Utilizând Editorul de politici de grup pentru a personaliza PC-ul
În lecția de școală Geek de astăzi, vom explica modul de utilizare a editorului politicii locale de grup pentru a face modificări pe PC-ul dvs., care nu sunt disponibile în nici un alt mod.
ȘCOLAREA NAVIGAȚIEI- Folosind Planificatorul de sarcini pentru a rula procesele mai târziu
- Utilizarea Vizualizatorului de evenimente pentru depanarea problemelor
- Înțelegerea partiționării pe hard disk cu gestionarea discurilor
- Învățați să utilizați Editorul de registry ca un pro
- Monitorizarea PC-ului cu monitorizarea resurselor și Manager de activități
- Înțelegerea panoului Proprietăți avansate a sistemului
- Înțelegerea și gestionarea serviciilor Windows
- Utilizând Editorul de politici de grup pentru a personaliza PC-ul
- Înțelegerea instrumentelor de administrare Windows
Trebuie să remarcăm că editorul de politici de grup este disponibil numai în versiunile Pro pentru Windows - utilizatorii Home sau Home Premium nu vor avea acces la acesta. Încă merită să învățați despre asta.
Politicile de grup reprezintă o modalitate extrem de puternică de a configura o rețea corporatistă cu fiecare dintre calculatoarele blocate, astfel încât utilizatorii să nu le poată împovăra cu modificări nedorite și să îi împiedice să ruleze software neaprobat, printre multe alte utilizări.
În mediul de acasă, cu toate acestea, probabil că nu veți dori să setați restricții privind lungimea parolei sau să vă forțați să schimbați parola. Și probabil că nu va trebui să blocați mașinile pentru a rula numai executabile specifice aprobate.
Există multe alte lucruri pe care le puteți configura, de exemplu, cum ar fi dezactivarea caracteristicilor Windows pe care nu le plac, blocarea anumitor aplicații de la executare sau crearea de script-uri care se execută în timpul Logon sau Logoff.
Înțelegerea interfeței
Interfața este foarte asemănătoare cu orice alt instrument de administrare - vizualizarea arborescentă din stânga vă permite să căutați setări într-o structură de directoare ierarhică, există o listă de setări și un panou de previzualizare care vă oferă mai multe informații despre setarea particulară.
Există două dosare de nivel superior pentru a fi conștiente de:
- Configurarea calculatorului - ține setările care sunt aplicate pe computere, indiferent de ce utilizator se loghează.
- Configurarea utilizatorului - ține setările care se aplică conturilor de utilizator.
Sub fiecare dintre aceste dosare există câteva foldere care vă permit să efectuați mai multe descoperiri în setările disponibile:
- Setări software - acest director este destinat pentru configurații legate de software și este gol în mod implicit pe Windows client.
- Setări Windows - acest dosar conține setări de securitate și scripturi pentru conectare / deconectare și pornire / oprire.
- Șabloane de administrare - acest dosar conține configurații bazate pe registru, care sunt, în esență, o modalitate rapidă de modificare a setărilor pe computer sau pentru contul de utilizator. Există o mulțime de setări disponibile.
Ajustarea regulilor de securitate
Dacă faceți dublu clic pe elementul "Preveniți accesul la linia de comandă" din captura de ecran de mai sus, vi se va afișa o fereastră care arată ca aceasta - de fapt, majoritatea setărilor din Șabloane de administrare se vor uita asemănător.
Această setare particulară vă va permite să blocați accesul la linia de comandă pentru utilizatorii de pe PC. De asemenea, puteți configura setările din interiorul dialogului pentru a bloca și fișierele batch.
O altă opțiune din același folder vă permite să creați o setare pentru "Rulați numai aplicațiile Windows specificate" - ați configura configurarea la Enabled și apoi să furnizați o listă de aplicații permise. Orice altceva ar fi blocat de la rulare.
În acest caz, dacă ați rula o aplicație care nu este pe listă, ați primi un mesaj de eroare ca acesta.
Merită remarcat că dezordinea cu astfel de reguli vă poate bloca PC-ul dacă faceți ceva greșit, așa că aveți grijă.
Confirmați setările UAC pentru securitate
În fereastra Configurare computer -> Setări Windows -> Setări de securitate -> Politici locale -> Dosar securitate, veți găsi o grămadă de setări interesante pentru a vă face computerul mai sigur.
Prima opțiune poate fi găsită în acel folder ca elementul "Controlul contului de utilizator: comportamentul promptului de elevare pentru administratori" și dacă alegeți "Solicitați informații de acreditare pe desktop securizat", vă va obliga (sau alt utilizator) să introduceți parola oricând încercați să executați ceva în modul administrator.
Această opțiune face ca Windows să funcționeze mai mult ca Linux sau Mac, unde vi se cere să vă furnizați parola ori de câte ori aveți nevoie pentru a face o schimbare și deoarece Desktop-ul Secure nu permite altor aplicații să se împacă cu dialogul, este mult mai mult sigur.
