Една от най -интересните задачи, които можем да изпълняваме като администратори или хора в ИТ сферата, е да задаваме политики на потребителите или машините в нашата организация. Тези задачи могат да се изпълняват благодарение на обаждания GPO (обект на групова политика) които позволяват да се установят контроли, разрешения, заключвания и други задачи или към локалния потребител, или към група потребители, когато сме в домейн.
В това проучване ще анализираме начина как можем да получим достъп до GPO в Windows 10 Но ние искаме да се задълбочим предварително в това, как да ги приложим, кога да ги приложим и по -късно ще създадем някои GPO, за да видим поведението на Windows 10 с тях.
GPO е буквално обект на групова политикаТова означава, че като администратори можем да създадем политика, която да ограничава използването на USB памет от съображения за сигурност, или можем да установим, че потребителят не добавя или премахва програми.
На практика GPO ни дава по -централизиран контрол върху машините и потребителите. За да редактираме или създаваме нови GPO, трябва да влезем в локалния GPO редактор, който е допълнение към MMC (Конзола за управление на Microsoft) и този плъгин се намира в пътя:
% windir% \ System32 \ gpedit.mscGPO може да бъде дефиниран като a правило, което контролира работната среда на потребителя и акаунта на локалната машина. Най -често е да се говори за GPO в организационно отношение, но този път ще говорим за местните GPO много подробно, за да разберем широкия обхват и многото опции, които имаме, когато използваме редактора на GPO.
Важно е, преди да редактирате GPO, да сме много наясно какво ще правим, дали наистина си струва да блокираме или да позволим каквото и да е действие на компютъра, тъй като ако изпълним нещо, което не е необходимо, може да имаме ненужни проблеми.
За начало ще видим Начини за достъп до GPO редактор в Windows 10 и по -късно ще анализираме самия редактор.
1. Отворете локалния редактор на GPO Windows 10
Опция 1
Най -често срещаният начин за достъп до редактора е чрез използване на команда в опцията Бягай, комбинация от клавиши:
Като натиснете Да приеме или Въведете, ще се появи редакторът.
Вариант 2
Друг начин за достъп до редактора на GPO е чрез търсачката на Windows 10., ключ:
Вариант 3
Ние можем достъп до редактора на GPO от командния ред, за това можем да използваме два начина:
1. Използване на комбинацията Windows + R и въведете термина:
cmd2. Щракнете с десния бутон върху бутона:
След като конзолата cmd е отворена по един от двата начина, ще напишем следната команда:
gpedit.msc
Увеличете
Вариант 4
И накрая можем да получим достъп до местните GPO чрез Windows PowerShell, за това отваряме Windows PowerShell и въвеждаме термина:
gpeditИ натискаме Enter.
Увеличете
След като влезем в редактора, използвайки някой от гореспоменатите методи, ще ги намерим вътре. Както виждаме в Прозорец за редактор на GPO имаме две възможности:
Настройка на оборудванетоТя ни позволява да правим и настройваме параметрите на локалната машина.
Потребителски настройкиТова ни дава възможност да установим параметрите за потребителя, който трябва да използва машината.
Всяка от гореспоменатите опции е разделена на три категории:
Софтуерна конфигурацияТази опция ни позволява да установим необходимата конфигурация за софтуера, инсталиран на локалната машина.
Настройки на WindowsИзползвайки тази алтернатива, ще можем да установим параметрите, свързани със средата на Windows, например директиви за сигурност, скриптове, разрешаване на имена и т.н .; Този раздел е много внимателен, тъй като грешната настройка може да повлияе на работата на системата.
Административни шаблониТова несъмнено е опцията, която ще използваме най -много, тъй като от там ще намерите практически всички настройки на оборудването, контролния панел, вход, изключване и т.н.
В прозореца на GPO редактор Ще работим практически 100% от времето по тези опции, тъй като включените менюта не ни предлагат много алтернативи, има следното:
Файл от менютоОт това меню имаме две (2) алтернативи, раздела Опции, от който можем да освободим място на твърдия диск, за да подобрим производителността му, и раздела Изход, за да излезем от редактора.
Меню за действиеОт това меню имаме следните алтернативи:
- Списък за експортиране: Тя ни позволява да експортираме списък от GPO във формат .txt от определено място
- Помогне: Показва съветника, свързан с MMC.
Преглед на менютоЧрез тази опция можем да редактираме визуализациите на прозореца на нашите GPO, например големи икони, малки икони, списък и т.н.
Меню ПомощСъдържа помощни теми, свързани с GPO и други теми на Microsoft.
Важно е да запомните, че когато работим с a Местен GPO Конфигурацията, която трябва да използваме най -много, е тази на потребителя, тъй като конфигурацията на системата се занимава с много деликатни теми, особено по въпроси на сигурността, мрежи, скриптове, тъй като повечето от тези параметри се използват, когато машината е в домейн .
