Reklama portale

„Windows 7“ vietinės saugos strategija „Windows“ vietinės grupės strategijų nustatymas iš naujo

Vienas iš pagrindinių įrankių koreguoti vartotojo ir „Windows“ sistemos nustatymus yra grupės politika – GPO (grupės politikos objektas). Pats kompiuteris ir jo vartotojai gali turėti įtakos domenų grupės strategijos (jei kompiuteris yra Active Directory domene) ir vietinės (šios strategijos yra sukonfigūruotos lokaliai ir taikomos tik šiame kompiuteryje). Grupės politika yra puikus sistemos konfigūravimo įrankis, galintis pagerinti jos funkcionalumą, saugumą ir saugą. Tačiau pradedantiesiems sistemų administratoriams, nusprendusiems paeksperimentuoti su savo kompiuterio saugumu, neteisingai sukonfigūravus kai kuriuos vietinės (ar domeno) grupės strategijos parametrus gali kilti įvairių problemų: nuo smulkių problemų, tokių kaip negalėjimas prijungti spausdintuvo ar USB atmintinės. diską, visiškai uždrausti diegti ar paleisti bet kokias programas (pagal SPR arba AppLocker politiką) arba net uždrausti vietinį ar nuotolinį prisijungimą.

Tokiais atvejais, kai administratorius negali prisijungti prie sistemos lokaliai arba tiksliai nežino, kuris iš jo pritaikytų politikos nustatymų sukelia problemą, jis turi imtis avarinio scenarijaus – atstatyti grupės strategijos nustatymus į standartinius (numatytuosius) nustatymus. . Kompiuterio „švarioje“ būsenoje nė vienas grupės strategijos parametras nėra sukonfigūruotas.

Šiame straipsnyje parodysime kelis metodus, kaip iš naujo nustatyti vietinės ir domeno grupės politikos parametrus į numatytąsias reikšmes. Ši instrukcija yra universali ir gali būti naudojama iš naujo nustatyti GPO nustatymus visose palaikomose „Windows“ versijose: nuo „Windows 7“ iki „Windows 10“, taip pat visoms „Windows Server 2008/R2“, „2012/R2“ ir „2016“ versijoms.

Vietos politikos nustatymas iš naujo naudojant konsolę gpedit.msc

Šis metodas apima vietinės grupės strategijos rengyklės grafinės konsolės naudojimą gpedit.msc norėdami išjungti visas sukonfigūruotas strategijas. Grafinis vietinis GPO redaktorius galimas tik Pro, Enterprise ir Education leidimuose.

Patarimas. Pagrindiniuose „Windows“ leidimuose nėra vietinės grupės strategijos rengyklės konsolės, bet vis tiek galite ją paleisti. Naudodami toliau pateiktas nuorodas galite atsisiųsti ir įdiegti konsolę gpedit.msc, skirtą „Windows 7“ ir „Windows 10“.

Paleiskite gpedit.msc priedą ir eikite į skyrių Visi nustatymai vietinės kompiuterių strategijos ( Vietinio kompiuterio politika -> Kompiuterio konfigūracija -> Administravimo šablonai / "Vietinio kompiuterio" politika -> Kompiuterio konfigūracija -> Administravimo šablonai). Šiame skyriuje pateikiamas visų strategijų, kurias galima konfigūruoti administravimo šablonuose, sąrašas. Rūšiuoti politiką pagal stulpelį valstybė(valstybė) ir raskite visą aktyvią politiką (valstybėje Išjungta/Išjungta arba Įjungtas/ Įjungtas). Išjunkite visas arba tik tam tikras strategijas nustatydami jas Nesukonfigūruotas(Nenurodyta).

Tie patys veiksmai turi būti atlikti naudotojo politikos skiltyje ( VartotojasKonfigūracija/ Vartotojo konfigūracija). Tokiu būdu galite išjungti visus GPO administravimo šablono nustatymus.

Patarimas. Visų taikomų vietinės ir domeno politikos nustatymų sąrašą patogioje html ataskaitoje galima gauti naudojant integruotą įrankį su komanda:
gpresult /h c:\distr\gpreport2.html

Aukščiau pateiktas grupės politikos nustatymo iš naujo metodas sistemoje „Windows“ tinka „paprasčiausiais“ atvejais. Neteisingi grupės strategijos nustatymai gali sukelti rimtesnių problemų, pavyzdžiui: nesugebėjimas paleisti gpedit.msc papildinio arba apskritai visų programų, vartotojas praranda sistemos administratoriaus teises arba jam uždrausta prisijungti vietoje. Panagrinėkime šiuos atvejus išsamiau.

