Inzerce na portálu

Místní zásady zabezpečení systému Windows 7 Resetování zásad místní skupiny v systému Windows

Jedním z hlavních nástrojů pro doladění uživatelských a systémových nastavení Windows je zásady skupiny – GPO (Objekt zásad skupiny). Samotný počítač a jeho uživatelé mohou být ovlivněni zásadami skupin domény (pokud je počítač v doméně Active Directory) a místními (tyto zásady jsou konfigurovány lokálně a jsou aplikovány pouze na tomto počítači). Zásady skupiny jsou vynikající nástroj pro konfiguraci systému, který může zlepšit jeho funkčnost, zabezpečení a bezpečnost. Avšak pro začínající správce systému, kteří se rozhodnou experimentovat se zabezpečením svého počítače, může nesprávná konfigurace některých parametrů místní (nebo doménové) skupinové politiky vést k různým problémům: od drobných problémů, jako je nemožnost připojení tiskárny nebo USB flash disku. drive, k úplnému zákazu instalace nebo spouštění jakýchkoli aplikací (prostřednictvím zásad SPR nebo AppLocker), nebo dokonce k zákazu místního nebo vzdáleného přihlášení.

V takových případech, kdy se správce nemůže lokálně přihlásit do systému nebo přesně neví, které z nastavení zásad, které použil, způsobuje problém, se musí uchýlit k nouzovému scénáři resetování nastavení zásad skupiny na standardní (výchozí) nastavení. . V „čistém“ stavu počítače nejsou nakonfigurována žádná nastavení zásad skupiny.

V tomto článku si ukážeme několik metod pro resetování nastavení místních zásad a zásad skupiny domény na výchozí hodnoty. Tato instrukce je univerzální a lze ji použít k resetování nastavení GPO ve všech podporovaných verzích Windows: od Windows 7 po Windows 10 a také pro všechny verze Windows Server 2008/R2, 2012/R2 a 2016.

Resetování místních zásad pomocí konzoly gpedit.msc

Tato metoda zahrnuje použití grafické konzoly Editoru místních zásad skupiny gpedit.msc zakázat všechny nakonfigurované zásady. Grafický lokální editor GPO je dostupný pouze v edicích Pro, Enterprise a Education.

Rada. V domácích edicích Windows chybí konzola Local Group Policy Editor, ale přesto ji můžete spustit. Pomocí níže uvedených odkazů si můžete stáhnout a nainstalovat konzolu gpedit.msc pro Windows 7 a Windows 10:

Spusťte modul snap-in gpedit.msc a přejděte do sekce Všechna nastavení zásady místního počítače ( Zásady místního počítače -> Konfigurace počítače -> Šablony pro správu / Zásady místního počítače -> Konfigurace počítače -> Šablony pro správu). Tato část obsahuje seznam všech zásad dostupných pro konfiguraci v šablonách pro správu. Seřadit zásady podle sloupce Stát(Stát) a najděte všechny aktivní politiky (ve státě Zakázáno/Zakázáno nebo Povoleno/ Povoleno). Zakažte všechny nebo pouze některé zásady jejich nastavením Nenakonfigurováno(Nespecifikováno).

Stejné akce musí být provedeny v sekci uživatelských zásad ( UživatelKonfigurace/ Konfigurace uživatele). Tímto způsobem můžete zakázat všechna nastavení šablony pro správu GPO.

Rada. Seznam všech použitých nastavení místních a doménových zásad v pohodlné html zprávě lze získat pomocí vestavěného nástroje s příkazem:
gpresult /h c:\distr\gpreport2.html

Výše uvedený způsob resetování skupinových zásad ve Windows je vhodný pro „nejjednodušší“ případy. Nesprávné nastavení skupinových zásad může vést k vážnějším problémům, například: nemožnost spustit modul snap-in gpedit.msc nebo obecně všechny programy, uživatel ztratí práva správce systému nebo mu bude zakázáno místní přihlášení. Podívejme se na tyto případy podrobněji.

