Как использовать редактор локальной групповой политики для тонкой настройки вашего компьютера

В этой статье показано, как использовать редактор локальной групповой политики для внесения изменений в ваш компьютер.

Примечание. Редактор групповой политики доступен только в версии Windows 10 Pro. Пользователи Home или Home Premium не имеют к нему доступа.

• Как установить редактор групповой политики (GPEdit.Msc) в Windows 10 Home Edition

Групповая политика — это мощный инструмент, используемый для настройки корпоративных сетей, блокировки компьютеров, чтобы пользователи не могли вносить изменения, предотвращения запуска несанкционированного программного обеспечения и многих других целей.

Для домашних компьютеров такие способы использования, как ограничение длины пароля и блокировка компьютера для запуска только одобренных исполняемых файлов, не очень доступны. Однако в этом инструменте есть много других вещей, которые вы можете настроить, например, отключение функций Windows, которые вам не нравятся, блокировка определенных приложений или создание сценариев, которые запускаются при выходе или входе в систему.

• 8 «настроек» групповой политики Windows, которые должен знать любой администратор
• 4 совета по открытию редактора локальной групповой политики в Windows 8/8.1
• 10 важных настроек групповой политики в Windows, которые необходимо выполнить немедленно

Интерфейс редактора локальной групповой политики

Интерфейс редактора локальной групповой политики аналогичен другим инструментам администрирования. Древовидное представление слева позволяет пользователям искать настройки в соответствии с иерархической структурой папок. Он имеет список настроек и панель предварительного просмотра для предоставления дополнительной информации о конкретных настройках.

Вам нужно позаботиться о двух каталогах верхнего уровня:

• Конфигурация компьютера : содержит настройки компьютера для всех вошедших в систему пользователей.
• Конфигурация пользователя : содержит настройки, применимые к учетной записи пользователя.

В каждой из этих папок есть несколько других папок, которые предоставляют ряд доступных настроек:

• Настройки программного обеспечения . Содержит конфигурацию, связанную с программным обеспечением. На клиентах Windows по умолчанию значение пустое.
• Настройки Windows: Содержит настройки безопасности и сценарии для входа/выхода из системы, запуска/выключения.
• Административные шаблоны : эта папка содержит конфигурации на основе реестра для быстрой настройки компьютеров или учетных записей пользователей.

Настройте правила безопасности

Если вы дважды щелкните «Запретить доступ к командной строке» , появится окно, показанное ниже. Фактически, большинство настроек в «Административных шаблонах» выглядят именно так.

Этот конкретный параметр позволит вам заблокировать пользователям доступ к командной строке . Вы также можете настроить параметры внутри диалогового окна, чтобы заблокировать пакетные файлы .

Если вы включите параметр «Запускать только указанные приложения Windows» в той же папке, что и указанный выше параметр, вы можете разрешить запуск определенных приложений Windows в системе.

В этом случае, если вы запустите приложение, которого нет в списке, вы получите сообщение об ошибке, как показано ниже.

Вам следует тщательно настроить правила, иначе ваш компьютер будет заблокирован и вы не сможете его использовать.

Измените настройки UAC для обеспечения безопасности.

В папке «Конфигурация компьютера» > «Настройки Windows» > «Параметры безопасности» > «Локальные политики» > «Параметры безопасности» вы найдете ряд интересных настроек компьютерной безопасности .

Первый вариант, который мы рассмотрим в этой папке, — « Контроль учетных записей пользователей: поведение запроса на повышение прав для администраторов» . Если в появившемся диалоговом окне вы выберете «Запрашивать учетные данные на безопасном рабочем столе» , вы или другой пользователь должны будете вводить пароль при каждом запуске чего-либо в административном режиме.

Эта опция делает Windows более похожей на Linux или Mac, требуя пароль при каждом внесении изменений.

Еще несколько полезных опций:

• Контроль учетных записей пользователей: повышать права только для подписанных и проверенных исполняемых файлов: этот параметр запрещает запуск приложений, не имеющих цифровой подписи, от имени администратора.
• Консоль восстановления: разрешить автоматический вход в систему администратора . Если вам нужно использовать консоль восстановления для выполнения системных задач, вам необходимо ввести пароль администратора. Если вы забудете свой пароль, эта опция облегчит вам доступ к сбросу пароля. Однако, поскольку вы можете легко удалить пароль Windows, этот вариант на самом деле менее безопасен.

Подробнее: Инструкции о том, как войти в систему, если вы забыли пароль.

Стоит отметить, что многие политики из списка на самом деле применимы не ко всем версиям Windows. Например, параметр «Удалить значок моих документов» доступен только в Windows XP и 2000. Другие политики, такие как « По крайней мере Windows XP» или аналогичные, не будут работать во всех версиях.

В редакторе групповой политики много настроек, вы можете потратить время на их изучение. Большинство настроек здесь позволяют отключить функции Windows, которые вам не нравятся, очень немногие предоставляют функции, недоступные по умолчанию.

Настройте сценарии для запуска при входе в систему, выходе из системы, запуске или завершении работы.

Если вы хотите настроить сценарий выхода и входа в систему, который будет запускаться при каждой загрузке компьютера, вы можете сделать это только в редакторе групповой политики.

Это действительно полезно при очистке системы или выполнении быстрого резервного копирования определенных файлов каждый раз, когда вы выключаете компьютер. Вы можете использовать пакетные файлы или даже сценарии PowerShell. Следует отметить, что эти сценарии должны запускаться «тихо», иначе процесс выхода из системы будет заблокирован.

Вы можете использовать два типа сценариев:

• Сценарии запуска/выключения : эти сценарии можно найти в разделе «Конфигурация компьютера» > «Настройки Windows» > «Сценарии» . Они запускаются под учетной записью локальной системы, поэтому они могут манипулировать системными файлами, но не запускаются от имени учетной записи пользователя.
• Сценарии входа/выхода : этот сценарий находится в разделе «Конфигурация» > «Настройки Windows» > «Сценарии» и запускается под учетной записью пользователя.

Обратите внимание: сценарий выхода и входа в систему не позволит вам запускать утилиты, требующие административного доступа, если вы полностью не отключите UAC .

Например, мы создадим сценарий выхода из системы, перейдя в « Конфигурация пользователя» > «Настройки Windows» > «Сценарии» и дважды щелкнув «Выход» .

Окно свойств выхода из системы позволяет добавлять сценарии выхода из системы для запуска.

Кроме того, вы также можете настроить сценарии PowerShell.

Обратите внимание: вам необходимо хранить эти сценарии в определенной папке, чтобы они могли работать правильно.

Поместите сценарий выхода и входа в каталог ниже:

• C:\Windows\System32\GroupPolicy\User\Scripts\Выход из системы
• C:\Windows\System32\GroupPolicy\User\Scripts\Logon

И оставьте скрипт запуска и завершения работы в каталоге:

• C:\Windows\System32\GroupPolicy\Machine\Scripts\Shutdown
• C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup

После того как вы настроили сценарий выхода из системы, вы можете его протестировать.

Обратите внимание: если сценарий требует ввода пользовательских данных, Windows зависнет во время завершения работы или выхода из системы на 10 минут, прежде чем сценарий будет отключен и Windows сможет перезагрузиться. Поэтому нужно учитывать этот момент при создании сценария.

В бизнесе это один из самых мощных и важных инструментов. Однако эта статья предназначена только для ознакомления с базовым использованием групповой политики для неопытных пользователей, поэтому в ней не будут вдаваться в подробности.