14 Windows Group Policy-justeringer enhver administrator bør vite

Windows Group Policy er et ganske kraftig verktøy som brukes til å konfigurere mange aspekter av Windows. De fleste Windows Group Policy-justeringer kan bare gjøres av administratorer. Hvis du er administrator for mange andre datamaskiner i bedriften eller du har mange andre kontoer på datamaskinen din, bør du dra nytte av Windows Group Policy for å kontrollere andre brukeres bruk av datamaskinen.

Merk:

Group Policy Editor er ikke tilgjengelig på Home og standardutgaver av Windows. Du må bruke Professional- eller Enterprise-utgaven for å bruke gruppepolicy.

14 måter Windows Group Policy gjør PC-en din bedre på

• Hvordan får jeg tilgang til Windows Group Policy Editor?
• Hva kan gjøres med gruppepolicy
  • 1. Overvåk kontopålogging
  • 2. Blokker tilgang til kontrollpanelet
  • 3. Hindre andre brukere fra å installere ny programvare på systemet
  • 4. Deaktiver tilgang til flyttbare lagringsenheter
  • 5. Hindre en bestemt applikasjon fra å kjøre
  • 6. Deaktiver kommandoprompt og Windows Registerredigering
  • 7. Skjul stasjonspartisjoner fra Min datamaskin
  • 8. Juster startmenyen og oppgavelinjen
  • 9. Deaktiver tvungen omstart
  • 10. Deaktiver automatiske driveroppdateringer
  • 11. Skjul ballong- og toastvarsel
  • 12. Slett OneDrive
  • 13. Slå av Windows Defender
  • 14. Kjør skript ved innlogging/oppstart/avslutning

Hvordan får jeg tilgang til Windows Group Policy Editor?

Selv om det er mange måter å få tilgang til Windows Group Policy Editor på, er den enkleste og raskeste måten å bruke dialogboksen Kjør , og dette fungerer på alle versjoner av Windows.

Følg trinnene nedenfor for å få tilgang til Windows Group Policy Editor:

Trykk på Windows + R -tastekombinasjonen for å åpne Kjør-kommandovinduet, skriv deretter inn " gpedit.msc " der og trykk Enter for å åpne Group Policy Editor.

En ting å merke seg er at du må logge på med en administratorkonto før du får tilgang til gruppepolicy. Standardkontoer tillater ikke tilgang til gruppepolicy.

Hva kan gjøres med gruppepolicy

1. Overvåk kontopålogging

På gruppepolicy kan du "tvinge" Windows til å " registrere" alle vellykkede og mislykkede pålogginger på datamaskinen fra en hvilken som helst brukerkonto. Du kan bruke denne informasjonen til å overvåke om noen fremmede har logget på ulovlig på Windows-datamaskinen din.

I Group Policy Editor-vinduet, naviger til banen nedenfor:

Datamaskinkonfigurasjon => Windows-innstillinger => Sikkerhetsinnstillinger => Lokale retningslinjer => Revisjonspolicy

Deretter finner og dobbeltklikker du på Overvåk påloggingshendelser .

På dette tidspunktet vises dialogboksen Egenskaper for overvåkingspåloggingshendelser på skjermen. Her krysser du av for Suksess og fiasko , klikker deretter OK og Windows vil begynne å "ta opp" påloggingene som er utført på datamaskinen din.

For å se disse loggene må du få tilgang til et annet nyttig Windows-verktøy - Windows Event Viewer . For å åpne Windows Event Viewer, trykk først på Windows + R -tastekombinasjonen for å åpne Kjør-kommandovinduet, skriv deretter inn eventvwr der og trykk Enter.

Her utvider du delen Windows Logger og velger deretter Sikkerhet . I den midterste rammen vil du se alle nylige hendelser, din oppgave er å finne vellykkede og mislykkede påloggingshendelser i denne listen.

Vellykkede påloggingshendelser har "Event ID: 4624 " og mislykkede påloggingshendelser har " Event ID: 4625 ". Bare søk etter hendelses-IDer for å finne påloggingsinformasjon og se nøyaktig dato og klokkeslett for pålogging.

Dobbeltklikk på disse hendelsene for å vise detaljer om påloggingskontonavn.