Vynutit místní reset GPO z příkazového řádku

Tato část popisuje, jak vynutit reset všech aktuálních nastavení zásad skupiny v systému Windows. Nejprve však popíšeme některé principy fungování šablon zásad skupiny pro správu ve Windows.

Architektura skupinových zásad je založena na speciálních souborech Registr.pol. Tyto soubory ukládají nastavení registru, která odpovídají určitým nastavením nakonfigurovaných zásad skupiny. Zásady pro uživatele a počítače jsou uloženy v samostatných souborech Registr.pol.

  • Nastavení konfigurace počítače (oddíl Konfigurace počítače) jsou uloženy v %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • Uživatelské zásady (část Konfigurace uživatele) - %SystemRoot%\System32\GroupPolicy\User\registry.pol

Když se počítač spustí, systém importuje obsah souboru \Machine\Registry.pol do podregistru systémového registru HKEY_LOCAL_MACHINE (HKLM). Obsah souboru \User\Registry.pol se importuje do větve HKEY_CURRENT_USER (HKCU), když se uživatel přihlásí.

Po otevření konzola Local Group Policy Editor načte obsah těchto souborů a poskytne je v uživatelsky přívětivé grafické podobě. Když zavřete editor GPO, provedené změny se zapíší do souborů Registry.pol. Po aktualizaci zásad skupiny (pomocí příkazu gpupdate /force nebo podle plánu) jsou nová nastavení přidána do registru.

Rada. Chcete-li provádět změny v souborech, měli byste používat pouze Editor zásad skupiny GPO. Nedoporučuje se upravovat soubory Registry.pol ručně nebo pomocí starších verzí Editoru zásad skupiny!

Chcete-li odebrat všechna aktuální nastavení zásad místní skupiny, musíte odstranit soubory Registry.pol v adresáři GroupPolicy. Můžete to provést pomocí následujících příkazů spuštěných v příkazovém řádku s právy správce:

RD /S /Q "%WinDir%\System32\GroupPolicyUsers" RD /S /Q "%WinDir%\System32\GroupPolicy"

Poté musíte aktualizovat nastavení zásad v registru:

Gpupdate /force

Tyto příkazy obnoví všechna nastavení zásad místní skupiny v částech Konfigurace počítače a Konfigurace uživatele.

Otevřete konzolu editoru gpedit.msc a ujistěte se, že všechny zásady jsou ve stavu Nekonfigurováno. Po spuštění konzoly gpedit.msc se automaticky vytvoří vzdálené složky s výchozím nastavením.

Resetování místních zásad zabezpečení systému Windows

Místní bezpečnostní zásady nakonfigurovat pomocí samostatné konzoly pro správu secpol.msc. Pokud jsou problémy s počítačem způsobeny „utažením šroubů“ v místních zásadách zabezpečení a pokud má uživatel stále přístup k systému a práva správce, měli byste se nejprve pokusit obnovit místní nastavení zásad zabezpečení systému Windows na výchozí hodnoty. Chcete-li to provést, v příkazovém řádku s právy správce spusťte:

  • Pro Windows 10, Windows 8.1/8 a Windows 7: secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
  • Pro Windows XP: secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

Poté je třeba počítač restartovat.

Pokud problémy se zásadami zabezpečení přetrvávají, zkuste ručně přejmenovat soubor kontrolního bodu místní databáze zásad zabezpečení %windir%\security\database\edb.chk

ren %windir%\security\database\edb.chk edb_old.chk

Spusťte příkaz:
gpupdate /force
Restartujte Windows pomocí:
Vypnutí –f –r –t 0

Resetování místních zásad, když se nemůžete přihlásit do Windows

V případě, že lokální přihlášení není možné nebo nelze spustit příkazový řádek (například při jeho blokování a jiných programů pomocí ). Soubory Registry.pol můžete odstranit spuštěním z instalačního disku Windows nebo libovolného LiveCD.


