W dzisiejszej lekcji Geek School, wyjaśnimy, jak użyć edytora Local Group Policy, aby wprowadzić zmiany na komputerze, które nie są dostępne w żaden inny sposób.
NAWIGACJA SZKOLNAZ góry powinniśmy zauważyć, że edytor zasad grupy jest dostępny tylko w wersji Pro systemu Windows - użytkownicy Home lub Home Premium nie będą mieli do niego dostępu. Nadal warto się o tym dowiedzieć.
Zasady grupowe to naprawdę skuteczny sposób na skonfigurowanie sieci firmowej z zablokowanym każdym komputerem, aby użytkownicy nie mogli zepsuć niechcianych zmian i powstrzymać ich przed uruchomieniem niezatwierdzonego oprogramowania i wielu innych zastosowań.
Jednak w środowisku domowym prawdopodobnie nie będziesz chciał ustawiać ograniczeń długości haseł ani zmuszać się do zmiany hasła. Prawdopodobnie nie będziesz musiał blokować swoich maszyn, aby uruchamiać tylko określone zatwierdzone pliki wykonywalne.
Istnieje wiele innych rzeczy, które możesz skonfigurować, np. Wyłączanie funkcji systemu Windows, które nie lubisz, blokowanie uruchamiania niektórych aplikacji lub tworzenie skryptów uruchamianych podczas logowania lub wylogowywania.
Interfejs jest bardzo podobny do każdego innego narzędzia administracyjnego - widok drzewa po lewej pozwala szukać ustawień w hierarchicznej strukturze folderów, jest lista ustawień i panel podglądu, który daje więcej informacji o danym ustawieniu.
Istnieją dwa foldery najwyższego poziomu, o których należy pamiętać:
Pod każdym z tych folderów znajduje się kilka folderów, dzięki którym można dokładniej przeanalizować dostępne ustawienia:
Jeśli klikniesz dwukrotnie na powyższym zrzucie ekranu "Zapobiegaj dostępowi do wiersza poleceń", pojawi się okno wyglądające podobnie do tego - w rzeczywistości większość ustawień w szablonach administracyjnych będzie wyglądać podobny.
To szczególne ustawienie umożliwi blokowanie dostępu do wiersza poleceń użytkownikom na komputerze. Możesz także skonfigurować ustawienia w oknie dialogowym, aby również blokować pliki wsadowe.
Inna opcja w tym samym folderze umożliwia utworzenie ustawienia dla "Tylko uruchomione aplikacje dla systemu Windows" - skonfigurujesz ustawienie na Włączone, a następnie podasz listę dozwolonych aplikacji. Cała reszta zostanie zablokowana.
W takim przypadku, jeśli uruchomisz aplikację, której nie ma na liście, pojawi się komunikat o błędzie podobny do tego.
Warto zauważyć, że mieszanie się z takimi regułami może zablokować cię z komputera, jeśli zrobisz coś źle, więc bądź ostrożny.
W obszarze Konfiguracja komputera -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady lokalne -> Folder Opcje zabezpieczeń znajdziesz kilka ciekawych ustawień, które zwiększą bezpieczeństwo komputera.
Pierwsza opcja znajduje się w tym folderze jako pozycja "Kontrola konta użytkownika: zachowanie monitu o podniesienie uprawnień dla administratorów", a jeśli wybierzesz "Pytaj o dane uwierzytelniające na bezpiecznym komputerze", wymusi on (lub innego użytkownika) wprowadź hasło przy każdej próbie uruchomienia czegoś w trybie administratora.
Ta opcja sprawia, że system Windows działa bardziej jak Linux lub Mac, w którym użytkownik jest proszony o podanie hasła za każdym razem, gdy trzeba dokonać zmiany, a ponieważ Secure Desktop nie pozwala innym aplikacjom na bałagan w oknie dialogowym, jest o wiele więcej bezpieczne.
Inne przydatne opcje:
Warto zauważyć, że wiele zasad na liście nie ma zastosowania do każdej wersji systemu Windows. Na przykład na poniższym zrzucie ekranu ikona "Usuń moją dokumentację" jest dostępna tylko w systemach Windows XP i 2000. Niektóre inne zasady będą brzmiały "Co najmniej Windows XP" lub coś w tym stylu, co oznaczałoby, że będą nadal pracować nad wszystkie wersje.
W edytorze zasad grupy jest ogromna liczba ustawień, więc zdecydowanie warto poświęcić trochę czasu na przeglądanie ich, jeśli jesteś ciekawy.Większość ustawień umożliwia wyłączenie funkcji systemu Windows, które nie są szczególnie lubiane - bardzo niewiele daje funkcje, których domyślnie nie masz.
Kolejnym przykładem czegoś, co można zrobić tylko za pomocą edytora zasad grupy, jest skonfigurowanie skryptu wylogowania lub zamykania, który uruchamia się przy każdym ponownym uruchomieniu komputera.
Może to być bardzo przydatne do czyszczenia systemu lub wykonywania kopii zapasowych niektórych plików za każdym razem, gdy użytkownik jest wyłączany, a także może używać plików wsadowych lub nawet skryptów PowerShell. Jedynym zastrzeżeniem jest to, że te skrypty muszą działać bezgłośnie lub będą blokować proces wylogowywania.
Istnieją dwa różne typy skryptów, które można uruchomić.
Warto zauważyć, że skrypty logowania i wylogowywania nie pozwalają uruchamiać narzędzi, które wymagają dostępu administratora, chyba że całkowicie wyłączono UAC.
Na dzisiejszy przykład zrobimy skrypt wylogowania, przechodząc do opcji Konfiguracja użytkownika -> Ustawienia systemu Windows -> Skrypty i dwukrotne kliknięcie przycisku Wyloguj.
Okno właściwości Logoff umożliwia dodanie wielu skryptów wylogowania do uruchomienia.
Możesz także skonfigurować skrypty PowerShell.
Należy zwrócić uwagę na to, że skrypty muszą znajdować się w określonym folderze, aby mogły działać poprawnie.
Skrypty logowania i wylogowania muszą znajdować się w następujących folderach:
Skrypty uruchamiania i zamykania muszą znajdować się w tych folderach:
Po skonfigurowaniu skryptu wylogowania możesz go przetestować - skonfigurowaliśmy prosty skrypt, który utworzył plik tekstowy na pulpicie, a następnie wylogowaliśmy się i włączyliśmy ponownie. Ale możesz zmusić go do zrobienia wszystkiego, co chcesz.
Oczywiście, jeśli zamiast tego robiłbyś skrypt logowania, mógł on faktycznie uruchamiać aplikacje.
Należy zwrócić uwagę na to, że jeśli skrypt monituje o wprowadzenie danych przez użytkownika, Windows zawiesza się podczas zamykania systemu lub wylogowywania na 10 minut, zanim skrypt zostanie zabity, a system Windows może zostać ponownie uruchomiony. Jest to coś, o czym należy zdecydowanie pamiętać przy projektowaniu skryptu.
Po prostu podrapaliśmy się o to, co naprawdę robią zasady grupowe, aw środowisku domeny korporacyjnej jest to jedno z najpotężniejszych i najważniejszych narzędzi do Twojej dyspozycji. Ponieważ ta seria nie dotyczy użytkowników IT, nie zajmiemy się całą resztą, ale warto przeprowadzić własne badania.
