Použitie Editoru zásad skupiny na vyladenie počítača
V dnešnej lekcii Geek School budeme vysvetľovať, ako používať Editor miestnych zásad skupiny na vykonanie zmien v počítači, ktoré nie sú k dispozícii inak.
ŠKOLSKÁ NAVIGÁCIA- Použitie Plánovača úloh na spustenie procesov neskôr
- Používanie aplikácie Zobrazovač udalostí na riešenie problémov
- Pochopenie rozdelenia pevného disku pomocou Správa diskov
- Naučiť sa používať Editor databázy Registry ako Pro
- Sledovanie počítača pomocou funkcie Sledovanie zdrojov a Správca úloh
- Pochopenie panelu Rozšírené vlastnosti systému
- Porozumenie a správa služieb Windows
- Použitie Editoru zásad skupiny na vyladenie počítača
- Pochopenie nástrojov správy systému Windows
Treba poznamenať, že Editor zásad skupiny je dostupný iba v Pro verzii systému Windows - používatelia Home alebo Home Premium na to nemajú prístup. Stále stojí za to sa naučiť.
Zásady skupiny sú naozaj výkonným spôsobom, ako vytvoriť firemnú sieť s každým uzamknutým počítačom, takže ich užívatelia nemôžu ublížiť nežiaducimi zmenami a zabrániť im v používaní neschváleného softvéru, medzi mnohými inými spôsobmi použitia.
V domácom prostredí však pravdepodobne nebudete chcieť nastaviť obmedzenia dĺžky hesla alebo si nútiť zmeniť heslo. A pravdepodobne nebudete musieť uzamknúť vaše počítače, aby spustili iba špecifické schválené spustiteľné súbory.
Existuje však veľa ďalších možností, ktoré môžete konfigurovať, napríklad vypnutie funkcií systému Windows, ktoré sa vám nepáči, blokovanie určitých aplikácií z prevádzky alebo vytváranie skriptov, ktoré sa spúšťajú pri prihlasovaní alebo odhlásení.
Pochopenie rozhrania
Rozhranie je veľmi podobné každému inému administratívnemu nástroju - stromové zobrazenie v ľavej časti vám umožňuje hľadať nastavenia v hierarchickej štruktúre priečinkov, je zoznam nastavení a panel s ukážkami, ktorý vám poskytuje viac informácií o konkrétnom nastavení.
Existujú dva priečinky najvyššej úrovne, ktoré si musia byť vedomé:
- Konfigurácia počítača - obsahuje nastavenia, ktoré sa používajú na počítače bez ohľadu na to, ktorý používateľ sa prihlasuje.
- Konfigurácia používateľa - obsahuje nastavenia, ktoré sa vzťahujú na používateľské účty.
V každej z týchto priečinkov je niekoľko priečinkov, ktoré vám umožňujú ďalej rozširovať dostupné nastavenia:
- Nastavenia softvéru - tento priečinok je určený pre konfigurácie súvisiace so softvérom a v klientskom systéme Windows je štandardne prázdny.
- Nastavenia systému Windows - tento priečinok obsahuje nastavenia zabezpečenia a skripty na prihlásenie / odhlásenie a spustenie / vypnutie.
- Šablóny pre správu - tento priečinok obsahuje konfigurácie založené na registroch, ktoré sú v podstate rýchly spôsob úpravy nastavenia vo vašom počítači alebo vo vašom používateľskom účte. Existuje veľa dostupných nastavení.
Vylepšenie bezpečnostných pravidiel
Ak ste dvakrát klikli na položku "Zabrániť prístupu k príkazovému riadku" z vyššie uvedeného obrázku, zobrazí sa vám okno, ktoré vyzerá ako toto - v skutočnosti väčšina nastavení v časti Šablóny pre správu sa bude pozerať podobný.
Toto konkrétne nastavenie vám umožní zablokovať prístup k príkazovému riadku pre používateľov v počítači. Môžete tiež nakonfigurovať nastavenie v dialógovom okne na blokovanie dávkových súborov.
Ďalšia možnosť v tom istom priečinku vám umožňuje vytvoriť nastavenie pre možnosť "Spustiť iba určené aplikácie systému Windows" - konfiguráciu nastavenia nastavíte na položku Povolené a potom poskytnete zoznam povolených aplikácií. Všetko ostatné by bolo zablokované v behu.
V takom prípade, ak by ste mali spustiť aplikáciu, ktorá nie je v zozname, dostanete chybovú správu, ako je táto.
Stojí za to poznamenať, že narušenie pravidiel, ako je toto, by mohlo zablokovať vás z vášho počítača, ak robíte niečo zlé, takže buďte opatrní.
Vyladenie nastavení UAC pre zabezpečenie
V časti Konfigurácia počítača -> Nastavenia systému Windows -> Nastavenia zabezpečenia -> Miestne politiky -> Možnosti zabezpečenia nájdete veľa zaujímavých nastavení, aby bol váš počítač trochu bezpečnejší.
Prvá možnosť sa v tejto zložke nachádza ako položka "Kontrola používateľských kont: Správanie výzvy na zvýšenie počtu správcov" a ak vyberiete možnosť "Opýtať sa na zadanie poverenia na zabezpečenej ploche", bude vás nútiť (alebo iný používateľ) zadajte heslo vždy, keď sa pokúsite spustiť niečo v režime správcu.
