Technika i technologia » Korzyści z zasad grupy. Ustawienia zasad grupy systemu Windows

Korzyści z zasad grupy. Ustawienia zasad grupy systemu Windows

Technika i technologia

Wśród obecnych administratorów systemów, nie wspominając o zwykłych użytkownikach, istnieje dość ograniczona liczba osób, które jasno wyobrażają sobie, jakie są zalety polityki grupowej. Nie, w sensie ogólnym istnieje pojęcie. Większość uważa, że ​​edytor zasad grupy jest czymś w rodzaju analogu do zmiany kluczy rejestru systemowego. Tak, częściowo tak jest. Ale rejestr systemu pod względem zadań głównych parametrów jest priorytetem. Ale tutaj nie należy mylić z zasadami i preferencjami grupowymi. To są zupełnie różne rzeczy (będzie jasne, dlaczego).

Zasady grupy systemu Windows: co to jest?

Na początek poznajmy ten termin. Jakie są zasady Grupy Windsor? Jest to zestaw reguł, które odnoszą się do ustawień samego systemu operacyjnego lub zestawu opcji dla każdego użytkownika, który, w przybliżeniu, określa jego status w kategoriach zmiany niektórych parametrów.


W związku z tym ustawienia polityki grupowej pozwalają każdemu użytkownikowi ustawić własne priorytety dostępu do konfiguracji systemu, wywoływania określonych programów, manewrowania na poziomie włączenia lub wyłączenia kontroli systemu lub jego komponentów. Ale! Nie należy mylić zasad i preferencji. Zostały one pierwotnie opracowane jako swego rodzaju uzupełnienie dla samych decydentów. W niektórych przypadkach nie zależą one nawet od zasad, ponieważ są używane w systemach Windows z włączoną domeną dostępu do Active Directory.

Cosą korzyści

Jeśli rozumiesz, ogólnie rzecz biorąc, korzyści z zasad grupy są raczej niż dogmatycznych zasad i zmiennych konfiguracyjnych i opcji.
To znaczy, jeśli chcesz ustawić swój wkład priorytetów zmienić „desktop” lub coś innego, datę lub anulować prawo do wykonywania określonych działań, oczywiście, wymaga zgody. Każdy użytkownik prawdopodobnie zauważył, że nawet niektóre programy uruchamiane jako Administrator bez odpowiedniego potwierdzenia nie mogą być. I wydaje się nie mieć wyposażenie ochronne w systemie lub bloku firewall, ale lokalny Group Policy jest skonfigurowany tak, że użytkownik po prostu nie ma prawa do zmiany aktualnej konfiguracji systemu.

Wejścia analogowe w

Mówiąc ogólnie, ustawienia te mogą rzeczywiście być interpretowane jako sposób zarządzania uprawnieniami użytkowników podczas logowania. Po podłączeniu własnej woli konto zarejestrowany użytkownik otrzymuje prawo do wszelkich zmian w konfiguracji domyślnej (lub nie otrzymują ich wcale, jeśli poświadczenia na poziomie administracyjnym).
Klient polityki grupowej po prostu reguluje wszystkie te działania. Oto tylko użytkownik zalogowany w ramach własnej rejestracji, a w ustawieniach natychmiast ustalił, co może zrobić, a co nie. Na poziomie zwykłego użytkownika, który nie ma uprawnień administracyjnych, ustawienia nie zostaną zmienione. Nawet niektóre "zakładki" administracyjne mogą być blokowane. To znaczyustawienie zasad, ale nie preferencje.

Pytania o konfigurację systemu

Ustawienia zasad grupy w dużej mierze zależą od tego, jakie uprawnienia powinny zostać nadane zarejestrowanemu użytkownikowi (nawet na poziomie administratora). Oczywiście można obniżyć stopień kontroli UAC, ale nadal nie da to użytkownikowi pełnej kontroli nad wykonywanymi czynnościami.
Jednak zasady grupy systemu Windows dowolnej wersji, przynajmniej na początkowym etapie konfiguracji, umożliwiają skonfigurowanie logowania (na przykład można ustawić wygaszacz ekranu dla każdego użytkownika, wyświetlić skróty do programu na pulpicie, przyznać dostęp do wiersza poleceń i menu ". Uruchom »itp.). Pełny opis opcji i ustawień zostanie podany poniżej. W tej sytuacji edytor polityki grupowej może być użyty do ustawienia zakazu niektórych działań, ale ogólnie rzecz biorąc, jeśli wprowadzisz odpowiednie zmiany w rejestrze, wszystkie te działania mogą być po prostu pozbawione sensu. I właśnie dlatego. Faktem jest, że podczas uruchamiania system odczytuje dane rejestru przekazane po inicjalizacji wszystkich urządzeń w podstawowym systemie BIOS /UEFI. A kopia stanu rejestru jest kluczowym warunkiem odzyskania. Okazuje się, że obraz dysku twardego do zapisania nie jest konieczny. Po prostu utwórz kopię funkcji eksportu i zapisz plik z rozszerzeniem REG w dowolnej dogodnej lokalizacji.

