Izmantojot grupas politikas redaktoru, lai kniebiens jūsu datorā

2024 Autors: Geoffrey Carr | [email protected]. Pēdējoreiz modificēts: 2023-12-17 10:58

Šodienas Geek skolu stundā mēs izskaidrosim, kā izmantot vietējo grupu politikas redaktoru, lai veiktu izmaiņas datorā, kas citādi nav pieejami.

SKOLAS NAVIGĀCIJA

Izmantojot uzdevumu plānotāju, lai palaistu procesus vēlāk
Izmantojot notikumu skatītāju problēmu novēršanai
Izpratne par cietā diska sadalīšanu ar diska pārvaldību
Mācīšanās lietot reģistra redaktoru kā profesionālu
Uzraudzīt datoru ar resursu monitoru un uzdevumu pārvaldnieku
Izpratne par Advanced System Properties Panel
Windows pakalpojumu izpratne un pārvaldīšana
Izmantojot grupas politikas redaktoru, lai kniebiens jūsu datorā
Izpratne par Windows administrēšanas rīkiem

Mums vajadzētu atzīmēt, ka grupas politikas redaktors ir pieejams tikai Windows Pro versijās - Home vai Home Premium lietotājiem nebūs piekļuves. Tomēr joprojām ir vērts mācīties par to.

Grupu politikas ir patiešām jaudīgs veids, kā izveidot korporatīvo tīklu ar katru no datoriem, kas ir bloķēti, lai lietotāji nevarētu sabojāt tos ar nevēlamām izmaiņām un apturētu viņu darbību no neapstiprinātas programmatūras daudzās citās lietojumprogrammās.

Tomēr mājas vidē jūs, iespējams, nevēlaties iestatīt paroles garuma ierobežojumus vai piespiest sevi mainīt paroli. Un jums, iespējams, nebūs jāierobežo jūsu mašīnas, lai palaistu tikai konkrētas apstiprinātas izpildāmās programmas.

Ir arī daudzas citas lietas, kuras jūs varat konfigurēt, piemēram, atspējot Windows funkcijas, kuras jums nepatīk, bloķējot dažu lietojumprogrammu darbību, vai veidojot skriptus, kas darbojas pieteikšanās laikā vai atbloķē.

Interfeisa izpratne

Saskarne ir ļoti līdzīga ikvienam citam administrēšanas rīksi - kreisajā pusē esošais kokvilna ļauj jums meklēt iestatījumus hierarhiskā mapes struktūrā, ir iestatījumu saraksts un priekšskatījuma panelis, kas sniedz jums vairāk informācijas par konkrēto iestatījumu.

Ir jāievēro divas augstākā līmeņa mapes:

Datora konfigurācija - tur ir iestatījumi, kas tiek piemēroti datoriem neatkarīgi no tā, kurš lietotājs piesakās.
Lietotāja konfigurācija - tur ir iestatījumi, kas tiek piemēroti lietotāju kontiem.

Katrā no šīm mapēm ir vairākas mapes, kas ļauj tālāk noskatīties pieejamos iestatījumus:

Programmatūras iestatījumi - šī mape ir domāta programmatūras konfigurācijām un pēc noklusējuma ir klienta Windows sistēmā tukša.
Windows iestatījumi - šajā mapē ir drošības iestatījumi un skripti pieteikšanās / atbloķēšanas un startēšanas / izslēgšanas gadījumā.
Administratīvās veidnes - šajā mapē ir reģistra bāzes konfigurācijas, kas būtībā ir ātrs veids, kā kniebēt iestatījumus datorā vai lietotāja kontā. Ir daudz pieejamo iestatījumu.

Tekošie drošības noteikumi

Ja dubultklikšķis uz priekšnesījuma "Novērst piekļuvi komandu uzvednei" no iepriekš redzamā ekrāna, jums tiks parādīts logs, kas izskatās kā šis - patiesībā lielākā daļa iestatījumu, kas atrodas administratīvo šablonu ietvaros, izskatīsies līdzīgs.

Šis konkrētais iestatījums ļaus jums bloķēt piekļuvi komandrindas datora lietotājiem. Varat arī konfigurēt iestatījumu dialoglodziņā, lai arī bloķētu partijas failus.

Cita šīs pašas mapes opcija ļauj izveidot iestatījumu "Palaist tikai norādītās Windows lietojumprogrammas" - jūs konfigurējat iestatījumu Enabled (Iespējots) un pēc tam norādiet atļauto lietojumprogrammu sarakstu. Viss pārējais varētu tikt bloķēts.

Šajā gadījumā, ja jūs palaistu lietojumprogrammu, kas nav sarakstā, jūs saņemsit kļūdas ziņojumu, piemēram, šo.

Ir vērts atzīmēt, ka, sakot ar tādiem noteikumiem, piemēram, tas varētu nobloķēt jūs no datora, ja jūs kaut ko nepareizi, tāpēc esiet uzmanīgi.

UAC iestatījumu drošības uzlabošana

Sadaļā Datora konfigurācija -> Windows iestatījumi -> Drošības iestatījumi -> Vietējās politikas -> Drošības opcijas mape, jūs atradīsiet daudz interesantu iestatījumu, lai padarītu datoru mazliet drošāku.

Pirmā opcija atrodas šajā mapē kā vienums "Lietotāja konta kontrole: administratoru augstuma uzvednes uzvedība", un, ja jūs izvēlaties "Pieprasīt akreditācijas datus drošajā darbvirsmā", tas liks jums (vai citam lietotājam) ievadiet savu paroli jebkurā laikā, kad mēģināt palaist kaut ko administratora režīmā.

