На сегодняшнем уроке Geek School мы собираемся объяснить, как использовать редактор локальной групповой политики для внесения изменений в ваш компьютер, которые недоступны другим способом.
Следует сразу отметить, что редактор групповой политики доступен только в профессиональных версиях Windows — пользователи Home или Home Premium не будут иметь к нему доступа. Это все еще стоит узнать, хотя.
Групповые политики — это действительно мощный способ настройки корпоративной сети с заблокированным каждым компьютером, чтобы пользователи не могли испортить их нежелательными изменениями и не допустить запуска неутвержденного программного обеспечения среди многих других применений.
Однако в домашних условиях вы, вероятно, не захотите устанавливать ограничения на длину пароля или заставлять себя сменить пароль. И вам, вероятно, не нужно будет блокировать ваши машины для запуска только определенных утвержденных исполняемых файлов.
Однако есть много других вещей, которые вы можете настроить, например отключение нежелательных функций Windows, блокирование запуска определенных приложений или создание сценариев, которые выполняются во время входа или выхода из системы.
Понимание интерфейса
Интерфейс очень похож на любой другой инструмент администрирования — древовидное представление слева позволяет вам искать настройки в иерархической структуре папок, есть список настроек и панель предварительного просмотра, которая дает вам больше информации о конкретном параметре.
Необходимо помнить о двух папках верхнего уровня:
- Конфигурация компьютера — содержит настройки, которые применяются к компьютерам независимо от того, какой пользователь входит в систему.
- Конфигурация пользователя — содержит настройки, которые применяются к учетным записям пользователей.
Под каждой из этих папок есть несколько папок, которые позволяют вам углубиться в доступные настройки:
- Параметры программного обеспечения — эта папка предназначена для конфигураций, связанных с программным обеспечением, и по умолчанию она пуста в клиентской Windows.
- Windows Settings — эта папка содержит настройки безопасности и скрипты для входа / выхода из системы и запуска / завершения работы.
- Административные шаблоны — эта папка содержит конфигурации на основе реестра, которые, по сути, являются быстрым способом настройки параметров вашего компьютера или учетной записи пользователя. Есть много доступных настроек.
Настройки безопасности
Если бы вы дважды щелкнули по пункту «Запретить доступ к командной строке» на снимке экрана выше, вы бы увидели окно, похожее на это — на самом деле, большинство настроек в административных шаблонах будут выглядеть аналогичный.
Этот конкретный параметр позволит вам заблокировать доступ к командной строке для пользователей на ПК. Вы также можете настроить параметр в диалоговом окне, чтобы заблокировать пакетные файлы.
Другая опция в той же папке позволяет вам создать параметр «Запускать только указанные приложения Windows» — вы должны настроить параметр на «Включено» и затем предоставить список разрешенных приложений. Все остальное будет заблокировано от запуска.
В этом случае, если вы запустите приложение, которого нет в списке, вы получите сообщение об ошибке, подобное этому.
Стоит отметить, что несоблюдение таких правил может заблокировать вас, если вы сделаете что-то не так, поэтому будьте осторожны.
Настройки UAC для безопасности
В папке «Конфигурация компьютера» -> «Настройки Windows» -> «Параметры безопасности» -> «Локальные политики» -> «Параметры безопасности» вы найдете множество интересных настроек, которые сделают ваш компьютер более безопасным.
Первый вариант можно найти в этой папке как элемент «Контроль учетных записей: поведение запроса на повышение прав для администраторов», и если вы выберете «Запрос учетных данных на защищенном рабочем столе», это заставит вас (или другого пользователя) выполнить введите свой пароль каждый раз, когда вы пытаетесь запустить что-то в режиме администратора.
Эта опция делает Windows более похожей на Linux или Mac, где вас просят предоставить пароль в любое время, когда вам нужно внести изменения, а поскольку Secure Desktop не позволяет другим приложениям связываться с диалоговым окном, это намного больше ненадежно.
Другие полезные опции:
- Контроль учетных записей: повышать только те исполняемые файлы, которые подписаны и проверены. Этот параметр запрещает запускать приложения с правами администратора для приложений без цифровой подписи.
