Използване на редактора на групови правила за настройка на компютъра
В днешния урок на Geek School, ще обясним как да използваме редактора на Local Group Policy, за да правим промени в компютъра, които не са достъпни по друг начин.
НАВИГАЦИЯ НА УЧИЛИЩАТА- Използване на Task Scheduler за изпълнение на процеси по-късно
- Използване на програма за преглед на събития за отстраняване на проблеми
- Разбиране за разделяне на твърди дискове с управление на дискове
- Научете се да използвате редактора на системния регистър като Pro
- Наблюдение на компютъра с монитор на ресурси и диспечер на задачите
- Запознаване с панела за разширените свойства на системата
- Разбиране и управление на услугите на Windows
- Използване на редактора на групови правила за настройка на компютъра
- Разбиране на инструментите за администриране на Windows
Трябва да отбележим, че редакторът на груповите правила е достъпен само в професионалните версии на потребителите на Windows - Home или Home Premium, няма да имат достъп до него. Все пак си струва да се научим.
Груповите правила са наистина мощен начин за настройка на корпоративна мрежа, като всеки от компютрите е заключен, така че потребителите да не ги бъркат с нежелани промени и да ги спрат да изпълняват неодобрен софтуер, наред с много други приложения.
В домашната среда обаче вероятно няма да искате да зададете ограничения за дължина на паролата или да принудите да промените паролата си. Вероятно няма да ви се налага да заключвате вашите машини, за да изпълняват само определени одобрени изпълними файлове.
Има още много други неща, които можете да конфигурирате, като например деактивиране на функциите на Windows, които не ви харесват, блокиране на някои приложения от стартиране или създаване на скриптове, които се изпълняват по време на влизане или излизане от системата..
Разбиране на интерфейса
Интерфейсът е много подобен на всеки друг административен инструмент - дървовидният изглед отляво ви позволява да търсите настройки в йерархична структура на папките, има списък с настройки и панел за визуализация, който ви дава повече информация за конкретната настройка.
Има две папки от най-високо ниво, за които да знаете:
- Конфигурация на компютъра - съдържа настройки, които се прилагат за компютри, независимо от кой потребител влиза.
- Потребителска конфигурация - съдържа настройки, които се прилагат към потребителските профили.
Под всяка от тези папки има няколко папки, които ви позволяват да прочетете още повече наличните настройки:
- Настройки на софтуера - тази папка е предназначена за софтуерни конфигурации и е празна по подразбиране на клиентския Windows.
- Настройки на Windows - тази папка съдържа настройки за защита и скриптове за влизане / излизане и стартиране / изключване.
- Административни шаблони - тази папка съдържа конфигурации, базирани на системния регистър, които по същество са бърз начин за настройване на настройките на компютъра или на потребителския ви профил. Има много налични настройки.
Промяна на правилата за сигурност
Ако щракнете два пъти върху елемента „Предотвратяване на достъпа до командния ред“ от горната снимка на екрана, ще ви бъде показан прозорец, който изглежда като този - всъщност повечето от настройките в Административни шаблони ще изглеждат подобен.
Тази конкретна настройка ще ви позволи да блокирате достъпа до командния ред за потребителите на компютъра. Можете също така да конфигурирате настройките в диалоговия прозорец, за да блокирате и партидните файлове.
Друга опция в същата папка ви позволява да създадете настройка за „Изпълнение само на определени приложения на Windows“ - можете да конфигурирате настройката на Enabled и след това да предоставите списък с разрешени приложения. Всичко останало ще бъде блокирано.
В този случай, ако искате да стартирате приложение, което не е в списъка, ще получите съобщение за грешка като това.
Заслужава да се отбележи, че бъркотията с такива правила могат да ви блокират от компютъра, ако направите нещо нередно, затова бъдете внимателни.
Настройка на UAC настройки за сигурност
Под Конфигурация на компютъра -> Настройки на Windows -> Настройки на защитата -> Локални политики -> Папка Опции за защита, ще намерите куп интересни настройки, които да направят компютъра ви по-сигурен.
Първата опция може да бъде намерена в тази папка като елемент „Контрол на потребителските акаунти: поведение на повишението на височината за администраторите“ и ако изберете „Подсказване за идентификационни данни на защитения десктоп“, той ще ви принуди (или друг потребител) да въведете паролата си по всяко време, когато опитате да изпълните нещо в режим на администратор.
Тази опция прави Windows да работи повече като Linux или Mac, където трябва да предоставите паролата си всеки път, когато трябва да направите промяна, и тъй като Secure Desktop не позволява други приложения да се забъркват с диалоговия прозорец, това е много повече сигурен.
