Bruk Group Policy Editor til å tweak din PC
I dagens Geek School-leksjon skal vi forklare hvordan du bruker redigeringsprogrammet for lokal gruppepolicy for å gjøre endringer i PCen din som ikke er tilgjengelige på annen måte.
SCHOOL NAVIGASJON- Bruk Oppgaveplanlegger til å kjøre prosesser senere
- Bruke Event Viewer til å feilsøke problemer
- Forstå harddiskpartisjonering med Diskhåndtering
- Lære å bruke Registerredigering som et proff
- Overvåker PCen med ressursmonitor og oppgavebehandling
- Forstå panelet Avansert systemegenskaper
- Forstå og administrere Windows Services
- Bruk Group Policy Editor til å tweak din PC
- Forstå Windows Administrasjonsverktøy
Vi bør notere rett opp foran at konsernpolitikkredigeren bare er tilgjengelig i Pro-versjoner av Windows - Hjem- eller Hjemspremie-brukere vil ikke ha tilgang til det. Det er fortsatt verdt å lære om skjønt.
Gruppepolicyer er en veldig kraftig måte å sette opp et bedriftsnettverk med hver av datamaskinene er låst, slik at brukerne ikke kan rote dem med uønskede endringer, og hindre dem i å kjøre uautorisert programvare, blant mange andre bruksområder.
I hjemmemiljøet vil du sannsynligvis ikke ønsker å angi begrensninger for passordlengde eller tvinge deg til å endre passordet ditt. Og du trenger sannsynligvis ikke å låse maskinene dine for å bare kjøre bestemte godkjente kjørbare.
Det er mange andre ting du kan konfigurere, for eksempel å deaktivere Windows-funksjoner som du ikke liker, blokkere bestemte programmer fra å kjøre, eller lage skript som kjører under Logon eller Logoff.
Forstå grensesnittet
Grensesnittet ligner veldig godt på alle andre administrasjonsverktøy - treveien til venstre lar deg se etter innstillinger i en hierarkisk mappestruktur, det er en liste over innstillinger og et forhåndsvisningspanel som gir deg mer informasjon om den aktuelle innstillingen.
Det er to toppnivåmapper for å være oppmerksom på:
- Datamaskinkonfigurasjon - inneholder innstillinger som brukes på datamaskiner uavhengig av hvilken bruker som logger på.
- Brukerkonfigurasjon - inneholder innstillinger som brukes på brukerkontoer.
Under hver av disse mappene er det et par mapper som lar deg bore ned lenger inn i de tilgjengelige innstillingene:
- Programvareinnstillinger - denne mappen er ment for programvarerelaterte konfigurasjoner og er tom som standard på klientens Windows.
- Windows Innstillinger - denne mappen inneholder sikkerhetsinnstillinger og skript for pålogging / logging og oppstart / avstenging.
- Administrative maler - denne mappen inneholder registerbaserte konfigurasjoner, som egentlig er en rask måte å justere innstillinger på datamaskinen eller for brukerkontoen din. Det er mange tilgjengelige innstillinger.
Tweaking Security Rules
Hvis du skulle dobbeltklikke på "Forhindre tilgang til ledeteksten" fra skjermbildet ovenfor, vil du bli presentert med et vindu som ser ut som dette - faktisk vil de fleste innstillingene under Administrative maler se ut lignende.
Denne bestemte innstillingen vil tillate deg å blokkere tilgang til ledeteksten for brukere på PCen. Du kan også konfigurere innstillingen i dialogboksen for å blokkere batchfiler også.
Et annet alternativ i samme mappe lar deg lage en innstilling for "Kjør kun spesifiserte Windows-programmer" - du vil konfigurere innstillingen til Aktivert og deretter gi en liste over tillatte programmer. Alt annet ville bli blokkert fra å kjøre.
I dette tilfellet, hvis du skulle kjøre et program som ikke er på listen, vil du få en feilmelding som denne.
Det er verdt å merke seg at rote med regler som dette kan låse deg ut av din PC hvis du gjør noe galt, så vær forsiktig.
Tweaking UAC Innstillinger for sikkerhet
Under datamaskinen Konfigurasjon -> Windows Innstillinger -> Sikkerhetsinnstillinger -> Lokale retningslinjer -> Sikkerhetsalternativer-mappen finner du en rekke interessante innstillinger for å gjøre datamaskinen mer trygg.
Det første alternativet kan bli funnet i den mappen som elementet "Brukerkontokontroll: Oppførsel av hevningsprompten for administratorer", og hvis du velger "Spør etter legitimasjon på det sikre skrivebordet", vil det tvinge deg (eller en annen bruker) til å skriv inn passordet ditt hver gang du prøver å kjøre noe i administratormodus.