Táto možnosť umožňuje, aby systém Windows pracoval skôr ako Linux alebo Mac, kde vás požiadame, aby ste zadali svoje heslo kedykoľvek potrebujete vykonať zmenu, a keďže zabezpečená plocha nedovoľuje, aby sa s dialógom stali iné aplikácie, je to oveľa viac zabezpečiť.
Ďalšie užitočné možnosti:
- Kontrola používateľských kont: Výber iba spustiteľných súborov, ktoré sú podpísané a overované - táto možnosť zakazuje, aby aplikácie, ktoré nie sú digitálne podpísané, boli spustené ako správcovia.
- Konzola na obnovenie, umožňujú automatické prihlasovanie správ - keď potrebujete použiť konzolu na obnovenie na vykonávanie systémových úloh, spravidla musíte zadať heslo správcu. Ak ste náhodou zabudli toto heslo, umožnili by ste ho ľahšie obnoviť. (A pretože môžete ľahko vymazať heslo systému Windows, nie je to naozaj menej bezpečné).
Jedna vec, ktorá stojí za zmienku, je, že mnohé z pravidiel v zozname sa v skutočnosti nevzťahujú na každú verziu systému Windows. Napríklad na obrazovke nižšie je nastavenie "Odstrániť dokumenty Ikona" k dispozícii iba pre systémy Windows XP a 2000. Niektoré ďalšie pravidlá budú obsahovať aspoň "Windows XP" alebo niečo také, čo by znamenalo, že budú pokračovať v práci všetky verzie.
V editore Zásady skupiny existuje obrovské množstvo nastavení, takže určite stojí za to, aby ste ich prežili trochu času, ak ste zvedaví. Väčšina nastavení vám umožňuje deaktivovať funkcie systému Windows, ktoré sa vám nepáčia - veľmi málo vám dá funkčnosť, ktorú ste predvolene nemali.
Nastavenie skriptov na spustenie pri prihlásení, odhlásení, spustení alebo vypnutí
Ešte ďalší príklad niečoho, čo môžete robiť len pomocou editora Zásady skupiny, je nastavenie skriptu odhlásenia alebo vypnutia, ktorý sa má spustiť pri každom reštartovaní počítača.
To môže byť naozaj užitočné pre čistenie vášho systému alebo rýchle zálohovanie určitých súborov pri každom vypnutí a môžete použiť dávkové súbory alebo dokonca PowerShell skripty pre jeden. Jedinou výhradou je, že tieto skripty musia bežať ticho alebo zablokovať proces odhlásenia.
Existujú dva rôzne typy skriptov, ktoré môžete spustiť.
- Skripty spustenia / vypnutia - tieto skripty sa nachádzajú v časti Konfigurácia počítača -> Nastavenia systému Windows -> Skripty a budú spustené pod účtom Lokálneho systému, aby mohli manipulovať so systémovými súbormi, ale nebudú spustené ako používateľské konto.
- Skripty na prihlásenie / odhlásenie - tieto skripty sa nachádzajú v časti Konfigurácia používateľa -> Nastavenia systému Windows -> Skripty a budú spustené pod vaším používateľským účtom.
Stojí za zmienku, že skripty prihlasovania a odhlásenia vám nedovolia spustiť nástroje, ktoré vyžadujú prístup administrátora, pokiaľ nemáte úplne zakázaný UAC.
Pre dnešný príklad urobíme skript odhlásenia podľa nadpisu do časti Konfigurácia používateľa -> Nastavenia systému Windows -> Skripty a dvojitým kliknutím na položku Odhlásenie.
Okno Vlastnosti logovania umožňuje pridať viacero skriptov na odhlásenie.
Môžete tiež nakonfigurovať skripty PowerShell.
Naozaj dôležité je poznamenať, že vaše skripty musia byť v konkrétnom priečinku, aby mohli fungovať správne.
Prihlasovacie a odhlasovacie skripty budú musieť byť v nasledujúcich priečinkoch:
- C: \ Windows \ System32 \ GroupPolicy \ User \ Scripts \ Logoff
- C: \ Windows \ System32 \ GroupPolicy \ Užívateľ \ Scripts \ Logon
Zatiaľ čo skripty spustenia a vypínania budú musieť byť v týchto priečinkoch:
- C: \ Windows \ System32 \ GroupPolicy \ Machine \ Scripts \ Shutdown
- C: \ Windows \ System32 \ GroupPolicy \ Machine \ Scripts \ Startup
Po nakonfigurovaní skriptovacieho skriptu si ho môžete vyskúšať - nastavíme jednoduchý skript, ktorý vytvorí textový súbor na pracovnej ploche a potom sa odhlási a znova zapne. Ale môžete to urobiť všetko, čo chcete.
A samozrejme, ak ste namiesto toho prihlasovali prihlasovací skript, mohli by skutočne spustiť aplikácie.
Jedna dôležitá vec, ktorú treba poznamenať, je to, že ak váš skript vyzve na zadanie používateľa, systém Windows bude visieť počas vypnutia alebo odhlásenia 10 minút predtým, ako sa skript zabije a systém Windows sa môže reštartovať. To je niečo, čo by ste si mali určite pamätať pri navrhovaní skriptu.
Zásady skupiny tu neskončia
Práve sme poškriabali povrch, čo môže skutočne urobiť skupinová politika, av prostredí firemných domén je to jeden z najvýkonnejších a najdôležitejších nástrojov, ktoré máte k dispozícii. Keďže táto séria sa netýka používateľov informačných technológií, nebudeme sa venovať všetkým ostatným, ale stojí za to urobiť nejaký výskum na vlastnú päsť.