Reklama na portalu

Okna zasad bezpieczeństwa lokalnego 7. Zresetuj zasady grupy lokalnej w systemie Windows

Jednym z głównych narzędzi do precyzyjnego dostrajania ustawień użytkownika i systemu Windows są zasady grupy — GPO (obiekt zasad grupy). Na sam komputer i jego użytkowników mogą mieć wpływ zasady grupy domen (jeśli komputer znajduje się w domenie Active Directory) i lokalne (te zasady są konfigurowane lokalnie i są stosowane tylko na tym komputerze). Polityki grupowe to doskonałe narzędzie do strojenia systemu, które może poprawić jego funkcjonalność, bezpieczeństwo i bezpieczeństwo. Jednak dla początkujących administratorów systemów, którzy zdecydują się poeksperymentować z bezpieczeństwem swojego komputera, niewłaściwa konfiguracja niektórych lokalnych (lub domenowych) ustawień zasad grupy może prowadzić do różnych problemów: od drobnych problemów, takich jak brak możliwości podłączenia drukarki lub pamięci flash USB dysku, do całkowitego zakazu instalowania lub uruchamiania jakichkolwiek aplikacji (za pośrednictwem zasad SPR lub AppLocker), a nawet odmowy lokalnego lub zdalnego logowania.

W takich przypadkach, gdy administrator nie może zalogować się lokalnie lub nie wie dokładnie, które z zastosowanych przez siebie ustawień profilu powoduje problem, należy skorzystać ze scenariusza awaryjnego polegającego na przywróceniu ustawień zasad grupy do wartości domyślnych. W „czystym” stanie komputera nie są ustawione żadne ustawienia zasad grupy.

W tym artykule pokażemy kilka metod resetowania lokalnych i domenowych ustawień zasad grupy do ich wartości domyślnych. Ta instrukcja jest uniwersalna i może być używana do resetowania ustawień GPO we wszystkich obsługiwanych wersjach systemu Windows: od Windows 7 do Windows 10, a także we wszystkich wersjach Windows Server 2008/R2, 2012/R2 i 2016.

Zresetuj zasady lokalne za pomocą konsoli gpedit.msc

Ta metoda polega na użyciu konsoli graficznej Edytora lokalnych zasad grupy gpeditmsc aby wyłączyć wszystkie skonfigurowane zasady. Graficzny lokalny edytor GPO jest dostępny tylko w wersjach Pro, Enterprise i Education.

Rada. Domowe wersje systemu Windows nie mają konsoli Edytora lokalnych zasad grupy, ale nadal można ją uruchomić. Z poniższych linków możesz pobrać i zainstalować konsolę gpedit.msc dla Windows 7 i Windows 10:

Uruchom przystawkę gpedit.msc i przejdź do sekcji Wszystkie ustawienia lokalne zasady komputera ( Zasady komputera lokalnego -> Konfiguracja komputera -> Szablony administracyjne / Zasady komputera lokalnego -> Konfiguracja komputera -> Szablony administracyjne). Ta sekcja zawiera listę wszystkich zasad dostępnych do konfiguracji w szablonach administracyjnych. Sortuj zasady według kolumny Państwo(Status) i znajdź wszystkie aktywne polityki (znajdują się w Wyłączone/ Wyłączone lub Włączony/ Dołączony). Wyłącz wszystkie lub tylko niektóre zasady, ustawiając je na Nieskonfigurowany(Nie ustawiony).

Te same czynności należy wykonać w sekcji zasad użytkownika ( użytkownikKonfiguracja/ konfiguracja użytkownika). W ten sposób możesz wyłączyć efekt wszystkich ustawień szablonów administracyjnych GPO.

Rada. Listę wszystkich zastosowanych ustawień zasad lokalnych i domenowych w wygodnym raporcie HTML można uzyskać za pomocą wbudowanego narzędzia za pomocą polecenia:
gpresult /h c:\distr\gpreport2.html

Powyższa metoda resetowania zasad grupy w systemie Windows jest odpowiednia dla najbardziej „prostych” przypadków. Nieprawidłowe ustawienia zasad grupy mogą prowadzić do poważniejszych problemów, takich jak niemożność uruchomienia przystawki gpedit.msc lub ogólnie wszystkich programów, utrata przez użytkownika uprawnień administratora systemu lub zakaz lokalnego logowania. Rozważmy te przypadki bardziej szczegółowo.

