На сегодняшнем уроке мы увидим, как использовать редактор локальной групповой политики, скрытый и очень полный раздел Windows, из которого можно внести множество изменений в ПК, которые в противном случае были бы возможны только путем изменения более сложных разделов реестра. Редактор групповой политики доступен только в Pro-версиях Windows и отсутствует в версиях Home и Premium.
Однако вы можете скачать и установить gpedit.msc на Windows 10, 7 и 8 Home.
В общем случае нет смысла трогать эти групповые политики на домашнем ПК, но все равно важно знать, как получить к ним доступ и что вы можете сделать, чтобы не быть неподготовленным в случае необходимости изменения.
Например, групповая политика полезна для настройки безопасности в корпоративной сети для блокировки определенных изменений на всех компьютерах или для предотвращения запуска пользователями неутвержденного программного обеспечения.
Чтобы открыть редактор групповой политики в Windows, вам нужно открыть окно « Выполнить », нажав клавиши Windows-R, а затем написать и запустить команду gpedit.msc .
Открывающееся окно аналогично любому другому инструменту администрирования с иерархическим деревом папок, каждая из которых содержит множество настроек.
Настройки действительно много, но все же подробно описаны.
Существует две основные папки: Конфигурация компьютера с настройками, которые влияют на поведение системы для всех пользователей, и Конфигурация пользователя, чтобы изменить поведение Windows в зависимости от пользователя, который ее использует.
Под двумя основными папками находятся три раздела:
- Настройки программного обеспечения, где создавать новые индивидуальные конфигурации.
- Windows Settings - это папка, которая содержит настройки безопасности и скрипт запуска / остановки.
- Административные модели с конфигурациями на основе реестра, которые являются частью, в которую легче вмешиваться, с множеством доступных опций.
Настройки безопасности (несколько примеров)
Чтобы привести пример того, что можно сделать, чтобы ограничить безопасность компьютера на уровне пользователя, перейдите в Конфигурация пользователя -> Административные шаблоны -> Система и дважды щелкните параметр « Запретить доступ к командной строке ».
В открывшемся окне вы можете активировать элемент управления, а затем нажать «Применить», чтобы заблокировать доступ к командной строке для всех пользователей ПК.
Другая опция в той же папке позволяет вам выбирать, какие программы можно открывать на вашем компьютере.
Дважды щелкните « Запустить только указанные приложения Windows », включите, а затем укажите, какие программы разрешить.
Все остальное теперь заблокировано.
В разделе « Конфигурация компьютера» -> «Настройки Windows» -> «Настройки безопасности» -> «Локальные политики» -> «Параметры безопасности» вы найдете множество полезных настроек, которые сделают ваш компьютер немного более безопасным, если хотите.
Например, вы можете переименовать учетную запись администратора и учетную запись «Гость», а также активировать запрос учетных данных для « Контроль учетных записей: поведение запроса на повышение привилегий для администраторов », чтобы каждый раз запрашивать ввод пароля. Вы пытаетесь сделать что-то в режиме администратора.
Благодаря этой опции Windows становится более безопасной и похожей на Linux и Mac, где вас просят указывать пароль каждый раз, когда вам нужно внести изменения.
С контролем учетных записей пользователей: только повышает подписанные и проверенные исполняемые файлы, приложения, не имеющие цифровой подписи, запускаются как администратор, запрещены
Консоль восстановления, позволяющая автоматическому доступу администратора не запрашивать пароль при использовании консоли восстановления для выполнения системных операций.
Как вы заметили, в редакторе групповой политики есть огромное количество настроек, поэтому из любопытства определенно стоит потратить некоторое время на их просмотр.
Большинство настроек позволяют отключить функции Windows, которые вы не хотите использовать.
Стоит отметить, что многие из приведенных в списке политик применимы не ко всем версиям Windows.
Еще один пример того, что можно сделать только с помощью редактора групповой политики, - это создание сценария, который запускается после выхода из системы или после завершения работы при каждой перезагрузке компьютера.
Это может быть полезно для очистки вашей системы или быстрого создания резервной копии некоторых файлов при каждом выключении компьютера, и вы можете использовать пакетные файлы или даже сценарии PowerShell для обоих.
Единственное предостережение в том, что эти сценарии должны выполняться в фоновом режиме, иначе процесс выхода из системы будет заблокирован.
Существует два разных типа сценариев, которые можно запустить.
Запустите / остановите сценарий в разделе «Конфигурация компьютера» -> «Параметры Windows» -> «Сценарий» и запустите его под локальной системной учетной записью, чтобы они могли манипулировать системными файлами, но не запускались под учетной записью пользователя.
Сценарий входа / выхода в разделе «Конфигурация пользователя» -> «Настройки Windows» -> «Сценарий» .
Сценарии входа в систему и выхода из системы не позволяют запускать команды, требующие доступа администратора, если UAC полностью не отключен.
Стоит отметить, что те же операции могут быть запланированы в планировщике, одном из инструментов администрирования на панели управления, гораздо проще в использовании.
Редактор групповой политики настолько богат, что невозможно найти полное и исчерпывающее руководство по тому, что лучше всего редактировать.
В других статьях я ставил их под вопрос относительно:
- Как отключить Skydrive в Windows 8.1 (или скрыть его)
- Активировать Bitlocker в Windows 7
- Активировать режим Enterprise в Internet Explorer 11
- Отключить контроль UAC в Windows 7 и 8