Resetování použitých nastavení GPO domény

Pár slov o zásadách skupiny domén. Pokud je počítač součástí domény Active Directory, některá jeho nastavení může spravovat správce domény prostřednictvím objektů GPO domény.

V adresáři jsou uloženy soubory registry.pol všech použitých zásad skupiny domén %windir%\System32\GroupPolicy\DataStore\0\SysVol\ contoso.com\Policies. Každá zásada je uložena v samostatném adresáři s GUID zásad domény.

Tyto soubory registry.pol odpovídají následujícím větvím registru:

  • HKLM\Software\Policies\Microsoft
  • HKCU\Software\Policies\Microsoft
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Objekty zásad skupiny
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies

Historie použitých verzí zásad domény, které jsou uloženy na klientovi, se nachází v následujících větvích:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\History\

Když je počítač vyloučen z domény, soubory registry.pol zásad domény v počítači jsou odstraněny, a proto nejsou načteny do registru.

Pokud potřebujete násilně odstranit nastavení GPO domény, musíte vymazat adresář %windir%\System32\GroupPolicy\DataStore\0\SysVol\contoso.com\Policies a odstranit zadané klíče registru (důrazně doporučujeme vytvořit zálohu kopie smazaných souborů a klíčů registru!!!) . Poté spusťte příkaz:

gpupdate /force /boot

Rada. Tato technika umožňuje obnovit všechna nastavení zásad místní skupiny ve všech verzích systému Windows. Všechna nastavení provedená pomocí Editoru zásad skupiny se však resetují neresetovat všechny změny provedené v registru přímo prostřednictvím editoru registru, souborů REG nebo jakýmkoli jiným způsobem.

Ve svých předchozích článcích o zásadách skupiny jsem mluvil o principech fungování modulu snap-in. Byly zváženy některé uzly současného vybavení a také funkčnost více skupinových zásad. Počínaje tímto článkem se můžete dozvědět o správě nastavení zabezpečení na místním počítači i v prostředí domény. Zabezpečení je v dnešní době nedílnou součástí práce jak pro systémové administrátory ve velkých i malých podnicích, tak pro domácí uživatele, kteří stojí před úkolem nastavit počítač. Nezkušení správci a domácí uživatelé si mohou myslet, že po instalaci antiviru a firewallu jsou jejich operační systémy spolehlivě chráněny, ale není to tak úplně pravda. Tyto počítače budou samozřejmě chráněny před mnoha útoky, ale co je zachrání před lidským faktorem? V dnešní době jsou bezpečnostní možnosti operačních systémů velmi velké. Existují tisíce nastavení zabezpečení, která řídí služby, zabezpečení sítě, omezují přístup k určitým klíčům a nastavením registru, spravují agenty pro obnovu dat šifrování jednotky BitLocker, řídí přístup aplikací a mnoho dalšího.

Vzhledem k velkému počtu nastavení zabezpečení v operačních systémech Windows Server 2008 R2 a Windows 7 není možné konfigurovat všechny počítače pomocí stejné sady nastavení. Článek pojednával o metodách doladění Řízení uživatelských účtů v operačních systémech Windows a to je jen malá část toho, co můžete dělat pomocí zásad zabezpečení. V sérii článků o místních bezpečnostních politikách se pokusím zvážit co nejvíce bezpečnostních mechanismů s příklady, které vám mohou pomoci ve vaší budoucí práci.

Konfigurace zásad zabezpečení

Zásady zabezpečení je sada nastavení, která řídí zabezpečení počítače a je spravována pomocí místního GPO. Tyto zásady můžete nakonfigurovat pomocí modulu snap-in "Editor místních zásad skupiny" nebo snap. Zařízení "Místní bezpečnostní politika" se používá ke změně zásad účtů a místních zásad na místním počítači a zásady účtů vázaných na doménu Active Directory lze konfigurovat pomocí modulu snap-in "Editor správy zásad skupiny". Na místní zásady zabezpečení můžete přejít následujícími způsoby:

Pokud je váš počítač připojen k doméně Active Directory, zásady zabezpečení jsou určeny zásadami domény nebo zásadami organizační jednotky, jejímž je počítač členem.