Wymuś zresetowanie lokalnych obiektów GPO z wiersza poleceń

W tej sekcji opisano, jak wymusić zresetowanie wszystkich bieżących ustawień zasad grupy w systemie Windows. Jednak najpierw opiszemy niektóre zasady działania szablonów administracyjnych zasad grupy w systemie Windows.

Architektura zasad grupy jest oparta na specjalnych plikach Rejestrpol. Te pliki przechowują ustawienia rejestru, które odpowiadają pewnym ustawieniom w skonfigurowanych zasadach grupy. Polityki użytkownika i komputera są przechowywane w różnych plikach Rejestrpol.

  • Ustawienia konfiguracji komputera (rozdział konfiguracja komputera) są przechowywane w %SystemRoot%\System32\ GroupPolicy\Machine\registry.pol
  • Zasady niestandardowe (sekcja Konfiguracja użytkownika) - %SystemRoot%\System32\GroupPolicy\User\registry.pol

Podczas uruchamiania komputera system importuje zawartość pliku \Machine\Registry.pol do klucza rejestru systemowego HKEY_LOCAL_MACHINE (HKLM). Zawartość pliku \User\Registry.pol jest importowana do gałęzi HKEY_CURRENT_USER (HKCU), gdy użytkownik się loguje.

Konsola lokalnego edytora zasad grupy po otwarciu ładuje zawartość tych plików i przedstawia ją w przyjaznej dla użytkownika formie graficznej. Po zamknięciu edytora GPO wprowadzone zmiany są zapisywane w plikach Registry.pol. Po zaktualizowaniu zasad grupy (za pomocą polecenia gpupdate /force lub zgodnie z harmonogramem) nowe ustawienia są dodawane do rejestru.

Rada. Do wprowadzania zmian w plikach należy używać wyłącznie Edytora zasad grupy GPO. Nie zaleca się ręcznej edycji plików Registry.pol ani starszych wersji Edytora zasad grupy!

Aby usunąć wszystkie bieżące ustawienia lokalnych zasad grupy, musisz usunąć pliki Registry.pol z katalogu GroupPolicy. Możesz to zrobić za pomocą następujących poleceń, uruchamianych z wiersza poleceń z uprawnieniami administratora:

RD /S /Q "%WinDir%\System32\GroupPolicyUsers" RD /S /Q "%WinDir%\System32\GroupPolicy"

Następnie musisz zaktualizować ustawienia zasad w rejestrze:

Aktualizuj /wymuś

Te polecenia zresetują wszystkie ustawienia lokalnych zasad grupy w sekcjach Konfiguracja komputera i Konfiguracja użytkownika.

Otwórz konsolę edytora gpedit.msc i upewnij się, że wszystkie zasady są ustawione na Nieskonfigurowane. Po uruchomieniu konsoli gpedit.msc foldery zdalne zostaną utworzone automatycznie z ustawieniami domyślnymi.

Zresetuj lokalne zasady zabezpieczeń systemu Windows

Lokalne zasady bezpieczeństwa skonfigurowane przy użyciu oddzielnej konsoli zarządzania secpol.msc. Jeżeli problemy z komputerem są spowodowane „dokręceniem śrub” w lokalnych politykach bezpieczeństwa, a użytkownik nadal ma dostęp do systemu i uprawnienia administracyjne, należy najpierw spróbować zresetować lokalne zasady bezpieczeństwa Windows do wartości domyślnych. Aby to zrobić, w wierszu polecenia z uprawnieniami administratora uruchom:

  • W systemie Windows 10, Windows 8.1/8 i Windows 7: secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
  • W systemie Windows XP: secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

Po tym konieczne jest ponowne uruchomienie komputera.

Jeśli problemy z zasadami bezpieczeństwa nadal występują, spróbuj ręcznie zmienić nazwę pliku punktu kontrolnego lokalnej bazy danych zasad bezpieczeństwa %windir%\security\database\edb.chk

ren %windir%\security\database\edb.chk edb_old.chk

Uruchom polecenie:
gpupdate /force
Uruchom ponownie system Windows za pomocą:
Zamknięcie -f -r -t 0

Resetowanie zasad lokalnych, gdy nie możesz zalogować się do systemu Windows

W przypadku, gdy lokalne logowanie do systemu jest niemożliwe lub nie można uruchomić wiersza poleceń (na przykład podczas blokowania go i innych programów korzystających z ). Możesz usunąć pliki Registry.pol, uruchamiając system z dysku instalacyjnego systemu Windows lub dowolnego LiveCD.