Iš komandinės eilutės priverstinai iš naujo nustatykite vietinį GPO

Šiame skyriuje aprašoma, kaip priverstinai iš naujo nustatyti visus esamus grupės strategijos parametrus sistemoje Windows. Tačiau pirmiausia aprašysime kai kuriuos administracinės grupės strategijos šablonų veikimo principus sistemoje Windows.

Grupės politikos architektūra yra pagrįsta specialiais failais Registras.pol. Šiuose failuose saugomi registro parametrai, atitinkantys tam tikrus sukonfigūruotos grupės strategijos parametrus. Vartotojo ir kompiuterio taisyklės saugomos atskiruose failuose Registras.pol.

  • Kompiuterio konfigūracijos nustatymai (skyrius Kompiuterio konfigūracija) yra saugomi %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • Vartotojo politika (skyrius Vartotojo konfigūracija) - %SystemRoot%\System32\GroupPolicy\User\registry.pol

Kai kompiuteris paleidžiamas, sistema importuoja \Machine\Registry.pol failo turinį į HKEY_LOCAL_MACHINE (HKLM) sistemos registro avilį. \User\Registry.pol failo turinys importuojamas į HKEY_CURRENT_USER (HKCU) šaką, kai vartotojas prisijungia.

Kai atidaroma, vietinės grupės strategijos rengyklės konsolė įkelia šių failų turinį ir pateikia juos patogia grafine forma. Kai uždarote GPO rengyklę, atlikti pakeitimai įrašomi į Registry.pol failus. Atnaujinus grupės strategijas (naudojant komandą gpupdate /force arba pagal tvarkaraštį), nauji nustatymai įtraukiami į registrą.

Patarimas. Norėdami keisti failus, turėtumėte naudoti tik GPO grupės strategijos rengyklę. Nerekomenduojama redaguoti Registry.pol failų rankiniu būdu arba naudojant senesnes grupės strategijos rengyklės versijas!

Norėdami pašalinti visus dabartinius vietinės grupės strategijos parametrus, turite ištrinti Registry.pol failus iš GroupPolicy katalogo. Tai galite padaryti naudodami šias komandas, vykdomas komandų eilutėje su administratoriaus teisėmis:

RD /S /Q "%WinDir%\System32\GroupPolicyUsers" RD /S /Q "%WinDir%\System32\GroupPolicy"

Po to turite atnaujinti politikos nustatymus registre:

Gpupdate /force

Šios komandos iš naujo nustatys visus vietinės grupės strategijos parametrus skyriuose Kompiuterio konfigūracija ir Vartotojo konfigūracija.

Atidarykite gpedit.msc redaktoriaus pultą ir įsitikinkite, kad visos strategijos yra Nekonfigūruota. Paleidus konsolę gpedit.msc, nuotoliniai aplankai bus sukurti automatiškai su numatytaisiais nustatymais.

„Windows“ vietinės saugos politikos nustatymas iš naujo

Vietinė saugumo politika sukonfigūruotas naudojant atskirą valdymo pultą secpol.msc. Jei problemų su kompiuteriu kyla dėl vietinės saugos politikos varžtų priveržimo ir jei vartotojas vis dar turi prieigą prie sistemos ir administratoriaus teises, pirmiausia turėtumėte pabandyti iš naujo nustatyti vietines Windows saugos politikos nuostatas į numatytąsias reikšmes. Norėdami tai padaryti, komandų eilutėje su administratoriaus teisėmis paleiskite:

  • „Windows 10“, „Windows 8.1/8“ ir „Windows 7“: secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
  • „Windows XP“: secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

Po to kompiuterį reikia paleisti iš naujo.

Jei saugos politikos problemos išlieka, pabandykite rankiniu būdu pervardyti vietinės saugos politikos duomenų bazės patikros taško failą %windir%\security\database\edb.chk

ren %windir%\security\database\edb.chk edb_old.chk

Paleiskite komandą:
gpupdate /force
Iš naujo paleiskite „Windows“ naudodami:
Išjungimas –f –r –t 0

Vietos politikos nustatymas iš naujo, kai negalite prisijungti prie „Windows“.

Tuo atveju, jei vietinis prisijungimas neįmanomas arba komandų eilutės negalima paleisti (pavyzdžiui, blokuojant ją ir kitas programas naudojant ). Registry.pol failus galite ištrinti paleisdami iš Windows diegimo disko arba bet kurio LiveCD.


