В днешния урок ще видим как да използваме редактора на локалната групова политика - скрит и много пълен раздел на Windows, от който е възможно да се направят много промени в компютъра, които иначе биха били възможни само чрез промяна на по-сложните ключове в системния регистър. Редакторът за групови правила е достъпен само в Pro версиите на Windows и отсъства в Home и Premium версиите.
Можете обаче да изтеглите и инсталирате gpedit.msc на Windows 10, 7 и 8 Home.
По принцип няма причина да се докосвате до тези групови правила на домашен компютър, но все пак е важно да знаете как да получите достъп до тях и какво можете да направите, за да не бъдете неподготвени, в случай че се наложи промяна.
Например, груповата политика е полезна за конфигуриране на сигурност в корпоративна мрежа, за да блокира определени промени на всички компютри или за да не позволи на потребителите да пускат неодобрен софтуер.
За да отворите редактора за групови правила в Windows, трябва да отворите прозорец за изпълнение, като натиснете клавишите на Windows-R и след това напишете и стартирайте командата gpedit.msc .
Прозорецът, който се отваря, е подобен на всеки друг инструмент за администриране, с йерархично дърво на папки, всяко от които съдържа много настройки.
Настройките наистина са много, но все пак са описани подробно.
Има две основни папки: Конфигурация на компютъра с настройки, които влияят на поведението на системата за всички потребители и Конфигурация на потребителя, за промяна на поведението на Windows въз основа на потребителя, който го използва.
Под двете основни папки има три секции:
- Софтуерни настройки, където да създадете нови персонализирани конфигурации.
- Настройки на Windows е папка, която съдържа настройки за защита и скрипт за старт / стоп.
- Административни модели, с конфигурации, базирани на регистър, която е частта, в която е по-лесно да се намеси, с много възможности.
Настройки за защита (някои примери)
За да дадете пример за това какво може да се направи за ограничаване на компютърната сигурност на потребителско ниво, отидете на Конфигурация на потребителя -> Административни шаблони -> Система и щракнете двукратно върху настройката " Предотвратяване на достъп до командния ред ".
От прозореца, който се отваря, можете да активирате контрола и след това натиснете Приложи, за да блокирате достъпа до командния ред за всички потребители на компютъра.
Друга опция в същата папка ви позволява да създавате избор кои програми могат да бъдат отворени на вашия компютър.
Кликнете два пъти върху „ Стартиране само на определени приложения за Windows “, активирайте и след това посочете кои програми да разрешите.
Всичко останало вече е блокирано.
В Конфигурация на компютъра -> Настройки на Windows -> Настройки за защита -> Местни политики -> Папка Опции за сигурност ще намерите много полезни настройки, за да направите компютъра си малко по-сигурен, ако искате.
Например можете да преименувате акаунта на администратора и акаунта за гости и можете да изберете да активирате заявката за идентификационни данни в " Контрол на потребителски акаунт: поведение на заявката за повишаване на привилегиите за администраторите ", за да поискате да въвеждате паролата всеки път опитвате се да направите нещо в режим на администратор.
С тази опция Windows става по-сигурен и подобен на Linux и Mac, където от вас се изисква да предоставите паролата си всеки път, когато трябва да направите промяна.
С контрола на потребителския акаунт: само издига подписани и валидирани изпълними файлове, приложения, които не са цифрово подписани, се изпълняват като администратор.
Конзола за възстановяване, позволете на автоматичния достъп на администратора да няма искания за парола, когато използвате конзолата за възстановяване за извършване на системни операции.
Както ще забележите, в редактора на груповите правила има огромен брой настройки, така че от любопитство определено си струва да отделите известно време, за да ги разгледате.
Повечето настройки ви позволяват да деактивирате функциите на Windows, които не искате да използвате.
Заслужава да се отбележи, че много от политиките в списъка не се отнасят за всички версии на Windows.
Още един пример за това, което може да се направи само с помощта на редактора на групови правила, е създаването на скрипт, който се изпълнява след излизане или след изключване, всеки път, когато рестартирате компютъра си.
Това може да бъде полезно за почистване на системата или за бързо създаване на резервно копие на някои файлове всеки път, когато изключите компютъра си, и можете да използвате пакетни файлове или дори скриптове на PowerShell и за двете.
Единственото предупреждение е, че тези скриптове трябва да се изпълняват на заден план или процесът на излизане ще бъде блокиран.
Има два различни типа скриптове, които могат да се изпълняват.
Старт / стоп скрипт в Конфигурация на компютъра -> Настройки на Windows -> Скрипт и ще се изпълнява под локалния системен акаунт, така че те да могат да манипулират системни файлове, но няма да се изпълняват като потребителски акаунт.
Скрипт за влизане / излизане в конфигурация на потребителя -> Настройки на Windows -> Скрипт .
Скриптите за влизане и излизане не ви позволяват да стартирате команди, които изискват администраторски достъп, ако няма напълно деактивиран UAC.
Заслужава да се отбележи, че същите операции могат да бъдат планирани в планиращия инструмент, един от инструментите за администриране в контролния панел, много по-лесен за използване.
Редакторът на груповите правила е толкова богат, че е невъзможно да се намери пълно и изчерпателно ръководство за това какво е най-добре да се редактира.
В други статии съм ги поставил под въпрос относно:
- Как да деактивирате Skydrive в Windows 8.1 (или да го скриете)
- Активирайте Bitlocker в Windows 7
- Активирайте Enterprise режим в Internet Explorer 11
- Деактивиране на UAC контрол в Windows 7 и 8