Zresetuj zastosowane ustawienia GPO domeny

Kilka słów o zasadach grup domen. W przypadku, gdy komputer znajduje się w domenie Active Directory, niektóre jego ustawienia mogą być kontrolowane przez administratora domeny za pośrednictwem obiektów GPO domeny.

W katalogu są przechowywane pliki register.pol wszystkich zastosowanych zasad grupy domen %windir%\System32\GroupPolicy\DataStore\0\SysVol\ contoso.com\Policies. Każda zasada jest przechowywana w oddzielnym katalogu z identyfikatorem GUID zasady domeny.

Te pliki register.pol odpowiadają następującym gałęziom rejestru:

  • HKLM\Software\Zasady\Microsoft
  • HKCU\Software\Policies\Microsoft
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies

Historia zastosowanych wersji domen, które są zapisywane na kliencie znajduje się w oddziałach:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Zasady grupy\Historia\
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\Historia\

Gdy komputer jest wykluczony z domeny, pliki register.pol zasad domeny na komputerze są usuwane i odpowiednio nie są ładowane do rejestru.

Jeśli chcesz wymusić usunięcie ustawień GPO domeny, musisz wyczyścić katalog %windir%\System32\GroupPolicy\DataStore\0\SysVol\contoso.com\Policies i usunąć wskazane gałęzie rejestru (zdecydowanie zaleca się utworzenie kopię zapasową usuniętych plików i gałęzi rejestru!!!) . Następnie uruchom polecenie:

gpupdate /force /boot

Rada. Ta technika umożliwia zresetowanie wszystkich lokalnych ustawień zasad grupy we wszystkich wersjach systemu Windows. Wszystkie ustawienia dokonane za pomocą Edytora zasad grupy zostaną jednak zresetowane nie zresetować wszystkie zmiany dokonane w rejestrze bezpośrednio przez edytor rejestru, pliki REG lub w jakikolwiek inny sposób.

W moich poprzednich artykułach na temat zasad grupy mówiłem o tym, jak działa przystawka. Wzięto pod uwagę niektóre węzły bieżącej przystawki, a także funkcjonalność wielu zasad grupowych. Począwszy od tego artykułu, będziesz mógł dowiedzieć się o zarządzaniu ustawieniami zabezpieczeń na komputerze lokalnym, jak również w środowisku domeny. W dzisiejszych czasach bezpieczeństwo jest integralną częścią pracy, zarówno dla administratorów systemów w dużych, a nawet małych przedsiębiorstwach, jak i dla użytkowników domowych, którzy stają przed zadaniem skonfigurowania komputera. Niedoświadczeni administratorzy i użytkownicy domowi mogą sądzić, że po zainstalowaniu programu antywirusowego i zapory ogniowej ich systemy operacyjne są niezawodnie chronione, ale nie jest to do końca prawdą. Oczywiście komputery te będą chronione przed wieloma atakami, ale co uratuje je przed czynnikiem ludzkim? Obecnie możliwości bezpieczeństwa systemów operacyjnych są bardzo wysokie. Istnieją tysiące ustawień zabezpieczeń, które zapewniają usługi, bezpieczeństwo sieci, ograniczają dostęp do niektórych kluczy rejestru i ustawień, zarządzają agentami odzyskiwania danych BitLocker Drive Encryption, kontrolują dostęp do aplikacji i wiele, wiele więcej.

Ze względu na dużą liczbę ustawień zabezpieczeń w systemach operacyjnych Windows Server 2008 R2 i Windows 7 nie jest możliwe skonfigurowanie wszystkich komputerów przy użyciu tego samego zestawu ustawień. W tym artykule omówiono metody dostrajania Kontroli konta użytkownika w systemach operacyjnych Windows, a to tylko niewielka część tego, co można zrobić z zasadami bezpieczeństwa. W serii o lokalnych politykach bezpieczeństwa postaram się omówić jak najwięcej mechanizmów bezpieczeństwa z przykładami, które mogą pomóc w dalszej pracy.

