Използване на редактора на групови правила за ощипване на компютъра

В днешния урок за Geek School ще обясним как да използвате редактора на местната групова политика, за да направите промени в компютъра си, които не са достъпни по друг начин.

УЧИЛИЩНА НАВИГАЦИЯ

1. Използване на Scheduler за задачи за стартиране на процеси по-късно
2. Използване на инструмента за разглеждане на събития за отстраняване на проблеми
3. Разбиране на разделянето на твърдия диск с управлението на дисковете
4. Научете се да използвате редактора на системния регистър като Pro
5. Мониторинг на вашия компютър с мониторинг на ресурсите и мениджър на задачите
6. Разбиране на панела за разширени системни свойства
7. Разбиране и управление на услугите на Windows
8. Използване на редактора на групови правила за ощипване на компютъра
9. Разбиране на инструментите за администриране на Windows

Трябва да отбележим, че редакторът на груповите правила е достъпен само в Pro версиите на Windows - потребителите на Home или Home Premium няма да имат достъп до него. Все още си струва да се научиш за това.

Груповите правила са наистина мощен начин за настройка на корпоративна мрежа с всеки от заключените компютри, така че потребителите да не могат да ги забъркат с нежелани промени и да ги спрат да използват неодобрен софтуер, сред много други приложения.

В домашната среда, обаче, вероятно няма да искате да зададете ограничения за дължината на паролата или да се наложи да промените паролата си. И най-вероятно няма да е нужно да заключвате машините си само, за да стартирате конкретни одобрени изпълними файлове.

Съществуват и много други неща, които можете да конфигурирате, като например деактивиране на функциите на Windows, които не ви харесват, блокиране на някои приложения да се изпълняват или създаване на скриптове, които се изпълняват по време на влизане или отписване.

Разбиране на интерфейса

Интерфейсът е много подобен на всеки друг инструмент за администриране - дървовидният изглед вляво ви позволява да търсите настройки в йерархична структура на папките, има списък с настройки и панел за предварителен преглед, който ви дава повече информация за конкретната настройка.

Има две папки от най-високо ниво, които трябва да знаете:

• Компютърна конфигурация - поддържа настройки, които се прилагат към компютрите, независимо от кой потребител се влиза.
• Потребителска конфигурация - поддържа настройки, които се прилагат към потребителски акаунти.

Под всяка от тези папки има няколко папки, които ви позволяват да проследявате допълнително наличните настройки:

• Настройки на софтуера - тази папка е предназначена за конфигурации, свързани със софтуера, и по подразбиране е празна в клиентски Windows.
• Настройки на Windows - тази папка съдържа настройки за сигурност и скриптове за влизане / излизане и стартиране / изключване.
• Административни шаблони - тази папка съдържа конфигурации, базирани на системен регистър, които по същество са бърз начин да промените настройките на компютъра или потребителския си профил. Има много налични настройки.

Настройване на правилата за сигурност

Ако щяхте да кликнете двукратно върху елемента "Предотвратете достъпа до командния ред" от горния екран, ще ви бъде представен прозорец, който изглежда така - всъщност повечето от настройките в Административни шаблони ще изглеждат подобен.

Тази конкретна настройка ви позволява да блокирате достъпа до командния ред на потребителите на компютъра. Можете също така да конфигурирате настройката в диалоговия прозорец, за да блокирате и партидните файлове.

Друга опция в същата папка ви позволява да създадете настройка за "Пускане само на определени приложения на Windows" - бихте конфигурирали настройката на Enabled и след това да предоставите списък с разрешени приложения. Всичко останало ще бъде блокирано.

В този случай, ако искате да стартирате приложение, което не е в списъка, ще получите съобщение за грешка като тази.

Струва си да се отбележи, че бъркотията с такива правила може да ви заключи от вашия компютър, ако направите нещо нередно, така че бъдете внимателни.

Настройване на настройките на UAC за защита

Под папката "Компютърна конфигурация -> Настройки на Windows -> Настройки за защита -> Местни правила -> Опции за защита ще намерите куп интересни настройки, за да направите компютъра малко по-сигурен.

Първата опция може да бъде намерена в тази папка като елемент "Контрол на потребителските акаунти: Поведение на командата за повишение за администратори" и ако изберете "Подаване на сигнал за идентификационни данни на защитения работен плот", ще ви принуди (или друг потребител) въведете паролата си всеки път, когато се опитате да изпълните нещо в режим администратор.

Тази опция прави Windows да работи по-скоро като Linux или Mac, откъдето сте помолени да предоставите паролата си всеки път, когато трябва да направите промяна, и тъй като Secure Desktop не позволява други приложения да се забъркват с диалога, това е много повече сигурно.