Použití zásad zabezpečení na místní počítač a na objekt GPO pracovní stanice připojené k doméně

Pomocí následujících příkladů můžete vidět rozdíl mezi aplikací zásad zabezpečení na místní počítač a na objekt zásad skupiny v pracovním počítači, který je připojen k doméně Windows Server 2008 R2.

Použití zásad zabezpečení na místní počítač

Pro úspěšné dokončení aktuálního příkladu musí být účet, pod kterým jsou tyto akce prováděny, členem skupiny "Administrátoři" na vašem místním počítači. Pokud je počítač připojen k doméně, mohou tyto akce provádět pouze uživatelé, kteří jsou členy skupiny "Administrátoři domén" nebo skupiny s oprávněním upravovat zásady.

V tomto příkladu přejmenujeme účet hosta. Chcete-li to provést, postupujte takto:

Chcete-li po restartování počítače zkontrolovat, zda byla na váš počítač aplikována bezpečnostní politika, musíte tuto součást otevřít v Ovládacích panelech "Uživatelské účty" a následujte odkaz "Spravovat jiný účet". V okně, které se otevře, uvidíte všechny účty vytvořené na vašem místním počítači, včetně přejmenovaného účtu hosta:

Použití zásad zabezpečení na GPO na pracovním počítači, který je připojen k doméně Windows Server 2008 R2

V tomto příkladu zabráníme uživateli Test_ADUser ve změně hesla k účtu na jeho počítači. Dovolte mi připomenout, že k provedení následujících akcí musíte být členem skupiny "Administrátoři domén". Následuj tyto kroky:

Chcete-li po restartování počítače zkontrolovat, zda byly zásady zabezpečení použity, přejděte do počítače, na kterém byly změny provedeny, a otevřete konzolu pro správu MMC. Přidejte k tomu vybavení "Místní uživatelé a skupiny" a zkuste změnit heslo pro svůj doménový účet.

Použití zásad zabezpečení na objekt zásad skupiny z řadiče domény Windows Server 2008 R2

Pomocí tohoto příkladu změníme počet nových jedinečných hesel, která musí být přiřazena k uživatelskému účtu před opětovným použitím starého hesla. Tato zásada vám umožňuje zlepšit zabezpečení zajištěním toho, že stará hesla nebudou znovu a znovu používána. Přihlaste se k řadiči domény nebo použijte nástroje pro správu vzdáleného serveru. Následuj tyto kroky:


O používání modulu snap-in "Správa zásad skupiny" o řadičích domény a o týmu gpupdate bude podrobně diskutováno v dalších článcích.

Závěr

V tomto článku jste se dozvěděli o metodách prosazování místních zásad zabezpečení. Uvedené příklady ilustrují nastavení zásad zabezpečení pomocí modulu snap-in "Místní bezpečnostní politika" na místním počítači, konfiguraci zásad na počítači připojeném k doméně a správu místních zásad zabezpečení pomocí řadiče domény. V následujících článcích série o místních zásadách zabezpečení se dozvíte o použití každého uzlu modulu snap-in "Místní bezpečnostní politika" a příklady jejich použití v testovacím a produkčním prostředí.

Nadchla mě tato myšlenka zajištění bezpečnosti a rozhodl jsem se zkusit udělat totéž pro sebe.

Protože mám Windows 7 Professional, první nápad byl použít AppLocker, ale rychle se ukázalo, že nechce fungovat v mé edici Windows a vyžaduje Ultimate nebo Enterprise kvůli licencování mého Windows a prázdnotě moje peněženka, možnost s AppLocker“ om zmizela.