Konfigurowanie zasad bezpieczeństwa

Zasady bezpieczeństwa to zestaw ustawień, który zarządza bezpieczeństwem komputera i jest zarządzany przez lokalny obiekt GPO. Możesz skonfigurować te zasady za pomocą przystawki „Edytor lokalnych zasad grupy” lub pstryknąć. olinowanie "Lokalna Polityka Bezpieczeństwa" służy do zmiany polityki konta i polityki lokalnej na komputerze lokalnym, a zasady kont powiązanych z domeną Active Directory można skonfigurować za pomocą przystawki Edytor zarządzania zasadami grupy. Możesz przejść do lokalnych zasad bezpieczeństwa na następujące sposoby:

Jeśli komputer jest przyłączony do domeny usługi Active Directory, polityka bezpieczeństwa jest określana przez politykę domeny lub politykę jednostki organizacyjnej, której członkiem jest komputer.

Zastosuj zasady bezpieczeństwa dla komputera lokalnego i GPO stacji roboczej przyłączonej do domeny

Poniższe przykłady pokażą różnicę między stosowaniem zasad zabezpieczeń dla komputera lokalnego a stosowaniem obiektu GPO dla komputera służbowego, który jest przyłączony do domeny systemu Windows Server 2008 R2.

Stosowanie polityki bezpieczeństwa do komputera lokalnego

Aby pomyślnie ukończyć bieżący przykład, konto, w ramach którego wykonywane są te czynności, musi być członkiem grupy „Administratorzy” na lokalnym komputerze. Jeśli komputer jest przyłączony do domeny, czynności te mogą wykonywać tylko użytkownicy będący członkami grupy. „Administratorzy domeny” lub grupy z uprawnieniami do edycji polityk.

W tym przykładzie zmienimy nazwę konta gościa. Aby to zrobić, wykonaj następujące kroki:

Po ponownym uruchomieniu komputera, aby sprawdzić, czy polityka bezpieczeństwa została zastosowana na Twoim komputerze, musisz otworzyć komponent Panel sterowania "Konta użytkowników" i podążaj za linkiem „Zarządzanie innym kontem”. W oknie, które zostanie otwarte, zobaczysz wszystkie konta utworzone na komputerze lokalnym, w tym konto gościa o zmienionej nazwie:

Stosowanie zasad zabezpieczeń do obiektu zasad grupy komputera służbowego z systemem Windows Server 2008 R2 przyłączonego do domeny

W tym przykładzie uniemożliwimy użytkownikowi Test_ADUser zmianę hasła do konta na jego komputerze. Przypominamy, że aby wykonać poniższe czynności, musisz być członkiem grupy. „Administratorzy domeny”. Wykonaj następujące czynności:

Po ponownym uruchomieniu komputera, aby sprawdzić, czy polityka bezpieczeństwa została zastosowana, przejdź do zmienionego komputera i otwórz konsolę zarządzania MMC. Dodaj do niego przystawkę „Lokalni użytkownicy i grupy” i spróbuj zmienić hasło do swojego konta w domenie.

Stosowanie zasady zabezpieczeń do obiektu zasad grupy z kontrolera domeny systemu Windows Server 2008 R2

W tym przykładzie zmieńmy liczbę nowych unikatowych haseł, które muszą zostać przypisane do konta użytkownika, zanim stare hasło zostanie ponownie użyte. Ta polityka pozwala zwiększyć bezpieczeństwo, zapewniając, że stare hasła nie będą wielokrotnie używane. Zaloguj się do kontrolera domeny lub użyj narzędzi do zdalnego administrowania serwerem. Wykonaj następujące czynności:


O korzystaniu ze snapa "Zarządzanie polityką grupy" na kontrolerach domeny i o poleceniu gpupdate zostaną szczegółowo omówione w kolejnych artykułach.

Wniosek

W tym artykule poznałeś metody stosowania lokalnych zasad bezpieczeństwa. Podane przykłady ilustrują konfigurację zasad bezpieczeństwa przy użyciu przystawki "Lokalna Polityka Bezpieczeństwa" na komputerze lokalnym, ustawianie zasad na komputerze przyłączonym do domeny i zarządzanie lokalnymi zasadami bezpieczeństwa za pomocą kontrolera domeny. W kolejnych artykułach z serii o lokalnych politykach bezpieczeństwa dowiesz się o korzystaniu z każdego węzła przystawki "Lokalna Polityka Bezpieczeństwa" oraz o przykładach ich wykorzystania w środowisku testowym i produkcyjnym.

Zapaliłem się do tego pomysłu na bezpieczeństwo i postanowiłem spróbować zrobić to samo dla siebie.