A podejście do zasad grupowych na starcie nastąpi dokładnie na poziomie rejestru. W oddziale HKLM, jeśli przejdziesz do sekcji System(i nie tylko) istnieje specjalny katalog Polityk, którego parametry całkowicie powielają opcje ustawione w zasadach grupowych, ale mają wyższy priorytet.

Jaka jest różnica między priorytetami zasad polityki?

Czas spojrzeć na to, jakie zalety polityki grupowej różnią się od parametrów samych polityków. Należy to zrozumieć (przynajmniej na poziomie początkowym). Należy od razu zauważyć, że korzyści wynikające z polityki grupowej w zakresie ustalania reguł dla poszczególnych użytkowników lub komputerów nie mają nic wspólnego z domyślnymi ustawieniami w samym systemie. Możesz to wyjaśnić w tym przykładzie.

przedmiotu



Zasady



Korzyści



blokuje i obowiązkowe wydajność



+



-



częściowego utworzenia sterujących, importowania i dodanie ustawień danych (w tym rejestr)



-



+



Dostęp do lokalnych ustawień użytkownika



-



+



parametry wyjściowe


(76 ) Wymaż (usuń)



Nie zmieniaj (przechowywany podczas przywracania podstawowej wiedzy



Tylko dla wszystkich obiektów w systemie



użytkownika oraz parametr może być stosowany personalizacji



interfejsu



standard



, Extended

Porównawcze cechy polityk iKorzyści w wersji publicznej

Teraz rozumiemy, że domena Policy Group, odpowiedzialny za identyfikację komputerów w sieci lokalnej, a także ustawienia zasad pracy umożliwia pewne czynności w systemie komputerowym, nie różniły się istotnie.
Jeśli okaże się, że jest to oparte na preferencjach, okazuje się, że zasady dotyczące zasad grupowych mogą zostać naruszone elementarnie, używając do tego odpowiedniego edytora. Jak mogę otworzyć zasady grupowe? Po prostu wpisz gpedit.msc w menu Uruchom. W specyfikacji edytora zajmiemy się nieco później, ale na razie zobaczmy, jakie obiekty są skierowane na działanie tej usługi.

Ukierunkowane obiektów

W przypadku wyboru opcji, w zasadzie wszystkie te działania mają na celu ustalenie lub uchylić istniejące w systemie sankcji dotyczących lokalnego użytkownika lub grupy. Nawet obniżenie kontroli zarejestrowanych "kont" przy udziale aktywnych parametrów polityk grupowych nie doprowadzi do niczego (użytkownik przynajmniej nie będzie miał racji).
Same obiekty korzystające z programów polityki grupowej odnoszą się głównie do ustawień zdefiniowanych przez użytkownika, które administrator systemu może lub nie może zezwolić na odpowiednie działania. To są opcje logowania (wyświetlanie wygaszacza ekranu i zdjęć pulpitu, automatyczne ładowanie). Pamiętaj, że żadna aplikacja, w tym Menedżer systemu Windows, nie może modyfikować ustawień zasad. Można to zrobić w edytorze lub wrejestr systemu.

