Startpagina » school- » Groepsbeleid-editor gebruiken om uw pc te tweaken

    Groepsbeleid-editor gebruiken om uw pc te tweaken

    In de hedendaagse les Geek School gaan we uitleggen hoe je de Editor voor lokaal groepsbeleid gebruikt om wijzigingen aan te brengen op je pc die niet op een andere manier beschikbaar zijn.

    SCHOOLNAVIGATIE
    1. Taakplanner gebruiken om processen later uit te voeren
    2. Event Viewer gebruiken om problemen op te lossen
    3. Inzicht in partitionering van harde schijven met schijfbeheer
    4. Leren werken met de register-editor als een professional
    5. Monitoring van uw pc met Resource Monitor en Taakbeheer
    6. Het geavanceerde paneel met systeemeigenschappen
    7. Windows Services begrijpen en beheren
    8. Groepsbeleid-editor gebruiken om uw pc te tweaken
    9. Meer informatie over Windows-beheerprogramma's

    We moeten er van tevoren op letten dat de editor voor Groepsbeleid alleen beschikbaar is in de Pro-versies van Windows - Home of Home Premium-gebruikers hebben er geen toegang toe. Het is echter nog steeds de moeite waard om te leren.

    Groepsbeleid is een zeer krachtige manier om een ​​bedrijfsnetwerk in te stellen waarbij elk van de computers is vergrendeld, zodat gebruikers deze niet kunnen verknoeien met ongewenste wijzigingen en voorkomen dat ze niet-goedgekeurde software uitvoeren, naast vele andere toepassingen.

    In de thuisomgeving echter, zult u waarschijnlijk geen beperkingen voor de wachtwoordlengte willen instellen of uzelf dwingen om uw wachtwoord te wijzigen. En het is waarschijnlijk niet nodig om uw machines te vergrendelen om alleen goedgekeurde goedgekeurde uitvoerbare bestanden uit te voeren.

    Er zijn echter nog veel meer dingen die u kunt configureren, zoals het uitschakelen van Windows-functies die u niet bevalt, het blokkeren van bepaalde toepassingen of het maken van scripts die worden uitgevoerd tijdens het aanmelden of afmelden..

    De interface begrijpen

    De interface lijkt sterk op elke andere beheertool - met de boomstructuur aan de linkerkant kunt u zoeken naar instellingen in een hiërarchische mappenstructuur, er is een lijst met instellingen en een voorbeeldpaneel dat u meer informatie geeft over de specifieke instelling.

    Er zijn twee mappen op het hoogste niveau om op te letten:

    • computer configuratie - bevat instellingen die op computers worden toegepast, ongeacht welke gebruiker zich aanmeldt.
    • Gebruikersconfiguratie - bevat instellingen die worden toegepast op gebruikersaccounts.

    Onder elk van deze mappen bevinden zich een aantal mappen waarmee u verder naar de beschikbare instellingen kunt gaan:

    • Software-instellingen - deze map is bedoeld voor softwaregerelateerde configuraties en is standaard leeg op client Windows.
    • Windows-instellingen - deze map bevat beveiligingsinstellingen en scripts voor aanmelding / afmelding en opstarten / afsluiten.
    • administratieve sjablonen - deze map bevat register-gebaseerde configuraties, die in essentie een snelle manier zijn om de instellingen op uw computer of voor uw gebruikersaccount aan te passen. Er zijn veel beschikbare instellingen.

    Veiligheidsregels tweaken

    Als u dubbelklikt op het item "Voorkom toegang tot de opdrachtprompt" in de bovenstaande schermafbeelding, krijgt u een venster te zien dat er als volgt uitziet - in feite zullen de meeste instellingen onder Beheersjablonen gaan lijken soortgelijk.

    Met deze specifieke instelling kunt u de toegang tot de opdrachtprompt voor gebruikers op de pc blokkeren. U kunt de instelling binnen het dialoogvenster ook configureren om batchbestanden te blokkeren.

    Met een andere optie in dezelfde map kunt u een instelling maken voor 'Alleen specifieke Windows-toepassingen uitvoeren': u configureert de instelling in Ingeschakeld en geeft vervolgens een lijst met toegestane toepassingen op. Al het andere zou worden geblokkeerd voor hardlopen.

    Als u in dit geval een toepassing zou uitvoeren die niet op de lijst staat, krijgt u een foutmelding zoals deze.

    Het is de moeite waard om op te merken dat het kletsen van dergelijke regels je uit je pc zou kunnen halen als je iets verkeerd doet, dus wees voorzichtig.

    Tweak UAC-instellingen voor beveiliging

    Onder Computerinstellingen -> Windows-instellingen -> Beveiligingsinstellingen -> Lokaal beleid -> map met beveiligingsopties vindt u een aantal interessante instellingen om uw computer een beetje veiliger te maken.

    De eerste optie kan in die map worden gevonden als het item "Gebruikersaccountbeheer: gedrag van de hoogte-aanwijzing voor beheerders", en als u "Vraag om referenties op de beveiligde desktop" kiest, zal het u (of een andere gebruiker) dwingen om voer uw wachtwoord in wanneer u iets probeert uit te voeren in de beheerdersmodus.

    Met deze optie werkt Windows meer als Linux of Mac, waar u wordt gevraagd uw wachtwoord op te geven wanneer u een wijziging wilt aanbrengen. Aangezien Secure Desktop geen andere toepassingen toestaat om met de dialoog te knoeien, is het veel meer beveiligen.

