Pomocí Editoru zásad skupiny upravte svůj počítač
V dnešní lekci Geek School budeme vysvětlovat, jak používat Editor místních zásad skupiny pro provedení změn v počítači, které nejsou k dispozici jiným způsobem.
ŠKOLNÍ NAVIGACE- Pomocí Plánovače úloh spustit procesy později
- Pomocí programu Prohlížeč událostí k řešení problémů
- Pochopení rozdělení pevného disku pomocí správy disků
- Naučte se používat Editor registru jako profesionál
- Sledování počítače pomocí nástroje Sledování zdrojů a správce úloh
- Pochopení panelu pokročilých vlastností systému
- Porozumění a správa služeb Windows
- Pomocí Editoru zásad skupiny upravte svůj počítač
- Porozumění nástrojům správy systému Windows
Měli bychom si uvědomit, že editor zásad skupiny je k dispozici pouze v Pro verzích systému Windows - uživatelé Home nebo Home Premium nebudou mít přístup k nim. Stále stojí za to se učit.
Zásady skupiny jsou opravdu výkonným způsobem, jak nastavit podnikovou síť s každým uzamčeným počítačem, aby uživatelé nemohli poskakovat s nežádoucími změnami a zabránit jim v používání neschváleného softwaru, mezi mnoha jinými způsoby použití.
V domácím prostředí však pravděpodobně nebudete chtít nastavit omezení délky hesla nebo se nucit změnit heslo. A pravděpodobně nebudete muset uzamknout vaše stroje, aby spustili pouze specifické schválené spustitelné soubory.
Existuje však mnoho dalších možností, které můžete konfigurovat, jako například zakázání funkcí systému Windows, které se vám nelíbí, blokování určitých aplikací ze spuštění nebo vytváření skriptů, které se spouštějí při přihlášení nebo odhlášení.
Porozumění rozhraní
Rozhraní je velmi podobné každému jinému nástroji pro správu - zobrazení stromu vlevo umožňuje hledat nastavení v hierarchické struktuře složek, seznam nastavení a panel náhledu, který vám poskytne více informací o konkrétním nastavení.
Existují dva složky nejvyšší úrovně, které si je třeba uvědomit:
- Konfigurace počítače - obsahuje nastavení, která jsou aplikována na počítače bez ohledu na to, který uživatel se přihlašuje.
- Konfigurace uživatele - obsahuje nastavení, která jsou použita pro uživatelské účty.
Pod každou z těchto složek se nachází několik složek, které vám umožňují dále procházet do dostupných nastavení:
- Nastavení softwaru - tato složka je určena pro konfiguraci související se softwarem a v klientských systémech Windows je ve výchozím nastavení prázdná.
- Nastavení systému Windows - tato složka obsahuje nastavení zabezpečení a skripty pro přihlášení / odhlášení a spuštění / vypnutí.
- Šablony pro správu - tento adresář obsahuje konfigurace založené na registrech, které jsou v podstatě rychlý způsob úpravy nastavení v počítači nebo v uživatelském účtu. Existuje mnoho dostupných nastavení.
Změna bezpečnostních pravidel
Pokud dvakrát kliknete na položku "Zabránit přístupu k příkazovému řádku" na výše uvedeném snímku obrazovky, zobrazí se vám okno, které vypadá takto - ve skutečnosti většina nastavení v části Šablony pro správu vypadá podobný.
Toto konkrétní nastavení vám umožní zablokovat přístup k příkazovému řádku pro uživatele v počítači. Můžete také nakonfigurovat nastavení v dialogu pro blokování dávkových souborů.
Další možnost ve stejném adresáři umožňuje vytvořit nastavení pro možnost "Spouštět pouze zadané aplikace systému Windows" - konfigurováte nastavení na Povoleno a poté seznam povolených aplikací. Všechno ostatní by bylo zablokováno.
V tomto případě, pokud byste spustili aplikaci, která není v seznamu, dostanete chybovou zprávu, jako je tato.
Stojí za to poznamenat, že potírání s takovými pravidly vás může zabránit, pokud uděláte něco špatně, takže buďte opatrní.
Nastavení zabezpečení UAC pro zabezpečení
V části Konfigurace počítače -> Nastavení systému Windows -> Nastavení zabezpečení -> Místní zásady -> Možnosti zabezpečení najdete spoustu zajímavých nastavení, díky nimž je váš počítač o něco bezpečnější.
První možnost lze nalézt v této složce jako položka "Řízení uživatelských účtů: Chování výzvy elevace pro správce" a zvolíte-li možnost "Požádat o pověření na zabezpečené ploše", vynutí vás (nebo jinému uživateli) zadejte své heslo kdykoli se pokusíte spustit něco v režimu správce.
Tato volba způsobuje, že systém Windows funguje spíše jako Linux nebo Mac, kde budete vyzváni k zadání hesla pokaždé, když potřebujete provést změnu, a protože služba Secure Desktop neumožňuje, aby se v dialogu objevily jiné aplikace, je to mnohem víc zajistit.