Ponieważ mam Windows 7 Professional, pierwszym pomysłem było użycie AppLockera”a, ale szybko stało się jasne, że nie chce pracować w mojej edycji Windows i wymaga Ultimate lub Enterprise. Ze względu na licencjonowanie mojego Windowsa i pustka w portfelu, opcja z AppLockerem zniknęła.

Następną próbą było skonfigurowanie zasad grupy ograniczeń oprogramowania. Ponieważ AppLocker jest „napompowaną” wersją tego mechanizmu, logiczne jest wypróbowanie zasad, zwłaszcza że są one bezpłatne dla użytkowników systemu Windows :)

Przejdźmy do ustawień:
gpedit.msc -> Konfiguracja komputera -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zasady ograniczeń oprogramowania

Jeśli nie ma reguł, system zaproponuje wygenerowanie automatycznych reguł, które pozwolą na uruchomienie programów z folderu Windows i Program Files. Dodajemy również regułę odmowy dla ścieżki * (dowolna ścieżka). W rezultacie chcemy mieć możliwość uruchamiania programów tylko z chronionych folderów systemowych. I co?
Tak, to właśnie dostaniemy, ale tutaj jest tylko mały pech - etykiety i linki http nie działają. Nadal możesz zdobywać punkty za linki, ale życie bez etykiet nie jest dobre.
Jeśli zezwolisz na uruchamianie plików przy użyciu maski *.lnk, będziemy mogli utworzyć skrót do dowolnego pliku wykonywalnego i uruchomić go za pomocą skrótu, nawet jeśli nie znajduje się on w folderze systemowym. Parszywy.
Prośba do Google prowadzi do takich decyzji: albo zezwolić na uruchamianie skrótów z folderu użytkownika, albo użyć pasków innych firm ze skrótami. Żaden inny sposób. Osobiście nie podoba mi się ta opcja.

W efekcie mamy do czynienia z sytuacją, że *.lnk z punktu widzenia Windowsa nie jest linkiem do pliku wykonywalnego, a plikiem wykonywalnym. To szalone, ale co można zrobić… Chciałbym, aby Windows sprawdzał nie lokalizację skrótu, ale lokalizację pliku, do którego się odnosi.

A potem przypadkowo natknąłem się na ustawienia listy rozszerzeń, które są wykonywalne z punktu widzenia systemu Windows (gpedit.msc -> Konfiguracja komputera -> Konfiguracja systemu Windows -> Opcje zabezpieczeń -> Przypisane typy plików). Usuwamy stamtąd LNK i jednocześnie HTTP i ponowne logowanie. Otrzymujemy w pełni działające skróty i sprawdzamy lokalizację pliku wykonywalnego.
Pojawiła się wątpliwość, czy będzie możliwe przekazywanie parametrów przez skróty - jest to możliwe, więc wszystko jest w porządku.

W efekcie otrzymaliśmy realizację pomysłu opisanego w artykule „Komputer Windows bez antywirusów” bez żadnych niedogodności dla użytkownika.

Ponadto dla tych, którzy lubią strzelać sobie w stopę, możesz utworzyć folder w Program Files i rzucić do niego skrót na pulpicie, nazywając go na przykład „Sandbox”. Umożliwi to uruchamianie programów z tego miejsca bez wyłączania zasad, przy użyciu chronionej pamięci masowej (ochrona przez UAC).

Mam nadzieję, że opisana metoda będzie dla kogoś przydatna i nowa. Przynajmniej nigdy o czymś takim od nikogo nie słyszałem i nigdzie tego nie widziałem.

Edytor lokalnych zasad grupy (gpedit.msc) to przydatne i naprawdę potężne narzędzie, za pomocą którego można dostroić system Windows. Niestety nie jest dostępny w wersjach Home Basic i Home Advanced. Ale Microsoft nie usunął tego narzędzia, a jedynie „ukrył” je w folderach Windows\winsxs i Windows\SysWOW64.

Dzięki naszemu rozwiązaniu proces ten stanie się znacznie prostszy i bardziej niezawodny. Uruchamiasz darmowy instalator i czekasz, aż się zakończy. Trzeba jednak przyznać, że nasza wygodna metoda ma też małą wadę: Windows wyświetla polecenia w menu edytora w języku rosyjskim, a same ustawienia i ich opisy są wymienione w języku angielskim. Jeśli nie stanowi to dla Ciebie problemu, nic innego nie przeszkodzi Ci w czerpaniu przyjemności z pracy z wielofunkcyjnym narzędziem do strojenia.