2. Blokker tilgang til kontrollpanelet

Kontrollpanel regnes som "sentrum" av Windows-innstillinger, inkludert sikkerhetsinnstillinger og bruksinnstillinger. Men hvis det faller i feil hender, vil du ikke kunne forutsi hva som vil skje. For å forhindre mulige dårlige situasjoner, er det best å blokkere kontrollpaneltilgang .

For å gjøre dette, i Group Policy Editor-vinduet, naviger til nøkkelen:

Brukerkonfigurasjon => Administrative maler => Kontrollpanel

Finn og dobbeltklikk på alternativet som heter " Forby tilgang til kontrollpanelet ".

I vinduet Forby tilgang til kontrollpanelet klikker du på alternativet Aktiver for å blokkere tilgang til kontrollpanelet. Nå vil kontrollpanelalternativet bli fjernet fra Start-menyen, og ingen vil lenger kunne få tilgang til kontrollpanelet, selv når du åpner kontrollpanelet i Kjør- kommandovinduet .

Hvis du prøver å åpne Kontrollpanel, vil en feilmelding vises på skjermen.

3. Hindre andre brukere fra å installere ny programvare på systemet

Det vil ta lang tid å "rydde opp" i de ekle virusene og skadelig programvare som angriper datamaskinen din når du installerer programvare. Derfor, for å sikre systemsikkerhet, samt for å forhindre at andre brukere logger seg på ulovlig og installerer skadelig programvare-infisert programvare og programmer på datamaskinen din, bør du deaktivere Windows-installasjonsprogrammet. på Group Policy .

I gruppepolicyvinduet, naviger til nøkkelen:

Datamaskinkonfigurasjon => Administrative maler => Windows-komponenter => Windows Installer

Her finner du og dobbeltklikker på " Deaktiver Windows Installer ".

I vinduet Deaktiver Windows Installer velger du alternativet Aktiver og velger Alltid fra rullegardinmenyen i Alternativer- delen .

Fra nå av kan ikke andre brukere installere ny programvare på datamaskinen din, selv om de kan laste ned og lagre applikasjonen på datamaskinen din.

4. Deaktiver tilgang til flyttbare lagringsenheter

Bærbare lagringsenheter som USB-er eller andre enheter er ganske nyttige for å kopiere og lagre data, men dette kan imidlertid også være en av "banene" for virus til å angripe datamaskinen din.

Hvis noen ved et uhell (eller med vilje) kobler en virusinfisert lagringsenhet til datamaskinen din, kan viruset angripe hele datasystemet og forårsake noen alvorlige problemer på datamaskinen.

For å blokkere andre fra å koble til flyttbare lagringsenheter på datamaskinen din, naviger til nøkkelen i gruppepolicyvinduet:

Brukerkonfigurasjon => Administrative maler => System > Fjernbar lagringstilgang => Flyttbare disker: Nekt lesetilgang

Her finner du og dobbeltklikker på " Flyttbare disker: nekte lesetilgang ".

I vinduet Flyttbare disker: Nekt lesetilgang klikker du på Aktiver for å aktivere alternativet, og datamaskinen vil ikke lese noen data fra eksterne lagringsenheter (som USB-stasjoner osv.). Også i gruppepolicyvinduet er det et alternativ nedenfor kalt " Flyttbare disker: nekte skrivetilgang ". Du kan aktivere alternativet hvis du ikke vil at noen skal skrive (lime inn) data til en ekstern lagringsenhet.

5. Hindre en bestemt applikasjon fra å kjøre

I tillegg lar gruppepolicy også brukere lage en liste over applikasjoner for å forhindre aktivitetene til disse applikasjonene.

For å gjøre dette, i gruppepolicyvinduet, naviger til nøkkelen:

Brukerkonfigurasjon => Administrative maler => System => Ikke kjør spesifiserte Windows-applikasjoner

Her finner du og åpner alternativet " Ikke kjør spesifiserte Windows-applikasjoner ".

I vinduet Ikke kjør spesifiserte Windows-applikasjoner, klikk Aktiver for å aktivere alternativet og klikk Vis for å starte prosessen med å lage en liste over applikasjoner du vil blokkere.

For å lage listen må du skrive inn det kjørbare navnet på programmet etterfulgt av .exe for å kunne blokkere programmet, for eksempel CCleaner.exe , CleanMem.exe eller lol.launcher.exe.

