V dnešní hodině Geek School vám vysvětlíme, jak používat Editor místních zásad skupiny pro provedení změn v počítači, které nejsou k dispozici jiným způsobem.

ŠKOLNÍ NAVIGACE
  1. Pomocí Plánovače úloh spustit procesy později
  2. Pomocí Prohlížeče událostí k řešení problémů
  3. Pochopení rozdělení pevného disku pomocí správy disků
  4. Naučte se používat Editor registru jako profesionál
  5. Sledování počítače pomocí nástroje Sledování zdrojů a správce úloh
  6. Pochopení panelu pokročilých vlastností systému
  7. Porozumění a správa služeb Windows
  8. Pomocí Editoru zásad skupiny upravte svůj počítač
  9. Porozumění nástrojům správy systému Windows

Měli bychom si uvědomit, že Editor zásad skupiny je k dispozici pouze v Pro verzích systému Windows - uživatelé Home nebo Home Premium nebudou mít přístup k nim. Stále stojí za to se učit.

Zásady skupiny jsou opravdu výkonným způsobem, jak nastavit podnikovou síť s každým uzamčeným počítačem, aby uživatelé nemohli poskakovat s nežádoucími změnami a zabránit jim v používání neschváleného softwaru.

V domácím prostředí však pravděpodobně nebudete chtít nastavit omezení délky hesla nebo si nucit změnit heslo. A pravděpodobně nebudete muset uzamknout vaše stroje, aby spustili pouze specifické schválené spustitelné soubory.

Existuje však mnoho dalších funkcí, které můžete konfigurovat, jako například zakázání funkcí systému Windows, které se vám nelíbí, blokování určitých aplikací ze spuštění nebo vytváření skriptů, které se spouštějí při přihlašování nebo odhlašování.

Porozumění rozhraní

Rozhraní je velmi podobné každému jinému nástroji pro správu - zobrazení stromu vlevo umožňuje vyhledávat nastavení ve struktuře hierarchických složek, seznam nastavení a panel náhledu, který vám poskytne více informací o konkrétním nastavení.

Existují dva složky nejvyšší úrovně, které si je třeba uvědomit:

  • Konfigurace počítače - obsahuje nastavení, která jsou aplikována na počítače bez ohledu na to, který uživatel se přihlašuje.
  • Konfigurace uživatele - obsahuje nastavení, která jsou použita pro uživatelské účty.

Pod každou z těchto složek je několik složek, které vám umožňují dále procházet do dostupných nastavení:

  • Nastavení softwaru - tato složka je určena pro konfigurace související se softwarem a ve klientských systémech Windows je ve výchozím nastavení prázdná.
  • Nastavení systému Windows - tato složka obsahuje nastavení zabezpečení a skripty pro přihlášení / odhlášení a spuštění / vypnutí.
  • Šablony pro správu - tato složka obsahuje konfigurace založené na registrech, které jsou v podstatě rychlý způsob úpravy nastavení v počítači nebo v uživatelském účtu. Existuje mnoho dostupných nastavení.

Změna bezpečnostních pravidel

Pokud dvakrát kliknete na položku "Zabránit přístupu k příkazovému řádku" na výše uvedeném snímku obrazovky, zobrazí se vám okno, které vypadá takto - ve skutečnosti většina nastavení v šablonách pro správu vypadá podobný.

Toto konkrétní nastavení vám umožní zablokovat přístup k příkazovému řádku pro uživatele v počítači. Můžete také nakonfigurovat nastavení v dialogovém okně pro blokování dávkových souborů.

Další možnost ve stejném adresáři umožňuje vytvořit nastavení pro "Spuštění pouze určených aplikací systému Windows" - nastavení byste nakonfigurovali na hodnotu Povoleno a poté poskytli seznam povolených aplikací. Všechno ostatní by bylo zablokováno v běhu.

V tomto případě, pokud byste měli spustit aplikaci, která není v seznamu, dostanete chybovou zprávu, jako je tato.

Stojí za to poznamenat, že potírání s takovými pravidly by vás mohlo zabránit, pokud uděláte něco špatného, ​​takže buďte opatrní.

Nastavení zabezpečení UAC pro zabezpečení

V části Konfigurace počítače -> Nastavení systému Windows -> Nastavení zabezpečení -> Místní zásady -> Možnosti zabezpečení najdete řadu zajímavých nastavení, díky nimž je váš počítač o něco bezpečnější.

První možnost lze nalézt v této složce jako položka Řízení uživatelských účtů: Chování výzvy pro elevace pro správce a zvolíte-li možnost "Požádat o pověření na zabezpečené ploše", vynutí vás (nebo jinému uživateli) zadejte své heslo kdykoli se pokusíte spustit něco v režimu správce.

Tato volba způsobuje, že systém Windows funguje spíše jako Linux nebo Mac, kde budete vyzváni k zadání hesla kdykoli budete potřebovat provést změnu a protože Secure Desktop neumožňuje, aby se jiné dialogové okno dostalo do nepořádek, je to mnohem více zajistit.