Iš naujo nustatomi taikomi domeno GPO nustatymai

Keletas žodžių apie domenų grupių politiką. Jei kompiuteris įtrauktas į „Active Directory“ domeną, kai kuriuos jo nustatymus gali valdyti domeno administratorius per domeno GPO.

Visų taikomų domenų grupių strategijų registry.pol failai saugomi kataloge %windir%\System32\GroupPolicy\DataStore\0\SysVol\contoso.com\Policies. Kiekviena strategija saugoma atskirame kataloge su domeno politikos GUID.

Šie registry.pol failai atitinka šias registro šakas:

  • HKLM\Software\Policies\Microsoft
  • HKCU\Software\Policies\Microsoft
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies

Kliente išsaugotų taikomų domeno politikos versijų istorija yra šiose šakose:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\History\

Kai kompiuteris pašalinamas iš domeno, kompiuteryje esantys domeno politikos registry.pol failai ištrinami ir atitinkamai neįkeliami į registrą.

Jei reikia priverstinai ištrinti domeno GPO nustatymus, turite išvalyti katalogą %windir%\System32\GroupPolicy\DataStore\0\SysVol\contoso.com\Policies ir ištrinti nurodytus registro raktus (labai rekomenduojama sukurti atsarginę kopiją). ištrintų failų ir registro raktų kopija!!!) . Tada paleiskite komandą:

gpupdate /force /boot

Patarimas. Šis metodas leidžia iš naujo nustatyti visus vietinės grupės strategijos parametrus visose „Windows“ versijose. Tačiau visi nustatymai, atlikti naudojant grupės strategijos rengyklę, nustatomi iš naujo nenustatyta iš naujo visi registro pakeitimai, atlikti tiesiogiai per registro rengyklę, REG failus ar bet kokiu kitu būdu.

Ankstesniuose straipsniuose apie grupės politiką kalbėjau apie papildinio veikimo principus. Buvo atsižvelgta į kai kuriuos dabartinės įrangos mazgus, taip pat į kelių grupių strategijos funkcionalumą. Pradėdami nuo šio straipsnio, galite sužinoti apie saugos nustatymų tvarkymą vietiniame kompiuteryje ir domeno aplinkoje. Šiais laikais saugumas yra neatsiejama darbo dalis tiek didelių ir net mažų įmonių sistemų administratoriams, tiek namų vartotojams, kurie susiduria su kompiuterio nustatymo užduotimi. Nepatyrę administratoriai ir namų vartotojai gali manyti, kad įdiegus antivirusinę ir ugniasienę jų operacinės sistemos yra patikimai apsaugotos, tačiau tai nėra visiškai tiesa. Žinoma, šie kompiuteriai bus apsaugoti nuo daugybės atakų, bet kas išgelbės juos nuo žmogiškojo faktoriaus? Šiais laikais operacinių sistemų saugumo galimybės yra labai didelės. Yra tūkstančiai saugos nustatymų, kurie valdo paslaugas, tinklo saugumą, riboja prieigą prie tam tikrų registro raktų ir nustatymų, valdo BitLocker disko šifravimo duomenų atkūrimo agentus, kontroliuoja prieigą prie programų ir daug daugiau.

Dėl daugybės saugos nustatymų „Windows Server 2008 R2“ ir „Windows 7“ operacinėse sistemose neįmanoma sukonfigūruoti visų kompiuterių naudojant tą patį nustatymų rinkinį. Straipsnyje aptariami „Windows“ operacinės sistemos vartotojo abonemento valdymo koregavimo metodai, ir tai tik nedidelė dalis to, ką galite padaryti naudodami saugos politiką. Straipsnių apie vietinę saugumo politiką serijoje pabandysiu apsvarstyti kuo daugiau apsaugos mechanizmų pateikdamas pavyzdžius, kurie gali padėti jūsų būsimame darbe.

Saugos politikos konfigūravimas

Saugos politika yra nustatymų rinkinys, reguliuojantis kompiuterio saugumą ir valdomas naudojant vietinį GPO. Šias strategijas galite konfigūruoti naudodami papildinį „Vietinės grupės strategijos redaktorius“ arba spragtelėti. Įranga „Vietinė saugumo politika“ naudojamas paskyros politikai ir vietinei politikai vietiniame kompiuteryje pakeisti, o paskyrų, susietų su „Active Directory“ domenu, politiką galima konfigūruoti naudojant papildinį „Grupės politikos valdymo redaktorius“. Galite pereiti prie vietinės saugos politikos šiais būdais:

Jei jūsų kompiuteris prijungtas prie „Active Directory“ domeno, saugos politika nustatoma pagal domeno politiką arba organizacinio vieneto, kurio narys yra kompiuteris, politiką.