Edytor zasad lokalnych systemu Windows i łącze rejestru

Komenda gpedit.msc, która jest wprowadzana w menu Win + R, jest wywoływana przez odpowiedni edytor. Jednak nie należy mylić zezwolenia i zakazu na poziomie GPO. Zdarza się również, że usługa zasad grupy zapobiega logowaniu. Jest to normalne. Jeśli użytkownik loguje się na poziomie administratora, czego się spodziewać? Problem może również polegać na tym, że zadanie na poziomie rejestru blokuje edytowanie w zasadach grupowych, ponieważ rejestr jest obowiązkowy podczas sprawdzania poprawności podczas uruchamiania systemu. Edytor rejestru ma gałęzie zawierające sekcję Zasady. Określają one wartości kluczy w systemie szesnastkowym z przydziałem zero lub jeden, co może oznaczać zakaz lub uprawnienie do wykonywania niektórych czynności. Nawet odzyskiwanie systemu jest dokładnie kopią rejestru systemu. Wybierając ostatnią działającą konfigurację, ostatni zapisany plik REG jest najpierw czytany, a dopiero potem rozpoczyna się start. Zestaw w parametrach rejestru zasad grupy działa wcześniej niż te parametry są zdefiniowane w natywnym edytorze. Jak otworzyć zasady grupy w rejestrze? W menu Uruchom wpisz regedit, użyj wyszukiwania (Ctrl + F) i ustaw bieżącą wartość na Zasady. W znalezionych partycjach można zmieniać dowolne klucze, ale tylko wtedy, gdy logowanie odbywa się na poziomie administratora (jeśli brakuje Run Console w administratorze administracyjnym, plik można otworzyć w folderze System32 za pośrednictwem PKM).

Główne działania

Ale tutaj nie wszystkosystemnyky wiedzieć, że w konfiguracji procesora Zasady grupy mogą być prowadzone nie tylko na szablonach administracyjnych, które odgrywają kluczową rolę we wprowadzeniu niektórych zespołów może radykalnie zmienić ustawienia systemowe, takie jak:
  • Tworzenie - stworzenie opcję, jeśli nie zostanie ustalone, czy nie .
  • Zastąp - zastępuje bieżącą wartość lub tworzy nowy parametr zastępczy.
  • Aktualizacja - Utwórz parametr, który nie istnieje na podstawie aktualizacji danych użytkownika.
  • Usuń - usuwa preferencje wszystkich poziomów.

    • Szczególne korzyści

    Jako dodatkowe parametry, które przewiduje politykę grupy klientów, są one w rzeczywistości, aby ustawić opcje, systemy Windows nie są dostarczane bezpośrednio. Uważa się, że te pre-OS nie powoduje zezwolenie i zakazu, dzięki czemu można osiągnąć, jakie ustawienia są dokładnie spełniać tryb użytkownika, a dla każdego selektywnie systemem Windows. Możesz to zrobić za pomocą tak zwanych zasad CRUD, co dodaje dodatkowe korzyści. Innymi słowy, administrator może uzyskać zaawansowany system operacyjny interfejs, który specjalnie nie różni się od standardu, z wyjątkiem oznaczenia stosowane ikon w kolorze zielonym i czerwonym. Zielony spotyka się ustawić, aby uaktywnić przetwarzanie jego klientem, czerwony oznacza go wyłączyć lub zmienić obsługiwane. Dlatego parametry są ustawione dla każdego systemu, w którym można edytować opcje menu Start(widok standardowy, liczba programów wyświetlających, wielkość płytek itp.), schematy zasilania, logowanie użytkowników i wiele więcej. Ale nie wszystkie parametry można zmienić. Na przykład domyślna zawartość i ustawienia panelu programu Internet Explorer zależą wyłącznie od zainstalowanej wersji. Edycja opcji kafelków w menu Start jest dostępna w modyfikacjach systemu poniżej ósmej. Ogólnie rzecz biorąc, takie instalacje pozwalają na bardziej elastyczne sterowanie systemem, w którym przeprowadzana jest instalacja specjalnych opcji. Możesz użyć klawiszy funkcyjnych F5-F8, aby szybko zarządzać swoimi ustawieniami:
  • F5 - włącz wszystkie parametry.
  • F6 - uwzględniany jest tylko wybrany parametr.
  • F7 - dezaktywacja wybranego parametru.
  • F8 - dezaktywacja wszystkich parametrów.

