Jednym z najciekawszych zadań, które możemy wykonać jako administratorzy lub osoby z branży IT, jest przypisywanie polityk do użytkowników lub maszyn w naszej organizacji. Zadania te można wykonać dzięki telefonom GPO (obiekt zasad grupy) które pozwalają na ustanowienie kontroli, uprawnień, blokad i innych zadań dla lokalnego użytkownika lub grupy użytkowników, gdy jesteśmy w domenie.
W tym opracowaniu przeanalizujemy drogę jak możemy uzyskać dostęp do obiektów zasad grupy w systemie Windows 10? Ale chcemy zagłębić się w to wcześniej, jak je zaimplementować, kiedy je zaimplementować, a później stworzymy kilka obiektów GPO, aby zobaczyć z nimi zachowanie systemu Windows 10.
GPO to dosłownie obiekt zasad grupyOznacza to, że jako administratorzy możemy stworzyć politykę ograniczającą korzystanie z pamięci USB ze względów bezpieczeństwa lub możemy ustalić, że użytkownik nie dodaje ani nie usuwa programów.
W praktyce GPO daje nam bardziej scentralizowaną kontrolę nad maszynami i użytkownikami. Aby edytować lub tworzyć nowe GPO musimy wejść do lokalnego edytora GPO, który jest uzupełnieniem MMC (konsola zarządzania Microsoft) a ta wtyczka znajduje się w ścieżce:
% windir% \ System32 \ gpedit.mscGPO można zdefiniować jako reguła kontrolująca środowisko pracy użytkownika i konto komputera lokalnego. Najczęściej mówi się o GPO w kategoriach organizacyjnych, ale tym razem omówimy bardzo szczegółowo lokalne GPO, aby zrozumieć szeroki zakres i wiele opcje, które mamy podczas korzystania z edytora GPO.
Ważne jest, abyśmy przed edycją GPO bardzo jasno określili, co zamierzamy zrobić, czy naprawdę warto blokować lub zezwalać na jakąkolwiek akcję na komputerze, ponieważ jeśli wykonamy coś, co nie jest wymagane, możemy narazić się na niepotrzebne problemy.
Na początek zobaczymy Sposoby dostępu do edytora GPO w systemie Windows 10 a później przeanalizujemy sam edytor.
1. Otwórz lokalny edytor GPO Windows 10
opcja 1
Najpopularniejszym sposobem uzyskania dostępu do edytora jest użycie polecenia w opcji Uruchomić, kombinacja klawiszy:
Naciskając Akceptować lub Wchodzić, pojawi się edytor.
Opcja 2
Innym sposobem uzyskania dostępu do edytora GPO jest wyszukiwarka systemu Windows 10., klucz:
Opcja 3
Możemy dostęp do edytora GPO z wiersza poleceń, do tego możemy użyć dwóch sposobów:
1. Korzystanie z kombinacji Okna + r i wprowadź termin:
cmd2. Kliknij prawym przyciskiem myszy przycisk:
Gdy konsola cmd zostanie otwarta na jeden z dwóch sposobów, napiszemy następujące polecenie:
gpedit.msc
POWIĘKSZAĆ
Opcja 4
I wreszcie możemy uzyskać dostęp do lokalnych obiektów GPO za pomocą Windows PowerShell, w tym celu otwieramy Windows PowerShell i wpisujemy termin:
gpeditI wciskamy Enter.
POWIĘKSZAĆ
Gdy wejdziemy do edytora za pomocą jednej z wyżej wymienionych metod, znajdziemy je w środku. Jak widzimy w Okno edytora GPO mamy dwie opcje:
Konfiguracja sprzętuPozwala nam na dokonywanie i ustalanie korekt parametrów lokalnej maszyny.
Ustawienia użytkownikaDaje nam to możliwość ustalenia parametrów dla użytkownika, który ma korzystać z maszyny.
Każda z wyżej wymienionych opcji podzielona jest na trzy kategorie:
Konfiguracja oprogramowaniaTa opcja pozwala nam ustalić niezbędną konfigurację dla oprogramowania zainstalowanego na lokalnej maszynie.