Saugos politikos taikymas vietiniam kompiuteriui ir prie domeno prijungtos darbo vietos GPO

Naudodami šiuos pavyzdžius galite pamatyti skirtumą tarp saugos politikos taikymo vietiniam kompiuteriui ir GPO darbo kompiuteryje, kuris yra prijungtas prie Windows Server 2008 R2 domeno.

Saugos politikos taikymas vietiniam kompiuteriui

Norint sėkmingai užbaigti dabartinį pavyzdį, paskyra, kurioje atliekami šie veiksmai, turi būti grupės narys "Administratoriai" vietiniame kompiuteryje. Jei kompiuteris prijungtas prie domeno, šiuos veiksmus gali atlikti tik grupės nariai "Domeno administratoriai" arba grupės, turinčios leidimus redaguoti politiką.

Šiame pavyzdyje svečio paskyrą pervardysime. Norėdami tai padaryti, atlikite šiuos veiksmus:

Iš naujo paleidę kompiuterį, norėdami patikrinti, ar jūsų kompiuteriui buvo pritaikyta saugos politika, turite atidaryti komponentą valdymo skydelyje "Vartotojų abonementai" ir sekite nuorodą „Tvarkyti kitą paskyrą“. Atsidariusiame lange matysite visas vietiniame kompiuteryje sukurtas paskyras, įskaitant pervadintą svečio paskyrą:

Saugos politikos taikymas GPO darbo kompiuteryje, kuris yra prijungtas prie Windows Server 2008 R2 domeno

Šiame pavyzdyje neleisime vartotojui Test_ADUser pakeisti paskyros slaptažodžio savo kompiuteryje. Leiskite jums priminti, kad norėdami atlikti šiuos veiksmus turite būti grupės nariu "Domeno administratoriai". Atlikite šiuos veiksmus:

Iš naujo paleidę kompiuterį, norėdami patikrinti, ar buvo pritaikyta saugos politika, eikite į kompiuterį, kuriame buvo atlikti pakeitimai, ir atidarykite MMC valdymo pultą. Pridėkite prie jo įrangą „Vietiniai vartotojai ir grupės“ ir pabandykite pakeisti savo domeno paskyros slaptažodį.

Saugos politikos taikymas GPO iš Windows Server 2008 R2 domeno valdiklio

Naudodami šį pavyzdį pakeisime naujų unikalių slaptažodžių, kurie turi būti priskirti vartotojo abonementui, skaičių prieš pakartotinai naudojant senąjį slaptažodį. Ši politika leidžia pagerinti saugumą užtikrinant, kad seni slaptažodžiai nebūtų pakartotinai naudojami. Prisijunkite prie domeno valdiklio arba naudokite nuotolinio serverio administravimo įrankius. Atlikite šiuos veiksmus:


Apie papildinio naudojimą „Grupės politikos valdymas“ apie domeno valdiklius ir apie komandą gpupdate bus išsamiai aptariami tolesniuose straipsniuose.

Išvada

Šiame straipsnyje sužinojote apie vietinės saugos politikos vykdymo būdus. Pateikti pavyzdžiai iliustruoja saugos politikos nustatymą naudojant papildinį „Vietinė saugumo politika“ vietiniame kompiuteryje, konfigūruoti strategijas prie domeno prijungtame kompiuteryje ir valdyti vietines saugos strategijas naudojant domeno valdiklį. Tolesniuose serijos apie vietinę saugos politiką straipsniuose sužinosite apie kiekvieno papildinio mazgo naudojimą „Vietinė saugumo politika“ ir jų naudojimo bandymo ir gamybos aplinkoje pavyzdžiai.

Susižavėjau šia saugumo užtikrinimo idėja ir nusprendžiau pabandyti tą patį padaryti ir sau.

Kadangi turiu Windows 7 Professional, pirma mintis buvo naudoti AppLocker, bet greitai tapo aišku, kad ji nenori veikti mano Windows versijoje ir reikalinga Ultimate arba Enterprise Dėl mano Windows licencijavimo ir tuštumos mano piniginėje, parinktis su AppLocker" om dingo.

