Korzystanie z Edytora zasad grupy do modyfikowania komputera
W dzisiejszej lekcji Geek School, wyjaśnimy, jak użyć edytora Local Group Policy, aby wprowadzić zmiany na komputerze, które nie są dostępne w żaden inny sposób.
NAWIGACJA SZKOLNA- Używanie Harmonogramu zadań do uruchamiania procesów później
- Używanie Podglądu zdarzeń do rozwiązywania problemów
- Opis partycjonowania dysków twardych za pomocą zarządzania dyskami
- Nauka korzystania z edytora rejestru jak profesjonalista
- Monitorowanie komputera za pomocą Monitora zasobów i Menedżera zadań
- Omówienie panelu zaawansowanych właściwości systemu
- Zrozumienie i zarządzanie usługami Windows
- Korzystanie z Edytora zasad grupy do modyfikowania komputera
- Opis narzędzi administracyjnych systemu Windows
Z góry należy zauważyć, że edytor zasad grupy jest dostępny tylko w wersji Pro systemu Windows - użytkownicy Home lub Home Premium nie będą mieli do niego dostępu. Nadal warto się o tym dowiedzieć.
Zasady grupowe to naprawdę skuteczny sposób na skonfigurowanie sieci firmowej z zablokowanymi komputerami, aby użytkownicy nie mogli zepsuć niechcianych zmian i powstrzymać ich przed uruchomieniem niezatwierdzonego oprogramowania i wielu innych zastosowań.
Jednak w środowisku domowym prawdopodobnie nie będziesz chciał ustawiać ograniczeń długości haseł ani zmuszać się do zmiany hasła. I prawdopodobnie nie będziesz musiał blokować swoich maszyn, aby uruchamiać tylko określone zatwierdzone pliki wykonywalne.
Istnieje wiele innych rzeczy, które możesz skonfigurować, np. Wyłączanie funkcji systemu Windows, które Ci się nie podobają, blokowanie uruchamiania niektórych aplikacji lub tworzenie skryptów uruchamianych podczas logowania lub wylogowywania.
Zrozumienie interfejsu
Interfejs jest bardzo podobny do każdego innego narzędzia administracyjnego - widok drzewa po lewej pozwala szukać ustawień w hierarchicznej strukturze folderów, jest lista ustawień i panel podglądu, który daje więcej informacji o danym ustawieniu.
Istnieją dwa foldery najwyższego poziomu, o których należy pamiętać:
- konfiguracja komputera - przechowuje ustawienia, które są stosowane do komputerów bez względu na to, który użytkownik loguje się.
- Konfiguracja użytkownika - przechowuje ustawienia stosowane do kont użytkowników.
Pod każdym z tych folderów znajduje się kilka folderów, dzięki którym można dokładniej przeanalizować dostępne ustawienia:
- Ustawienia oprogramowania - ten folder jest przeznaczony do konfiguracji związanych z oprogramowaniem i domyślnie jest pusty w systemie Windows klienta.
- Ustawienia systemu Windows - ten folder zawiera ustawienia zabezpieczeń i skrypty do logowania / wylogowywania i uruchamiania / zamykania.
- Szablony administracyjne - w tym folderze znajdują się konfiguracje oparte na rejestrze, które są zasadniczo szybkim sposobem na dostrojenie ustawień na komputerze lub na koncie użytkownika. Istnieje wiele dostępnych ustawień.
Poprawianie reguł bezpieczeństwa
Gdyby kliknąć dwukrotnie na powyższy zrzut ekranu, pojawi się okno podobne do tego - w rzeczywistości większość ustawień w szablonach administracyjnych będzie wyglądać podobny.
To konkretne ustawienie umożliwi blokowanie dostępu do wiersza poleceń użytkownikom na komputerze. Możesz także skonfigurować ustawienia w oknie dialogowym, aby również blokować pliki wsadowe.
Inna opcja w tym samym folderze umożliwia utworzenie ustawienia dla "Tylko uruchom aplikacje Windows" - skonfigurujesz ustawienie na Włączone, a następnie podasz listę dozwolonych aplikacji. Cała reszta zostanie zablokowana.
W takim przypadku, jeśli uruchomisz aplikację, której nie ma na liście, pojawi się komunikat o błędzie podobny do tego.
Warto zauważyć, że naruszenie reguł może zablokować komputer, jeśli zrobisz coś złego, więc bądź ostrożny.
Poprawianie ustawień UAC dla bezpieczeństwa
W obszarze Konfiguracja komputera -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady lokalne -> Folder Opcje zabezpieczeń znajdziesz kilka ciekawych ustawień, aby komputer był trochę bezpieczniejszy.
Pierwsza opcja znajduje się w tym folderze jako pozycja "Kontrola konta użytkownika: zachowanie monitu o podniesienie uprawnień dla administratorów", a jeśli wybierzesz "Pytaj o dane uwierzytelniające na bezpiecznym komputerze", wymusisz na nim (lub innym użytkowniku) wprowadź hasło przy każdej próbie uruchomienia czegoś w trybie administratora.
Ta opcja sprawia, że system Windows działa bardziej jak Linux lub Mac, w którym użytkownik jest proszony o podanie hasła za każdym razem, gdy trzeba dokonać zmiany, a ponieważ Secure Desktop nie pozwala innym aplikacjom na bałagan w oknie dialogowym, jest o wiele więcej bezpieczne.
