Hvis du vil endre hvordan Windows oppfører seg ved å ta mer kontroll over sikkerheten eller deaktivere få ting som Microsoft kaster på deg, kan du gjøre det ved å tilpasse gruppepolicyinnstillingene. Ja, du kan også gjøre samme fra Registerredigering, men gruppepolicy har få flere fordeler, slik at gruppepolicy ikke endres etter en Windows-oppdatering, i motsetning til registeret. Viktigst av alt, du kan enten konfigurere gruppepolicy lokalt på systemet ditt eller gjøre den aktive katalogen til å gjelde for flere systemer i domenet ditt. Så dette er spesielt nyttig for kontorer og skoler som kjører Windows-datamaskiner.
Beste gruppepolicyinnstillinger
Før vi begynner, la oss forstå at gruppepolicy er et grafisk verktøy som lar deg redigere innfødte OS-innstillinger, kjernelinnstillinger osv. Imidlertid kan finjustering av gruppepolicyen på en feil måte til og med føre til at operativsystemet ditt ikke fungerer. Så hvis du skal gjøre noen endringer, sørg for å eksportere listen før du gjør noen endringer.
Hvordan få tilgang til gruppepolicy
En av de største advarslene i gruppepolitikken er at den bare er tilgjengelig på datamaskiner som kjører Windows Professional, Education eller Enterprise Versions. Selv om du kjører Windows Home, kan du få tilgang til gruppepolicy, men med få løsninger, som jeg vil forklare nedenfor.
For å få tilgang til gruppepolicy er det flere måter, en av de enkleste måtene er å åpne ledeteksten> skriv “gpedit.msc” og klikk enter.
Selv om gruppepolicy ikke er en del av Windows Home-utgaver, er det fortsatt en måte å få tilgang til. Alt du trenger å gjøre er å installere en tredjeparts redaktør for gruppepolicy ved å laste ned denne batch-filen. Åpne den som administrator, den begynner å installeres i ledeteksten. Det vil ta rundt 2-3 minutter å installere. Når prosessen er ferdig, åpner du ledeteksten igjen og skriver gpedit.msc for å få tilgang til den.
1. Deaktiver programvareinstallasjon
Ved ikke å tillate brukere å installere forskjellig programvare, kan du redusere mengden vedlikehold og rengjøring som kreves når noe dårlig er installert, da det også er en av de potensielle årsakene til skadelig programvare. Dette er enda mer nyttig, spesielt i skolene, der du vil at studentene bare skal få tilgang til det som kreves.
Hvis du vil begrense brukere fra å installere eller kjøre programmer, kan du angi det ved å åpne Gruppepolicy> Naviger til datamaskinkonfigurasjoner> Administrative maler> Windows-komponenter> Windows Installer og dobbeltklikk på Slå av Windows Installer alternativ. Endre innstillingen for å aktivere og sørg for at alternativet sier “Bare for ikke-administrerte applikasjoner”, slik at de kan installere alle appene som er tillatt av ledelsen. Klikk nå på Bruk og start datamaskinen på nytt for at endringene skal finne sted.
Blokkerer for å kjøre spesifikke applikasjoner
Å blokkere alle apper som skal installeres, er overkill i mange situasjoner. Hvis alt du vil blokkerer bare noen få apper, kan du gjøre disse endringene i gruppepolicyen.
Åpen Gruppepolicy> Brukerkonfigurasjon> Administrative maler> System og dobbeltklikkIkke kjør spesifiserte Windows-applikasjoneralternativ. Endre innstillingen for å aktivere og klikk på Vis-knappen. Nå kan du gå inn i listen over appene du vil blokkeres for brukerne og klikke ok. Klikk nå Bruk og start systemet på nytt for at innstillingene skal gjelde.
2. Blokker tilgangen til Kontrollpanel
Det er viktig å sette grenser for kontrollpanelet, mest i forretningsmiljøer, da det gir deg kontroll over hele systemet. Du kan enten blokkere full tilgang eller begrense tilgangen.