Dalším pokusem bylo nakonfigurovat zásady skupiny pro omezení softwaru. Vzhledem k tomu, že AppLocker je „napumpovaná“ verze tohoto mechanismu, je logické zásady vyzkoušet, zvláště když jsou pro uživatele Windows zdarma :)

Jdi do nastavení:
gpedit.msc -> Konfigurace počítače -> Konfigurace Windows -> Nastavení zabezpečení -> Zásady omezení softwaru

Pokud žádná pravidla neexistují, systém nabídne vygenerování automatických pravidel, která umožní spouštění programů ze složky Windows a Program Files. Přidáme také pravidlo odmítnutí pro cestu * (libovolnou cestu). V důsledku toho chceme mít možnost spouštět programy pouze z chráněných systémových složek. a co?
Ano, to je to, co dostaneme, ale je tu jen malý problém - zkratky a odkazy http nefungují. Na odkazy můžete ještě zapomenout, ale život bez zkratek je dost špatný.
Pokud povolíme spouštění souborů pomocí masky *.lnk, budeme moci vytvořit zástupce libovolného spustitelného souboru a spustit jej pomocí zástupce, i když není v systémové složce. Mizerný.
Dotaz Google vede k následujícím rozhodnutím: buď povolit spouštění zástupců z uživatelské složky, nebo použít lišty třetích stran se zástupci. Není jiná cesta. Osobně se mi tato možnost nelíbí.

V důsledku toho jsme postaveni před situaci, že *.lnk z pohledu Windows není odkaz na spustitelný soubor, ale spustitelný soubor. Je to šílené, ale co se dá dělat... Chtěl bych, aby Windows kontrolovaly ne umístění zástupce, ale umístění souboru, na který odkazuje.

A pak jsem náhodou narazil na nastavení seznamu přípon, které jsou spustitelné z pohledu Windows (gpedit.msc -> Konfigurace počítače -> Konfigurace Windows -> Nastavení zabezpečení -> Přiřazené typy souborů). Odebereme odtud LNK a zároveň HTTP a přihlásíme se. Získáme plně funkční zástupce a kontrolu umístění spustitelného souboru.
Byla pochybnost, zda by bylo možné předat parametry přes zkratky - je to možné, takže vše ok.

V důsledku toho jsme získali implementaci myšlenky popsané v článku „Počítač se systémem Windows bez antiviru“ bez jakýchkoli nepříjemností pro uživatele.

Pro ty, kteří se rádi střílejí do nohy, si také můžete vytvořit složku v Program Files a hodit pro ni zástupce na plochu, nazvat ji například „Sandbox“. To vám umožní spouštět programy odtamtud bez deaktivace politik pomocí chráněného úložiště (ochrana pomocí UAC).

Doufám, že popsaná metoda bude pro někoho užitečná a nová. Alespoň jsem o tom od nikoho neslyšel a nikde jsem to neviděl.

Local Group Policy Editor (gpedit.msc) je pohodlný a skutečně výkonný nástroj, pomocí kterého můžete podrobně nakonfigurovat systém Windows. Bohužel není k dispozici ve verzích „Home Basic“ a „Home Advanced“. Microsoft však tento nástroj neodstranil, ale pouze jej „schoval“ do složek windows\winsxs a windows\SysWOW64.

S naším řešením bude proces mnohem jednodušší a spolehlivější. Spustíte bezplatný instalační program a počkáte na jeho dokončení. Nutno však přiznat, že naše pohodlná metoda má i drobný nedostatek: Windows zobrazuje příkazy v nabídce editoru v ruštině, ale samotná nastavení i jejich popisy jsou uvedeny v angličtině. Pokud to pro vás není problém, nic vám nebrání v tom, abyste si svůj víceúčelový nástroj pro ladění užili.

Jak to udělat:

1. Stáhněte si editor

Přejděte na stránku drudger.deviantart.com/art/Add-GPEDIT-msc-215792914. Kliknutím na malé tlačítko "Stáhnout" stáhnete soubor ZIP. Pozornost! Velká tlačítka jsou reklamní odkazy.