Ustawienia systemu WindowsKorzystając z tej alternatywy będziemy mogli ustalić parametry związane ze środowiskiem Windows, na przykład dyrektywy bezpieczeństwa, skrypty, rozpoznawanie nazw itp; Ta zakładka jest bardzo ostrożna, ponieważ niewłaściwe ustawienie może wpłynąć na wydajność systemu.
Szablony administracyjneJest to niewątpliwie opcja, z której skorzystamy najbardziej, bo stamtąd znajdziesz praktycznie wszystkie ustawienia sprzętu, panel sterowania, logowanie, wyłączanie itp.
W oknie Edytor GPO Nad tymi opcjami będziemy pracować praktycznie przez 100% czasu, ponieważ zawarte menu nie oferują nam wielu alternatyw, są następujące:
Plik menuZ tego menu mamy dwie (2) alternatywy, zakładkę Opcje, z której możemy zwolnić miejsce na dysku twardym, aby poprawić jego wydajność, oraz zakładkę Wyjdź, aby wyjść z edytora.
Menu akcjiZ tego menu mamy następujące alternatywy:
- Eksportuj listę: Pozwala nam wyeksportować listę obiektów GPO w formacie .txt z określonego miejsca
- Pomoc: Wyświetla kreatora związanego z MMC.
Zobacz menuDzięki tej opcji możemy edytować wizualizacje naszego okna GPO, na przykład duże ikony, małe ikony, listę itp.
Menu pomocyZawiera tematy pomocy związane z obiektami zasad grupy i inne tematy firmy Microsoft.
Ważne jest, aby pamiętać, że kiedy pracujemy z Lokalny GPO Konfiguracja, której musimy używać najczęściej, jest konfiguracją użytkownika, ponieważ konfiguracja systemu dotyczy bardzo delikatnych tematów, szczególnie w kwestiach bezpieczeństwa, sieci, skryptów, ponieważ większość tych parametrów jest używana, gdy maszyna znajduje się w domenie .
POWIĘKSZAĆ
2. Edytuj obiekt zasad grupy na poziomie zespołu
Zamierzamy edytować GPO w konfiguracji sprzętu, w tym celu przejdziemy do następującej trasy:
Konfiguracja komputera / Szablony administracyjne / Składniki systemu Windows / Windows Update
POWIĘKSZAĆ
Jak widzimy Opcja szablonów administracyjnych zawiera znacznie więcej parametrów do edycji niż inne opcje. Gdy wybierzemy Windows Update, w tym przykładzie zobaczymy, że po prawej stronie wyświetla się seria opcji do modyfikacji, musimy bardzo uważać na edytowane wartości.
W tym opracowaniu wybierzemy opcję nie dostosowuj domyślnej opcji do „Zainstaluj aktualizacje i zamknij w oknie dialogowym zamykania”. Klikamy dwukrotnie i wyświetli się:
Ogólnie wszystkie opcje, które wybieramy w edytorze obiektów zasad grupy, będą miały taką samą strukturę:
Nie skonfigurowaneOznacza to, że GPO nie było w tej chwili edytowane.
WłączonyPozwala nam to ustalić, że ta polityka jest stosowana i obowiązuje na komputerze lokalnym.
NiepełnosprawnyKorzystając z tej opcji trwale wyłączamy wybrany obiekt GPO na komputerze lokalnym.
KomentarzMożemy stworzyć komentarz, który pomoże nam wyjaśnić, dlaczego stosujemy wspomniany GPO lub jakikolwiek inny komentarz, który uważamy za konieczny.
Kompatybilny zWyświetla systemy zgodne z wybranym obiektem zasad grupy.
PomocW tym polu widzimy, że pokazane jest podsumowanie tego, co ten obiekt GPO faktycznie robi na komputerze.
Po skonfigurowaniu parametrów naszego GPO klikamy Zastosować a później w Akceptować. Możemy zauważyć, że Stan GPO Został zmodyfikowany:
POWIĘKSZAĆ
W ten sposób edytujemy obiekty zasad grupy na poziomie zespołu.