Kitas bandymas buvo sukonfigūruoti grupės strategijas programinės įrangos apribojimams. Kadangi „AppLocker“ yra „išpūsta“ šio mechanizmo versija, logiška išbandyti politiką, ypač todėl, kad „Windows“ vartotojams jos yra nemokamos :)

Eikite į nustatymus:
gpedit.msc -> Kompiuterio konfigūracija -> Windows konfigūracija -> Saugos nustatymai -> Programinės įrangos apribojimų politika

Jei taisyklių nėra, sistema pasiūlys sugeneruoti automatines taisykles, leidžiančias paleisti programas iš aplanko Windows ir Program Files. Taip pat pridėsime kelio * (bet koks kelias) atsisakymo taisyklę. Dėl to norime, kad programas būtų galima paleisti tik iš apsaugotų sistemos aplankų. Ir ką?
Taip, tai mes gausime, bet yra tik nedidelė problema – spartieji klavišai ir http nuorodos neveikia. Vis tiek galite pamiršti nuorodas, bet gyvenimas be nuorodų yra gana blogas.
Jei leisime paleisti failus naudodami *.lnk kaukę, galėsime sukurti bet kurio vykdomojo failo nuorodą ir paleisti jį naudodami nuorodą, net jei jos nėra sistemos aplanke. Bjaurus.
Gavus „Google“ užklausą, priimami tokie sprendimai: arba leisti paleisti nuorodas iš vartotojo aplanko, arba naudoti trečiųjų šalių juostas su sparčiaisiais klavišais. Jokiu kitu būdu. Man asmeniškai šis variantas nepatinka.

Dėl to susiduriame su situacija, kad *.lnk Windows požiūriu yra ne nuoroda į vykdomąjį failą, o vykdomasis failas. Beprotiška, bet ką padarysi... Norėčiau, kad „Windows“ patikrintų ne nuorodos vietą, o failo, į kurį jis nurodo, vietą.

Ir tada netyčia aptikau plėtinių, kurie yra vykdomi Windows požiūriu, sąrašo parametrus (gpedit.msc -> Kompiuterio konfigūracija -> Windows konfigūracija -> Saugos nustatymai -> Priskirti failų tipai). Iš ten pašaliname LNK ir tuo pačiu HTTP bei prisijungiame. Gauname visiškai veikiančius sparčiuosius klavišus ir vykdomojo failo vietos patikrinimą.
Kilo abejonių, ar pavyks per nuorodas parametrus perduoti - galima, tad viskas ok.

Dėl to straipsnyje „Windows kompiuteris be antivirusinės“ aprašytos idėjos įgyvendinimą gavome be jokių nepatogumų vartotojui.

Be to, tiems, kurie mėgsta šaudyti sau į koją, Programų failuose galite sukurti aplanką ir darbalaukyje įdėti jo nuorodą, pavadindami, pavyzdžiui, „Smėlio dėžė“. Tai leis jums paleisti programas iš ten neišjungus politikos, naudojant apsaugotą saugyklą (apsauga per UAC).

Tikiuosi, aprašytas metodas kažkam bus naudingas ir naujas. Bent jau aš nieko apie tai negirdėjau ir niekur nemačiau.

Vietinė grupės strategijos rengyklė (gpedit.msc) yra patogi ir tikrai galinga priemonė, kurią naudodami galite išsamiai konfigūruoti „Windows“. Deja, jis nepasiekiamas „Home Basic“ ir „Home Advanced“ versijose. Tačiau „Microsoft“ šio įrankio nepašalino, o tik „paslėpė“ aplankuose windows\winsxs ir windows\SysWOW64.

Su mūsų sprendimu procesas taps daug paprastesnis ir patikimesnis. Paleidžiate nemokamą diegimo programą ir laukiate, kol ji baigsis. Tačiau reikia pripažinti, kad mūsų patogus būdas turi ir nedidelį trūkumą: „Windows“ redaktoriaus meniu rodo komandas rusų kalba, tačiau patys nustatymai ir jų aprašymai pateikiami anglų kalba. Jei tai nekelia problemų, niekas netrukdo mėgautis universaliu derinimo įrankiu.

Kaip tai padaryti:

1. Atsisiųskite redaktorių

Eikite į drudger.deviantart.com/art/Add-GPEDIT-msc-215792914. Spustelėkite mažą mygtuką „Atsisiųsti“, kad atsisiųstumėte ZIP failą. Dėmesio! Yra dideli mygtukai reklamines nuorodas.

