Hvis du vil ændre, hvordan Windows opfører sig ved at tage mere kontrol over sikkerheden eller deaktivere nogle få ting, som Microsoft kaster dig, kan du gøre det ved at finjustere indstillingerne for gruppepolitikken. Ja, du kan også gøre det samme fra Registreringseditor, men gruppepolitik har få flere fordele, ligesom gruppepolitik ikke ændres efter en Windows-opdatering, i modsætning til registreringsdatabasen. Vigtigst er det, at du enten kan konfigurere gruppepolitik lokalt på dit system eller gøre det aktive bibliotek til at gælde for flere systemer i dit domæne. Så dette er især nyttigt for kontorer og skoler, der kører Windows-computere.
Bedste gruppepolitiske indstillinger
Før vi begynder, lad os forstå, at gruppepolitik er et grafisk værktøj, der giver dig mulighed for at redigere indbyggede OS-indstillinger, kerneindstillinger osv. Hvis du tilpasser gruppepolitikken på en forkert måde, kan det endda medføre, at dit operativsystem ikke fungerer korrekt. Så hvis du vil foretage ændringer, skal du sørge for at eksportere listen, inden du foretager ændringer.
Sådan får du adgang til gruppepolitik
En af de største forbehold for gruppepolitik er, at den kun er tilgængelig på de computere, der kører Windows Professional, Education eller Enterprise-versioner. Selvom du kører Windows Home, kan du få adgang til gruppepolitik, men med få løsninger, som jeg vil forklare nedenfor.
For at få adgang til gruppepolitik er der flere måder, en af de nemmeste måder er at åbn kommandoprompten> skriv “gpedit.msc” og klik på enter.
Selvom gruppepolitik ikke er en del af Windows Home-udgaverne, er der stadig en måde at få adgang til. Alt hvad du skal gøre er at installere en tredjeparts redaktør for gruppepolitik ved at downloade denne batch-fil. Åbn det som administrator, det begynder at installere i kommandoprompten. Det tager cirka 2-3 minutter at installere. Når processen er færdig, skal du åbne kommandoprompten igen og skrive gpedit.msc for at få adgang til den.
1. Deaktiver enhver softwareinstallation
Ved ikke at tillade brugere at installere forskellige software kan du reducere den nødvendige vedligeholdelses- og rengøringsmængde, når der er installeret noget dårligt, da det også er en af de potentielle årsager til malware. Dette er endnu mere nyttigt, især i skoler, hvor du kun vil have eleverne adgang til det, der kræves.
Hvis du vil begrænse brugerne fra at installere eller køre programmer, kan du indstille det ved at åbne det Gruppepolitik> Naviger til computerkonfigurationer> Administrative skabeloner> Windows-komponenter> Windows Installer og dobbeltklik på Sluk for Windows Installer mulighed. Skift indstillingen for at aktivere, og sørg for, at indstillingen siger "Kun til ikke-administrerede applikationer", så de kan installere alle de apps, der er tilladt af ledelsen. Klik nu på Anvend og genstart computeren for at ændringer skal finde sted.
Blokering for at køre specifikke applikationer
At blokere alle apps, der skal installeres, er overkill i mange situationer. Hvis alt, hvad du ønskede, er at blokere nogle få apps, kan du foretage disse ændringer i gruppepolitikken.
Åben Gruppepolitik> Brugerkonfiguration> Administrative skabeloner> System og dobbeltklikKør ikke specificerede Windows-applikationermulighed. Skift indstillingen for at aktivere, og klik på knappen Vis. Nu kan du åbne listen over de apps, du vil blive blokeret for brugerne, og klikke på ok. Klik nu på Anvend, og genstart systemet, for at indstillingerne skal anvendes.
2. Bloker adgangen til Kontrolpanel
Det er vigtigt at sætte grænser for kontrolpanelet mest i forretningsmiljøer, da det giver dig kontrol over hele systemet. Du kan enten blokere hele adgangen eller begrænse dens adgang.
