Slik bruker du Local Group Policy Editor til å finjustere datamaskinen

Denne artikkelen vil vise deg hvordan du bruker Local Group Policy Editor til å gjøre endringer på datamaskinen.

Merk: Group Policy Editor er kun tilgjengelig på Pro-versjonen av Windows 10. Home- eller Home Premium-brukere har ikke tilgang til den.

• Slik installerer du Group Policy Editor (GPEdit.Msc) på Windows 10 Home Edition

Gruppepolicy er et kraftig verktøy som brukes til å sette opp bedriftsnettverk, låse datamaskiner slik at brukere ikke kan gjøre endringer, hindre dem i å kjøre ikke-godkjent programvare og mange andre bruksområder.

For hjemmedatamaskiner er bruksområder som å begrense passordlengden og låse datamaskinen til kun å kjøre godkjente kjørbare filer lite tilgjengelig. Dette verktøyet har imidlertid mange andre ting du kan konfigurere, for eksempel deaktivering av Windows-funksjoner du ikke liker, blokkering av visse applikasjoner eller opprettelse av skript som kjører når du logger ut eller logger på.

• 8 "justeringer" av Windows Group Policy som enhver administrator bør kjenne til
• 4 tips for å åpne Local Group Policy Editor på Windows 8/8.1
• 10 viktige gruppepolicyinnstillinger på Windows som må gjøres umiddelbart

Local Group Policy Editor-grensesnitt

Grensesnittet til Local Group Policy Editor ligner på andre administrasjonsverktøy. Trevisningen til venstre lar brukere søke etter innstillinger i henhold til en hierarkisk mappestruktur. Den har en liste over innstillinger, en forhåndsvisningsrute for å gi mer informasjon om spesifikke innstillinger.

Du må bry deg om to kataloger på toppnivå:

• Datamaskinkonfigurasjon : Inneholder datamaskininnstillinger for alle påloggede brukere.
• Brukerkonfigurasjon : Inneholder innstillinger som gjelder for brukerkontoen.

Innenfor hver av disse mappene er det flere andre mapper som gir en rekke tilgjengelige innstillinger:

• Programvareinnstillinger : Inneholder programvarerelatert konfigurasjon og standardinnstillinger for tom på Windows-klienter.
• Windows-innstillinger: Inneholder sikkerhetsinnstillinger og skript for pålogging/utlogging, oppstart/avslutning.
• Administrative maler : Denne mappen inneholder registerbaserte konfigurasjoner for raskt å justere datamaskiner eller brukerkontoer.

Tilpass sikkerhetsregler

Hvis du dobbeltklikker på Hindre tilgang til ledeteksten , vil et vindu som vist nedenfor vises. Faktisk ser de fleste innstillingene i Administrative maler slik ut.

Denne spesifikke innstillingen lar deg blokkere brukere fra å få tilgang til ledeteksten . Du kan også konfigurere innstillinger i dialogboksen for å blokkere batchfiler .

Når du aktiverer alternativet Kjør kun spesifiserte Windows-applikasjoner i samme mappe som alternativet ovenfor, kan du la spesifikke Windows-applikasjoner kjøre på systemet.

I dette tilfellet, hvis du kjører et program som ikke er på listen, vil du motta en feilmelding som vist nedenfor.

Du bør nøye justere reglene her, ellers vil datamaskinen din bli låst ute av bruk.

Juster UAC-innstillinger for sikkerhet

I mappen Datamaskinkonfigurasjon > Windows-innstillinger > Sikkerhetsinnstillinger > Lokale retningslinjer > Sikkerhetsalternativer finner du en rekke interessante innstillinger for datasikkerhet .

Det første alternativet vi skal se på i denne mappen er User Account Control: Behavior of the elevation prompt for Administrators . I dialogboksen som vises, hvis du velger Spør om legitimasjon på det sikre skrivebordet , må du eller en annen bruker skrive inn et passord hver gang du kjører noe i administrativ modus.

