Sådan bruger du Local Group Policy Editor til at finjustere din computer

Denne artikel viser dig, hvordan du bruger Local Group Policy Editor til at foretage ændringer på din computer.

Bemærk: Group Policy Editor er kun tilgængelig på Pro-versionen af ​​Windows 10. Home eller Home Premium-brugere har ikke adgang til det.

• Sådan installeres Group Policy Editor (GPEdit.Msc) på Windows 10 Home Edition

Gruppepolitik er et kraftfuldt værktøj, der bruges til at opsætte virksomhedsnetværk, låse computere ned, så brugerne ikke kan foretage ændringer, forhindre dem i at køre ikke-godkendt software og mange andre anvendelser.

For hjemmecomputere er anvendelser såsom begrænsning af adgangskodelængde og låsning af computeren til kun at køre godkendte eksekverbare filer ikke særlig tilgængelige. Dette værktøj har dog mange andre ting, du kan konfigurere, såsom at deaktivere Windows-funktioner, du ikke kan lide, blokere visse applikationer eller oprette scripts, der kører, når du logger ud eller logger ind.

• 8 "tweaks" af Windows gruppepolitik, som enhver administrator bør kende
• 4 tips til at åbne Local Group Policy Editor på Windows 8/8.1
• 10 vigtige gruppepolitikindstillinger på Windows, der skal udføres med det samme

Local Group Policy Editor-grænseflade

Grænsefladen for Local Group Policy Editor ligner andre administrationsværktøjer. Trævisningen til venstre giver brugerne mulighed for at søge efter indstillinger i henhold til en hierarkisk mappestruktur. Den har en liste over indstillinger, en forhåndsvisningsrude for at give flere oplysninger om specifikke indstillinger.

Du skal bekymre dig om to mapper på øverste niveau:

• Computerkonfiguration : Indeholder computerindstillinger for alle loggede brugere.
• Brugerkonfiguration : Indeholder indstillinger, der gælder for brugerkontoen.

Inden for hver af disse mapper er der flere andre mapper, der giver en række tilgængelige indstillinger:

• Softwareindstillinger : Indeholder softwarerelateret konfiguration og standarder til tom på Windows-klienter.
• Windows-indstillinger: Indeholder sikkerhedsindstillinger og scripts til login/log ud, opstart/lukning.
• Administrative skabeloner : Denne mappe indeholder registreringsdatabasen-baserede konfigurationer til hurtig tilpasning af computere eller brugerkonti.

Tilpas sikkerhedsregler

Hvis du dobbeltklikker på Forhindr adgang til kommandoprompten , vil et vindue som vist nedenfor komme frem. Faktisk ser de fleste af indstillingerne i Administrative skabeloner sådan ud.

Denne specifikke indstilling giver dig mulighed for at blokere brugere fra at få adgang til kommandoprompten . Du kan også konfigurere indstillinger i dialogboksen for at blokere batchfiler .

Når du aktiverer indstillingen Kør kun specificerede Windows-applikationer i samme mappe som ovenstående indstilling, kan du tillade, at specifikke Windows-applikationer kører på systemet.

I dette tilfælde, hvis du kører et program, der ikke er på listen, vil du modtage en fejlmeddelelse som vist nedenfor.

Du bør omhyggeligt justere reglerne her, ellers vil din computer blive låst ude af brug.

Juster UAC-indstillinger for sikkerhed

I mappen Computerkonfiguration > Windows-indstillinger > Sikkerhedsindstillinger > Lokale politikker > Sikkerhedsindstillinger finder du en række interessante indstillinger for computersikkerhed .

Den første mulighed, vi vil se på i denne mappe, er Brugerkontokontrol: Opførsel af elevationsprompten for administratorer . Hvis du vælger Spørg om legitimationsoplysninger på det sikre skrivebord i dialogboksen, der vises , skal du eller en anden bruger indtaste en adgangskode, når du kører noget i administrativ tilstand.