Alte opțiuni utile:
- Controlul contului de utilizator: să ridice doar executabile care sunt semnate și validate - această opțiune interzice ca aplicațiile care nu sunt semnate digital să fie difuzate ca administratori.
- Consola de recuperare, permite conectarea automată administrativă - când trebuie să utilizați consola de recuperare pentru a efectua sarcini de sistem, trebuie să furnizați în general parola de administrator. Dacă ați uitat parola, acest lucru v-ar permite să intrați mai ușor în resetare. (Și din moment ce puteți șterge cu ușurință o parolă Windows, nu este cu adevărat mai puțin sigur).
Un lucru care merită menționat este că multe dintre politicile din listă nu se aplică în mod real la fiecare versiune Windows. De exemplu, în ecranul de mai jos, setarea "Eliminați documentele mele" este disponibilă numai pentru Windows XP și 2000. Anumite alte politici vor spune "Cel puțin Windows XP" sau ceva similar, ceea ce ar însemna că va continua să lucreze toate versiunile.
Există un număr enorm de setări în editorul de politici de grup, deci merită să vă petreceți ceva timp în căutarea prin ele dacă sunteți curios. Majoritatea setărilor vă permit să dezactivați funcțiile Windows pe care nu le place foarte mult - foarte puține vă oferă funcționalități pe care nu le-ați avut implicit.
Configurarea script-urilor care se execută la conectare, deconectare, pornire sau oprire
Un alt exemplu de lucru pe care îl puteți face numai utilizând editorul de politici de grup este setarea unui script de dezactivare sau de închidere pentru a rula de fiecare dată când reporniți calculatorul.
Acest lucru poate fi cu adevărat util pentru curățarea sistemului sau efectuarea unei copii rapide de siguranță a anumitor fișiere de fiecare dată când închideți și puteți utiliza fișiere batch sau chiar scripturi PowerShell pentru oricare dintre ele. Singurul avertisment este că aceste scripturi trebuie să ruleze în tăcere sau vor bloca procesul de logare.
Există două tipuri diferite de script-uri pe care le puteți rula.
- Scripturi de pornire / oprire - aceste scripturi se găsesc sub Computer Configuration -> Windows Settings -> Scripts și vor fi difuzate sub contul Local System, astfel încât să poată manipula fișierele de sistem, dar nu vor fi difuzate ca cont de utilizator.
- Logon / Logoff Scripts - aceste scripturi sunt găsite sub Configurare utilizator -> Setări Windows -> Scripturi și vor fi difuzate în contul dvs. de utilizator.
Merită să rețineți că script-urile de conectare și de logare nu vă vor lăsa să executați utilitare care necesită acces la administratori, cu excepția cazului în care aveți UAC complet dezactivat.
Pentru exemplul de astăzi, vom face un script de deplasare, îndreptându-se spre Configurație utilizator -> Setări Windows -> Scripturi și dublu clic pe Logoff.
Fereastra de proprietăți Logoff vă permite să adăugați mai multe scripturi de logare pentru a rula.
De asemenea, puteți configura script-ele PowerShell în schimb.
Lucrul cu adevărat important de observat aici este că scripturile dvs. trebuie să fie într-un anumit dosar pentru ca aceștia să funcționeze corect.
Scripturile de conectare și logare vor trebui să fie în următoarele dosare:
- C: \ Windows \ System32 \ GroupPolicy \ utilizator \ Scripts \ Logoff
- C: \ Windows \ System32 \ GroupPolicy \ utilizator \ scripts \ Logon
În timp ce Scripturile de pornire și oprire vor trebui să fie în următoarele dosare:
- C: \ Windows \ System32 \ GroupPolicy \ mașină \ Scripts \ Shutdown
- C: \ Windows \ System32 \ GroupPolicy \ mașină \ Scripts \ Startup
Odată ce ați configurat scriptul de logare, puteți să-l testați - vom configura un script simplu care a creat un fișier text pe desktop și apoi logat off și înapoi. Dar ai putea face ceea ce ai vrut.
Și, bineînțeles, dacă ați face un script de conectare în loc, ar putea lansa de fapt aplicații.
Un lucru important este faptul că dacă script-ul dvs. solicită introducerea de către utilizator, Windows se va agăța în timpul opririi sau dezactivării timp de 10 minute înainte ca scriptul să fie ucis și Windows să se repornească. Acesta este un lucru pe care trebuie să-l țineți minte când vă proiectați scenariul.
Politica de grup nu se termină aici
Tocmai am zgâriat suprafața pentru ceea ce face politica de grup și într-un mediu de domeniu corporativ este unul dintre cele mai puternice și mai importante instrumente de care aveți la dispoziție. Din moment ce această serie nu este despre utilizatorii IT, nu vom merge în restul, dar merită să faceți niște cercetări pe cont propriu.