Jak to zrobić:

1. Pobierz edytor

Przejdź do drudger.deviantart.com/art/Add-GPEDIT-msc-215792914. Kliknij mały przycisk „Pobierz”, aby pobrać plik ZIP. Uwaga! Duże przyciski są linki reklamowe.

2. Rozpakuj i zainstaluj

Otwórz folder pobierania i rozpakuj pobrane archiwum ZIP. Teraz kliknij dwukrotnie znajdujący się w nim plik Setup.exe i poczekaj na zakończenie pracy. Następnie zamknij program instalacyjny, klikając przycisk „Zakończ”.

3. Skopiuj pliki 64-bitowe

Jeśli korzystasz z 64-bitowej wersji systemu Windows, otwórz folder Windows\SysWOW64 w Eksploratorze. Skopiuj stamtąd katalogi GroupPolicy i GroupPolicyUsers, a także plik gpedit.msc do folderu Windows\System32.

4. Uruchom edytor

Naciśnij kombinację klawiszy „Win + R” i wprowadź „gpedit.msc”. W oknie komunikatu Kontrola konta użytkownika kliknij Tak. To powinno otworzyć Edytor lokalnych zasad grupy.

5. Edycja pliku wsadowego

Jeśli po uruchomieniu edytora pojawi się komunikat „Konsola zarządzania (MMC) nie może utworzyć przystawki”, powtórz krok 2, ale tym razem nie klikaj „Zakończ”. Zamiast tego otwórz folder Windows\Temp\gpedit i kliknij prawym przyciskiem myszy x86.bat (32-bitowy system Windows) lub x64.bat (64-bitowy system Windows). Wybierz Edytuj z menu kontekstowego.

6. Naprawianie błędu przyciągania

W górnej jednej trzeciej części kodu zobaczysz sześć wpisów zawierających element „%username%:f”. Uzupełnij go cudzysłowami w następujący sposób: ""%username%":f" i zapisz plik. Teraz kliknij prawym przyciskiem myszy zapisany plik wsadowy i wybierz „Uruchom jako administrator”. Jeśli teraz uruchomisz Edytor lokalnych zasad grupy zgodnie z opisem w kroku 4, błąd przystawki powinien zniknąć.

7. Praca z zasadami grupy

W sumie Edytor zasad grupy oferuje około 3000 ustawień, które są naprawdę łatwe do zastosowania. Przykład: jeśli chcesz, aby program antywirusowy automatycznie sprawdzał każdy załącznik, wybierz opcję Konfiguracja użytkownika | Szablony administracyjne | Składniki systemu Windows | menedżer załączników. W prawej połowie okna zobaczysz kilka wpisów. Kliknij dwukrotnie „Powiadamiaj programy antywirusowe podczas otwierania załączników”. W wyświetlonym oknie wybierz „Włączone”, a następnie kliknij „OK”.

8. Ukryj przestarzałe ustawienia

Jeśli Edytor lokalnych zasad grupy wydaje ci się zbyt skomplikowany, ukryj wszystkie ustawienia, które nie mają zastosowania w twoim systemie. Aby to zrobić, przejdź do menu „Widok | Filtrowanie” i zaznacz pole przed opcją „Filtruj według informacji o wymaganiach”. W każdym razie usuń zaznaczenie pól wyboru przed wpisami dotyczącymi systemu Windows 2000. Ustawienia dla XP działają również w systemie Windows 7, więc zostaw je w spokoju. Po dokonaniu wyboru kliknij „OK”. Natychmiast zobaczysz tylko te opcje, których potrzebujesz.

Zdjęcie: firmy produkujące

Edytor lokalnych zasad grupy, jedno z narzędzi w systemach Windows 10, Windows 7, Windows 8, Windows 8.1, z wyjątkiem wersji domowych, które nie są zbyt popularne wśród zwykłych użytkowników, ale spodobały się administratorom sieci.

Pozwala kontrolować wszystkie parametry systemu operacyjnego z jednego punktu. Jest to szczególnie przydatne, jeśli jesteś administratorem sieci i chcesz ustawić te same reguły dla wielu komputerów/laptopów lub użytkowników w tym samym obszarze.

Również lokalny edytor zasad grupy oferuje szeroki zakres funkcji i ustawień, których nie można znaleźć w zwykłych miejscach i które mogą być bardzo przydatne dla zwykłych użytkowników.