Den beste måten å finne det nøyaktige navnet på en applikasjons kjørbare fil er å finne applikasjonsmappen i Windows Filutforsker, og deretter kopiere det nøyaktige navnet på programmets kjørbare (med ".exe"-utvidelsen).

Skriv inn det kjørbare navnet i listen og klikk deretter OK for å starte programblokkeringsprosessen.

I tillegg er det også alternativet Kjør kun spesifiserte Windows-applikasjoner i gruppepolicyvinduet . Hvis du vil deaktivere alle typer applikasjoner unntatt noen viktige applikasjoner, kan du bruke alternativet til å lage en liste over applikasjoner du vil blokkere.

6. Deaktiver kommandoprompt og Windows Registerredigering

Kommandoprompt på Windows lar deg angi kommandoer for datamaskinen for å utføre kommandoen og få tilgang til systemet. Imidlertid kan hackere bruke kommandoprompt (CMD) for å få ulovlig tilgang til sensitive data.

Både kommandoprompt og Windows Registerredigering er verktøy som kan deaktivere enhver aktivitet på en Windows-datamaskin, spesielt Windows Registerredigering .

Hvis du vil sikre sikkerhets- og sikkerhetsproblemer på datamaskinen din, bør du deaktivere kommandoprompt og Windows Registerredigering.

For å gjøre dette, i gruppepolicyvinduet, naviger til banen:

Brukerkonfigurasjon => Administrative maler => System

Her finner du og dobbeltklikker på alternativene kalt " Forhindre tilgang til ledeteksten " og " Forhindre tilgang til registerredigeringsverktøy ". Klikk deretter på Deaktiver for å deaktivere disse alternativene i vinduet Forhindre tilgang til ledetekst-vinduet og Forhindre tilgang til verktøy for registerredigering .

Fra nå av kan ikke andre brukere få tilgang til kommandoprompt og registerredigering lenger.

7. Skjul stasjonspartisjoner fra Min datamaskin

Hvis en bestemt stasjon på datamaskinen din inneholder sensitive data og du ikke vil at andre brukere skal få tilgang til og stjele disse dataene, kan du skjule stasjonen fra Min datamaskin og andre brukere. Andre brukere kan ikke finne dem.

For å gjøre dette, i gruppepolicyvinduet, naviger til banen:

Brukerkonfigurasjon => Administrative maler => Windows-komponenter => Windows Utforsker => Skjul disse spesifiserte stasjonene i Min datamaskin

Finn og dobbeltklikk på alternativet som heter " Skjul disse spesifiserte stasjonene i Min datamaskin ".

I vinduet Skjul disse spesifiserte stasjonene i Min datamaskin klikker du på Aktiver for å aktivere alternativet.

Etter å ha aktivert alternativet, fra rullegardinmenyen Alternativer , velg stasjonen du vil skjule. Klikk til slutt OK for å skjule den stasjonen på systemet.

8. Juster startmenyen og oppgavelinjen

Gruppepolicy gir deg dusinvis av justeringer til Start-menyen og oppgavelinjen i henhold til dine ønsker. Disse justeringene er tilgjengelige for både administratorer og vanlige brukere.

For å finjustere Start-menyen og oppgavelinjen, i Group Policy Editor-vinduet, naviger til banen:

Brukerkonfigurasjon => Administrative maler => Startmeny og oppgavelinje

Her finner du alle justeringene med forklaringer.

Justeringene er ganske selvforklarende. Dessuten gir Windows også detaljerte beskrivelser for hver tweak.

Du kan utføre en rekke operasjoner som å endre funksjonen til strømknappen på Start-menyen, hindre brukere i å feste programmer på oppgavelinjen, begrense søk på søkealternativet, skjule varsler i systemstatusfeltet, skjule ikoner. batteri, forhindre endre innstillingene for oppgavelinjen og startmenyen, hindre brukere i å bruke strømalternativer (avslutning, dvalemodus osv.), fjern alternativet Kjør fra startmenyen osv.

9. Deaktiver tvungen omstart

Selv om du kan aktivere noen alternativer for å forsinke, vil Windows 10 til slutt starte datamaskinen på nytt på egen hånd, hvis det er ventende oppdateringer. Du kan gjenvinne kontrollen ved å aktivere et gruppepolicyelement.

Når du deaktiverer tvungen omstart, vil Windows bare bruke ventende oppdateringer når du starter på nytt.