2. Išpakuokite ir įdiekite

Atidarykite atsisiuntimų aplanką ir ištraukite atsisiųstą ZIP archyvą. Dabar dukart spustelėkite, kad paleistumėte jame esantį failą Setup.exe ir palaukite, kol darbas bus baigtas. Tada uždarykite diegimo programą spustelėdami mygtuką „Baigti“.

3. Nukopijuokite 64 bitų failus

Jei naudojate 64 bitų Windows versiją, naršyklėje atidarykite aplanką Windows\SysWOW64. Iš ten nukopijuokite GroupPolicy ir GroupPolicyUsers katalogus, taip pat failą gpedit.msc į aplanką Windows\System32.

4. Paleiskite redaktorių

Paspauskite klavišų kombinaciją „Win+R“ ir įveskite „gpedit.msc“. Vartotojo abonemento valdymo pranešimo lange spustelėkite „Taip“. Po to turėtų atsidaryti vietinės grupės strategijos redaktorius.

5. Paketinio failo redagavimas

Jei paleidę redaktorių gaunate pranešimą „Valdymo pultas (MMC) negali sukurti papildinio“, pakartokite 2 veiksmą, bet šį kartą nespustelėkite „Baigti“. Vietoj to atidarykite aplanką Windows\Temp\gpedit ir dešiniuoju pelės mygtuku spustelėkite failą x86.bat (32 bitų Windows) arba x64.bat (64 bitų Windows). Kontekstiniame meniu pasirinkite „Redaguoti“.

6. Papildymo klaidos taisymas

Viršutiniame kodo trečdalyje matysite šešis įrašus su elementu „%username%:f“. Pridėkite tokias kabutes: „% vartotojo vardas%“:f“ ir išsaugokite failą. Dabar dešiniuoju pelės mygtuku spustelėkite išsaugotą paketinį failą ir pasirinkite „Vykdyti kaip administratorių“. Jei dabar paleisite vietinės grupės strategijos rengyklę, kaip aprašyta 4 veiksme, papildinio klaida turėtų išnykti.

7. Darbas su grupės politika

Iš viso grupės strategijos rengyklė siūlo apie 3000 nustatymų, kuriuos labai lengva pritaikyti. Pavyzdys: jei norite, kad antivirusinė programa automatiškai nuskaitytų kiekvieną priedą, pasirinkite „Vartotojo konfigūracija | Administravimo šablonai | „Windows“ komponentai | Priedų tvarkyklė“. Dešinėje lango pusėje pamatysite kelis įrašus. Dukart spustelėkite „Pranešti antivirusinėms programoms atidarant priedus“. Atsidariusiame lange pasirinkite „Įjungta“ ir spustelėkite „Gerai“.

8. Slėpti pasenusius nustatymus

Jei manote, kad vietinės grupės strategijos redaktorius yra pernelyg painus, paslėpkite visus nustatymus, kurių nežinote, kad jie yra svarbūs jūsų sistemai. Norėdami tai padaryti, eikite į meniu „Peržiūrėti | Filtravimas“ ir pažymėkite langelį šalia parinkties „Filtruoti pagal reikalavimus informaciją“. Bet kuriuo atveju panaikinkite visų su Windows 2000 susijusių įrašų žymėjimą. XP nustatymai taip pat veikia ir Windows 7, todėl palikite juos ramybėje. Pasirinkę, spustelėkite „Gerai“. Iš karto pamatysite tik jums reikalingas parinktis.

Nuotrauka: gamybos įmonės

„Local Group Policy Editor“ – vienas iš „Windows 10“, „Windows 7“, „Windows 8“, „Windows 8.1“ įrankių, išskyrus namų versijas, kuris nėra labai populiarus tarp paprastų vartotojų, tačiau mėgstamas tinklo administratorių.

Tai leidžia valdyti visus OS parametrus iš vieno taško. Tai ypač naudinga, jei esate tinklo administratorius ir norite nustatyti tas pačias taisykles keliems kompiuteriams / nešiojamiesiems kompiuteriams arba vartotojams toje pačioje srityje.

Be to, vietinės grupės strategijos rengyklė siūlo daugybę funkcijų ir nustatymų, kurių nėra įprastose vietose ir kurie gali būti labai naudingi paprastiems vartotojams.

Perskaitykite šį vadovą, kad sužinotumėte, kas yra vietinė grupės strategija, kur ji yra, kaip ją atidaryti ir kaip su ja dirbti visose „Windows“ versijose.