2. Rozbalte a nainstalujte

Otevřete složku se staženými soubory a rozbalte archiv ZIP, který jste stáhli. Nyní poklepáním spusťte soubor Setup.exe, který se v něm nachází, a počkejte, až bude práce dokončena. Poté zavřete instalační program kliknutím na tlačítko „Dokončit“.

3. Zkopírujte 64bitové soubory

Pokud používáte 64bitovou verzi systému Windows, otevřete v Průzkumníkovi složku Windows\SysWOW64. Zkopírujte odtud adresáře GroupPolicy a GroupPolicyUsers a také soubor gpedit.msc do složky Windows\System32.

4. Spusťte editor

Stiskněte kombinaci kláves „Win+R“ a zadejte „gpedit.msc“. V okně se zprávou Řízení uživatelských účtů klikněte na „Ano“. Poté by se měl otevřít Editor místních zásad skupiny.

5. Úprava dávkového souboru

Pokud po spuštění editoru obdržíte zprávu "Konzola pro správu (MMC) nemůže vytvořit modul snap-in“, opakujte kroky 2, ale tentokrát neklikejte na „Dokončit“. Místo toho otevřete složku Windows\Temp\gpedit a klepněte pravým tlačítkem na soubor x86.bat (32bitový systém Windows) nebo x64.bat (64bitový systém Windows). Z kontextové nabídky vyberte "Upravit".

6. Oprava chyby modulu snap-in

V horní třetině kódu uvidíte šest položek obsahujících prvek "%username%:f". Doplňte jej uvozovkami, jako jsou následující: „%username%“:f“ a soubor uložte. Nyní klikněte pravým tlačítkem myši na uložený dávkový soubor a vyberte „Spustit jako správce“. Pokud nyní spustíte Editor místních zásad skupiny, jak je popsáno v kroku 4, chyba modulu snap-in by měla zmizet.

7. Práce se zásadami skupiny

Celkem vám Editor zásad skupiny nabízí asi 3000 nastavení, která se opravdu snadno používají. Příklad: pokud chcete, aby váš antivirus automaticky kontroloval každou přílohu, vyberte „Konfigurace uživatele | Šablony pro správu | Komponenty Windows | Správce příloh." V pravé polovině okna uvidíte několik položek. Dvakrát klikněte na „Upozornit antivirové programy při otevírání příloh“. V okně, které se zobrazí, vyberte „Povoleno“ a poté klikněte na „OK“.

8. Skryjte zastaralá nastavení

Pokud se vám zdá editor místních zásad skupiny příliš matoucí, skryjte všechna nastavení, o kterých nevíte, že jsou pro váš systém relevantní. Chcete-li to provést, přejděte do nabídky „Zobrazit | Filtrování“ a zaškrtněte políčko vedle možnosti „Filtrovat podle informací o požadavcích“. V každém případě zrušte zaškrtnutí všech položek souvisejících s Windows 2000. Nastavení pro XP funguje i ve Windows 7, takže je nechte být. Po provedení výběru klikněte na „OK“. Okamžitě uvidíte pouze možnosti, které potřebujete.

Fotografie: výrobních společností

Local Group Policy Editor, jeden z nástrojů pro Windows 10, Windows 7, Windows 8, Windows 8.1, kromě domácích verzí, který není mezi běžnými uživateli příliš oblíbený, ale správcům sítí se líbí.

Umožňuje ovládat všechny parametry OS z jednoho bodu. To je zvláště užitečné, pokud jste správce sítě a potřebujete nastavit stejná pravidla pro více počítačů/notebooků nebo uživatelů ve stejné oblasti.

Také Editor místních zásad skupiny nabízí širokou škálu funkcí a nastavení, které se na běžných místech nenacházejí a pro běžné uživatele mohou být velmi užitečné.