Inne przydatne opcje:
- Kontrola konta użytkownika: Podnoś pliki wykonywalne, które są podpisane i zatwierdzone - ta opcja uniemożliwia aplikacjom, które nie są podpisane cyfrowo, uruchamianie jako administrator.
- Konsola odzyskiwania, zezwalaj na automatyczne logowanie administracyjne - kiedy do wykonywania zadań systemowych musisz używać konsoli odzyskiwania, musisz podać hasło administratora. Jeśli zapomniałeś tego hasła, pozwoliłoby ci to łatwiej się zresetować. (A ponieważ możesz łatwo wymazać hasło Windows, nie jest tak naprawdę mniej bezpieczne).
Warto zauważyć, że wiele zasad na liście nie ma zastosowania do każdej wersji systemu Windows. Na przykład na poniższym zrzucie ekranu ikona "Usuń moje dokumenty" jest dostępna tylko w systemach Windows XP i 2000. Niektóre inne zasady będą brzmiały "Co najmniej Windows XP" lub coś w tym stylu, co oznaczałoby, że będą nadal pracować nad wszystkie wersje.
W edytorze zasad grupy jest ogromna liczba ustawień, więc zdecydowanie warto poświęcić trochę czasu na przeglądanie ich, jeśli jesteś ciekawy. Większość ustawień umożliwia wyłączenie funkcji systemu Windows, które nie są szczególnie lubiane - bardzo niewiele daje funkcje, których nie masz domyślnie.
Konfigurowanie skryptów uruchamianych podczas logowania, wylogowywania, uruchamiania lub zamykania
Kolejnym przykładem czegoś, co można zrobić tylko za pomocą edytora zasad grupy, jest skonfigurowanie skryptu wylogowania lub zamknięcia, który uruchamia się przy każdym ponownym uruchomieniu komputera.
Może to być bardzo przydatne do czyszczenia systemu lub wykonywania kopii zapasowych niektórych plików za każdym razem, gdy zamkniesz system. Możesz także użyć plików wsadowych lub nawet skryptów PowerShell. Jedynym zastrzeżeniem jest to, że te skrypty muszą działać cicho lub będą blokować proces wylogowywania.
Istnieją dwa różne typy skryptów, które można uruchomić.
- Skrypty uruchamiania / zamykania - te skrypty znajdują się w sekcji Konfiguracja komputera -> Ustawienia systemu Windows -> Skrypty i będą uruchamiane pod kontem Local System, dzięki czemu będą mogły manipulować plikami systemowymi, ale nie będą działać jako konto użytkownika.
- Skrypty logowania / wylogowywania - te skrypty znajdują się w sekcji Konfiguracja użytkownika -> Ustawienia systemu Windows -> Skrypty i będą uruchamiane pod Twoim kontem użytkownika.
Warto zauważyć, że skrypty logowania i wylogowywania nie pozwalają uruchamiać narzędzi, które wymagają dostępu administratora, chyba że masz całkowicie wyłączony UAC.
Na dzisiejszy przykład zrobimy skrypt wylogowania, przechodząc do opcji Konfiguracja użytkownika -> Ustawienia systemu Windows -> Skrypty i dwukrotne kliknięcie przycisku Wyloguj.
Okno właściwości Logoff umożliwia dodanie wielu skryptów wylogowania do uruchomienia.
Możesz także skonfigurować skrypty PowerShell.
Należy zwrócić uwagę na to, że skrypty muszą znajdować się w określonym folderze, aby działały poprawnie.
Skrypty logowania i wylogowania muszą znajdować się w następujących folderach:
- C: \ Windows \ System32 \ GroupPolicy \ User \ Scripts \ Logoff
- C: \ Windows \ System32 \ GroupPolicy \ User \ Scripts \ Logon
Skrypty uruchamiania i zamykania muszą znajdować się w tych folderach:
- C: \ Windows \ System32 \ GroupPolicy \ Machine \ Scripts \ Shutdown
- C: \ Windows \ System32 \ GroupPolicy \ Machine \ Scripts \ Startup
Po skonfigurowaniu skryptu wylogowania możesz go przetestować - skonfigurowaliśmy prosty skrypt, który utworzył plik tekstowy na pulpicie, a następnie wylogowaliśmy się i włączyliśmy ponownie. Ale możesz zmusić go do zrobienia wszystkiego, co chcesz.
Oczywiście, jeśli zamiast tego robiłeś skrypt logowania, mógł on faktycznie uruchamiać aplikacje.
Należy zwrócić uwagę na to, że jeśli skrypt monituje o wprowadzenie danych przez użytkownika, Windows zawiesza się podczas zamykania systemu lub wylogowywania na 10 minut, zanim skrypt zostanie zabity, a system Windows może zostać ponownie uruchomiony. Jest to coś, o czym należy zdecydowanie pamiętać przy projektowaniu skryptu.
Zasady grupy nie kończą się tutaj
Po prostu podrapaliśmy się o to, co naprawdę robią zasady grupowe, aw środowisku domeny korporacyjnej jest to jedno z najpotężniejszych i najważniejszych narzędzi do Twojej dyspozycji. Ponieważ ta seria nie dotyczy użytkowników IT, nie zajmiemy się całą resztą, ale warto przeprowadzić własne badania.