W dzisiejszej lekcji zobaczymy, jak korzystać z edytora lokalnych zasad grupy, ukrytej i bardzo pełnej sekcji systemu Windows, w której można wprowadzić wiele zmian na komputerze, które w przeciwnym razie byłyby możliwe tylko poprzez modyfikację bardziej skomplikowanych kluczy rejestru. Edytor zasad grupy jest dostępny tylko w wersjach Pro systemu Windows i jest nieobecny w wersjach Home i Premium.
Możesz jednak pobrać i zainstalować gpedit.msc na Windows 10, 7 i 8 Home.
Zasadniczo nie ma powodu, aby dotykać tych zasad grupy na komputerze domowym, ale nadal ważne jest, aby wiedzieć, jak uzyskać do nich dostęp i co możesz zrobić, aby nie być nieprzygotowanym na wypadek konieczności zmiany.
Na przykład zasady grupy są przydatne do konfigurowania zabezpieczeń w sieci firmowej w celu blokowania niektórych zmian na wszystkich komputerach lub zapobiegania uruchamianiu przez użytkowników niezatwierdzonego oprogramowania.
Aby otworzyć edytor zasad grupy w systemie Windows, musisz otworzyć okno Uruchom, naciskając klawisze Windows-R, a następnie napisz i uruchom polecenie gpedit.msc .
Okno, które zostanie otwarte, jest podobne do każdego innego narzędzia administracyjnego, z hierarchicznym drzewem folderów, z których każde zawiera wiele ustawień.
Ustawienia są naprawdę liczne, ale nadal szczegółowo opisane.
Istnieją dwa główne foldery: Konfiguracja komputera z ustawieniami wpływającymi na zachowanie systemu dla wszystkich użytkowników oraz Konfiguracja użytkownika, aby zmienić zachowanie systemu Windows w zależności od użytkownika, który go używa.
Poniżej dwóch głównych folderów znajdują się trzy sekcje:
- Ustawienia oprogramowania, w których można tworzyć nowe niestandardowe konfiguracje.
- Ustawienia systemu Windows to folder zawierający ustawienia zabezpieczeń i skrypt start / stop.
- Modele administracyjne z konfiguracjami opartymi na rejestrze, które są częścią, na której łatwiej jest interweniować, z wieloma dostępnymi opcjami.
Ustawienia bezpieczeństwa (kilka przykładów)
Aby podać przykład ograniczenia bezpieczeństwa komputera na poziomie użytkownika, przejdź do Konfiguracja użytkownika -> Szablony administracyjne -> System i kliknij dwukrotnie ustawienie „ Zapobiegaj dostępowi do wiersza polecenia ”.
W oknie, które zostanie otwarte, możesz aktywować kontrolę, a następnie nacisnąć Zastosuj, aby zablokować dostęp do wiersza poleceń wszystkim użytkownikom komputera.
Inna opcja w tym samym folderze umożliwia utworzenie wyboru programów, które można otworzyć na komputerze.
Kliknij dwukrotnie „ Uruchom tylko określone aplikacje systemu Windows ”, włącz, a następnie wskaż, które programy mają być dozwolone.
Cała reszta jest teraz zablokowana.
W obszarze Konfiguracja komputera -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady lokalne -> Folder opcji zabezpieczeń znajdziesz wiele przydatnych ustawień, aby uczynić komputer nieco bezpieczniejszym, jeśli chcesz.
Na przykład możesz zmienić nazwę konta administratora i konta gościa oraz możesz aktywować żądanie poświadczeń do „ Kontrola konta użytkownika: zachowanie żądania podniesienia uprawnień dla administratorów ”, aby prosić o podanie hasła za każdym razem próbujesz zrobić coś w trybie administratora.
Dzięki tej opcji system Windows staje się bardziej bezpieczny i podobny do systemu Linux i Mac, gdzie użytkownik jest proszony o podanie hasła za każdym razem, gdy trzeba dokonać zmiany.
Dzięki kontroli konta użytkownika: podnosi tylko podpisane i zatwierdzone pliki wykonywalne, aplikacje, które nie są podpisane cyfrowo, działają jako administrator są zabronione.
Konsola odzyskiwania umożliwia automatyczny dostęp administratora, aby nie żądać hasła podczas korzystania z konsoli odzyskiwania do wykonywania operacji systemowych.
Jak zauważysz, w edytorze zasad grupy jest ogromna liczba ustawień, więc z ciekawości zdecydowanie warto poświęcić im trochę czasu, aby na nie spojrzeć.
Większość ustawień pozwala wyłączyć funkcje systemu Windows, których nie chcesz używać.
Warto zauważyć, że wiele zasad na liście nie ma zastosowania do wszystkich wersji systemu Windows.
Jeszcze innym przykładem tego, co można zrobić tylko za pomocą edytora zasad grupy, jest tworzenie skryptu, który będzie uruchamiany po wylogowaniu lub wyłączeniu przy każdym ponownym uruchomieniu komputera.
Może to być przydatne do czyszczenia systemu lub szybkiego tworzenia kopii zapasowej niektórych plików za każdym razem, gdy wyłączasz komputer. Możesz używać plików wsadowych, a nawet skryptów PowerShell dla obu.
Jedynym zastrzeżeniem jest to, że skrypty te muszą być uruchamiane w tle, w przeciwnym razie proces wylogowania zostanie zablokowany.
Istnieją dwa różne typy skryptów, które można uruchomić.
Uruchom / zatrzymaj skrypt w Konfiguracja komputera -> Ustawienia systemu Windows -> Skrypt i będzie działał na lokalnym koncie systemowym, aby mogły manipulować plikami systemowymi, ale nie będą działać jako konto użytkownika.
Skrypt logowania / wylogowania w konfiguracji użytkownika -> Ustawienia systemu Windows -> Skrypt .
Skrypty logowania i wylogowania nie pozwalają na uruchamianie poleceń wymagających dostępu administratora, jeśli UAC nie jest całkowicie wyłączony.
Warto zauważyć, że te same operacje można zaplanować w harmonogramie, jednym z narzędzi administracyjnych w Panelu sterowania, znacznie łatwiejszym w użyciu.
Edytor zasad grupy jest tak bogaty, że nie będzie można znaleźć pełnego i kompleksowego przewodnika na temat tego, co najlepiej edytować.
W innych artykułach zadałem im pytania dotyczące:
- Jak wyłączyć Skydrive w Windows 8.1 (lub ukryć)
- Aktywuj Bitlocker w Windows 7
- Aktywuj tryb Enterprise w Internet Explorerze 11
- Wyłącz kontrolę UAC w Windows 7 i 8