- Консоль восстановления, разрешите автоматический административный вход в систему — когда вам нужно использовать консоль восстановления для выполнения системных задач, вы обычно должны предоставить пароль администратора. Если вы забыли этот пароль, это позволит вам легче его сбросить. (И поскольку вы можете легко стереть пароль Windows , он не так уж и безопасен).
Стоит отметить, что многие из политик в списке на самом деле не применимы к каждой версии Windows. Например, на приведенном ниже снимке экрана параметр «Значок« Удалить мои документы »» доступен только для Windows XP и 2000. В некоторых других политиках будет указано «По крайней мере, Windows XP» или что-то подобное, что будет означать, что они будут продолжать работать все версии.
В редакторе групповой политики есть огромное количество настроек, поэтому определенно стоит потратить некоторое время на их просмотр, если вам интересно. Большинство настроек позволяют отключить функции Windows, которые вам не особенно нравятся — очень немногие предоставляют вам функции, которых у вас не было по умолчанию.
Настройка сценариев для запуска при входе в систему, выходе из системы, запуске или завершении работы
Еще одним примером того, что вы можете сделать только с помощью редактора групповой политики, является настройка сценария выхода из системы или завершения работы, чтобы запускаться каждый раз при перезагрузке компьютера.
Это может быть очень полезно для очистки вашей системы или быстрого создания резервных копий определенных файлов при каждом завершении работы, и вы можете использовать пакетные файлы или даже сценарии PowerShell для любого из них. Единственное предостережение заключается в том, что эти сценарии должны выполняться без вывода сообщений, иначе они заблокируют процесс выхода из системы.
Существует два разных типа скриптов, которые вы можете запускать.
- Сценарии запуска / выключения — эти сценарии находятся в разделе «Конфигурация компьютера» -> «Параметры Windows» -> «Сценарии» и будут запускаться под учетной записью локальной системы, поэтому они могут манипулировать системными файлами, но не будут работать как ваша учетная запись пользователя.
- Сценарии входа / выхода — эти сценарии находятся в разделе «Конфигурация пользователя» -> «Настройки Windows» -> «Сценарии» и будут запускаться под вашей учетной записью.
Стоит отметить, что сценарии входа и выхода не позволят вам запускать утилиты, требующие доступа администратора, если у вас полностью отключен контроль учетных записей.
Для сегодняшнего примера мы создадим сценарий выхода из системы, перейдя к Конфигурация пользователя -> Настройки Windows -> Сценарии и дважды щелкнув Выход.
Окно свойств выхода из системы позволяет добавить несколько сценариев выхода из системы для запуска.
Вместо этого вы также можете настроить сценарии PowerShell.
Здесь важно отметить, что ваши скрипты должны находиться в определенной папке, чтобы они работали должным образом.
Сценарии входа и выхода из системы должны находиться в следующих папках:
- C: \ Windows \ System32 \ GroupPolicy \ User \ Scripts \ Logoff
- C: \ Windows \ System32 \ GroupPolicy \ User \ Scripts \ Logon
Хотя сценарии запуска и завершения работы должны находиться в следующих папках:
- C: \ Windows \ System32 \ GroupPolicy \ Machine \ Scripts \ Shutdown
- C: \ Windows \ System32 \ GroupPolicy \ Machine \ Scripts \ Startup
После настройки сценария выхода из системы вы можете проверить его — мы установили простой сценарий, который создал текстовый файл на рабочем столе, а затем вышел из системы и снова включился. Но вы можете заставить его делать все, что вы хотите.
И, конечно, если вы вместо этого выполняете сценарий входа, он может запускать приложения.
Важно отметить, что если ваш сценарий запрашивает ввод данных пользователем, Windows будет зависать во время завершения работы или выхода из системы на 10 минут, прежде чем сценарий будет завершен и Windows сможет перезагрузиться. Это то, что вы должны иметь в виду при разработке своего сценария.
Групповая политика на этом не заканчивается
Мы только что рассмотрели возможности групповой политики, и в среде корпоративного домена это один из самых мощных и важных инструментов в вашем распоряжении. Поскольку эта серия не о пользователях ИТ, мы не будем вдаваться во все остальное, но стоит провести небольшое исследование самостоятельно.