    Andere handige opties:

    • Gebruikersaccountbeheer: verhoog alleen uitvoerbare bestanden die zijn ondertekend en gevalideerd - deze optie verbiedt toepassingen die niet digitaal zijn ondertekend, uit te voeren als beheerder.
    • Herstelconsole, automatische aanmelding bij de beheerder toestaan - wanneer u de herstelconsole moet gebruiken om systeemtaken uit te voeren, moet u meestal het beheerderswachtwoord opgeven. Als je dat wachtwoord bent vergeten, kun je dit gebruiken om het gemakkelijker te resetten. (En aangezien je gemakkelijk een Windows-wachtwoord kunt wissen, is het niet echt minder veilig).

    Een ding dat het vermelden waard is, is dat veel van de beleidsregels in de lijst niet echt op elke Windows-versie van toepassing zijn. In de onderstaande schermafbeelding is de instelling 'Mijn documenten verwijderen' bijvoorbeeld alleen beschikbaar voor Windows XP en 2000. Bepaalde andere beleidsregels zeggen 'Ten minste Windows XP' of iets dergelijks, wat betekent dat ze blijven werken aan alle versies.

    Er zijn enorm veel instellingen in de Groepsbeleid-editor, dus het is zeker de moeite waard om wat tijd te besteden aan het doornemen van deze instellingen als u nieuwsgierig bent. Met de meeste instellingen kunt u Windows-functies uitschakelen die u niet zo goed bevalt - slechts een paar van de instellingen bieden standaard functies die u niet had.

    Scripts instellen om uit te voeren bij inloggen, afmelden, opstarten of afsluiten

    Nog een ander voorbeeld van iets dat je alleen met de editor voor groepsbeleid kunt doen, is het instellen van een afmeld- of uitschakelscript dat elke keer dat je je pc opnieuw opstart, wordt uitgevoerd.

    Dit kan erg handig zijn voor het opruimen van uw systeem of voor het maken van een snelle back-up van bepaalde bestanden telkens wanneer u het systeem afsluit, en u kunt batchbestanden of zelfs PowerShell-scripts voor beide gebruiken. Het enige voorbehoud is dat deze scripts stil moeten worden uitgevoerd of dat ze het afmeldingsproces blokkeren.

    Er zijn twee verschillende soorten scripts die u kunt uitvoeren.

    • Opstart- / shutdown-scripts - deze scripts zijn te vinden onder Computerconfiguratie -> Windows-instellingen -> Scripts en worden uitgevoerd onder de Local System-account, zodat ze systeembestanden kunnen manipuleren, maar niet worden uitgevoerd als uw gebruikersaccount.
    • Aanmeld- / uitlogscripts - deze scripts zijn te vinden onder Gebruikersconfiguratie -> Windows-instellingen -> Scripts en worden uitgevoerd onder uw gebruikersaccount.

    Het is vermeldenswaard dat de aanmeldings- en afmeldingsscripts u niet toestaan ​​hulpprogramma's uit te voeren waarvoor beheerdersrechten nodig zijn, tenzij u UAC volledig hebt uitgeschakeld.

    Voor het voorbeeld van vandaag maken we een afmeldingsscript door naar Gebruikersconfiguratie -> Windows-instellingen -> Scripts te gaan en op Afmelden te dubbelklikken.

    In het venster Eigenschappen afmelden kunt u meerdere uitlogscripts toevoegen om uit te voeren.

    U kunt ook PowerShell-scripts configureren.

    Het belangrijkste om hier op te merken, is dat uw scripts in een bepaalde map moeten staan ​​om ze goed te laten werken.

    Aanmeld- en uitlogscripts moeten in de volgende mappen staan:

    • C: \ Windows \ System32 \ GroupPolicy \ User \ Scripts \ Afmelden
    • C: \ Windows \ System32 \ GroupPolicy \ User \ Scripts \ Logon

    Terwijl Startup en Shutdown Scripts in deze mappen moeten staan:

    • C: \ Windows \ System32 \ GroupPolicy \ Machine \ Scripts \ Shutdown
    • C: \ Windows \ System32 \ GroupPolicy \ Machine \ Scripts \ Startup

    Nadat u uw afmeldingsscript heeft geconfigureerd, kunt u het uittesten - we stellen een eenvoudig script in dat een tekstbestand op het bureaublad heeft gemaakt en vervolgens afgemeld en weer ingeschakeld. Maar je zou er alles aan kunnen doen wat je wilde.

    En natuurlijk, als u in plaats daarvan een aanmeldingsscript zou doen, zou het eigenlijk toepassingen kunnen starten.

    Een belangrijk ding om op te merken is dat als uw script om invoer van de gebruiker vraagt, Windows zal vastlopen tijdens het afsluiten of 10 minuten afmelden voordat het script wordt gedood en Windows opnieuw kan opstarten. Dit is iets dat je zeker in gedachten moet houden bij het ontwerpen van je script.

    Groepsbeleid eindigt hier niet

    We hebben net de oppervlakte ingekrabbeld voor wat Groepsbeleid werkelijk kan doen, en in een bedrijfsdomeinomgeving is het een van de krachtigste en belangrijkste tools tot uw beschikking. Omdat deze serie niet over IT-gebruikers gaat, zullen we niet ingaan op de rest, maar het is de moeite waard om zelf onderzoek te doen.

    Htop gebruiken om systeemprocessen te monitoren op Linux
    Internet Explorer 9 gebruiken met Windows Vista
    Git gebruiken op Android - Gratis tools en handleiding
    Volgend artikel
    Hoogkleurcontrast gebruiken voor meer toegankelijk ontwerp
    Vorig artikel
    GParted gebruiken om de grootte van uw Windows 7- of Vista-partitie te wijzigen