En af de mest interessante opgaver, vi kan udføre som administratorer eller mennesker inden for it -feltet, er at tildele politikker til brugerne eller maskinerne i vores organisation. Disse opgaver kan udføres takket være opkald GPO'er (gruppepolitisk objekt) som gør det muligt at etablere kontroller, tilladelser, låse og andre opgaver enten til den lokale bruger eller til en gruppe af brugere, når vi er inden for et domæne.
I denne undersøgelse vil vi analysere måden hvordan kan vi få adgang til GPO'er i Windows 10 Men vi ønsker at fordybe os i disse på forhånd, hvordan de implementeres, hvornår de skal implementeres, og senere skal vi oprette nogle GPO'er for at se Windows 10's adfærd med dem.
GPO er bogstaveligt talt et gruppepolitisk objektDette indebærer, at vi som administratorer kan oprette en politik, der begrænser brugen af USB -hukommelsespinde af sikkerhedsmæssige årsager, eller vi kan fastslå, at brugeren ikke tilføjer eller fjerner programmer.
I praksis giver en GPO os en mere centraliseret kontrol over maskinerne og brugerne. For at redigere eller oprette nye GPO'er skal vi gå ind i den lokale GPO -editor, som er et supplement til MMC (Microsoft Management Console) og dette plugin er placeret på stien:
% windir% \ System32 \ gpedit.mscEn GPO kan defineres som en regel, der styrer en brugers arbejdsmiljø og lokale maskinkonto. Den mest almindelige er at tale om GPO'er i organisatoriske termer, men denne gang skal vi tale om lokale GPO'er i detaljer for at forstå det brede omfang og de mange muligheder, vi har, når vi bruger GPO -editoren.
Det er vigtigt, at vi før vi redigerer en GPO er meget klare om, hvad vi skal gøre, hvis det virkelig er værd at blokere eller tillade handling på computeren, da hvis vi udfører noget, der ikke er påkrævet, kan vi få unødige problemer.
For at begynde kommer vi til at se Måder at få adgang til GPO -editor i Windows 10 og senere analyserer vi selve redaktøren.
1. Åbn lokal GPO -editor Windows 10
Mulighed 1
Den mest almindelige måde at få adgang til editoren er ved at bruge en kommando i indstillingen Løb, tastekombination:
Ved at trykke på At acceptere eller Gå ind, vises redaktøren.
Mulighed 2
En anden måde at få adgang til GPO -editoren er via søgemaskinen Windows 10., nøgle:
Mulighed 3
Vi kan få adgang til GPO -editoren fra kommandoprompten, til dette kan vi bruge to måder:
1. Brug af kombinationen Windows + R og indtast udtrykket:
cmd2. Højreklik på knappen:
Når cmd -konsollen er åben på en af to måder, skriver vi følgende kommando:
gpedit.msc
FORSTØRRE
Mulighed 4
Og endelig kan vi få adgang til de lokale GPO'er ved hjælp af Windows PowerShell, til dette åbner vi Windows PowerShell og indtaster udtrykket:
gpeditOg vi trykker på Enter.
FORSTØRRE
Når vi kommer ind i editoren ved hjælp af en af de førnævnte metoder, finder vi dem indeni. Som vi ser i GPO -editor vindue vi har to muligheder:
Opsætning af udstyrDet giver os mulighed for at foretage og etablere justeringer af parametrene for den lokale maskine.
BrugerindstillingerDet giver os mulighed for at etablere parametrene for den bruger, der skal bruge maskinen.
Hver af de førnævnte muligheder er opdelt i tre kategorier:
SoftwarekonfigurationDenne mulighed giver os mulighed for at etablere den nødvendige konfiguration for den software, der er installeret på den lokale maskine.
Windows -indstillingerVed hjælp af dette alternativ vil vi være i stand til at etablere de parametre, der er relateret til Windows -miljøet, f.eks. Sikkerhedsdirektiver, scripts, navneopløsning osv. Denne fane er meget forsigtig, fordi en forkert indstilling kan påvirke systemets ydeevne.
Administrative skabelonerDette er utvivlsomt den mulighed, som vi vil bruge mest, da derfra finder du praktisk talt alle udstyrsindstillinger, kontrolpanel, login, nedlukning osv.
I vinduet på GPO -redaktør Vi arbejder praktisk talt 100% af tiden på disse muligheder, da de inkluderede menuer ikke tilbyder os mange alternativer, der er følgende:
MenufilFra denne menu har vi to (2) alternativer, fanen Indstillinger, hvorfra vi kan frigøre plads på harddisken for at forbedre dens ydeevne og fanen Afslut for at forlade editoren.
HandlingsmenuFra denne menu har vi følgende alternativer:
- Eksportliste: Det giver os mulighed for at eksportere en liste over GPO'er i .txt -format fra et bestemt sted
- Hjælp: Viser guiden relateret til MMC.
Vis menuGennem denne mulighed kan vi redigere visualiseringerne af vores GPO -vindue, for eksempel store ikoner, små ikoner, liste osv.
Hjælp -menuIndeholder hjælpemner relateret til GPO'er og andre Microsoft -emner.
Det er vigtigt at huske, at når vi arbejder med en Lokal GPO Den konfiguration, vi skal bruge mest, er brugerens, da konfigurationen af systemet omhandler meget sarte emner, især i sikkerhedsspørgsmål, netværk, scripts, da de fleste af disse parametre bruges, når maskinen er i et domæne .