Dette alternativet gjør at Windows fungerer mer som Linux eller Mac, hvor du blir bedt om å oppgi passordet ditt når som helst du trenger å gjøre en endring, og siden Secure Desktop ikke tillater andre programmer å rotere med dialogboksen, er det mye mer sikre.
Andre nyttige alternativer:
- Brukerkontokontroll: Bare løft kjørbare som er signert og validert - Dette alternativet forbyder programmer som ikke er digitalt signert fra å kjøre som administrator.
- Gjenopprettingskonsoll, tillat automatisk administrativ pålogging - når du trenger å bruke gjenopprettingskonsollen til å utføre systemoppgaver, må du vanligvis gi administratorpassordet. Hvis du har skjedd å glemme passordet, vil dette tillate deg å komme inn for å tilbakestille det lettere. (Og siden du enkelt kan tørke et Windows-passord, er det ikke veldig mindre sikkert).
En ting som er verdt å merke seg er at mange av retningslinjene i listen ikke egentlig gjelder for hver Windows-versjon. For eksempel, i skjermbildet nedenfor, er "Fjern min dokument-ikon" -innstillingen bare tilgjengelig for Windows XP og 2000. Noen andre retningslinjer vil si "Minst Windows XP" eller noe sånt, noe som vil bety at de vil fortsette å jobbe med alle versjoner.
Det er et enormt antall innstillinger i gruppepolicy-redaktøren, så det er definitivt verdt å bruke litt tid på å se gjennom dem hvis du er nysgjerrig. De fleste innstillingene lar deg deaktivere Windows-funksjoner som du ikke liker spesielt - svært få gir deg funksjonalitet som du ikke har som standard.
Sette opp skript for å kjøre ved pålogging, avlogging, oppstart eller avslutning
Enda et annet eksempel på noe du bare kan gjøre ved hjelp av gruppepolicy-editoren, er å sette opp et logoff eller shutdown script for å kjøre hver gang du starter datamaskinen på nytt.
Dette kan være veldig nyttig for å rydde opp systemet eller gjøre en rask sikkerhetskopiering av bestemte filer hver gang du slår av, og du kan bruke batchfiler eller til og med PowerShell-skript for enten. Den eneste advarselen er at disse skriptene må løpe stille, eller de vil låse opp avmeldingsprosessen.
Det finnes to forskjellige typer skript som du kan kjøre.
- Oppstart / Avsluttingsskript - Disse skriptene finnes under Computer Configuration -> Windows Settings -> Scripts og vil bli kjørt under Local System-kontoen, slik at de kan manipulere systemfiler, men vil ikke kjøre som brukerkonto.
- Logon / Logoff Scripts - Disse skriptene finnes under Brukerkonfigurasjon -> Windows Innstillinger -> Skript og vil bli kjørt under brukerkontoen din.
Det er verdt å merke seg at logging og logoff-skript ikke lar deg kjøre verktøy som krever administratortilgang, med mindre du har UAC helt deaktivert.
For dagens eksempel skal vi lage et logoff-skript ved å gå ned til Brukerkonfigurasjon -> Windows Innstillinger -> Skript og dobbeltklikke på Logoff.
Vinduet Logoff-egenskaper lar deg legge til flere loggskript for å kjøre.
Du kan også konfigurere PowerShell-skript i stedet.
Det veldig viktig å merke seg her er at skriptene dine må være i en bestemt mappe slik at de kan fungere skikkelig.
Logon og Logoff Scripts må være i følgende mapper:
- C: \ Windows \ System32 \ Grouppolicy \ Bruker \ Scripts \ avlogging
- C: \ Windows \ System32 \ Grouppolicy \ Bruker \ Scripts \ Logon
Mens oppstart og nedleggingsskript må være i disse mappene:
- C: \ Windows \ System32 \ Grouppolicy \ Machine \ Scripts \ Shutdown
- C: \ Windows \ System32 \ Grouppolicy \ Machine \ Scripts \ Startup
Når du har konfigurert logoff-skriptet ditt, kan du teste det ut - vi konfigurerer et enkelt skript som opprettet en tekstfil på skrivebordet, og deretter logget av og på igjen. Men du kan få det til å gjøre alt du vil.
Og selvfølgelig, hvis du gjorde et påloggingsskript i stedet, kunne det faktisk starte programmer.
En viktig ting å merke seg er at hvis skriptet ber om brukerinngang, vil Windows henge under avslutning eller avlogging i 10 minutter før skriptet blir drept og Windows kan starte på nytt. Dette er noe du bør huske på når du designer skriptet ditt.
Gruppepolitikken slutter ikke her
Vi riper bare overflaten for hvilken gruppepolicy virkelig kan gjøre, og i et bedriftsdomenemiljø er det et av de kraftigste og viktigste verktøyene du har til disposisjon. Siden denne serien ikke handler om IT-brukere, vil vi ikke gå inn i resten, men det er verdt å gjøre litt forskning på egen hånd.