Други полезни опции:
- Контрол на потребителските акаунти: Повдигнете изпълними файлове, които са подписани и валидирани - тази опция забранява приложения, които не са цифрово подписани, да работят като администратор.
- Конзола за възстановяване, позволяваща автоматично административно влизане - когато трябва да използвате конзолата за възстановяване за изпълнение на системни задачи, обикновено трябва да предоставите паролата на администратора. Ако сте забравили паролата, това ще ви позволи да влезете в нея, за да я рестартирате по-лесно. (Тъй като лесно можете да изтриете парола за Windows, тя не е много по-сигурна).
Едно нещо, което си струва да се отбележи е, че много от политиките в списъка всъщност не се отнасят за всяка версия на Windows. Например на екрана по-долу настройката „Премахване на иконите на моите документи“ е достъпна само за Windows XP и 2000. Някои други правила ще казват „Поне Windows XP“ или нещо подобно, което ще означава, че ще продължат да работят върху всички версии.
В редактора на групови правила има огромен брой настройки, така че определено си струва да прекараш известно време, за да ги прегледаш, ако си любопитен. Повечето от настройките ви позволяват да деактивирате функциите на Windows, които не ви харесват особено - малцина ви дават функционалност, която не сте имали по подразбиране.
Създаване на скриптове за изпълнение при влизане, излизане, стартиране или изключване
Друг пример за нещо, което можете да направите само с редактора на групови правила, е да създадете изход или скрипт за изключване, който да се изпълнява всеки път, когато рестартирате компютъра си.
Това може да бъде наистина полезно за почистване на вашата система или за бързо архивиране на определени файлове всеки път, когато изключите, и можете да използвате партидни файлове или дори скриптове на PowerShell за тях. Единственото предупреждение е, че тези скриптове трябва да работят тихо или ще блокират процеса на излизане.
Има два различни типа скриптове, които можете да изпълнявате.
- Скриптове за стартиране / изключване - тези скриптове се намират в Конфигурация на компютъра -> Настройки на Windows -> Скриптове и ще се изпълняват в профила на локалната система, така че да могат да манипулират системни файлове, но няма да се изпълняват като потребителски профил.
- Скриптове за влизане / излизане - Тези скриптове се намират под Потребителска конфигурация -> Настройки на Windows -> Скриптове и ще се изпълняват под потребителския ви профил.
Струва си да се отбележи, че скриптовете за влизане и излизане не позволяват да стартирате помощни програми, които изискват администраторски достъп, освен ако не сте напълно деактивирани от UAC..
За днешния пример ще направим скрипт за излизане, като се насочим към Конфигурация на потребителя -> Настройки на Windows -> Скриптове и щракнете двукратно върху Изход.
Прозорецът на свойствата за излизане ви позволява да добавяте множество скриптове за излизане, които да се изпълняват.
Можете също така да конфигурирате PowerShell скриптове.
Важното нещо, което трябва да се отбележи тук е, че вашите скриптове трябва да са в определена папка, за да работят правилно.
Скриптовете за влизане и излизане трябва да са в следните папки:
- C: \ Windows \ System32 \ GroupPolicy \ Потребител \ Scripts \ Logoff
- C: \ Windows \ System32 \ GroupPolicy \ Потребител \ Scripts \ Logon
Докато скриптовете за стартиране и изключване ще трябва да бъдат в тези папки:
- C: \ Windows \ System32 \ GroupPolicy \ машина \ Scripts \ Shutdown
- C: \ Windows \ System32 \ GroupPolicy \ машина \ Scripts \ Startup
След като конфигурирате скрипта си за излизане, можете да го тествате - настройваме прост скрипт, който е създал текстов файл на работния плот, след което се изключва и отново се включва. Но можеш да направиш всичко, което искаш.
И разбира се, ако вместо това направихте скрипт за влизане, можеше да стартирате приложения.
Едно важно нещо, което трябва да се отбележи е, че ако скриптът ви подкани за въвеждане от потребителя, Windows ще виси по време на изключване или излизане за 10 минути преди скриптът да бъде убит и Windows може да се рестартира. Това е нещо, което определено трябва да имате предвид, когато проектирате скрипта си.
Груповите правила не свършват дотук
Ние просто почесвахме повърхността за това, което наистина може да направи груповата политика, а в корпоративната среда това е едно от най-мощните и важни инструменти на ваше разположение. Тъй като тази серия не е за ИТ потребителите, ние няма да влезем във всички останали, но си струва да направите някои изследвания сами.