Przeczytaj ten przewodnik, aby dowiedzieć się, czym są lokalne zasady grupy, gdzie się znajdują, jak je otworzyć i jak z nimi pracować we wszystkich wersjach systemu Windows.

Co to jest Edytor lokalnych zasad grupy

Z definicji zasady grupy to funkcja, która zapewnia punkt dostępu do administrowania, konfigurowania systemu operacyjnego, programów i ustawień użytkownika na komputerach i laptopach.

Oczywiście jest to bardzo przydatne, jeśli jesteś administratorem sieci i musisz wprowadzić określone reguły lub ustawienia dla komputerów i/lub użytkowników.

Jednak ten scenariusz nie jest tematem tego samouczka. Zasady lokalne reprezentują zarządzanie komputerami, a nie tylko tymi, które są zarejestrowane w grupie.

Mówiąc najprościej, powinieneś myśleć o zasadach grupy jako o narzędziu, które reguluje funkcjonowanie systemu Windows 10, Windows 7, Windows 8, Windows 8.1 na twoim komputerze.

Kto może uruchomić Edytor lokalnych zasad grupy

Ponieważ Edytor lokalnych zasad grupy jest dobrze rozwiniętym narzędziem, należy pamiętać, że nie jest on dostępny w wydaniach domowych. Możesz go uruchomić tylko na:

  • Windows 7 Professional, Ultimate i Enterprise
  • Windows 8 i 1 Professional, Enterprise
  • Windows 10 Pro i Enterprise

Co możesz zrobić w lokalnym edytorze zasad grupy

Możesz skonfigurować wiele ustawień systemu operacyjnego jako administrator, a inni użytkownicy nie będą mogli później zmienić twoich ustawień. Oto kilka przykładów:

  • Możesz zezwolić użytkownikom na korzystanie z niektórych aplikacji na Twoim komputerze.
  • Blokuj dostęp do urządzeń zewnętrznych (takich jak pendrive'y USB) podłączonych do komputera.
  • Zablokuj użytkownikowi dostęp do panelu sterowania lub ustawień aplikacji.
  • Ukryj niektóre elementy panelu sterowania.
  • Ustawia tło pulpitu i blokuje użytkownikom możliwość jego zmiany.
  • Blokuj włączanie i wyłączanie połączeń sieciowych oraz dostęp do ich właściwości.
  • Uniemożliwiaj użytkownikom odczytywanie lub zapisywanie danych na dyskach CD, DVD, zewnętrznych urządzeniach pamięci masowej itp.
  • Wyłącz wszystkie kombinacje klawiszy, które zaczynają się od przycisku Win. Na przykład Win + R (otwiera Uruchom).

To tylko kilka przykładów, ale w rzeczywistości istnieje wiele innych opcji.

Jak otworzyć Edytor lokalnych zasad grupy w systemie Windows 7

Aby otworzyć Edytor lokalnych zasad grupy w systemie Windows 7, użyj funkcji wyszukiwania.


Aby to zrobić, kliknij „Menu Start”, aw pasku wyszukiwania wpisz „gpedit.msc” (bez cudzysłowów), aw polu wyjściowym kliknij ikonę „gpedit.msc” lub „Edytuj zasady grupy” - cokolwiek się pojawi.

Alternatywnie możesz użyć narzędzia Uruchom. Najszybszym sposobem na uruchomienie jest jednoczesne naciśnięcie Win + R, napisanie „gpedit.msc” i kliknięcie przycisku „OK”.

Jak wejść do lokalnego edytora zasad grupy w systemie Windows 8.1

Podobnie jak w systemie Windows 7, narzędzie można szybko uruchomić za pomocą wyszukiwania i wprowadzenia do niego bez cudzysłowów - „gpedit.msc”.

Następnie w wyniku wyszukiwania kliknij „gpedit”. Możesz także użyć okna Uruchom, jak opisano w poprzedniej sekcji.

Jak otworzyć Edytor lokalnych zasad grupy w systemie Windows 10

W systemie operacyjnym Windows 10 uruchamianie Edytora lokalnych zasad grupy przebiega tak samo, jak w systemach Windows 8.1 i Windows 7.

W ten sam sposób możesz napisać w polu wyszukiwania - „gpedit.msc” i kliknąć odpowiednią ikonę w wynikach.