Kas yra vietinės grupės strategijos redaktorius

Pagal apibrėžimą grupės strategija yra funkcija, suteikianti prieigos tašką, leidžiantį administruoti, konfigūruoti operacinę sistemą, programas ir vartotojo nustatymus kompiuteriuose ir nešiojamuosiuose kompiuteriuose.

Žinoma, tai labai naudinga, jei esate tinklo administratorius ir jums reikia įdiegti tam tikras taisykles ar nustatymus kompiuteriams ir (arba) vartotojams.

Tačiau šis scenarijus nėra šios mokymo programos tikslas. Vietinė politika reiškia kompiuterių, ne tik registruotų grupėje, valdymą.

Paprasčiau tariant, turėtumėte galvoti apie grupės politiką kaip įrankį, reguliuojantį „Windows 10“, „Windows 7“, „Windows 8“, „Windows 8.1“ veikimą jūsų kompiuteryje.

Kas gali paleisti vietinės grupės strategijos rengyklę

Kadangi vietinės grupės strategijos redaktorius yra gerai išvystytas įrankis, turėtumėte žinoti, kad jis nepasiekiamas namų leidimams. Jį galite paleisti tik:

  • Windows 7 Professional, Ultimate ir Enterprise
  • Windows 8 ir 1 Professional, Enterprise
  • „Windows 10 Pro“ ir „Enterprise“.

Ką galite padaryti vietinės grupės strategijos rengyklėje

Daugelį OS nustatymų galite konfigūruoti kaip administratorius, o kiti vartotojai vėliau negalės pakeisti jūsų nustatymų. Štai keletas pavyzdžių:

  • Galite leisti vartotojams naudoti tam tikras programas jūsų kompiuteryje.
  • Blokuokite prieigą prie išorinių įrenginių (pvz., USB atmintinių), prijungtų prie kompiuterio.
  • Blokuoti vartotojo prieigą prie valdymo skydelio arba programos nustatymų.
  • Slėpti kai kuriuos valdymo skydelio elementus.
  • Nustato darbalaukio foną ir blokuoja vartotojų galimybę jį keisti.
  • Blokuoti tinklo jungčių ir prieigos prie jų savybių įgalinimą arba išjungimą.
  • Neleiskite vartotojams skaityti ar rašyti duomenų kompaktiniuose, DVD diskuose, išoriniuose saugojimo įrenginiuose ir kt.
  • Išjunkite visas klavišų kombinacijas, kurios prasideda mygtuku Win. Pavyzdžiui, „Win + R“ (atidaro „Vykdyti“).

Tai tik keli pavyzdžiai, tačiau iš tikrųjų yra daug kitų variantų.

Kaip atidaryti vietinės grupės strategijos rengyklę sistemoje „Windows 7“.

Norėdami atidaryti vietinės grupės strategijos rengyklę sistemoje „Windows 7“, naudokite paieškos funkciją.


Norėdami tai padaryti, spustelėkite meniu Pradėti ir paieškos juostoje įveskite „gpedit.msc“ (be kabučių) ir rezultato išvesties lauke spustelėkite piktogramą „gpedit.msc“ arba „Redaguoti grupės politiką“ - priklausomai nuo ant kurio pasirodo.

Arba galite naudoti įrankį Vykdyti. Greičiausias būdas jį paleisti yra vienu metu paspausti „Win+R“, parašyti „gpedit.msc“ ir spustelėti „Gerai“.

Kaip įvesti vietinės grupės strategijos rengyklę sistemoje „Windows 8.1“.

Kaip ir „Windows 7“, įrankį galima greitai paleisti naudojant paiešką ir įvedus „gpedit.msc“ be kabučių.

Po to paieškos rezultate spustelėkite „gpedit“. Taip pat galite naudoti langą Vykdyti, kaip aprašyta ankstesniame skyriuje.

Kaip atidaryti vietinės grupės strategijos rengyklę sistemoje „Windows 10“.

„Windows 10“ operacinėje sistemoje paleiskite vietinės grupės strategijos rengyklę taip pat, kaip ir „Windows 8.1“ ir „Windows 7“.

Lygiai taip pat paieškos lange galite įvesti „gpedit.msc“ ir rezultatuose spustelėti atitinkamą piktogramą.

Tie, kurie mėgsta naudoti langą „Vykdyti“, gali jį atidaryti ir paleisti rengyklę, kaip aprašyta aukščiau esančiuose skyriuose - jis yra identiškas dešimtuke.

