I dagens lektion skal vi se, hvordan vi bruger Local Group Policy editor, et skjult og meget fuldt afsnit af Windows, hvorfra det er muligt at foretage mange ændringer på pc'en, som ellers kun ville være muligt ved at ændre de mere komplicerede registreringsdatabase nøgler. Group Policy-editoren er kun tilgængelig i Pro-versionerne af Windows og mangler i Home- og Premium-versionerne.
Du kan dog downloade og installere gpedit.msc på Windows 10, 7 og 8 Home.
Generelt er der ingen grund til at røre ved disse gruppepolitikker på en hjemme-pc, men det er stadig vigtigt at vide, hvordan man får adgang til dem, og hvad du kan gøre for ikke at være uforberedt, hvis der kræves en ændring.
For eksempel er Gruppepolitik nyttigt til at konfigurere sikkerhed på et virksomhedsnetværk til at blokere visse ændringer på alle computere eller til at forhindre brugere i at køre ikke-godkendt software.
For at åbne gruppepolicyeditoren i Windows skal du åbne et Kørervindue ved at trykke på Windows-R- tasterne og derefter skrive og køre kommandoen gpedit.msc .
Vinduet, der åbnes, ligner ethvert andet administrationsværktøj med et hierarkisk mappetræ, der hver indeholder mange indstillinger.
Indstillingerne er virkelig mange, men stadig beskrevet i detaljer.
Der er to hovedmapper: Computerkonfiguration, med indstillinger, der påvirker systemadfærden for alle brugere og brugerkonfiguration, for at ændre Windows-opførsel baseret på den bruger, der bruger den.
Under de to hovedmapper er tre sektioner:
- Softwareindstillinger, hvor man opretter nye tilpassede konfigurationer.
- Windows-indstillinger er en mappe, der indeholder sikkerhedsindstillinger og et start / stop-script.
- Administrative modeller med registreringsdatabase-baserede konfigurationer, som er den del, hvor det er lettere at gribe ind, med mange tilgængelige muligheder.
Sikkerhedsindstillinger (nogle eksempler)
For at give et eksempel på, hvad der kan gøres for at begrænse computersikkerhed på brugerniveau, skal du gå til Brugerkonfiguration -> Administrationsskabeloner -> System og dobbeltklikke på indstillingen " Forhindre adgang til kommandoprompt ".
Fra det vindue, der åbnes, kan du aktivere kontrollen og derefter trykke på Anvend for at blokere adgang til kommandoprompten for alle brugere af pc'en.
En anden mulighed i den samme mappe giver dig mulighed for at oprette vælge hvilke programmer, der kan åbnes på din computer.
Dobbeltklik på " Kør kun specificerede Windows-applikationer ", aktiver og angiv derefter hvilke programmer du vil tillade.
Alt andet er nu blokeret.
Under Computerkonfiguration -> Windows-indstillinger -> Sikkerhedsindstillinger -> Lokale politikker -> Mappen Sikkerhedsindstillinger finder du mange nyttige indstillinger, der gør din computer lidt mere sikker, hvis du vil.
For eksempel kan du omdøbe administratorkontoen og gæstekontoen, og du kan vælge at aktivere legitimationsanmodningen til " Brugerkontokontrol: opførsel af anmodningen om forhøjelse af privilegier for administratorer " for at bede om at indtaste adgangskoden hver gang du prøver at gøre noget i administratortilstand.
Med denne mulighed bliver Windows mere sikkert og ligner Linux og Mac, hvor du bliver bedt om at angive din adgangskode, hver gang du skal foretage en ændring.
Med brugerkontokontrol: kun hæver underskrevne og validerede eksekverbare filer, applikationer, der ikke er digitalt underskrevet, køres som administrator er forbudt.
Gendannelseskonsol, lad automatisk administratoradgang ikke have nogen adgangskodeanmodninger, når du bruger gendannelseskonsollen til at udføre systemhandlinger.
Som du vil bemærke, er der et stort antal indstillinger i Group Policy-editoren, så af nysgerrighed er det bestemt værd at bruge lidt tid på at se på dem.
De fleste indstillinger giver dig mulighed for at deaktivere Windows-funktioner, som du ikke ønsker at bruge.
Det er værd at bemærke, at mange af politikkerne på listen ikke gælder for alle Windows-versioner.
Endnu et eksempel på, hvad der kun kan gøres ved hjælp af Group Policy-editoren, er at oprette et script, der kører efter en logoff eller efter en lukning, hver gang du genstarter din pc.
Dette kan være nyttigt til at rydde op i dit system eller oprette en hurtig sikkerhedskopi af nogle filer, hver gang du slukker for computeren, og du kan bruge batchfiler eller endda PowerShell-scripts til begge.
Det eneste advarsel er, at disse scripts skal køres i baggrunden, ellers vil logoff-processen blive blokeret.
Der er to forskellige typer manuskripter, der kan køres.
Start / stop script i Computerkonfiguration -> Windows-indstillinger -> Script og kører under den lokale systemkonto, så de kan manipulere systemfiler, men ikke køre som en brugerkonto.
Login / logout script i brugerkonfiguration -> Windows-indstillinger -> script .
Login- og logout-scripts tillader ikke dig at køre kommandoer, der kræver administratoradgang, hvis der ikke er nogen UAC fuldstændigt deaktiveret.
Det er værd at bemærke, at de samme operationer kan planlægges i planlæggeren, et af administrationsværktøjerne i kontrolpanelet, meget lettere at bruge.
Group Policy-redaktøren er så rig, at det vil være umuligt at finde en komplet og omfattende guide til, hvad der er bedst at redigere.
I andre artikler har jeg stillet spørgsmålstegn ved dem vedrørende:
- Sådan deaktiveres Skydrive i Windows 8.1 (eller skjul det)
- Aktivér Bitlocker på Windows 7
- Aktivér Enterprise-tilstand i Internet Explorer 11
- Deaktiver UAC-kontrol i Windows 7 og 8
