שימוש בעורך המדיניות הקבוצתית כדי לצבוט את המחשב
בשיעור השיעור של בית הספר החנון, ננסה להסביר כיצד להשתמש בעורך המדיניות הקבוצתית המקומית כדי לבצע שינויים במחשב שאינם זמינים בכל דרך אחרת.
בית הספר ניווט- באמצעות מתזמן המשימות כדי להפעיל תהליכים מאוחר יותר
- באמצעות מציג האירועים כדי לפתור בעיות
- הבנת כונן קשיח מחיצות עם ניהול דיסקים
- ללמוד להשתמש בעורך הרישום כמו מקצוען
- ניטור המחשב האישי שלך עם צג משאבים ומנהל המשימות
- הבנת לוח מאפייני המערכת המתקדמים
- הבנה וניהול של שירותי Windows
- שימוש בעורך המדיניות הקבוצתית כדי לצבוט את המחשב
- הבנת כלי הניהול של Windows
יש לציין מיד כי עורך המדיניות הקבוצתית זמין רק בגרסאות Pro של משתמשי Windows - Home או Home Premium אין גישה אליו. זה עדיין שווה ללמוד על אף.
המדיניות הקבוצתית היא דרך רבת עוצמה להגדרת רשת ארגונית עם כל אחד מהמחשבים הנסגרים, כך שמשתמשים אינם יכולים להתעסק בהם בשינויים לא רצויים, ולהפסיק את הפעלתם של תוכנות לא מאושרות, בין שימושים רבים אחרים.
בסביבה הביתית, עם זאת, סביר להניח שלא תרצה להגדיר הגבלות על אורך סיסמה או להכריח את עצמך לשנות את הסיסמה שלך. ואתה כנראה לא צריך לנעול את המכונות שלך רק להפעיל הרצה ספציפית אושרה.
יש הרבה דברים אחרים שאתה יכול להגדיר אם כי, כמו השבתת תכונות של Windows שאתה לא אוהב, חסימת יישומים מסוימים מתוך ריצה, או יצירת סקריפטים הפועלים במהלך הכניסה או.
הבנת הממשק
הממשק דומה מאוד לכל כלי ניהול אחר - TreeView בצד שמאל מאפשר לך לחפש הגדרות במבנה תיקיות היררכי, יש רשימה של הגדרות, וכן פאנל תצוגה מקדימה שנותן לך מידע נוסף על ההגדרה מסוימת.
יש שתי תיקיות ברמה העליונה להיות מודע:
- תצורת מחשב - מחזיקה בהגדרות החלות על מחשבים ללא תלות באיזה משתמש מתחבר.
- תצורת משתמש - מחזיקה בהגדרות החלות על חשבונות משתמשים.
תחת כל תיקיות אלה יש כמה תיקיות שמאפשרות לך לתחקר למטה נוספת לתוך ההגדרות הזמינות:
- הגדרות תוכנה - תיקיה זו מיועדת לתצורות הקשורות לתוכנה והיא ריקה כברירת מחדל על Windows הלקוח.
- הגדרות Windows - תיקיה זו מחזיקה הגדרות אבטחה וסקריפטים עבור כניסה / הלוגו ואתחול / כיבוי.
- תבניות מנהליות - תיקיה זו מחזיקה בתצורות מבוססות-רישום, שהן למעשה דרך מהירה לצבוט הגדרות במחשב או עבור חשבון המשתמש שלך. יש הרבה הגדרות זמינות.
כללי אבטחה
אם היית ללחוץ פעמיים על "מניעת גישה לשורת הפקודה" פריט מ צילום מסך לעיל, אתה יוצג עם חלון שנראה כמו זה - למעשה, רוב ההגדרות תחת תבניות ניהוליות ייראה דומה.
הגדרה מסוימת זו תאפשר לך לחסום את הגישה לשורת הפקודה עבור משתמשים במחשב. ניתן גם להגדיר את ההגדרה בתוך שיח כדי לחסום קבצי אצווה גם כן.
אפשרות נוספת באותה תיקייה מאפשרת לך ליצור הגדרה עבור "הפעל רק יישומי Windows שצוין" - היית להגדיר את ההגדרה ל Enabled ולאחר מכן לספק רשימה של יישומים מותרים. כל השאר יהיה חסום מלהפעיל.
במקרה זה, אם היית מפעיל יישום שאינו ברשימה, היית מקבל הודעת שגיאה כמו זו.
ראוי לציין כי להתעסק עם כללים כמו זה יכול לנעול אותך מהמחשב שלך אם אתה עושה משהו לא בסדר, אז תיזהר.
Tweaking הגדרות UAC עבור אבטחה
תחת תצורת המחשב -> הגדרות Windows -> הגדרות אבטחה -> מדיניות מקומית -> אפשרויות אבטחה תיקייה, תמצא חבורה של הגדרות מעניינות כדי להפוך את המחשב שלך קצת יותר מאובטח.
האפשרות הראשונה נמצאת בתיקיה זו כפריט "בקרת חשבון משתמש: התנהגות של בקשת הגובה עבור מנהלי מערכת", ואם תבחר באפשרות "בקש אישורים בשולחן העבודה המאובטח", היא תאלץ אותך (או משתמש אחר) הזן את הסיסמה שלך בכל פעם שאתה מנסה להפעיל משהו במצב מנהל.
אפשרות זו הופכת את Windows לעבוד יותר כמו לינוקס או Mac, שבו תתבקש לספק את הסיסמה שלך בכל פעם שאתה צריך לעשות שינוי, ומאחר שולחן העבודה המאובטח אינו מאפשר לכל יישומים אחרים להתעסק עם שיח, זה הרבה יותר לבטח.