V této příručce se dozvíte, co jsou místní zásady skupiny, kde se nacházejí, jak je otevřít a jak s nimi pracovat ve všech verzích Windows.

Co je Editor místních zásad skupiny

Zásady skupiny jsou podle definice funkce, která vám poskytuje přístupový bod pro správu, konfiguraci operačního systému, programů a uživatelských nastavení v počítačích a noteboocích.

To je samozřejmě velmi užitečné, pokud jste správce sítě a potřebujete implementovat určitá pravidla nebo nastavení pro počítače nebo uživatele.

Tento scénář však není účelem tohoto kurzu. Místní zásady představují kontrolu počítačů, nejen těch, které jsou registrované ve skupině.

Jednoduše řečeno, Zásady skupiny byste měli považovat za nástroj, který reguluje fungování Windows 10, Windows 7, Windows 8, Windows 8.1 na vašem počítači.

Kdo může spustit Editor místních zásad skupiny

Protože je Editor místních zásad skupiny dobře vyvinutý nástroj, měli byste si být vědomi toho, že není k dispozici pro domácí edice. Můžete jej spustit pouze na:

  • Windows 7 Professional, Ultimate a Enterprise
  • Windows 8 a 1 Professional, Enterprise
  • Windows 10 Pro a Enterprise

Co můžete dělat v Editoru místních zásad skupiny

Mnoho nastavení operačního systému můžete nakonfigurovat jako správce a ostatní uživatelé nebudou moci vaše nastavení později změnit. Zde jsou nějaké příklady:

  • Uživatelům můžete povolit používání určitých aplikací ve vašem počítači.
  • Zablokujte přístup k externím zařízením (jako jsou paměťové jednotky USB) připojeným k počítači.
  • Blokovat přístup uživatele k nastavení ovládacího panelu nebo aplikace.
  • Skrýt některé položky ovládacího panelu.
  • Nastaví pozadí plochy a zablokuje možnost uživatelů jej měnit.
  • Blokovat povolení nebo zakázání síťových připojení a přístupu k jejich vlastnostem.
  • Zabraňte uživatelům ve čtení nebo zápisu dat na disky CD, DVD, externí paměťová zařízení atd.
  • Zakažte všechny kombinace kláves, které začínají tlačítkem Win. Například Win + R (otevře „Spustit“).

Toto je jen několik příkladů, ale ve skutečnosti existuje mnoho dalších možností.

Jak otevřít Editor místních zásad skupiny v systému Windows 7

Chcete-li otevřít Editor místních zásad skupiny v systému Windows 7, použijte funkci vyhledávání.


Chcete-li to provést, klikněte na „nabídku Start“ a do vyhledávacího pole zadejte „gpedit.msc“ (bez uvozovek) a ve výstupním poli výsledku klikněte na ikonu „gpedit.msc“ nebo „Upravit zásady skupiny“ - v závislosti na na kterém se objeví.

Případně můžete použít nástroj Spustit. Nejrychlejší způsob, jak jej spustit, je současně stisknout „Win + R“, napsat „gpedit.msc“ a kliknout na „OK“.

Jak vstoupit do Editoru místních zásad skupiny v systému Windows 8.1

Stejně jako ve Windows 7 lze nástroj rychle spustit pomocí vyhledávání a zadáním „gpedit.msc“ bez uvozovek.

Poté z výsledku vyhledávání klikněte na „gpedit“. Můžete také použít okno Spustit, jak je popsáno v předchozí části.

Jak otevřít Editor místních zásad skupiny v systému Windows 10

V operačním systému Windows 10 spusťte Editor místních zásad skupiny stejným způsobem jako ve Windows 8.1 a Windows 7.

Stejným způsobem můžete do vyhledávacího okna zadat „gpedit.msc“ a ve výsledcích kliknout na odpovídající ikonu.