For at blokere adgangen skal du åbne Gruppepolitik> Brugerkonfiguration> Administrative skabeloner> Kontrolpanel> og dobbeltklik påForbud adgang til Kontrolpanel og pc-indstillinger og klik på aktiver og anvend. Og ændringerne vil blive anvendt med det samme.
Vis kun specifikke kontrolpanelelementer
Ovenstående proces blokerer adgang til hele kontrolpanelet. Men hvis du ønsker at begrænse brugen. du kan gøre det ved at åbne Gruppepolitik> Brugerkonfiguration> Administrative skabeloner> Kontrolpanel> og dobbeltklik på Vis kun specificerede elementer i kontrolpaneletog klik på aktiver. Klik nu på visningsindstillingen for at specificere hver kontrolpanelindstilling, der skal vises. Hvis det ikke er på denne liste, vises det ikke for brugeren.
Dette betyder, at du bliver nødt til nøje at vælge og indtaste hvert element i kontrolpanelet, du vil medtage. Du kan finde navnene på alle kontrolpanelelementer på Microsofts websted.
3. Deaktiver kommandoprompt
Kommandoprompt er utvivlsomt så nyttigt og også et mareridt på samme tid, som det giver brugerne mulighed for at køre de kommandoer og programmer, som du ikke er beregnet til. Det kan også være et farligt værktøj i hænderne på de uerfarne. Der er mange grunde til at deaktivere kommandoprompten. Måske har du børn, der deler en familiecomputer, eller du lader gæsterne bruge din computer, når de bliver hos dig. Eller måske kører du en virksomhedscomputer, skal du låse den ned.
Åbn for at deaktivere Gruppepolitik> Brugerkonfiguration> Administrative skabeloner> System og dobbeltklik på Forhindre adgang til kommandoprompten mulighed. Skift politik for at aktivere og anvende. Nu har du brug for en genstart for at ændringerne skal gælde.
4. Deaktiver Windows Registreringseditor
Det samme som kommandoprompten kan registreringsdatabaseeditor endda bryde ting og omgå få gruppepolitiske begrænsninger. Så for at beskytte politikken kan du åbne Gruppepolitik> Brugerkonfiguration> Administrative skabeloner> System og dobbeltklik på Forhindre adgang til registreringsdatabase redigeringsværktøjer og aktivere det. Klik nu på Anvend og genstart pc'en for at anvende ændringer.
5. Bloker drivere til flytbare medier
USB'er eller andre former for flytbare medieenheder kan være farlige for pc'en. Hvis nogen ved et uheld eller med vilje forbinder en virusinficeret lagerenhed, kan det påvirke pc'en eller endda domænet. Når du kører mange computere, er det svært at administrere lageret ved at tillade mediedrivere. Blokering af flytbare mediedrivere bruges ofte i mange skoler og gymnasier.
Åbn for at blokere mediedrivere Gruppepolitik> Brugerkonfiguration> Administrative skabeloner> System> Aftagelig lageradgang og dobbeltklik på Aftagelige diske: Nægt læseadgang. Klik nu på aktiveringsmuligheden og anvend for at stoppe pc'en til at læse eksterne drivere.
Blokering af skrivemulighed
Ovenstående mulighed gør kun pc til ikke at læse filerne i den eksterne enhed. Men du kan stadig kopiere filerne til den eksterne enhed. Hvis du vil beskytte filerne, skal du også blokere skriveindstillingen. Dette implementeres ofte i forretningsmiljøer.
Åbn for at blokere skriveindstillinger Gruppepolitik> Brugerkonfiguration> Administrative skabeloner> System> Aftagelig lageradgang og dobbeltklik på Aftagelige diske: Nægt skriveadgang. Aktiver nu indstillingen, og vælg anvend for at anvende ændringerne.
Alternativt kan du bruge Alle flytbare lagerklasser: Afvis adgang for at blokere både læse- og skriveindstillinger på samme tid.