אפשרויות שימושיות אחרות:
- בקרת חשבון משתמש: רק הרם את הרציפים שנחתמו ואומתו - אפשרות זו אוסר על יישומים שאינם חתומים דיגיטלית לפעול כמנהל.
- קונסולת השחזור, לאפשר כניסה אוטומטית מנהלית - כאשר אתה צריך להשתמש במסוף השחזור כדי לבצע משימות מערכת, בדרך כלל יש לספק את סיסמת מנהל המערכת. אם במקרה שכחתם את הסיסמה, הדבר יאפשר לכם להיכנס לאיפוס בקלות רבה יותר. (ומאחר שאתה יכול בקלות למחוק את הסיסמה של Windows, זה לא ממש בטוח פחות).
דבר אחד ראוי לציין כי רבים של מדיניות ברשימה לא ממש חל על כל גירסה של Windows. לדוגמה, במסך המסך למטה, ההגדרה "הסר את סמל המסמכים שלי" זמינה רק עבור Windows XP ו -2000. תקנון אחר יגיד "לפחות Windows XP" או משהו כזה, מה שאומר שהם ימשיכו לעבוד כל הגירסאות.
יש מספר עצום של הגדרות בעורך המדיניות הקבוצתית, ולכן בהחלט כדאי להשקיע קצת זמן להסתכל דרך אותם אם אתה סקרן. רוב ההגדרות מאפשרות לך להשבית את תכונות Windows שאתה לא אוהב במיוחד - מעטים מאוד לתת לך פונקציונליות כי לא היה לך כברירת מחדל.
הגדרת סקריפטים להפעלה בעת כניסה, ניתוק, הפעלה או כיבוי
דוגמה נוספת למשהו שאתה יכול לעשות רק באמצעות עורך המדיניות הקבוצתית היא הגדרת script או כיבוי סקריפט להפעלה בכל פעם מחדש את המחשב.
זה יכול להיות שימושי באמת עבור ניקוי המערכת שלך או ביצוע גיבוי מהיר של קבצים מסוימים בכל פעם שאתה לכבות, ואתה יכול להשתמש בקבצים אצווה או אפילו סקריפטים PowerShell עבור אחד. האזהרה היחידה היא כי סקריפטים אלה חייבים לפעול בשקט או שהם ינעלו את תהליך ההקלטה.
ישנם שני סוגים שונים של סקריפטים שניתן להריץ.
- הפעלה / כיבוי סקריפטים - סקריפטים אלה נמצאים תחת תצורת המחשב -> הגדרות Windows -> Scripts ו יופעלו תחת חשבון מערכת מקומית, כך שהם יכולים לתפעל קבצי מערכת, אבל לא יהיה פועל כחשבון המשתמש שלך.
- כניסה / סקריפטים - סקריפטים אלה נמצאים תחת תצורת משתמש -> הגדרות Windows -> Scripts ו יופעלו תחת חשבון המשתמש שלך.
ראוי לציין כי התסריטים לכניסה ו logff לא יאפשר לך להפעיל כלי עזר הדורשים גישה למנהל, אלא אם כן יש לך UAC לחלוטין מושבת.
עבור הדוגמה של היום, אנחנו נעשה סקריפט הלוגו על ידי כותרת למטה כדי תצורת משתמש -> הגדרות Windows -> סקריפטים לחיצה כפולה על הסימון.
חלון מאפייני חלון ההרשאה מאפשר לך להוסיף מספר סקריפטים של Logff כדי להפעיל.
ניתן גם להגדיר סקריפטים PowerShell במקום זאת.
הדבר החשוב באמת לציין כאן היא כי הסקריפטים שלך צריך להיות בתיקייה מסוימת עבור אותם לעבוד כראוי.
Logon ו סקריפטים ניתוק צריך להיות בתיקיות הבאות:
- C: \ Windows \ System32 \ GroupPolicy \ משתמש \ Scripts \ Logoff
- C: \ Windows \ System32 \ GroupPolicy \ משתמש \ סקריפטים \ כניסה
בעת ההפעלה סקריפטים הכיבוי צריך להיות בתיקיות אלה:
- C: \ Windows \ System32 \ GroupPolicy \ מחשב \ Scripts \ Shutdown
- C: \ Windows \ System32 \ GroupPolicy \ מחשב \ Scripts \ Startup
לאחר שהגדרת את התסריט הלוגיסטי שלך, תוכל לבדוק אותו - אנו קובעים סקריפט פשוט שיצר קובץ טקסט בשולחן העבודה ולאחר מכן מתנתק וחוזר. אבל אתה יכול לעשות את זה לעשות כל מה שרצית.
וכמובן, אם אתה עושה סקריפט כניסה במקום, זה יכול למעשה להפעיל יישומים.
דבר אחד חשוב לציין כי אם התסריט שלך מבקש קלט משתמש, Windows יהיה לתלות במהלך כיבוי או להתנתק במשך 10 דקות לפני התסריט נהרג Windows יכול לאתחל מחדש. זה משהו שאתה בהחלט צריך לזכור בעת עיצוב התסריט שלך.
המדיניות הקבוצתית אינה מסתיימת כאן
אנחנו פשוט גירד את פני השטח עבור מה מדיניות קבוצת יכול באמת לעשות, ועל הסביבה בתחום הארגונית הוא אחד הכלים החשובים והחשובים ביותר לרשותכם. מכיוון שהסדרה הזו איננה על משתמשי IT, לא נלך לכל השאר, אבל כדאי לעשות קצת מחקר בעצמך.