Använda Group Policy Editor för att tweak din dator
I dagens Geek School-lektion kommer vi att förklara hur du använder den lokala grupppolicy-redigeraren för att göra ändringar på din dator som inte är tillgängliga något annat sätt.
SCHOOL NAVIGATION- Använda Aktivitetsschemaläggare för att köra processer senare
- Använda händelsessökaren för att felsöka problem
- Förstå hårddiskpartitionering med diskhantering
- Lär dig att använda registret Editor Like a Pro
- Övervakar din dator med resursövervakning och uppgiftshanteraren
- Förstå panelen Advanced System Properties
- Förstå och hantera Windows-tjänster
- Använda Group Policy Editor för att tweak din dator
- Förstå Windows Administration Tools
Vi bör notera rätt framåt att gruppredigeringsverktyget endast är tillgängligt i Pro-versionerna av Windows - Hem- eller Hem Premium-användare har inte tillgång till det. Det är fortfarande värt att lära sig om.
Grupppolicyer är ett väldigt kraftfullt sätt att konfigurera ett företagsnätverk där alla datorer är låsta så att användarna inte kan rota dem med oönskade ändringar och hindra dem från att köra obehörig programvara, bland många andra användningsområden.
I hemmiljöviljan kommer du förmodligen inte att ställa in lösenordsbegränsningar eller tvinga dig att ändra ditt lösenord. Och du behöver förmodligen inte låsa ner dina maskiner för att bara köra specifika godkända körbara filer.
Det finns många andra saker du kan konfigurera men som att inaktivera Windows-funktioner som du inte gillar, blockera vissa program från att köra eller skapa skript som körs under Logon eller Logoff.
Förstå gränssnittet
Gränssnittet är väldigt lika med alla andra administrationsverktyg - i trädet till vänster kan du söka efter inställningar i en hierarkisk mappstruktur, det finns en lista med inställningar och en förhandsgranskningspanel som ger dig mer information om den aktuella inställningen.
Det finns två toppnivåmappar för att vara medveten om:
- Datorkonfiguration - Innehåller inställningar som tillämpas på datorer, oavsett vilken användare som loggar in.
- Användarkonfiguration - innehåller inställningar som tillämpas på användarkonton.
Under var och en av dessa mappar finns ett par mappar som gör det möjligt att borra vidare i de tillgängliga inställningarna:
- Programinställningar - den här mappen är avsedd för mjukvarurelaterade konfigurationer och är tom som standard på klientens Windows.
- Windows Inställningar - den här mappen innehåller säkerhetsinställningar och skript för inloggning / avloggning och uppstart / avstängning.
- administrativa mallar - den här mappen innehåller registerbaserade konfigurationer, vilket i huvudsak är ett snabbt sätt att tweak inställningar på din dator eller för ditt användarkonto. Det finns många tillgängliga inställningar.
Tweaking säkerhetsregler
Om du skulle dubbelklicka på "Förhindra åtkomst till kommandotolken" från skärmbilden ovan skulle du presenteras med ett fönster som ser ut som det här - faktiskt kommer de flesta inställningarna under administrativa mallar att se ut liknande.
Med den här inställningen kan du blockera åtkomst till kommandotolken för användare på datorn. Du kan också konfigurera inställningen inuti dialogrutan för att blockera batchfiler också.
Ett annat alternativ i samma mapp kan du skapa en inställning för "Kör endast specificerade Windows-program" - du skulle konfigurera inställningen till Enabled och sedan tillhandahålla en lista över tillåtna program. Allt annat skulle blockeras från att springa.
I det här fallet skulle du få ett felmeddelande som den här om du skulle köra ett program som inte finns på listan.
Det är värt att notera att röra sig med regler som detta kan låsa dig ur datorn om du gör något fel, så var försiktig.
Tweaking UAC Inställningar för säkerhet
Under mappen Datorkonfiguration -> Inställningar för Windows -> Säkerhetsinställningar -> Lokala policyer -> Säkerhetsalternativ hittar du en massa intressanta inställningar för att göra din dator lite säkrare.
Det första alternativet finns i den mappen som "Användarkontokontroll: Beteende av höjningsprompten för administratörer", och om du väljer "Fråga efter inloggningsuppgifter på det säkra skrivbordet" kommer det att tvinga dig (eller en annan användare) till Ange ditt lösenord när som helst du försöker köra något i administratörsläge.
Det här alternativet gör att Windows fungerar mer som Linux eller Mac, där du ombeds att ge ditt lösenord när du behöver göra en ändring, och eftersom det inte finns några andra program som kan röra sig med dialogrutan, är det mycket mer säkra.
