

    Налаштування скриптів для запуску під час входу в систему, виходу з системи, запуску або завершення роботи

    Ще одним прикладом того, що ви можете зробити лише за допомогою редактора групової політики, є налаштування сценарію виходу або завершення роботи кожного разу, коли ви перезавантажуєте комп'ютер.

    Це може бути дійсно корисним для очищення вашої системи або швидкого резервного копіювання певних файлів кожного разу, коли ви вимикаєтесь, а також можете використовувати пакетні файли або навіть сценарії PowerShell. Єдине застереження полягає в тому, що ці скрипти повинні працювати тихо або вони заблокують процес виходу.

    Існує два типи сценаріїв, які можна запускати.

    • Сценарії запуску / вимикання - ці скрипти можна знайти в розділі "Конфігурація комп'ютера" -> "Налаштування Windows" -> "Сценарії" і буде запущено в обліковому записі "Локальна система", щоб вони могли маніпулювати системними файлами, але не працюватимуть як обліковий запис користувача.
    • Сценарії входу / виходу з системи - ці сценарії знаходяться в розділі Конфігурація користувача -> Налаштування Windows -> Сценарії і будуть запущені під вашим обліковим записом користувача.

    Варто зауважити, що сценарії входу в систему та виходу з системи не дозволяють запускати утиліти, які потребують доступу адміністратора, якщо у вас повністю відключено UAC.

    Для сьогоднішнього прикладу ми зробимо сценарій виходу із заголовка до Конфігурації користувача -> Параметри Windows -> Сценарії і двічі клацнувши на Logoff.

    У вікні Властивості виходу можна додати декілька скриптів виходу з системи.

    Можна також налаштувати сценарії PowerShell.

    Дуже важливо відзначити, що ваші сценарії повинні бути в певній папці, щоб вони могли працювати належним чином.

    Сценарії входу та виходу з системи повинні бути у таких папках:

    • C: Windows System32 GroupPolicy Скрипти користувача Вихід
    • C: Windows System32 GroupPolicy Користувальницькі скрипти Logon

    Хоча сценарії запуску та завершення роботи повинні бути в цих папках:

    • C: Windows System32 GroupPolicy Машинні скрипти Shutdown
    • C: Windows System32 GroupPolicy Машинні скрипти Запуск

    Після того, як ви налаштували сценарій виходу з системи, ви можете перевірити його - ми налаштували простий скрипт, який створив текстовий файл на робочому столі, а потім вийшов і знову увійшов. Але ви можете змусити його зробити все, що ви хотіли.

    І, звичайно, якщо ви замість цього виконували сценарій входу, це могло б запустити програми.

    Важливо відзначити, що якщо ваш скрипт пропонує користувачеві введення, Windows буде зависати під час вимкнення або виходу з системи за 10 хвилин до того, як скрипт буде знищено, а Windows може перезавантажитися. Це те, що ви повинні обов'язково мати на увазі при розробці сценарію.

    Групова політика тут не закінчується

    Ми просто подряпали поверхню за те, що дійсно може зробити групова політика, і в корпоративному середовищі це один з найпотужніших і важливих інструментів у вашому розпорядженні. Оскільки ця серія не стосується користувачів ІТ, ми не підемо на все інше, але варто проводити дослідження самостійно.