I dagens leksjon vil vi se hvordan du bruker Local Group Policy editor, en skjult og veldig full del av Windows hvor det er mulig å gjøre mange endringer på PC-en som ellers bare ville være mulig ved å modifisere de mer kompliserte registernøklene. Group Policy-redigereren er bare tilgjengelig i Pro-versjonene av Windows og er fraværende i Home- og Premium-versjonene.
Du kan imidlertid laste ned og installere gpedit.msc på Windows 10, 7 og 8 Home.
Generelt er det ingen grunn til å berøre disse gruppepolicyene på en hjemme-PC, men det er fortsatt viktig å vite hvordan du får tilgang til dem, og hva du kan gjøre for å ikke være uforberedt i tilfelle en endring er nødvendig.
For eksempel er gruppepolicy nyttig for å konfigurere sikkerhet i et bedriftsnettverk for å blokkere visse endringer på alle datamaskiner eller for å forhindre at brukere kjører ikke godkjent programvare.
For å åpne gruppepolicyredigereren på Windows må du åpne et Kjør- vindu ved å trykke på Windows-R- tastene og deretter skrive og kjøre gpedit.msc- kommandoen.
Vinduet som åpnes ligner på alle andre administrasjonsverktøy, med et hierarkisk mappetræ som hver inneholder mange innstillinger.
Innstillingene er virkelig mange, men fremdeles beskrevet i detalj.
Det er to hovedmapper: Datakonfigurasjon, med innstillinger som påvirker systematferden for alle brukere og Brukerkonfigurasjon, for å endre oppførselen til Windows basert på brukeren som bruker den.
Under de to hovedmappene er tre seksjoner:
- Programvareinnstillinger, hvor du kan lage nye tilpassede konfigurasjoner.
- Windows Settings er en mappe som inneholder sikkerhetsinnstillinger og et start / stopp skript.
- Administrative modeller, med registerbaserte konfigurasjoner som er den delen det er lettere å gripe inn, med mange tilgjengelige alternativer.
Sikkerhetsinnstillinger (noen eksempler)
For å gi et eksempel på hva som kan gjøres for å begrense datasikkerhet på brukernivå, gå til Brukerkonfigurasjon -> Administrative maler -> System og dobbeltklikk på innstillingen " Forhindre tilgang til ledetekst ".
Fra vinduet som åpnes kan du aktivere kontrollen og deretter trykke Bruk for å blokkere tilgang til ledeteksten for alle PC-brukere.
Et annet alternativ i den samme mappen lar deg opprette velge hvilke programmer som kan åpnes på datamaskinen din.
Dobbeltklikk på " Kjør bare spesifiserte Windows-applikasjoner ", aktiver og angi deretter hvilke programmer du vil tillate.
Alt annet er nå blokkert.
Under Datakonfigurasjon -> Windows-innstillinger -> Sikkerhetsinnstillinger -> Lokale retningslinjer -> Sikkerhetsalternativer -mappen, vil du finne mange nyttige innstillinger for å gjøre datamaskinen din litt sikrere hvis du vil.
For eksempel kan du gi nytt navn til administratorkontoen og gjestekontoen, og du kan velge å aktivere forespørselen om legitimasjon til " Brukerkontokontroll: oppførsel til forespørselen om forhøyelse av privilegier for administratorer " for å be om å oppgi passordet hver gang du prøver å gjøre noe i administratormodus.
Med dette alternativet blir Windows sikrere og ligner Linux og Mac, der du blir bedt om å oppgi passordet ditt hver gang du trenger å gjøre en endring.
Med kontroll av brukerkontoer: bare hever signerte og validerte kjørbare filer, applikasjoner som ikke er digitalt signert, kjøres som administrator er forbudt.
Gjenopprettingskonsoll, la automatisk administratoradgang ikke ha noen passordforespørsler når du bruker gjenopprettingskonsollen til å utføre systemoperasjoner.
Som du vil merke, det er et stort antall innstillinger i Group Policy-redigereren, så av nysgjerrighet er det absolutt verdt å bruke litt tid på å se på dem.
De fleste innstillinger lar deg deaktivere Windows-funksjoner som du ikke vil bruke.
Det er verdt å merke seg at mange av policyene på listen ikke gjelder for alle versjoner av Windows.
Nok et eksempel på hva som bare kan gjøres ved bruk av Group Policy-redigereren er å lage et skript som kjøres etter en logo eller etter en avslutning, hver gang du starter PCen på nytt.
Dette kan være nyttig for å rydde opp i systemet ditt eller lage en rask sikkerhetskopi av noen filer hver gang du slår av datamaskinen, og du kan bruke batch-filer eller til og med PowerShell-skript for begge.
Det eneste forbeholdet er at disse skriptene må kjøres i bakgrunnen, ellers vil logoff-prosessen bli blokkert.
Det er to forskjellige typer skript som kan kjøres.
Start / stopp skript i datamaskinkonfigurasjon -> Windows-innstillinger -> Skript og kjører under den lokale systemkontoen, slik at de kan manipulere systemfiler, men ikke kjører som en brukerkonto.
Innloggings- / utloggingsskript i brukerkonfigurasjon -> Windows-innstillinger -> Skript .
Innloggings- og utloggingsskript lar deg ikke kjøre kommandoer som krever administratoradgang hvis det ikke er en UAC fullstendig deaktivert.
Det er verdt å merke seg at de samme operasjonene kan planlegges i planleggeren, et av administrasjonsverktøyene i kontrollpanelet, mye enklere å bruke.
Group Policy-redaktøren er så rik at det vil være umulig å finne en fullstendig og omfattende guide om hva som er best å redigere.
I andre artikler har jeg stilt spørsmål ved dem angående:
- Hvordan deaktivere Skydrive i Windows 8.1 (eller skjule det)
- Aktiver Bitlocker på Windows 7
- Aktiver Enterprise-modus i Internet Explorer 11
- Deaktiver UAC-kontroll i Windows 7 og 8