    • Aktualizowanie ustawień

    Jednak nie zawsze można coś zmienić. Klient może po prostu nie działać w pewnym momencie, powiedzmy, z powodu krótkoterminowych awarii samego systemu lub wpływów wirusowych. W takim przypadku musisz zaktualizować zasady grupy. Nie można tego zrobić w edytorze. Dlatego konieczne jest użycie wiersza polecenia, który jest pewnym ujednoliconym narzędziem do rozwiązywania wielu problemów z awarią systemu.
    Aktualizację zasad grupy (na siłę) generalnie uruchamia polecenie gpupdate /force lub dodatki przedstawione na powyższym obrazku. Niektórzy uważają, że łatwo jest ponownie uruchomić system lub zmienić użytkownika. To nie jest prawda.Nie uzyskasz odpowiedniego efektu. Ale wiersz aktualizacji określony powyżej daje natychmiastowy wynik. To prawda, konsola poleceń powinna być uruchomiona w imieniu administratora. W przeciwnym razie użytkownik nie będzie mógł wykonywać w nim poleceń.

    Główny cel korzyści

    Uważa się, że nie ma sensu zmieniać ustawień polityki na poziomie lokalnym. Instalacja dostosowywalnych opcji zaawansowanych może być w większości przypadków wykorzystywana w systemach korporacyjnych z rozbudowanymi sieciami lokalnymi w przedsiębiorstwach lub biurach. W tym sensie administrator systemu, zarządzając komputerami podrzędnymi z centralnego serwera, może, jeśli to możliwe, uprościć życie dla siebie i zwykłych pracowników po dokonaniu odpowiednich ustawień. Nie ma absolutnie znaczenia, jaka dokładnie modyfikacja systemu operacyjnego jest zainstalowana na komputerach sieciowych lub w jaki sposób są one ładowane (na przykład w sieci w przypadku braku terminali podrzędnych dysków twardych). Administrator podejmie decyzję, jak dostosować parametry. Wszystko zależy od sposobu pobierania systemów operacyjnych na komputery lokalne. Z jednej strony wygląda na to, że łatwiej jest użyć grupy klientów lub polityki lokalnej. Z drugiej strony działania z rejestrem systemu mają wysoki priorytet. Nie można anulować podejmowanych działań, nie wspominając o tym, że w edytorze strategii ponownie zainstalowane opcje stają się niedostępne. Jednak edycję rejestru można zastosować podczas uruchamiania systemu operacyjnegojest wykonywany z centralnego serwera, na przykład, podczas podłączania terminali sieciowych w schemacie "gwiazda". Na osobnych komputerach z zainstalowanymi na nich systemami operacyjnymi, aby zagłębić się w parametry jest absolutnie niepotrzebne, dlatego lepiej jest użyć ustawienia zasad tutaj. Jednak, gdy znasz pytanie, niektóre parametry można ustawić dla klienta, a niektóre (szczególnie ważne) do edycji w rejestrze. Nie będzie w tym nic złego, mimo że niektóre ustawienia są powielane zarówno tam, jak i tam.

    Zamiast wyniku

    Oto krótkie podsumowanie wszystkich korzyści. Oczywiście przeciętny użytkownik całej esencji tego, co podano powyżej, może wydawać się nieco skomplikowany. Jednakże, jeśli chcesz zrozumieć zawiłości w tych ustawieniach (szczególnie dla początkujących administratorów systemu), będziesz musiał uczyć się absolutnie wszystkiego. I, według prawdziwych ekspertów w tej dziedzinie, należy ćwiczyć współpracę z politykami, a nie uczyć się pytań na poziomie danych teoretycznych i artykułów. Jak mówią, byłoby to życzenie. I rozpocznij rozwój odpowiednich opcji może pochodzić od tego samego edytora, który wybiera szablony administracyjne, w których wybierane są zarówno główne reguły dla ustawień lokalnych i grupowych. Reszta dotyczy technologii. Zrozumienie przyjdzie z czasem, jeśli naprawdę zaczniesz to robić. Jeśli podsumować trochę, pozostaje tylko dodać, że korzyści są tworzone i tworzone w celu wybrania niezbędnych opcji i ustawień, nie ograniczając się do zakazów i uprawnień. A to z kolei pozwalazarządzanie dowolnym systemem jest bardzo elastyczne. Oczywiście warto zauważyć, że przeciętny użytkownik w ogóle nie potrzebuje takich zaawansowanych ustawień, ale jeśli kilku użytkowników może być zarejestrowanych na jednym terminalu, czasami może być przydatne skonfigurowanie odpowiednich pożądanych opcji. Wszakże często konieczne jest ustalenie tej kontroli rodzicielskiej, jeśli na komputerze, oprócz rodziców dorosłych, może pracować także dziecko. Wszystko to jest całkowicie regulowane w systemach Windows.

    Powiązane publikacje