Увеличете
2. Редактирайте GPO на ниво екип
Ще редактираме GPO в рамките на конфигурацията на оборудването, за това ще преминем към следния маршрут:
Компютърна конфигурация / Административни шаблони / Компоненти на Windows / Windows Update
Увеличете
Както виждаме, Опция за административни шаблони той съдържа много повече параметри за редактиране от другите опции. След като изберем Windows Update, в този пример ще видим, че поредица от опции за промяна се показва от дясната страна, трябва да сме много внимателни със стойностите, които трябва да се редактират.
В това проучване ще изберем опцията да не коригираме опцията по подразбиране „Инсталиране на актуализации и изключване в диалоговия прозорец за изключване“. Щракваме два пъти и ще се покаже следното:
Като цяло всички опции, които избираме в редактора на GPO, ще имат една и съща структура:
Не е конфигурираноТова означава, че GPO не е редактиран в момента.
АктивираноТя ни позволява да установим, че тази политика се прилага и е в сила за локалната машина.
хора с уврежданияИзползвайки тази опция, ние трайно деактивираме избрания GPO на локалната машина.
КоментарМожем да установим коментар, който да ни помогне да сме наясно защо прилагаме споменатия GPO или друг коментар, който считаме за необходим.
Съвместим сПоказва системите, които са съвместими с избрания GPO.
ПомогнеВ това поле можем да видим, че се показва обобщение на това, което този GPO всъщност прави на компютъра.
След като сме конфигурирали параметрите на нашия GPO, кликваме върху Приложи и по -късно в Да приеме. Можем да забележим, че Състояние на GPO Той е променен:
Увеличете
По този начин редактираме GPO на ниво екип.
3. Редактирайте GPO на ниво потребител
Сега ще анализираме GPO, които се отнасят за даден потребител и ще проверим как те влияят върху околната среда на потребителя, ако са приложени неправилно. Както вече споменахме по -горе, опцията, която ни дава най -много Алтернатива за редактиране на GPO е опцията Административни шаблони.
Увеличете
Ако забележим, че опциите са различни, отколкото в конфигурацията на оборудването. Ние ще редактирайте GPO намира се по следния път:
Потребителска конфигурация / Административни шаблони / Контролен панел / Добавяне или премахване на програми
Увеличете
Нека забележим различните опции, показани от дясната страна. Ние ще редактиране на GPO Премахване или добавяне на програми. Щракваме два пъти върху него и опциите ще се покажат.
Ще го редактираме така, че опцията Добавяне или премахване на програми изчезват от контролния панел В опцията Програми в този случай трябва да активираме GPO и ако искаме да добавим коментар.
Кликваме върху Приложи и след това върху OK, за да запазим промените. По този начин имаме възпрепятства потребителя да добавя или премахва програми.
ЗабележкаОт жизненоважно значение е да се потвърди, че GPO важи за операционната система, на която работим, имайте предвид, че в този случай ясно се казва „Само Windows Server 2003, Windows XP и Windows 2000“, което показва, че можем да продължим да добавяме или премахваме програми по нормален начин.
Ще редактираме някои GPO, засягащ потребителската среда в Windows 10. Той ще редактира GPO, който е съвместим с нашата операционна система.
Потребителска конфигурация / Административни шаблони / Контролен панел / Програми
Увеличете
Нека активираме GPO Скриване на страницата "Програми и характеристики". Преди да видим какво можем да наблюдаваме в програмите и функциите, преминаваме към маршрута:
Контролен панел / Програми / Програми и функции
Увеличете
Ние правим корекциите в GPO:
Прилагаме и приемаме промените и ще видим направената промяна в контролния панел:
Увеличете
Както виждаме, вече нямаме достъп до опциите на програми и функции. Ще демонстрираме друг пример, ще редактираме някои GPO по пътя:
Потребителска конфигурация / Административни шаблони / Система / Ctrl + Alt + Del Опции
Увеличете
Както виждаме в десния панел, можем да премахнем опциите, когато натиснем споменатата комбинация. Нека да видим какво можем да редактираме при нормални условия:
Увеличете
Сега имаме възможност да деактивираме някои от тези опции, ще деактивираме опцията Промяна на паролата.
Прилагаме и приемаме промените и ако сега въведем отново комбинацията Ctrl + Алт + Изтрий можем да наблюдаваме направената промяна:
Увеличете
Тъй като забелязахме, че промените, които правим чрез редактора на GPO, могат да причинят доста забележим ефект върху околната среда на потребителя, затова трябва да сме внимателни с GPO, които редактираме. Ние имаме опция за преглед на всички GPO които можем да редактираме (те са организирани по азбучен ред) и всеки GPO посочва съответния път за редактиране.
Увеличете
Можем да забележим, че има много опции, които можем да коригираме, в мрежата, системата, интернет ниво, външен вид, достъп, много и всички тези корекции зависят от това, което сме планирали да изпълним с потребителя.
По този начин ние анализирахме големия обхват, който имаме с локален редактор на GPO в Windows, но нека си припомним, че трябва да го използваме отговорно и внимателно.