Šī opcija ļauj Windows darbosies vairāk kā Linux vai Mac, kur jums tiek prasīts iesniegt savu paroli jebkurā laikā, kad nepieciešams veikt izmaiņas, un, tā kā Secure Desktop neļauj nevienam citam lietojumam sajaukt ar dialogu, tas ir daudz vairāk droši.

Lietotāja konta kontrole: tikai paaugstina izpildāmās programmas, kuras ir parakstītas un validētas - šī opcija aizliedz lietotnes, kuras nav parakstītas digitālā formā, darboties kā administrators.
Atkopšanas konsoles ļauj automātiski administrēt pieteikšanos - ja jums ir nepieciešams izmantot atkopšanas konsoli, lai veiktu sistēmas uzdevumus, jums parasti ir jāuzrāda administratora parole. Ja jūs aizmirstat šo paroli, tas ļaus jums ērti atiestatīt. (Un tā kā jūs varat viegli notīrīt Windows paroli, tas nav īsti mazāk drošs).

Viena lieta, kas ir vērts atzīmēt, ir tā, ka daudzas no saraksta politikām faktiski neattiecas uz katru Windows versiju. Piemēram, tālāk redzamajā ekrānā redzamais iestatījums "Noņemt manu dokumentu ikonu" ir pieejams tikai operētājsistēmām Windows XP un 2000.Dažās citās politikās būs teikts "Vismaz Windows XP" vai kaut kas līdzīgs, kas nozīmētu, ka viņi turpinās strādāt ar visām versijām.

Grupas politikas redaktorā ir milzīgs iestatījumu skaits, tādēļ, ja jūs interesēties, noteikti ir vērts pavadīt kādu laiku. Lielākā daļa iestatījumu ļauj atspējot Windows funkcijas, kuras jums nav īpaši patīk, - ļoti nedaudzi nodrošina funkcionalitāti, kas jums nav pēc noklusējuma.

Skriptu iestatīšana, lai palaistu pie pieteikšanās, atbloķēšanas, palaišanas vai izslēgšanas

Vēl viens piemērs tam, ko jūs varat darīt tikai, izmantojot grupas politikas redaktoru, ir iestatīt izslēgšanās vai izslēgšanas skriptu, kas palaists ikreiz, kad restartējat datoru.

Tas var patiešām noderēt sistēmas tīrīšanai vai dažu failu ātrai dublēšanai katru reizi, kad jūs izslēdzat ierīci, un jūs varat izmantot partijas failus vai pat PowerShell skriptus. Vienīgais brīdinājums ir tas, ka šiem skriptiem ir jāstrādā klusi vai tie bloķēsies noņemšanas procesā.

Ir divi dažādi skriptu veidi, kurus varat palaist.

Starta / izslēgšanas skripti - šie skripti ir atrodami sadaļā Datora konfigurācija -> Windows iestatījumi -> Skripti un tiks palaisti vietējās sistēmas kontā, lai viņi varētu manipulēt ar sistēmas failiem, bet tie netiks izmantoti kā jūsu lietotāja konts.
Pieteikšanās / atteikšanās skripti - šie skripti ir atrodami zem Lietotāja konfigurācija -> Windows iestatījumi -> Skripti un tiks palaisti zem sava lietotāja konta.

Ir vērts atzīmēt, ka pieteikšanās un izslēgšanās skripti neļaus jums palaist utilītas, kurām nepieciešama administratora piekļuve, ja vien jums nav pilnībā atspējota UAC.

Šodienas piemērā mēs izveidosim logfunkcijas skriptu, virzot to uz Lietotāja konfigurācija -> Windows iestatījumi -> Skripti un veicot dubultklikšķi uz Atteikšanās.

Loga Logout īpašības ļauj jums pievienot vairākus logs skriptus palaist.

Tā vietā varat arī konfigurēt PowerShell skriptus.

Šeit tiešām ir svarīgi atzīmēt, ka jūsu skriptiem jābūt konkrētā mapē, lai tie varētu pareizi darboties.

Pieteikšanās un izslēgšanās skripti būs jāveido šādās mapēs:

C: Windows System32 GroupPolicy User Scripts Logoff
C: Windows System32 GroupPolicy User Scripts Logon

Lai gan startēšanas un izslēgšanas skripti ir jāatrod šajās mapēs:

C: Windows System32 GroupPolicy Machine Scripts Shutdown
C: Windows System32 GroupPolicy Machine Scripts Startup

Kad esat konfigurējis logotipa skriptu, to varat pārbaudīt - mēs izveidojām vienkāršu skriptu, kas darbvirsmā izveidoja teksta failu, un pēc tam atteicās un atgriezās. Bet jūs varētu darīt to, ko gribat.

Un, protams, ja jūs to vietā izmantojat pieteikšanās skriptu, tas faktiski varētu sākt lietotnes.

Viena no svarīgām lietām, kas jāņem vērā, ir tāda, ka, ja jūsu skripts uzvedīs uz lietotāja ievadi, Windows 10 minūtēs pirms skripta nobeigšanas un Windows varēs atkārtoti palaist darbību, izslēdzot vai atslēdzoties. Tas ir kaut kas, kas jums noteikti jāpatur prātā, izstrādājot savu skriptu.

Grupas politika nebeidzas šeit

Mēs tikko saskrāpējām virsmu par to, ko patiešām var īstenot grupas politika, un uzņēmuma domēna vidē tas ir viens no spēcīgākajiem un svarīgākajiem rīkiem. Tā kā šī sērija nav par IT lietotājiem, mēs neieviesīsim visus pārējos, taču ir vērts veikt dažus pētījumus pašiem.