Další užitečné možnosti:
- Kontrola uživatelských účtů: Zvýšit pouze spustitelné soubory, které jsou podepsány a ověřeny - tato možnost zakazuje spuštění aplikací, které nejsou digitálně podepsané, jako správce.
- Konzola pro zotavení, umožňují automatické přihlášení pro správu - kdy potřebujete konzolu pro obnovení provádět systémové úlohy, obvykle musíte zadat heslo správce. Pokud jste náhodou zapomněli heslo, umožní vám to snadněji se vrátit. (A protože můžete snadno vymazat heslo systému Windows, není to opravdu méně bezpečné).
Jedna věc, která stojí za zmínku, je, že mnoho politik v seznamu se ve skutečnosti nevztahuje na každou verzi systému Windows. Na níže uvedeném snímku obrazovky je například nastavení "Odstranit ikony dokumentů" k dispozici pouze pro systémy Windows XP a 2000. Některé další zásady budou obsahovat alespoň "Windows XP" nebo něco podobného, což by znamenalo, že budou pokračovat v práci všechny verze.
V editoru Zásady skupiny existuje obrovské množství nastavení, takže určitě stojí za to, že se na ně podíváte nějakým časem, pokud jste zvědaví. Většina nastavení umožňuje deaktivovat funkce systému Windows, které se vám velmi nelíbí - velmi málo z nich vám poskytne funkce, které jste ve výchozím nastavení neměli.
Nastavení skriptů pro spuštění při přihlášení, odhlášení, spuštění nebo vypnutí
Dalším příkladem toho, co můžete udělat pouze pomocí editoru Zásady skupiny, je nastavení skriptu pro odhlášení nebo vypnutí, který se spustí při každém restartování počítače.
To může být opravdu užitečné pro vyčištění vašeho systému nebo rychlé zálohování určitých souborů při každém vypnutí a můžete použít dávkové soubory nebo dokonce PowerShell skripty pro jeden. Jediným upozorněním je, že tyto skripty musí běžet tiše, nebo uzamknou proces odhlášení.
Existují dva různé typy skriptů, které můžete spustit.
- Spouštěcí / vypínací skripty - tyto skripty se nacházejí v části Konfigurace počítače -> Nastavení systému Windows -> skripty a budou spuštěny pod účtem Local System, takže mohou manipulovat se systémovými soubory, ale nebudou spuštěny jako uživatelské účty.
- Přihlašovací / odhlašovací skripty - tyto skripty se nacházejí pod položkou Konfigurace uživatele -> Nastavení systému Windows -> Skripty a budou spuštěny pod vaším uživatelským účtem.
Stojí za to poznamenat, že přihlašovací a odhlašovací skripty vám nedovolí spouštět nástroje, které vyžadují přístup správce, pokud nemáte úplně zakázán UAC.
Pro dnešní příklad vytvoříme odhlašovací skript směrem dolů do Konfigurace uživatele -> Nastavení systému Windows -> Skripty a dvojitým kliknutím na tlačítko Odhlášení.
Okno Vlastnosti logování umožňuje přidat více skriptů odhlášení pro spuštění.
Můžete také nakonfigurovat skripty PowerShell.
Důležitá věc, kterou je třeba si uvědomit, je, že vaše skripty musí být v určité složce, aby mohly fungovat správně.
Přihlašovací a odhlašovací skripty budou muset být v následujících složkách:
- C: \ Windows \ System32 \ GroupPolicy \ Uživatel \ Scripts \ Logoff
- C: \ Windows \ System32 \ GroupPolicy \ User \ Scripts \ přihlášení
Během spuštění a vypnutí skriptů budou muset být v těchto složkách:
- C: \ Windows \ System32 \ GroupPolicy \ Stroj \ Skripty \ Vypnutí
- C: \ Windows \ System32 \ GroupPolicy \ Machine \ Scripts \ Startup
Jakmile nakonfigurujete skript pro odhlášení, můžete jej vyzkoušet - nastavíme jednoduchý skript, který vytvořil textový soubor na ploše a poté se odhlásil a znovu zapnul. Ale vy jste to dokázali dělat cokoliv, co chcete.
A samozřejmě, pokud byste místo toho přihlašovali přihlašovací skript, mohli by spustit aplikace.
Důležité je poznamenat, že pokud váš skript vyzve k zadání uživatele, Windows bude viset během vypnutí nebo odhlášení 10 minut předtím, než je skript zabit a Windows může restartovat. To je něco, co byste měli při návrhu skriptu určitě mít na paměti.
Zásady skupiny zde nekončí
Prostě jsme poškrábali povrch, co může skutečně udělat Zásady skupiny, a v prostředí firemních domén je jedním z nejvýkonnějších a nejdůležitějších nástrojů, které máte k dispozici. Vzhledem k tomu, že tato série se netýká uživatelů IT, nebudeme jít do všech ostatních, ale stojí za to udělat nějaký výzkum na vlastní pěst.