For å blokkere tilgangen, åpne Gruppepolicy> Brukerkonfigurasjon> Administrative maler> Kontrollpanel> og dobbeltklikk påForby tilgang til Kontrollpanel og PC-innstillinger og klikk på aktiver og bruk. Og endringene vil bli brukt med en gang.
Vis bare spesifikke elementer på kontrollpanelet
Ovennevnte prosess blokkerer tilgang til hele kontrollpanelet. Men hvis du ønsker å begrense bruken. du kan gjøre det ved å åpne Gruppepolicy> Brukerkonfigurasjon> Administrative maler> Kontrollpanel> og dobbeltklikk på Vis bare spesifiserte kontrollpanelelementerog klikk på aktiver. Klikk nå på visningsalternativet for å spesifisere hvert kontrollpanelalternativ som skal vises. Hvis den ikke er på denne listen, vil den ikke vises for brukeren.
Dette betyr at du må velge og skrive ut hvert element på kontrollpanelet du vil inkludere. Du kan finne navnene på alle kontrollpanelelementene på Microsofts nettsted.
3. Deaktiver kommandoprompt
Kommandoprompt er utvilsomt så nyttig og også et mareritt, samtidig som det gir brukerne muligheten til å kjøre kommandoene og programmene du ikke er ment å bruke. Det kan også være et farlig verktøy i hendene til de uerfarne. Det er mange grunner til å deaktivere ledeteksten. Kanskje du har barn som deler en familie-datamaskin, eller at du lar gjestene bruke datamaskinen din når de bor hos deg. Eller kanskje du driver en bedriftsdatamaskin, må du låse den.
For å deaktivere, åpne Gruppepolicy> Brukerkonfigurasjon> Administrative maler> System og dobbeltklikk på Forhindre tilgang til ledeteksten alternativ. Endre policyen for å aktivere og bruke. Nå trenger du en omstart for at endringene skal gjelde.
4. Deaktiver Windows Registerredigering
Samme som ledeteksten, kan registerredigering til og med bryte ting og omgå få gruppepolitiske begrensninger. Så for å ivareta politikken kan du åpne Gruppepolicy> Brukerkonfigurasjon> Administrative maler> System og dobbeltklikk på Forhindre tilgang til registerredigeringsverktøy og aktivere det. Klikk nå på Bruk og start PCen på nytt for å bruke endringene.
5. Blokker drivere for flyttbare medier
USB-er eller andre former for flyttbare medier kan være farlig for PC-en. Hvis noen ved et uhell eller med vilje kobler til en virusinfisert lagringsenhet, kan det påvirke PC-en eller domenet. Når du kjører mange datamaskiner, er det vanskelig å administrere lagringen ved å tillate mediedrivere. Blokkering av flyttbare mediedrivere brukes ofte i mange skoler og høyskoler.
Åpne for å blokkere mediedrivere Gruppepolicy> Brukerkonfigurasjon> Administrative maler> System> Flyttbar lagringsadgang og dobbeltklikk på Flyttbare disker: Nekt lesetilgang. Klikk nå på aktiveringsalternativet og søk om å stoppe PC for å lese eksterne drivere.
Blokkerer skrivealternativ
Ovennevnte alternativ vil bare gjøre at PC ikke leser filene på den eksterne enheten. Men du kan fortsatt kopiere filene til den eksterne enheten. Hvis du vil beskytte filene, må du også blokkere skrivealternativet. Dette implementeres ofte i forretningsmiljøer.
For å blokkere skrivealternativer, åpne Gruppepolicy> Brukerkonfigurasjon> Administrative maler> System> Flyttbar lagringsadgang og dobbeltklikk på Flyttbare disker: Nekte skrivetilgang. Aktiver nå alternativet og velg bruk for å bruke endringene.
Alternativt kan du bruke Alle flyttbare lagringsklasser: Nekte all tilgang for å blokkere både lese- og skrivealternativer samtidig.