Denne mulighed får Windows til at opføre sig mere som Linux eller Mac og kræver en adgangskode, hver gang du foretager ændringer.

Nogle andre nyttige muligheder:

• Brugerkontokontrol: Forhøj kun eksekverbare filer, der er signeret og valideret: Denne mulighed forhindrer programmer, der ikke er digitalt signeret, i at køre som admin.
• Gendannelseskonsol, tillad automatisk administrativt logon : Når du skal bruge gendannelseskonsollen til at udføre systemopgaver, skal du angive en administrativ adgangskode. Hvis du glemmer din adgangskode, giver denne mulighed dig lettere adgang til at nulstille din adgangskode. Men fordi du nemt kan fjerne din Windows-adgangskode, er denne mulighed faktisk mindre sikker.

Se mere: Instruktioner til, hvordan du logger ind på din computer, når du glemmer din adgangskode

Det er værd at bemærke, at mange af politikkerne på listen faktisk ikke gælder for alle versioner af Windows. For eksempel er indstillingen Remove My Documents Icon kun tilgængelig på Windows XP og 2000. Andre politikker som i det mindste Windows XP eller lignende fungerer ikke på alle versioner.

Der er mange indstillinger i Group Policy Editor, du kan tage dig tid til at lære dem. De fleste af indstillingerne her lader dig deaktivere Windows-funktioner, du ikke kan lide, meget få giver funktionalitet, der ikke er tilgængelig som standard.

Konfigurer scripts til at køre ved login, logout, opstart eller nedlukning

Hvis du vil konfigurere et logout- og loginscript til at køre hver gang din computer starter, kan du kun gøre dette i Group Policy Editor.

Dette er virkelig nyttigt, når du rydder op i systemet eller udfører en hurtig sikkerhedskopiering af bestemte filer, hver gang du lukker din computer ned. Du kan bruge batchfiler eller endda PowerShell-scripts. En ting at bemærke er, at disse scripts skal køres "stille", ellers vil det blokere for logout-processen.

Der er to typer scripts, du kan bruge:

• Opstarts-/nedlukningsscripts : Du kan finde disse scripts i Computerkonfiguration > Windows-indstillinger > Scripts og køres under den lokale systemkonto, så de kan manipulere systemfiler, men ikke køre som en brugerkonto. .
• Logon/Logoff-scripts : Dette script findes i Konfiguration > Windows-indstillinger > Scripts og køres under brugerkontoen.

Bemærk, logout- og loginscriptet vil ikke tillade dig at køre hjælpeprogrammer, der kræver administrativ adgang, medmindre du deaktiverer UAC fuldstændigt .

For eksempel vil vi oprette et logout-script ved at gå til Brugerkonfiguration > Windows-indstillinger > Scripts og dobbeltklikke på Log af .

Vinduet Logoff-egenskaber giver dig mulighed for at tilføje logoff-scripts til at køre.

Derudover kan du også konfigurere PowerShell-scripts.

Bemærk, du skal opbevare disse scripts i en bestemt mappe, så de kan fungere korrekt.

Placer logout- og loginscriptet i mappen nedenfor:

• C:\Windows\System32\GroupPolicy\User\Scripts\Logoff
• C:\Windows\System32\GroupPolicy\User\Scripts\Logon

Og lad opstarts- og nedlukningsscriptet stå i mappen:

• C:\Windows\System32\GroupPolicy\Machine\Scripts\Shutdown
• C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup

Når du har konfigureret logout-scriptet, kan du teste det.

Bemærk, hvis scriptet kræver brugerdatainput, vil Windows hænge under nedlukningen eller logout-processen i 10 minutter, før scriptet slukkes, og Windows kan genstarte. Derfor skal du huske på dette punkt, mens du opretter scriptet.

I erhvervslivet er det et af de mest kraftfulde og vigtige værktøjer. Denne artikel er dog kun beregnet til at introducere grundlæggende brug af gruppepolitik for ikke-ekspertbrugere, så den vil ikke gå i detaljer.