Další užitečné možnosti:

  • Kontrola uživatelských účtů: Pouze pozvedněte spustitelné soubory, které jsou podepsány a ověřeny - tato možnost zakazuje spuštění aplikací, které nejsou digitálně podepsané, jako správce.
  • Konzola pro zotavení, umožňují automatické přihlášení pro správu - pokud potřebujete konzolu pro obnovení používat k provádění systémových úloh, obvykle musíte zadat heslo správce. Pokud jste náhodou zapomněli heslo, umožní vám to snadněji se vrátit. (A protože můžete snadno vymazat heslo systému Windows, není to opravdu méně bezpečné).

Jedna věc, která stojí za zmínku, je, že mnoho politik v seznamu se ve skutečnosti nevztahuje na každou verzi systému Windows. Například na obrazovce níže je nastavení "Odstranit Ikony My Documents" je k dispozici pouze pro Windows XP a 2000.Některé další zásady budou říkat "Alespoň Windows XP" nebo něco takového, což by znamenalo, že budou i nadále pracovat na všech verzích.

V editoru Zásady skupiny existuje obrovské množství nastavení, takže určitě stojí za to, abyste si je trochu prohlédli, pokud jste zvědaví. Většina nastavení umožňuje zakázat funkce systému Windows, které se vám velmi nelíbí - velmi málo z nich vám poskytne funkcionalitu, kterou jste ve výchozím nastavení neměli.

Nastavení skriptů pro spuštění při přihlášení, odhlášení, spuštění nebo vypnutí

Dalším příkladem toho, co můžete udělat pouze pomocí editoru Zásady skupiny, je nastavení spouštění skriptu nebo vypnutí skriptu pro spuštění při každém restartování počítače.

To může být opravdu užitečné pro vyčištění vašeho systému nebo rychlé zálohování určitých souborů pokaždé, když vypnete, a můžete použít dávkové soubory nebo dokonce PowerShell skripty pro jeden. Jedinou výhradou je, že tyto skripty musí běžet tiše nebo zablokovat proces odhlášení.

Existují dva různé typy skriptů, které můžete spustit.

  • Spouštěcí / vypínací skripty - tyto skripty se nacházejí v části Konfigurace počítače -> Nastavení systému Windows -> skripty a budou spouštěny pod účtem Local System, takže mohou manipulovat s systémovými soubory, ale nebudou fungovat jako uživatelské účty.
  • Přihlašovací / odhlašovací skripty - tyto skripty se nacházejí v části Konfigurace uživatele -> Nastavení systému Windows -> skripty a budou spuštěny pod vaším uživatelským účtem.

Stojí za to poznamenat, že přihlašovací a odhlašovací skripty vám nebudou moci spustit nástroje, které vyžadují přístup administrátora, pokud nemáte UAC zcela zakázán.

Pro dnešní příklad uděláme skript pro odhlášení podle nadpisu do okna Konfigurace uživatele -> Nastavení systému Windows -> Skripty a dvojitým kliknutím na Odhlášení.

Okno Vlastnosti logování umožňuje přidat více skriptů pro odhlášení.

Můžete také nakonfigurovat skripty PowerShell.

Důležitá věc, kterou je třeba si uvědomit, je, že vaše skripty musí být v určité složce, aby mohly fungovat správně.

Přihlašovací a odhlašovací skripty budou muset být v následujících složkách:

  • C: Windows System32 GroupPolicy Uživatel Scripts Logoff
  • C: Windows System32 GroupPolicy Uživatel Scripts Přihlašte se

Během spouštění a vypnutí skriptů budou muset být v těchto složkách:

  • C: Windows System32 GroupPolicy Machine Scripts Shutdown
  • C: Windows System32 GroupPolicy Machine Scripts Startup

Jakmile nakonfigurujete skript pro odhlášení, můžete jej otestovat - nastavíme jednoduchý skript, který vytvořil textový soubor na ploše a poté se odhlásil a znovu zapnul. Ale mohl bys udělat to, co chceš.

A samozřejmě, pokud byste místo toho přihlašovali přihlašovací skript, mohli by spustit aplikace.

Důležité je poznamenat, že pokud váš skript vyzve k zadání uživatele, systém Windows bude viset během vypnutí nebo odhlášení po dobu 10 minut předtím, než je skript zabit a systém Windows se může restartovat. To je něco, co byste si měli určitě pamatovat při navrhování skriptu.

Zásady skupiny zde nekončí

Prostě jsme poškrábali povrch, co může skutečně udělat Zásad skupiny, a v podnikovém prostředí je jedním z nejvýkonnějších a nejdůležitějších nástrojů, které máte k dispozici. Vzhledem k tomu, že tato série se netýká uživatelů IT, nebudeme jít do všech ostatních, ale stojí za to udělat nějaký výzkum na vlastní pěst.

Nejlepší Tipy:
Komentář: