Una dintre cele mai interesante sarcini pe care le putem îndeplini ca administratori sau persoane din domeniul IT este de a atribui politici utilizatorilor sau mașinilor din organizația noastră. Aceste sarcini pot fi realizate datorită apelurilor GPO (Group Policy Object) care permit să stabilim controale, permisiuni, blocări și alte sarcini fie pentru utilizatorul local, fie pentru un grup de utilizatori atunci când suntem într-un domeniu.
În acest studiu vom analiza calea cum putem accesa GPO-uri în Windows 10 Dar vrem să aprofundăm aceste aspecte în prealabil, cum să le implementăm, când să le implementăm și mai târziu vom crea niște GPO-uri pentru a vedea comportamentul Windows 10 cu ele.
GPO este literalmente un obiect de politică de grupAceasta implică faptul că, în calitate de administratori, putem crea o politică care restricționează utilizarea stick-urilor de memorie USB din motive de securitate sau putem stabili că utilizatorul nu adaugă sau elimină programe.
În practică, un GPO ne oferă un control mai centralizat asupra mașinilor și utilizatorilor. Pentru a edita sau a crea noi GPO-uri trebuie să introducem editorul GPO local, care este o completare pentru MMC (Microsoft Management Console) iar acest plugin se află în calea:
% windir% \ System32 \ gpedit.mscUn GPO poate fi definit ca un regulă care controlează mediul de lucru al utilizatorului și contul de mașină locală. Cel mai obișnuit este să vorbim despre GPO-uri în termeni organizaționali, dar de data aceasta vom vorbi despre GPO-uri locale în detaliu pentru a înțelege sfera largă și numeroasele opțiuni pe care le avem atunci când folosim editorul GPO.
Este important ca înainte de a edita un GPO să fim foarte clari despre ceea ce vom face, dacă merită cu adevărat să blochăm sau să permitem orice acțiune pe computer, deoarece dacă executăm ceva care nu este necesar, este posibil să avem probleme inutile.
Pentru început vom vedea Modalități de accesare a editorului GPO în Windows 10 și mai târziu vom analiza editorul însuși.
1. Deschideți editorul GPO local Windows 10
Opțiunea 1
Cel mai comun mod de a accesa editorul este prin utilizarea unei comenzi din opțiune Alerga, combinație de taste:
Apăsând pe A accepta sau introduce, va apărea editorul.
Opțiunea 2
O altă modalitate de a accesa editorul GPO este prin intermediul motorului de căutare Windows 10., cheie:
Opțiunea 3
Putem accesați editorul GPO din promptul de comandă, pentru aceasta putem folosi două moduri:
1. Folosind combinația Windows + R și introduceți termenul:
cmd2. Faceți clic dreapta pe butonul:
Odată ce consola cmd este deschisă în unul din cele două moduri, vom scrie următoarea comandă:
gpedit.msc
MARI
Opțiunea 4
Și în cele din urmă putem accesa GPO-urile locale folosind Windows PowerShell, pentru aceasta deschidem Windows PowerShell și introducem termenul:
gpeditȘi apăsăm Enter.
MARI
Odată ce intrăm în editor folosind oricare dintre metodele menționate mai sus, le vom găsi în interior. După cum vedem în Fereastra editorului GPO avem două opțiuni:
Configurarea echipamentuluiNe permite să facem și să stabilim ajustări la parametrii mașinii locale.
Setarile utilizatoruluiNe oferă posibilitatea de a stabili parametrii pentru utilizatorul care trebuie să utilizeze mașina.
Fiecare dintre opțiunile menționate mai sus este împărțită în trei categorii:
Configurare softwareAceastă opțiune ne permite să stabilim configurația necesară pentru software-ul instalat pe mașina locală.
Setări WindowsFolosind această alternativă vom putea stabili parametrii legați de mediul Windows, de exemplu, directive de securitate, scripturi, rezoluția numelui etc; Această filă este foarte atentă, deoarece o setare greșită poate afecta performanța sistemului.
Șabloane administrativeAceasta este, fără îndoială, opțiunea pe care o vom folosi cel mai mult, deoarece de acolo veți găsi practic toate setările echipamentului, panoul de control, conectare, oprire etc.
În fereastra Editor GPO Vom lucra practic 100% din timp la aceste opțiuni, deoarece meniurile incluse nu ne oferă multe alternative, există următoarele:
Fișier meniuDin acest meniu avem două (2) alternative, fila Opțiuni, din care putem elibera spațiu pe hard disk pentru a-i îmbunătăți performanța și fila Ieșire pentru a ieși din editor.
Meniul de acțiuneDin acest meniu avem următoarele alternative:
- Lista de export: Ne permite să exportăm o listă de GPO-uri în format .txt dintr-un anumit loc
- Ajutor: Afișează expertul legat de MMC.
Vizualizați meniulPrin această opțiune putem edita vizualizările ferestrei GPO-urilor noastre, de exemplu, pictograme mari, pictograme mici, listă etc.
Meniul AjutorConține subiecte de ajutor legate de GPO-uri și alte subiecte Microsoft.
Este important să ne amintim că atunci când lucrăm cu un GPO local Configurația pe care trebuie să o folosim cel mai mult este cea a utilizatorului, deoarece configurația sistemului tratează subiecte foarte delicate, în special în probleme de securitate, rețele, scripturi, deoarece majoritatea acestor parametri sunt utilizați atunci când mașina se află într-un domeniu .
MARI
2. Editați GPO la nivel de echipă
Vom edita un GPO în configurația echipamentului, pentru aceasta vom merge la următorul traseu:
Configurare computer / Șabloane administrative / Componente Windows / Actualizare Windows
MARI
După cum vedem Opțiunea Șabloane administrative conține mult mai mulți parametri de editat decât celelalte opțiuni. Odată ce selectăm Windows Update, în acest exemplu, vom vedea că o serie de opțiuni de modificat este afișată în partea dreaptă, trebuie să fim foarte atenți cu valorile care urmează a fi editate.
În acest studiu, vom selecta opțiunea Nu ajustați opțiunea implicită la „Instalați actualizări și oprire în caseta de dialog Oprire”. Facem dublu clic și vor fi afișate următoarele:
În general, toate opțiunile pe care le selectăm în editorul GPO-urilor vor avea aceeași structură:
NeconfiguratÎnseamnă că GPO nu a fost editat în acest moment.
ActivatNe permite să stabilim că această politică este aplicată și este în vigoare pentru mașina locală.
DezactivatFolosind această opțiune dezactivăm definitiv GPO-ul selectat pe mașina locală.
ComentariuPutem stabili un comentariu care ne ajută să fim clari de ce aplicăm GPO-ul menționat sau orice alt comentariu pe care îl considerăm necesar.
Compatibil cuAfișează sistemele care sunt compatibile cu GPO-ul selectat.
AjutorÎn acest câmp putem vedea că este prezentat un rezumat al ceea ce face de fapt acest GPO pe computer.
Odată ce am configurat parametrii GPO-ului nostru, facem clic pe aplica și mai târziu în A accepta. Putem observa că Starea GPO A fost modificat:
MARI
În acest fel, edităm GPO-urile la nivel de echipă.
3. Editați GPO la nivel de utilizator
Acum vom analiza GPO-urile care se aplică unui utilizator și vom verifica modul în care acestea afectează mediul utilizatorului dacă sunt aplicate incorect. După cum am menționat deja mai sus, opțiunea care ne oferă cel mai mult Alternativa pentru editarea GPO-urilor este opțiunea Șabloane administrative.
MARI
Dacă observăm că opțiunile sunt diferite decât în configurația echipamentului. Noi mergem spre editați GPO situat pe următoarea cale:
Configurare utilizator / Șabloane administrative / Panou de control / Adăugare sau eliminare programe
MARI
Să observăm diferitele opțiuni afișate în partea dreaptă. Noi mergem spre editați GPO Eliminați sau adăugați programe. Facem dublu clic pe el și vor apărea opțiunile.
O vom edita astfel încât opțiunea Adăugarea sau eliminarea programelor dispar din panoul de control În opțiunea Programe, în acest caz trebuie să activăm GPO și dacă dorim să adăugăm un comentariu.
Facem clic pe Aplicare și apoi pe OK pentru a salva modificările. În acest fel avem a împiedicat utilizatorul să adauge sau să elimine programe.
NotăEste de o importanță vitală validarea faptului că GPO se aplică sistemului de operare pe care lucrăm, rețineți că în acest caz scrie clar „Numai Windows Server 2003, Windows XP și Windows 2000” ceea ce indică faptul că putem continua să adăugăm sau să eliminăm programe într-un mod normal.
Vom edita unele GPO care afectează mediul utilizatorului în Windows 10. Acesta va edita un GPO care este compatibil cu sistemul nostru de operare.
Configurare utilizator / Șabloane administrative / Panou de control / Programe
MARI
Să activăm GPO Ascunde pagina „Programe și caracteristici”. Înainte de a vedea ce putem observa în Programe și caracteristici, mergem la traseu:
Panou de control / Programe / Programe și caracteristici
MARI
Facem ajustările în GPO:
Aplicăm și acceptăm modificările și vom vedea modificările făcute în panoul de control:
MARI
După cum putem vedea, nu mai avem acces la opțiunile programelor și caracteristicilor. Vom demonstra un alt exemplu, vom edita un GPO în cale:
Configurare utilizator / Șabloane administrative / Sistem / Ctrl + Alt + Opțiuni Ștergere
MARI
După cum vedem în panoul din dreapta, putem elimina opțiunile atunci când apăsăm combinația respectivă. Să vedem ce putem edita în condiții normale:
MARI
Acum avem posibilitatea de a dezactiva unele dintre aceste opțiuni, vom dezactiva opțiunea Schimbați parola.
Aplicăm și acceptăm modificările și dacă acum introducem din nou combinația Ctrl + Alt + Șterge putem observa schimbarea făcută:
MARI
Pe măsură ce am observat că modificările pe care le facem prin editorul GPO-urilor pot provoca un efect destul de vizibil asupra mediului utilizatorului, de aceea trebuie să fim atenți la GPO-urile pe care le edităm. Avem opțiune pentru a vizualiza toate GPO-urile pe care le putem edita (sunt organizate în ordine alfabetică) și fiecare GPO indică calea respectivă pentru editare.
MARI
Putem observa că există multe opțiuni pe care le putem regla, la rețea, sistem, nivel internet, aspect, acces, multe și toate aceste ajustări depind de ceea ce am planificat să executăm cu utilizatorul.
În acest fel am analizat marea amploare pe care o avem cu editor GPO local pe Windows, dar să ne amintim că utilizarea pe care o facem trebuie să fie într-un mod responsabil și atent.