6. Skjul partisjonsstasjonen fra datamaskinen
Hvis det er sensitiv informasjon i systemene, vil du kanskje skjule den for de spesifikke brukerne for å få tilgang til den. Du kan gjøre det fra gruppepolicyinnstillingene. Men husk at denne innstillingen bare vil skjule den fra filutforsker og få andre apper, men folk kan fortsatt få tilgang til den fra ledeteksten.
Uansett kan du skjule det ved å åpne Gruppepolicy> Brukerkonfigurasjon> Administrative maler> Windows-komponenter> Windows Utforsker og dobbeltklikke på Skjuler disse spesifiserte stasjonene på Min datamaskin og velg aktiveringsalternativet. Når den er aktivert, klikker du på rullegardinmenyen i Alternativer-panelet og velger hvilke stasjoner du vil skjule. Stasjonene blir skjult når du klikker på OK.
7. Øk minimum passordlengde
Standard passordlengde for Windows er 8, og du må bruke minst en stor, liten bokstav og nummer eller spesialtegn. Det er faktisk godt sikret. Men du kan forbedre sikkerheten ved å øke passordlengden. Du kan sette den opp til 14 sammen med store, små bokstaver og tall eller spesialtegn.
Du kan endre det ved å åpne Gruppepolicy> Datakonfigurasjon> Windows-innstillinger> Sikkerhetsinnstillinger> Kontopolitikk> Passordpolicy og dobbeltklikk Minimum passordlengde policy & Spesifiser en verdi for lengden og klikk på og bruk.
8. Spor kontoinnlogginger
Med gruppepolicy kan du tvinge windows til å spore alle vellykkede og mislykkede pålogginger til PC-en. Du kan enten sette den til en bestemt datamaskin eller en bestemt bruker. Dette vil uansett være nyttig for å spore uvedkommende som prøver å logge inn. Du kan aktivere det ved å åpne Gruppepolicy> Datakonfigurasjon> Windows-innstillinger> Sikkerhetsinnstillinger> Lokale retningslinjer> Revisjonspolicy og dobbeltklikk på Revisjonspåloggingshendelser.
Merk av i avkrysningsruten ved siden av"Suksess" og“Feil” alternativer. Når du klikker på ok, begynner Windows å holde oversikt over pålogginger gjort til PC-en.
For å se påloggingene, åpne Kjør og skriv inn eventvwr for å åpne Windows Event Viewer. Nå utvide Windows-logger og velg deretter Sikkerhet alternativ. I midtpanelet kan du se på alle påloggingsforsøkene. Du kan se på kontoen som ble prøvd å logge inn, dato og også tidspunktet. Men suksess og mislykkede forsøk er nevnt med kode.
9. Deaktiver OneDrive
Du liker kanskje OneDrive eller hater det helt. Hvis du eller organisasjonen din ikke bruker OneDrive eller bare vil fjerne fra PC-en, kan du gjøre med gruppepolicy. Åpen Gruppepolicy> Datakonfigurasjon> Administrative maler> Windows-komponenter> OneDrive og dobbeltklikk Forhindre bruk av OneDrive for lagring av filer. Aktiver det nå og klikk på bruk. Du må starte PCen på nytt for endringene.
10. Hold gruppepolitiske endringer i kontroll
Uansett kan disse endringene tilbakestilles til normal ved å bruke gruppepolicyen med samme metode, men sette dem tilbake for å deaktivere. Du kan forbli ansvarlig for gruppepolicy ved å bruke gruppepolicyobjektrevisjon. For å holde oversikt over endringer som er gjort i gruppepolicyobjekter, kan du prøve Lepide Change Reporter.
Innpakning
Når du er ferdig med å justere gruppepolicyinnstillingene, må du flytte innstillingene til datamaskingruppen i Active Directory hvor du kan angi katalogen for hver PC i domenet. Du kan også angi spesifikke gruppepolicyer for bare enkeltbrukere eller datamaskiner. Nå er alt du trenger å gjøre å laste ned gruppepolicyen fra Active-katalogen for å bruke den. Eventuelle endringer i den aktive katalogen vil automatisk gjelde for de enkelte systemene.