Други полезни опции:

• Контрол на потребителските акаунти: Издигнете само изпълнимите файлове, които са подписани и валидирани - тази опция забранява на кандидати, които не са подписани дигитално, да стартират като администратор.
• Конзолата за възстановяване, позволява автоматично влизане в администрацията - когато трябва да използвате конзолата за възстановяване, за да изпълнявате системни задачи, обикновено трябва да въведете администраторската парола. Ако случайно сте забравили тази парола, това ще ви позволи да влезете, за да я възстановите по-лесно. (И тъй като можете лесно да изтриете парола за Windows, това не е наистина по-малко сигурно).

Едно нещо, което си заслужава да се отбележи, е, че много от правилата в списъка не се прилагат за всяка версия на Windows. Например в екранната снимка по-долу настройката "Премахване на документите ми" е достъпна само за Windows XP и 2000. Някои други правила ще кажат "Поне Windows XP" или нещо подобно, което означава, че те ще продължат да работят всички версии.

Има огромен брой настройки в редактора на груповите правила, така че определено си заслужава да прекарате известно време в тях, ако сте любопитни.Повечето настройки ви позволяват да деактивирате функциите на Windows, които не ви харесват особено - много малко ви дават функционалност, която не сте имали по подразбиране.

Настройване на скриптове, които да се изпълняват при влизане, отписване, стартиране или изключване

Още един пример за нещо, което можете да направите само с помощта на редактора на групови правила, е създаването на скрипт за изключване или изключване, който да се изпълнява всеки път, когато рестартирате компютъра си.

Това може да бъде наистина полезно за почистване на вашата система или за бързо архивиране на определени файлове всеки път, когато изключите, и можете да използвате пакетни файлове или дори PowerShell скриптове за двете. Единственото предупреждение е, че тези скриптове трябва да работят тихо или да заключат процеса на отписване.

Има два различни типа скриптове, които можете да изпълните.

• Скриптове за стартиране / изключване - тези скриптове се намират в Конфигурация на компютъра -> Настройки на Windows -> Скриптове и ще се изпълняват под локалната системна сметка, така че да могат да манипулират системни файлове, но няма да се показват като потребителски акаунт.
• Скриптове за вход / отписване - тези скриптове се намират под Потребителска конфигурация -> Настройки на Windows -> Скриптове и ще се изпълняват под потребителския ви акаунт.

Струва си да се отбележи, че скриптовете за влизане и влизане в профила няма да ви позволят да стартирате помощни програми, които изискват администраторски достъп, освен ако не сте напълно деактивирани.

За днешния пример ще направим скрипт за отписване, като се насочим към Потребителска конфигурация -> Настройки на Windows -> Скриптове и двукратно върху Отмяна.

Прозорецът за свойства на логафиката ви позволява да добавите няколко скрипта за лого, за да стартирате.

Можете също да конфигурирате скриптове PowerShell вместо това.

Най-важното нещо, което трябва да отбележите тук, е, че вашите скриптове трябва да са в определена папка, за да работят правилно.

Скриптовете за вход и лого трябва да са в следните папки:

• C: \ Windows \ System32 \ GroupPolicy \ Потребител \ Scripts \ Logoff
• C: \ Windows \ System32 \ GroupPolicy \ Потребител \ Scripts \ Logon

Докато скриптовете за стартиране и изключване ще трябва да бъдат в следните папки:

• C: \ Windows \ System32 \ GroupPolicy \ машина \ Scripts \ Shutdown
• C: \ Windows \ System32 \ GroupPolicy \ машина \ Scripts \ Startup

След като конфигурирате скрипта за логовете си, можете да го изпробвате - настройваме прост скрипт, който създава текстов файл на работния плот, след което се излиза и връща отново. Но бихте могли да направите всичко, което искате.

И, разбира се, ако вместо това правите скрипт за влизане, всъщност може да стартирате приложения.

Едно важно нещо е да се отбележи, че ако скриптът ви подсказва за въвеждане на потребител, Windows ще виси по време на изключване или отлагане за 10 минути преди скриптът да бъде убит и Windows може да се рестартира. Това е нещо, което определено трябва да имате предвид при проектирането на вашия скрипт.

Груповата политика не свършва тук

Ние просто почесахме повърхността за това, което груповата политика наистина може да направи, а в корпоративната среда е един от най-мощните и важни инструменти на ваше разположение. Тъй като тази серия не е за ИТ потребители, ние няма да отидем във всички останали, но си струва да се направи някакво проучване сами.