Du finner den her:

Computer Configuration > Administrator Templates > Windows Components > Windows Update > No auto-restart with logged on users for scheduled automatic update installations

10. Deaktiver automatiske driveroppdateringer

Deaktiver automatiske driveroppdateringer

Visste du at Windows 10 også oppdaterer enhetsdrivere uten din eksplisitte tillatelse? I mange tilfeller er dette svært nyttig, da det er ment å holde systemet så oppdatert som mulig.

Men hva om du kjører en tilpasset driver eller kanskje den nyeste driveren for en bestemt maskinvarekomponent har en feil som får systemet til å krasje? Det er her automatiske driveroppdateringer er mer skadelige enn nyttige.

For å deaktivere automatiske driveroppdateringer, aktiver:

Computer Configuration > Administrative Templates > System > Device Installation > Device Installation Restrictions > Prevent installation of devices that match any of these device IDs

Etter aktivering må du oppgi maskinvare-IDer for enheter du ikke vil ha automatiske driveroppdateringer for. Disse får du gjennom Enhetsbehandling , som tar noen få trinn.

11. Skjul ballong- og toastvarsel

Skrivebordsvarsler kan være nyttige, men bare hvis de gir noe av verdi. De fleste varslene du ser er ikke verdt å lese og er ofte distraherende.

Aktiver denne verdien for å deaktivere ballongvarsler i Windows:

User Configuration > Administrative Templates > Start Menu and Taskbar > Turn off all balloon notifications

Fra og med Windows 8, byttet de fleste systemvarslinger til toast-varslinger. Derfor bør du også deaktivere dem:

User Configuration > Administrative Templates > Start Menu and Taskbar > Notifications > Turn off toast notification

Dette er en enkel måte å stoppe varslingsdistraksjoner.

12. Slett OneDrive

OneDrive er inkludert i Windows 10. Selv om du kan avinstallere det som alle andre programmer, kan du også forhindre at det kjøres ved å bruke en gruppepolicyoppføring.

Deaktiver OneDrive ved å aktivere:

Computer Configuration > Administrative Templates > Windows Components > OneDrive > Prevent the usage of OneDrive for file storage

Dette vil fjerne muligheten til å få tilgang til OneDrive fra hvor som helst på systemet. Den fjerner også OneDrive-snarveien i Filutforsker-sidelinjen.

13. Slå av Windows Defender

Windows Defender er selvadministrert, så den vil slutte å kjøre hvis du installerer et tredjeparts antivirusprogram. Hvis dette verktøyet av en eller annen grunn ikke fungerer som det skal, eller du vil deaktivere det helt, kan du aktivere dette gruppepolicyelementet:

Computer Configuration > Administrative Templates > Windows Components > Windows Defender > Turn off Windows Defender

Selv om det enkelt kan deaktiveres, er Windows Defender en god nok sikkerhetsløsning for de fleste. Sørg for å erstatte Windows Defender med et annet pålitelig Windows-antivirusprogram hvis du fjerner det.

14. Kjør skript ved innlogging/oppstart/avslutning

Kjør skript ved pålogging/oppstart/avslutning

Det siste tipset er litt mer avansert, så det vil sannsynligvis ikke være veldig nyttig med mindre du er komfortabel med batchfiler og/eller skriver PowerShell -skript . Hvis det ser bra ut, kan du faktisk kjøre nevnte skript automatisk med gruppepolicy.

For å sette opp et oppstarts-/avslutningsskript, gå til:

Computer Configuration > Windows Settings > Scripts (Startup/Shutdown)

For å sette opp et påloggings- eller utloggingsskript, gå her:

User Configuration > Windows Settings > Scripts (Logon/Logoff)

Ved å gjøre dette kan du velge de faktiske skriptfilene og angi parametere for disse skriptene, så det er ganske fleksibelt. Du kan også tilordne flere skript til hver utløserhendelse.

Merk at dette ikke er det samme som å starte et spesifikt program ved oppstart.

Se flere artikler nedenfor:

• Fjern ondsinnet programvare (skadelig programvare) fullstendig på Windows 10-datamaskiner

• Instruksjoner for aktivering og tilpasning av Virtual Touchpad på Windows 10

• Hvordan aktivere eller deaktivere SuperFetch på Windows 10/8/7?

Lykke til!