6. Skjul partitionsdrev fra computeren
Hvis der er følsomme oplysninger i systemerne, kan du skjule dem for de specifikke brugere for at få adgang til det. Du kan gøre det fra gruppepolitiske indstillinger. Men husk, at denne indstilling kun skjuler den fra filudforsker og få andre apps, men folk kan stadig få adgang til den fra kommandoprompten.
Under alle omstændigheder kan du skjule det ved at åbne det Gruppepolitik> Brugerkonfiguration> Administrative skabeloner> Windows-komponenter> Windows Stifinder og dobbeltklik på Skjuler disse angivne drev på denne computer og vælg aktiveringsmuligheden. Når det er aktiveret, skal du klikke på rullemenuen i panelet Indstillinger og vælge hvilke drev du vil skjule. Drevene skjules, når du klikker på OK.
7. Forøg den mindste adgangskodelængde
Standardadgangskodelængden til Windows er 8, og du skal bruge mindst en stor, lille bogstav og nummer eller specialtegn. Det er faktisk godt sikret. Men du kan forbedre sikkerheden ved at øge adgangskodelængden. Du kan indstille det op til 14 sammen med brug af store, små bogstaver og tal eller specialtegn.
Du kan ændre det ved at åbne Gruppepolitik> Computerkonfiguration> Windows-indstillinger> Sikkerhedsindstillinger> Kontopolitikker> Adgangskodepolitik og dobbeltklik Minimum adgangskodelængde politik & Angiv en værdi for længden og klik på og anvend.
8. Spor konto-login
Med gruppepolitik kan du tvinge windows til at spore alle vellykkede og mislykkede logins til pc'en. Du kan enten indstille det til en bestemt computer eller en bestemt bruger. Under alle omstændigheder vil dette være nyttigt at spore de uautoriserede personer, der prøver at logge ind. Du kan aktivere det ved at åbne Gruppepolitik> Computerkonfiguration> Windows-indstillinger> Sikkerhedsindstillinger> Lokale politikker> Revisionspolitik og dobbeltklik på Revisionslogonhændelser.
Marker her afkrydsningsfeltet ud for"Succes" og"Fiasko" muligheder. Når du klikker på ok, begynder Windows at registrere logins, der er foretaget på pc'en.
For at se disse login skal du åbne Kør og indtaste eventvwr for at åbne Windows Event Viewer. Udvid nu Windows-logfiler og vælg derefter Sikkerhed mulighed. I midterpanelet kan du se på alle loginforsøg. Du kan se på den konto, der er forsøgt at logge ind, dato og også tidspunktet. Men succes og mislykkede forsøg er nævnt med kode.
9. Deaktiver OneDrive
Du kan måske lide OneDrive eller hader det helt. Hvis du eller din organisation ikke bruger OneDrive, eller du bare vil fjerne fra din pc, kan du gøre med gruppepolitik. Åben Gruppepolitik> Computerkonfiguration> Administrative skabeloner> Windows-komponenter> OneDrive og dobbeltklik Forhindre brugen af OneDrive til lagring af filer. Aktiver det nu, og klik på Anvend. Du skal genstarte pc'en for ændringerne.
10. Hold gruppepolitiske ændringer under kontrol
Under alle omstændigheder kan disse ændringer vendes tilbage til det normale ved at bruge gruppepolitikken med den samme metode, men sætte dem tilbage til deaktivering. Du kan forblive ansvarlig for gruppepolitik ved hjælp af gruppepolitisk objektrevision. For at holde løbende oversigt over ændringer foretaget i gruppepolitikobjekter, prøv Lepide Change Reporter.
Afslutter
Når du er færdig med at justere indstillingerne for gruppepolitik, skal du flytte indstillingerne til computergruppen i Active Directory, hvor du kan indstille biblioteket til hver pc i domænet. Du kan også indstille specifikke gruppepolitikker for kun individuelle brugere eller computere. Nu er alt hvad du skal gøre, at downloade gruppepolitikken fra Active-biblioteket for at anvende. Eventuelle ændringer i den aktive mappe gælder automatisk for de enkelte systemer.