Taip atrodo atvira vietinės grupės strategijos rengyklė sistemoje „Windows 10“.

PASTABA: Vietinės grupės strategijos redaktorius atrodo beveik identiškai ir siūlo tas pačias parinktis, nustatymus ir funkcijas kaip ir Windows 7, Windows 8 arba Windows 10. Todėl čia bus naudojamos tik Windows 10 padarytos ekrano kopijos.

Kaip naudoti vietinės grupės strategijos rengyklę

Vietinės grupės strategijos redaktorius yra padalintas į dvi dalis: kairėje rodoma kategorija, o dešinėje – aktyvios kategorijos turinys.

Grupės politika suskirstyta į dvi pagrindines dalis:

  • Kompiuterio konfigūracija – yra nustatymų, taikomų visiems kompiuteriams, neatsižvelgiant į vartotojus.
  • Vartotojo konfigūracija – yra naudotojų nustatymai. Jie taikomi griežtai vartotojams, o ne kompiuteriui.

  • Programinės įrangos nustatymai – programinė įranga, kurios skyrius pagal numatytuosius nustatymus turi būti tuščias.
  • „Windows“ nustatymai – yra saugos parametrai. Tai vieta, kur galite rasti arba pridėti scenarijus, kurie turėtų būti vykdomi, kai kompiuteris paleidžiamas arba išsijungia.

  • Administravimo šablonai – yra daug nustatymų, kurie valdo daugelį kompiuterio aspektų. Čia galite peržiūrėti, redaguoti ir net taikyti visų rūšių nustatymus ir taisykles. Paminėsime tik kelis pavyzdžius. Galite tvarkyti vartotojo nustatymus, valdymo skydelį, tinklą, meniu Pradėti ir užduočių juostą.

Kaip redaguoti naudojant vietinės grupės strategijos rengyklę

Norėdami geriau suprasti naudojimo procesą, paimkime pavyzdį. Tarkime, kad norite nustatyti konkretų darbalaukio foną, kuris bus naudojamas kiekvienam esamam vartotojui.

Norėdami patekti į darbalaukio nustatymus, kairiojoje srityje turite eiti į kategoriją Vartotojo konfigūracija. Tada eikite į parinktį Administravimo šablonai, atidarykite darbalaukį ir pasirinkite Desktop Settings.

Dešinėje srityje matysite visus parametrus, kuriuos galima konfigūruoti iš pasirinkto administravimo šablono. Kiekvienam parametrui dešinėje rodomi du stulpeliai:

  • Būsenos stulpelyje nurodoma, kurie parametrai nesukonfigūruoti ir yra aktyvūs arba neaktyvūs.

Kairėje šio skydelio pusėje rodoma išsami informacija apie konkretaus parametro veikimą ir jo poveikį. Ši informacija rodoma kairiojoje srityje, kai pasirenkate nustatymą.

Pavyzdžiui, jei pasirinksite "darbalaukio ekrano užsklanda", kairėje pusėje pamatysite, kad nustatymas gali būti taikomas Windows 2000 ir naujesnėms versijoms.

Jei norite pakeisti darbalaukio fono nustatymus, dukart spustelėkite jį dešiniuoju pelės mygtuku arba dešiniuoju pelės klavišu ir pasirinkite "Keisti".

Atsidarys langas su redagavimo nustatymais. Pavyzdžiui, mūsų atveju galime nurodyti darbalaukio foną.

Norėdami tai padaryti, pažymėkite langelį šalia žodžio „Įjungta“ ir nurodykite kelią į vaizdą.

Galiausiai, norėdami suaktyvinti nustatymą, turite spustelėti mygtuką Taikyti arba Gerai.

Tai tik paprasčiausias pavyzdys. Dabar net nenoriu užsiminti apie skirtingų scenarijų rašymą, nes dauguma žmonių jų nenaudos.

Apskritai vietinės grupės strategijos rengyklė yra sudėtingas įrankis, kuris, stebėtinai, gali lengvai nustatyti skirtingas taisykles jūsų kompiuteriams ir jų vartotojams.


Norint apsvarstyti kiekvieną aspektą ir visus turimus nustatymus, reikėtų parašyti knygą, bet tikiuosi, kad dabar bent jau žinosite pagrindinius šio įrankio principus.

Jei turite klausimų apie vietinės grupės strategijos redaktorių, komentuokite toliau. Sėkmės.

Kategorija: Be kategorijos