3. Edytuj obiekt zasad grupy na poziomie użytkownika
Teraz przeanalizujemy GPO, które dotyczą użytkownika i sprawdzimy, jak wpływają one na środowisko użytkownika, jeśli są stosowane niepoprawnie. Jak już wspomnieliśmy powyżej, opcja, która daje nam najwięcej Alternatywą dla edycji obiektów zasad grupy jest opcja Szablony administracyjne.
POWIĘKSZAĆ
Jeśli zauważymy, że opcje są inne niż w konfiguracji sprzętu. Idziemy do edytuj GPO znajduje się w następującej ścieżce:
Konfiguracja użytkownika / Szablony administracyjne / Panel sterowania / Dodaj lub usuń programy
POWIĘKSZAĆ
Zwróćmy uwagę na różne opcje wyświetlane po prawej stronie. Idziemy do edytuj GPO Usuń lub dodaj programy. Klikamy na nią dwukrotnie i pojawią się opcje.
Zamierzamy go edytować tak, aby opcja Dodaj lub usuń programy znika z Panelu sterowania W opcji Programy w tym przypadku musimy włączyć GPO i jeśli chcemy dodać komentarz.
Klikamy Zastosuj, a następnie OK, aby zapisać zmiany. W ten sposób mamy uniemożliwił użytkownikowi dodawanie lub usuwanie programów.
NotatkaNiezwykle ważne jest, aby sprawdzić, czy obiekt zasad grupy ma zastosowanie do systemu operacyjnego, na którym pracujemy, zwróć uwagę, że w tym przypadku jest to wyraźnie napisane „Tylko Windows Server 2003, Windows XP i Windows 2000”, co oznacza, że możemy kontynuować dodawanie lub usuwanie programów w normalny sposób.
Zamierzamy edytować niektóre GPO wpływające na środowisko użytkownika w systemie Windows 10. Będzie edytować obiekt zasad grupy zgodny z naszym systemem operacyjnym.
Konfiguracja użytkownika / Szablony administracyjne / Panel sterowania / Programy
POWIĘKSZAĆ
Włączmy GPO Ukryj stronę „Programy i charakterystyka”. Zanim zobaczymy, co możemy zaobserwować w Programach i funkcjach, przechodzimy do trasy:
Panel sterowania / Programy / Programy i funkcje
POWIĘKSZAĆ
Korekty dokonujemy w GPO:
Aplikujemy i akceptujemy zmiany, a zmiany zobaczymy w panelu sterowania:
POWIĘKSZAĆ
Jak widzimy, nie mamy już dostępu do opcji programów i funkcji. Zademonstrujemy inny przykład, edytujemy jakiś obiekt GPO na ścieżce:
Konfiguracja użytkownika / Szablony administracyjne / System / Ctrl + Alt + Del Opcje
POWIĘKSZAĆ
Jak widzimy w prawym panelu, możemy usunąć opcje po naciśnięciu tej kombinacji. Zobaczmy, co możemy edytować w normalnych warunkach:
POWIĘKSZAĆ
Teraz mamy możliwość wyłączenia niektórych z tych opcji, zamierzamy wyłączyć opcję Zmień hasło.
Stosujemy i akceptujemy zmiany, a jeśli teraz ponownie wprowadzimy kombinację klawisz kontrolny + Alt + Usunąć możemy zaobserwować dokonaną zmianę:
POWIĘKSZAĆ
Jak zauważyliśmy, zmiany, które wprowadzamy za pomocą edytora obiektów GPO, mogą mieć dość zauważalny wpływ na środowisko użytkownika, dlatego musimy być ostrożni z edytowanymi obiektami GPO. Mamy możliwość przeglądania wszystkich obiektów zasad grupy które możemy edytować (są uporządkowane alfabetycznie), a każdy obiekt zasad grupy wskazuje odpowiednią ścieżkę edycji.
POWIĘKSZAĆ
Możemy zauważyć, że istnieje wiele opcji, które możemy dostosować, na poziomie sieci, systemu, Internetu, wyglądu, dostępu, wiele i wszystkie te dostosowania zależą od tego, co zaplanowaliśmy z użytkownikiem.
W ten sposób przeanalizowaliśmy ogromny zakres, jaki mamy z lokalny edytor GPO w systemie Windows, ale pamiętajmy, że korzystamy z niego w sposób odpowiedzialny i ostrożny.
