Hjemmeside » skole » Brug Group Policy Editor til at tweak din pc

    Brug Group Policy Editor til at tweak din pc

    I dagens Geek School-lektion skal vi forklare, hvordan du bruger redaktionen for lokal gruppepolitik til at foretage ændringer på din pc, der ikke er tilgængelige på nogen anden måde.

    SCHOOL NAVIGATION
    1. Brug af Task Scheduler til at køre processer senere
    2. Brug af Event Viewer til fejlfinding af problemer
    3. Forståelse af harddiskpartitionering med diskhåndtering
    4. Lære at bruge registreringseditoren som et proffs
    5. Overvågning af din pc med Resource Monitor og Task Manager
    6. Forstå panelet Avanceret systemegenskaber
    7. Forstå og administrere Windows Services
    8. Brug Group Policy Editor til at tweak din pc
    9. Forstå Windows Administration Tools

    Vi bør bemærke lige foran, at editoren for gruppepolitik kun er tilgængelig i Pro-versionerne af Windows - Home eller Home Premium-brugere har ikke adgang til det. Det er dog stadig værd at lære om.

    Gruppepolitikker er en rigtig kraftfuld måde at opsætte et firmas netværk med, hver computer er låst, så brugerne ikke kan ødelægge dem med uønskede ændringer og forhindre dem i at køre uautoriseret software blandt mange andre anvendelser.

    I hjemmemiljøet vil du sandsynligvis ikke indstille begrænsninger for adgangskode længde eller tvinge dig selv til at ændre dit kodeord. Og du behøver sandsynligvis ikke at låse dine maskiner til kun at køre specifikke godkendte kørsler.

    Der er mange andre ting, du kan konfigurere, men som at deaktivere Windows-funktioner, som du ikke kan lide, blokere bestemte programmer fra at køre eller lave scripts, der kører under Logon eller Logoff.

    Forstå grænsefladen

    Grænsefladen ligner meget på alle andre administrationsværktøjer - med treeview til venstre kan du søge efter indstillinger i en hierarkisk mappestruktur, der er en liste over indstillinger og et forhåndsvisningspanel, der giver dig flere oplysninger om den bestemte indstilling.

    Der er to øverste mapper at være opmærksomme på:

    • Computer konfiguration - Indeholder indstillinger, der anvendes på computere, uanset hvilken bruger, der logger ind.
    • Brugerkonfiguration - Indeholder indstillinger, der anvendes på brugerkonti.

    Under hver af disse mapper er der et par mapper, der giver dig mulighed for at bore ned længere ind i de tilgængelige indstillinger:

    • Softwareindstillinger - denne mappe er beregnet til software-relaterede konfigurationer og er tom som standard på klient Windows.
    • Windows Indstillinger - denne mappe indeholder sikkerhedsindstillinger og scripts til logon / logoff og startup / shutdown.
    • Administrative skabeloner - denne mappe indeholder registreringsdatabase-konfigurationer, som i det væsentlige er en hurtig måde at justere indstillinger på din computer eller til din brugerkonto. Der er mange tilgængelige indstillinger.

    Tweaking Sikkerhedsregler

    Hvis du skulle dobbeltklikke på "Forhindre adgang til kommandoprompten" fra skærmbilledet ovenfor, vil du blive præsenteret med et vindue, der ligner denne - faktisk vil de fleste af indstillingerne under Administrative skabeloner se lignende.

    Denne særlige indstilling vil tillade dig at blokere adgangen til kommandoprompten for brugere på pc'en. Du kan også konfigurere indstillingen inde i dialogboksen for at blokere batchfiler også.

    En anden mulighed i samme mappe giver dig mulighed for at oprette en indstilling til "Kør kun specificerede Windows-programmer" - du ville konfigurere indstillingen til Aktiveret og derefter give en liste over tilladte applikationer. Alt andet ville blive blokeret fra at køre.

    I dette tilfælde, hvis du skulle køre et program, der ikke er på listen, vil du få en fejlmeddelelse som denne.

    Det er værd at bemærke, at messing med regler som dette kunne låse dig ud af din pc, hvis du gør noget forkert, så pas på.

    Tweaking UAC Settings for Security

    Under Computer Configuration -> Windows Settings -> Sikkerhedsindstillinger -> Lokale politikker -> Sikkerhedsindstillinger-mappen finder du en masse interessante indstillinger for at gøre din computer mere sikker.

    Den første mulighed findes i den pågældende mappe som "Brugerkontokontrol: Adfærd af elevationsprompten for administratorer", og hvis du vælger "Spørg efter legitimationsoplysninger på det sikre skrivebord", vil det tvinge dig (eller en anden bruger) til at Indtast din adgangskode, når som helst du forsøger at køre noget i administrator tilstand.