Ci, którzy lubią korzystać z okna Uruchom, mogą je otworzyć i uruchomić edytor w sposób opisany w punktach powyżej – w pierwszej dziesiątce jest identycznie.

To jest otwarty widok Edytora lokalnych zasad grupy w systemie Windows 10.

UWAGA: Edytor lokalnych zasad grupy wygląda prawie identycznie i oferuje te same opcje, ustawienia i funkcje, co system Windows 7, Windows 8 lub Windows 10. Dlatego tutaj zostaną użyte tylko zrzuty ekranu systemu Windows 10.

Jak pracować z lokalnym edytorem zasad grupy

Edytor lokalnych zasad grupy jest podzielony na dwie części: po lewej stronie wyświetlana jest zawartość aktywnej kategorii, a po prawej zawartość aktywnej kategorii.

Zasady grupy są podzielone na dwie główne sekcje:

  • Konfiguracja komputera — zawiera ustawienia, które są stosowane do wszystkich komputerów, niezależnie od użytkowników.
  • Konfiguracja użytkownika - zawiera ustawienia dla użytkowników. Odnoszą się one wyłącznie do użytkowników, a nie do komputera.

  • Ustawienia oprogramowania - oprogramowanie, którego sekcja domyślnie powinna być pusta.
  • Ustawienia systemu Windows — zawiera ustawienia zabezpieczeń. Jest to miejsce, w którym można znaleźć lub dodać skrypty, które powinny zostać wykonane podczas uruchamiania lub wyłączania komputera.

  • Szablony administracyjne — zawiera dużą liczbę ustawień kontrolujących wiele aspektów komputera. Tutaj możesz przeglądać, edytować, a nawet stosować wszelkiego rodzaju ustawienia i reguły. Wymienimy tylko kilka przykładów. Możesz zarządzać ustawieniami użytkownika, Panelem sterowania, Siecią, Menu Start i Paskiem zadań.

Jak edytować za pomocą lokalnego edytora zasad grupy

Aby lepiej zrozumieć proces użytkowania, weźmy przykład. Załóżmy, że chcesz ustawić określone tło pulpitu, które będzie używane dla każdego istniejącego użytkownika.

Aby przejść do Ustawień pulpitu, musisz przejść do kategorii Konfiguracja użytkownika w lewym okienku. Następnie przejdź do opcji Szablony administracyjne, otwórz Pulpit i wybierz Ustawienia pulpitu.

W prawym panelu zobaczysz wszystkie ustawienia, które można skonfigurować z wybranego szablonu administracyjnego. Dla każdego parametru po jego prawej stronie wyświetlane są dwie kolumny:

  • Kolumna Stan informuje, które opcje nie są skonfigurowane i aktywne lub nieaktywne.

Lewa strona tego panelu pokazuje szczegółowe informacje o działaniu danego parametru i jego skutkach. Te informacje są wyświetlane w lewym okienku za każdym razem, gdy wybierzesz ustawienie.

Na przykład, jeśli wybierzesz „tło pulpitu”, po lewej stronie zobaczysz, że ustawienie można zastosować do wersji systemu Windows 2000 i nowszych.

Jeśli chcesz zmienić ustawienia tła pulpitu, kliknij je dwukrotnie prawym przyciskiem myszy lub kliknij prawym przyciskiem myszy i wybierz „Zmień”.

Pojawi się okno edycji. Na przykład w naszym przypadku możemy określić tło pulpitu.

Aby to zrobić, umieść ptaka przed słowem „Włączone” i podaj ścieżkę do obrazu.

Na koniec musisz kliknąć przycisk Zastosuj lub OK, aby aktywować ustawienie.

To tylko najprostszy przykład. Nie chcę nawet wspominać o pisaniu różnych skryptów w tej chwili, ponieważ większość ludzi nie będzie ich używać.

Ogólnie rzecz biorąc, Edytor lokalnych zasad grupy jest wyrafinowanym narzędziem, które, co dziwne, może łatwo ustawić różne reguły dla twoich komputerów i ich użytkowników.


Aby rozważyć każdy aspekt i wszystkie dostępne ustawienia, będziesz musiał napisać książkę, ale mam nadzieję, że teraz przynajmniej znasz podstawowe zasady tego narzędzia.

Jeśli masz jakiekolwiek pytania dotyczące Edytora lokalnych zasad grupy, zadaj je w komentarzu poniżej. Powodzenia.

Kategoria: Bez kategorii