Ti, kteří rádi používají okno „Spustit“, jej mohou otevřít a spustit editor, jak je popsáno v sekcích výše – je shodný v první desítce.

Takto vypadá otevřený Editor místních zásad skupiny ve Windows 10.

POZNÁMKA: Editor místních zásad skupiny vypadá téměř identicky a nabízí stejné možnosti, nastavení a funkce jako Windows 7, Windows 8 nebo Windows 10. Proto zde budou použity snímky obrazovky pořízené pouze ve Windows 10.

Jak používat Editor místních zásad skupiny

Editor místních zásad skupiny je rozdělen na dvě části: levá část zobrazuje kategorii a pravá část zobrazuje obsah aktivní kategorie.

Zásady skupiny jsou uspořádány do dvou hlavních částí:

  • Konfigurace počítače – obsahuje nastavení, která platí pro všechny počítače bez ohledu na uživatele.
  • Konfigurace uživatele – obsahuje nastavení pro uživatele. Platí výhradně pro uživatele, nikoli pro počítač.

  • Nastavení softwaru - software, jehož sekce by měla být standardně prázdná.
  • Nastavení systému Windows – obsahuje nastavení zabezpečení. Toto je místo, kde můžete najít nebo přidat skripty, které by se měly spustit při spuštění nebo vypnutí počítače.

  • Šablony pro správu – obsahuje velké množství nastavení, která řídí mnoho aspektů vašeho počítače. Zde můžete prohlížet, upravovat a dokonce aplikovat všechny druhy nastavení a pravidel. Uveďme jen několik příkladů. Můžete spravovat uživatelská nastavení, ovládací panely, síť, nabídku Start a hlavní panel.

Jak upravit pomocí Editoru místních zásad skupiny

Abychom lépe porozuměli procesu použití, uveďme si příklad. Řekněme, že chcete nastavit konkrétní pozadí plochy, které bude použito pro každého stávajícího uživatele.

Chcete-li se dostat do nastavení plochy, musíte přejít do kategorie Konfigurace uživatele v levém podokně. Poté přejděte na možnost Šablony pro správu, otevřete Plochu a vyberte Nastavení plochy.

V pravém podokně uvidíte všechny parametry, které lze konfigurovat z vybrané šablony pro správu. Pro každý parametr jsou na pravé straně zobrazeny dva sloupce:

  • Sloupec Stav uvádí, které parametry nejsou nakonfigurovány a jsou aktivní nebo neaktivní.

Levá strana tohoto panelu zobrazuje podrobné informace o tom, co konkrétní parametr dělá a jaké má účinky. Tyto informace se zobrazí v levém podokně, kdykoli vyberete nastavení.

Pokud například vyberete "tapetu plochy", na levé straně uvidíte, že nastavení lze použít na verze od Windows 2000 a novější.

Chcete-li změnit nastavení pozadí plochy, dvakrát na něj klikněte pravým tlačítkem myši nebo klikněte pravým tlačítkem myši a vyberte „Změnit“.

Zobrazí se okno s nastavením úprav. Například v našem případě můžeme určit pozadí pro plochu.

Chcete-li to provést, zaškrtněte políčko vedle slova „Povoleno“ a uveďte cestu k obrázku.

Nakonec musíte kliknout na tlačítko Použít nebo OK, aby se nastavení aktivovalo.

Toto je jen nejjednodušší příklad. Nechci se teď ani zmiňovat o psaní různých skriptů, protože většina lidí je nebude používat.

Celkově je Local Group Policy Editor propracovaným nástrojem, který překvapivě snadno dokáže nastavit různá pravidla pro vaše počítače a jejich uživatele.


Zvažovat každý aspekt a všechna dostupná nastavení by vyžadovalo napsat knihu, ale doufám, že nyní znáte alespoň základní principy tohoto nástroje.

Máte-li jakékoli dotazy týkající se Editoru místních zásad skupiny, neváhejte se vyjádřit níže. Hodně štěstí.

Kategorie: Nezařazené