    Denne indstilling gør, at Windows fungerer mere som Linux eller Mac, hvor du bliver bedt om at angive din adgangskode, når du skal foretage en ændring, og da Secure Desktop ikke tillader andre applikationer at rotere med dialogen, er det meget mere sikker.

    Andre nyttige muligheder:

    • Brugerkontokontrol: Løft kun eksekverbare filer, som er underskrevet og valideret - Denne mulighed forbyder applikationer, der ikke signeres digitalt fra at køre som administrator.
    • Gendannelseskonsol, tillader automatisk administrativ logon - når du skal bruge genopretningskonsollen til at udføre systemopgaver, skal du generelt give administratoradgangskoden. Hvis du er glemt at glemme adgangskoden, vil dette give dig mulighed for at komme ind for at nulstille det lettere. (Og da du nemt kan tørre en Windows-adgangskode, er den ikke rigtig mindre sikker).

    En ting, der er værd at bemærke, er, at mange af politikkerne på listen ikke rent faktisk gælder for hver Windows-version. For eksempel i skærmbilledet nedenfor er indstillingen "Fjern mine dokumenter ikoner" kun tilgængelig til Windows XP og 2000. Visse andre politikker vil sige "Mindst Windows XP" eller noget lignende, hvilket vil betyde, at de vil fortsætte med at arbejde på alle versioner.

    Der er et enormt antal indstillinger i gruppepolicy editoren, så det er absolut værd at bruge lidt tid på at kigge igennem dem, hvis du er nysgerrig. De fleste af indstillingerne giver dig mulighed for at deaktivere Windows-funktioner, som du ikke særligt kan lide - meget få giver dig funktionalitet, som du ikke har som standard.

    Opsætning af scripts til kørsel ved logon, aflogning, idrifttagning eller afslutning

    Endnu et andet eksempel på noget, du kun kan gøre ved hjælp af gruppepolicy editoren, er at oprette et logoff eller shutdown script til at køre hver gang du genstarter din pc.

    Dette kan være meget nyttigt til at rydde op på dit system eller lave en hurtig sikkerhedskopiering af bestemte filer hver gang du lukker ned, og du kan bruge batch-filer eller endda PowerShell-scripts til enten. Den eneste advarsel er, at disse scripts skal løbe lydløst, eller de vil låse op logoff processen.

    Der er to forskellige typer scripts, som du kan køre.

    • Startup / Shutdown Scripts - Disse scripts findes under Computer Configuration -> Windows Settings -> Scripts og vil blive kørt under Local System-kontoen, så de kan manipulere systemfiler, men vil ikke blive vist som din brugerkonto.
    • Logon / Logoff Scripts - Disse scripts findes under Brugerkonfiguration -> Windows Indstillinger -> Skripter og vil blive kørt under din brugerkonto.

    Det er værd at bemærke, at logon og logoff scripts ikke vil lade dig køre hjælpeprogrammer, der kræver administratoradgang, medmindre du har UAC helt handicappet.

    For dagens eksempel udarbejder vi et logoff script ved at gå ned til Bruger Configuration -> Windows Settings -> Scripts og dobbeltklikke på Logoff.

    Vinduet Logoff-egenskaber giver dig mulighed for at tilføje flere logoff-scripts til at køre.

    Du kan også konfigurere PowerShell-scripts i stedet.

    Det er virkelig vigtigt at bemærke her, at dine scripts skal være i en bestemt mappe, så de kan fungere korrekt.

    Logon og Logoff Scripts skal være i følgende mapper:

    • C: \ Windows \ System32 \ GroupPolicy \ Bruger \ Scripts \ Log af
    • C: \ Windows \ System32 \ GroupPolicy \ Bruger \ Scripts \ Logon

    Mens Startup og Shutdown Scripts skal være i disse mapper:

    • C: \ Windows \ System32 \ GroupPolicy \ Machine \ Scripts \ Shutdown
    • C: \ Windows \ System32 \ GroupPolicy \ Machine \ Scripts \ Start

    Når du har konfigureret dit logoff script, kan du teste det ud - vi konfigurerer et simpelt script, der oprettede en tekstfil på skrivebordet og derefter logget af og tilbage på. Men du kunne få det til at gøre alt, hvad du ønskede.

    Og selvfølgelig, hvis du laver et logon script i stedet, kunne det faktisk starte applikationer.

    En vigtig ting at bemærke er, at hvis dit script beder om brugerindgang, vil Windows hænge under afbrydelse eller logoffering i 10 minutter, før scriptet dræbes, og Windows kan genstarte. Dette er noget, du bør helt sikkert huske, når du designer dit script.

    Gruppepolitik slutter ikke her

    Vi har kun ridset overfladen for, hvad koncernpolitik virkelig kan gøre, og i et corporate domæne miljø er det et af de mest kraftfulde og vigtige værktøjer til din rådighed. Da denne serie ikke handler om it-brugere, går vi ikke ind i resten, men det er umagen værd at selv lave egen forskning.