FORSTØRRE
2. Rediger GPO på teamniveau
Vi kommer til at redigere en GPO inden for udstyrskonfigurationen, for dette vil vi gå til følgende rute:
Computerkonfiguration / Administrative skabeloner / Windows -komponenter / Windows Update
FORSTØRRE
Som vi ser Mulighed for administrative skabeloner den indeholder mange flere parametre at redigere end de andre muligheder. Når vi har valgt Windows Update, i dette eksempel, vil vi se, at en række muligheder for at ændre vises på højre side, vi skal være meget forsigtige med de værdier, der skal redigeres.
I denne undersøgelse skal vi vælge indstillingen, ikke juster standardindstillingen til "Installer opdateringer og nedlukning i dialogboksen Lukning". Vi dobbeltklikker, og følgende vises:
Generelt har alle de muligheder, vi vælger i GPO'er -editoren, den samme struktur:
Ikke konfigureretDet betyder, at GPO ikke er blevet redigeret i øjeblikket.
AktiveretDet giver os mulighed for at fastslå, at denne politik anvendes og er gældende for den lokale maskine.
handicappetVed hjælp af denne mulighed deaktiverer vi permanent den valgte GPO på den lokale maskine.
KommentarVi kan oprette en kommentar, der hjælper os med at være klar over, hvorfor vi anvender den nævnte GPO eller enhver anden kommentar, som vi anser for nødvendig.
Kompatibel medViser de systemer, der er kompatible med den valgte GPO.
HjælpI dette felt kan vi se, at der vises en oversigt over, hvad denne GPO rent faktisk gør på computeren.
Når vi har konfigureret parametrene for vores GPO klikker vi på ansøge og senere ind At acceptere. Vi kan bemærke, at GPO -status Det er blevet ændret:
FORSTØRRE
På denne måde redigerer vi GPO'erne på teamniveau.
3. Rediger GPO på brugerniveau
Nu skal vi analysere de GPO'er, der gælder for en bruger, og vi skal kontrollere, hvordan de påvirker brugerens miljø, hvis de anvendes forkert. Som vi allerede har nævnt ovenfor, den mulighed, der giver os mest Alternativ til redigering af GPO'er er indstillingen Administrative Templates.
FORSTØRRE
Hvis vi bemærker, er mulighederne anderledes end i konfigurationen af udstyret. Vi skal rediger GPO placeret i følgende sti:
Brugerkonfiguration / Administrative skabeloner / Kontrolpanel / Tilføj eller fjern programmer
FORSTØRRE
Lad os lægge mærke til de forskellige muligheder, der vises på højre side. Vi skal rediger GPO Fjern eller tilføj programmer. Vi dobbeltklikker på det, og mulighederne vises.
Vi kommer til at redigere det, så indstillingen Tilføj eller fjern programmer forsvinder fra Kontrolpanel I indstillingen Programmer skal vi i dette tilfælde aktivere GPO, og hvis vi vil tilføje en kommentar.
Vi klikker på Anvend og derefter OK for at gemme ændringerne. På denne måde har vi forhindrede brugeren i at tilføje eller fjerne programmer.
BemærkDet er meget vigtigt at validere, at GPO'en gælder for det operativsystem, vi arbejder på. Bemærk, at der i dette tilfælde tydeligt står "Kun Windows Server 2003, Windows XP og Windows 2000", hvilket indikerer, at vi kan fortsætte med at tilføje eller fjerne programmer på en normal måde.
Vi kommer til at redigere nogle GPO påvirker brugermiljøet i Windows 10. Det redigerer en GPO, der er kompatibel med vores operativsystem.
Brugerkonfiguration / Administrative skabeloner / Kontrolpanel / Programmer
FORSTØRRE
Lad os aktivere GPO Skjul siden "Programmer og egenskaber". Inden vi ser, hvad vi kan observere i programmer og funktioner, går vi til ruten:
Kontrolpanel / Programmer / Programmer og funktioner
FORSTØRRE
Vi foretager justeringerne i GPO:
Vi anvender og accepterer ændringerne, og vi vil se ændringen foretaget i kontrolpanelet:
FORSTØRRE
Som vi kan se, har vi ikke længere adgang til mulighederne for programmer og funktioner. Vi skal demonstrere et andet eksempel, vi skal redigere noget GPO i stien:
Brugerkonfiguration / Administrative skabeloner / System / Ctrl + Alt + Del -indstillinger
FORSTØRRE
Som vi ser i det højre panel, kan vi fjerne muligheder, når vi trykker på den pågældende kombination. Lad os se, hvad vi kan redigere under normale forhold:
FORSTØRRE
Nu har vi mulighed for at deaktivere nogle af disse muligheder, vi vil deaktivere indstillingen Skift kodeord.
Vi anvender og accepterer ændringerne, og hvis vi nu indtaster kombinationen igen Ctrl + Alt + Slet vi kan observere ændringen:
FORSTØRRE
Da vi bemærkede, at de ændringer, vi foretager via GPO'er -editoren, kan forårsage en ganske mærkbar effekt på brugerens miljø, derfor skal vi være forsigtige med de GPO'er, vi redigerer. Vi har mulighed for at se alle GPO'er at vi kan redigere (de er organiseret i alfabetisk rækkefølge), og hver GPO angiver sin respektive sti til redigering.
FORSTØRRE
Vi kan bemærke, at der er mange muligheder, som vi kan justere, på netværket, systemet, internetniveau, udseende, adgang, mange og alle disse justeringer afhænger af, hvad vi har planlagt at udføre med brugeren.
På denne måde har vi analyseret det store omfang, vi har med lokal GPO -editor på Windows, men lad os huske, at den brug, vi gør af det, skal være på en ansvarlig og omhyggelig måde.