Dette alternativet får Windows til å oppføre seg mer som Linux eller Mac, og krever et passord hver gang du gjør endringer.

Noen andre nyttige alternativer:

• Brukerkontokontroll: Opphev kun kjørbare filer som er signert og validert: Dette alternativet forhindrer programmer som ikke er digitalt signert fra å kjøre som admin.
• Gjenopprettingskonsoll, tillat automatisk administrativ pålogging : Når du må bruke gjenopprettingskonsollen til å utføre systemoppgaver, må du oppgi et administrativt passord. Hvis du glemmer passordet ditt, gir dette alternativet deg enklere tilgang til å tilbakestille passordet. Men fordi du enkelt kan fjerne Windows-passordet ditt, er dette alternativet faktisk mindre sikkert.

Se mer: Instruksjoner for hvordan du logger på datamaskinen din når du glemmer passordet

Det er verdt å merke seg at mange av retningslinjene på listen faktisk ikke gjelder for alle versjoner av Windows. For eksempel er innstillingen Remove My Documents Icon bare tilgjengelig på Windows XP og 2000. Andre retningslinjer som i det minste Windows XP eller lignende vil ikke fungere på alle versjoner.

Det er mange innstillinger i Group Policy Editor, du kan ta deg tid til å lære dem. De fleste av innstillingene her lar deg deaktivere Windows-funksjoner du ikke liker, svært få gir funksjonalitet som ikke er tilgjengelig som standard.

Sett opp skript for å kjøre ved pålogging, utlogging, oppstart eller avslutning

Hvis du vil sette opp et utloggings- og påloggingsskript som skal kjøres hver gang datamaskinen starter, kan du bare gjøre dette i Group Policy Editor.

Dette er veldig nyttig når du skal rydde opp i systemet eller utføre en rask sikkerhetskopi av bestemte filer hver gang du slår av datamaskinen. Du kan bruke batch-filer eller til og med PowerShell-skript. En ting å merke seg er at disse skriptene må kjøres "stille" ellers vil det blokkere utloggingsprosessen.

Det er to typer skript du kan bruke:

• Oppstarts-/avslutningsskript : Du finner disse skriptene i Datamaskinkonfigurasjon > Windows-innstillinger > Skript og kjøres under den lokale systemkontoen, slik at de kan manipulere systemfiler, men ikke kjøre som en brukerkonto. .
• Påloggings-/avloggingsskript : Dette skriptet finnes i Konfigurasjon > Windows-innstillinger > Skript og kjøres under brukerkontoen.

Merk at utloggings- og påloggingsskriptet ikke lar deg kjøre verktøy som krever administrativ tilgang med mindre du deaktiverer UAC fullstendig .

For eksempel vil vi lage et utloggingsskript ved å gå til Brukerkonfigurasjon > Windows-innstillinger > Skript og dobbeltklikke Logg av .

Vinduet Avloggingsegenskaper lar deg legge til avloggingsskript som skal kjøres.

I tillegg kan du også konfigurere PowerShell-skript.

Merk at du må oppbevare disse skriptene i en bestemt mappe slik at de kan fungere skikkelig.

Plasser utloggings- og påloggingsskriptet i katalogen nedenfor:

• C:\Windows\System32\GroupPolicy\User\Scripts\Logoff
• C:\Windows\System32\GroupPolicy\User\Scripts\Logon

Og la oppstarts- og avslutningsskriptet stå i katalogen:

• C:\Windows\System32\GroupPolicy\Machine\Scripts\Shutdown
• C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup

Når du har konfigurert utloggingsskriptet, kan du teste det.

Merk at hvis skriptet krever inndata fra brukeren, vil Windows henge under avslutnings- eller utloggingsprosessen i 10 minutter før skriptet slås av og Windows kan starte på nytt. Derfor må du huske på dette når du lager skriptet.

I næringslivet er det et av de kraftigste og viktigste verktøyene. Denne artikkelen er imidlertid kun ment å introdusere grunnleggende bruk av gruppepolicy for ikke-ekspertbrukere, så den vil ikke gå i detalj.