Andra användbara alternativ:
- Användarkontokontroll: Höj endast körbara filer som är signerade och validerade - Det här alternativet förbjuder program som inte signaleras digitalt från att köra som administratör.
- Återställningskonsol, tillåta automatisk administrativ inloggning - när du behöver använda återställningskonsolen för att utföra systemuppgifter måste du generellt ge administratörslösenordet. Om du råkade glömma det lösenordet skulle det här låta dig komma in för att återställa det lättare. (Och eftersom du enkelt kan torka ett Windows-lösenord är det inte riktigt mindre säkert).
En sak som är värt att notera är att många av policyn i listan inte är tillämpliga på alla Windows-versioner. Till exempel, i skärmdumpen nedan är inställningen "Ta bort min dokument ikon" endast tillgänglig för Windows XP och 2000. Vissa andra policyer kommer att säga "Minst Windows XP" eller något liknande, vilket skulle innebära att de kommer att fortsätta att arbeta med alla versioner.
Det finns ett enormt antal inställningar i grupprincipredaktören, så det är definitivt värt att spendera lite tid genom att titta igenom dem om du är nyfiken. De flesta inställningarna gör att du kan inaktivera Windows-funktioner som du inte särskilt gillar - väldigt få ger dig en funktion som du inte har som standard.
Ställa in skript för att köras vid inloggning, avloggning, igångsättning eller avstängning
Ännu ett annat exempel på något du bara kan göra med att använda grupprincipredigeraren är att skapa ett avstängnings- eller avstängningsskript för att köra varje gång du startar om datorn.
Detta kan vara mycket användbart för att städa upp ditt system eller göra en snabb säkerhetskopiering av vissa filer varje gång du stänger av, och du kan använda batchfiler eller till och med PowerShell-skript för antingen. Den enda försiktigheten är att dessa skript måste springa tyst eller de kommer att låsa upp avloggningsprocessen.
Det finns två olika typer av skript som du kan köra.
- Uppstart / Avstängningsskript - Dessa skript finns under Datorkonfiguration -> Windows Inställningar -> Skript och körs under Lokalt systemkonto, så att de kan manipulera systemfiler, men kommer inte att visas som ditt användarkonto.
- Inloggnings- / avloggningsskript - Dessa skript finns under Användarkonfiguration -> Windows Inställningar -> Skript och körs under ditt användarkonto.
Det är värt att notera att inloggnings- och avloggningsskript inte kommer att låta dig köra verktyg som kräver administratörsbehörighet om du inte har UAC helt inaktiverad.
För dagens exempel gör vi ett logoff-skript genom att gå ner till Användarkonfiguration -> Windows Inställningar -> Skript och dubbelklicka på Logoff.
Fönstret Avloggningsegenskaper låter dig lägga till flera logoffskript som ska köras.
Du kan också konfigurera PowerShell-skript istället.
Den väldigt viktiga sak att notera här är att dina skript måste vara i en viss mapp för att de ska fungera korrekt.
Inloggnings- och avloggningsskript måste finnas i följande mappar:
- C: \ Windows \ System32 \ GroupPolicy \ user \ Scripts \ utloggning
- C: \ Windows \ System32 \ GroupPolicy \ user \ Scripts \ Logon
Medan start- och avstängningsskript måste finnas i följande mappar:
- C: \ Windows \ System32 \ GroupPolicy \ Machine \ Scripts \ avstängning
- C: \ Windows \ System32 \ GroupPolicy \ Machine \ Scripts \ Startup
När du har konfigurerat ditt logoff-skript kan du testa det - vi konfigurerar ett enkelt skript som skapade en textfil på skrivbordet och loggades sedan av och tillbaka på. Men du kan få det att göra vad du vill.
Och självklart, om du gjorde ett inloggningsscript istället, kunde det faktiskt starta applikationer.
En viktig sak att notera är att om ditt skript ber om användarinmatning kommer Windows att hänga under avstängning eller avstängning i 10 minuter innan skriptet avlivas och Windows kan starta om. Det här är något du bör tänka på när du utformar ditt manus.
Grupppolicy slutar inte här
Vi har bara repat ytan för vilken grupppolicy som verkligen kan göra, och i en företagsdomänmiljö är det ett av de mest kraftfulla och viktiga verktygen till ditt förfogande. Eftersom denna serie inte handlar om IT-användare, kommer vi inte att gå in i resten, men det är värt att göra egen forskning själv.