Předvolby skupinové politiky. Nastavení zásad skupiny v systému Windows
Mezi současnými správci systému, nemluvě o běžných uživatelích, existuje poměrně omezený počet lidí, kteří jasně chápou, jaké jsou preference skupinových politik. Ne, v obecném smyslu, existuje koncept. Většina lidí se domnívá, že editor skupinových politik je něco, co je protipól prostředků pro změnu klíčů registru. Ano, částečně tak. Registr, pokud jde o nastavení základních parametrů, je prioritou. Není však třeba zaměňovat zásady a preference skupin. Jedná se o úplně jiné věci (dále bude jasné, proč).
Politika skupiny Windows: co je to?
Chcete-li začít, seznamte se s tímto pojmem. Co je skupinová politika "Windows"? Jedná se o určitou sadu pravidel, která se vztahují k nastavení samotného operačního systému nebo k nainstalovaným možnostem pro každého konkrétního uživatele, který zhruba předurčuje jeho stav, pokud jde o změnu určitých parametrů.
Nastavení skupinové politiky umožňuje každému uživateli nastavit vlastní priority pro přístup k konfiguraci systému, vyvolání určitých programů a manévrování na úrovni povolení nebo zakázání ovládacích prvků systému nebo jeho součástí. Ale! Nezaměňujte samotné zásady a nastavujte preference. Byly původně vytvořeny jako druh doplňku k možnostem samotných politik. V některých případech nejsou dokonce závislé na zásadách, protože jsou používány v systémech Windows s povolenou povolenou doménou služby Active Directory.
Jaké jsou preference
Pokud chceme obecně pochopit, preference skupinových politik nejsou spíše dogmatickými pravidly a nastaveními, ale vyměnitelnými možnostmi.
To znamená, že pokud chcete nastavit určité vstupní priority, změnit nastavení "Desktop" nebo něco jiného, udělit nebo zrušit práva k provádění některých akcí, samozřejmě bude zapotřebí oprávnění. Každý uživatel si pravděpodobně všiml, že i některé programy nelze spustit jako správce bez řádného potvrzení. A záležitost zde, jak se ukázalo, není vůbec v nastavení obrany systému nebo blokování firewallem, ale pouze v tom, že místní skupinová politika je konfigurována takovým způsobem, že uživatel jednoduše nemá právo měnit současnou konfiguraci systému.
Analogové přihlášení
Když mluvíme ve všeobecném smyslu, lze takové nastavení skutečně interpretovat jako prostředek řízení uživatelských práv při přihlášení. Když připojíte svůj vlastní účet, registrovaný uživatel obdrží některá práva k úpravám konfigurace systému (nebo je vůbec neobdrží, pokud jsou tato nastavení určena na administrativní úrovni).
Klient skupiny zásad jednoduše upravuje všechna tato opatření. To je jen uživatel přihlášen pod jeho vlastní registrací, a v nastavení okamžitě zaznamenal, že to může udělat, že ne. Na úrovni běžného uživatele, který nemá práva správce, nebude možné parametry změnit. I některé účty správce mohou být blokovány. Toto je nastavení zásad, nikoliv však preference.
Problémy se systémovou konfigurací
Konfigurace zásad skupiny závisí do značné míry na tom, která oprávnění by měla být udělena registrovanému uživateli (i na úrovni správce). Samozřejmě, můžete snížit stupeň řízení UAC, ale stále neposkytuje uživateli plnou kontrolu nad prováděnými akcemi.
Zásady skupiny Windows libovolné verze, přinejmenším v počáteční fázi konfigurace, vám umožní konfigurovat přihlašovací údaje (například můžete nastavit spořič obrazovky pro každého konkrétního uživatele, zobrazit zástupce programu na ploše, umožnit přístup k příkazovému řádku a nabídce Spustit "Atd.). Podrobný popis parametrů a nastavení bude uveden níže.
V takové situaci může Editor zásad skupiny být používán k nastavení zákazů při provádění některých akcí, ale obecně, pokud provedete příslušné změny v registru, všechny tyto akce se mohou ukázat být prostě nesmyslné. A tady je důvod.
Faktem je, že při spuštění systému čte data registru, která se přenáší po inicializaci všech zařízení v primárním systému BIOS / UEFI. A to je kopie stavu registru je klíčovou podmínkou pro obnovu. Ukazuje se, že obraz pevného disku není nutné uložit. Stačí vytvořit kopii pomocí funkce exportu a uložit soubor s příponou .reg na libovolném vhodném místě.
A výzva k skupinové politice při spuštění se objeví pouze na úrovni registru. Ve větvi HKLM, pokud přejdete do sekce Systém (a nejen tam), existuje speciální adresář zásad, jejichž nastavení zcela duplikují možnosti nastavené v zásadách skupiny, ale mají vyšší prioritu.
Jaký je rozdíl mezi prioritami a pravidly politiky?
Nyní je čas podívat se na to, co odlišuje preference skupinové politiky od parametrů samotných zásad. To je třeba chápat (alespoň na počáteční úrovni).
Za prvé, stojí za to říci, že předvolby skupinové politiky ve smyslu nastavení pravidel pro každého konkrétního uživatele nebo počítače nemají nic společného s omezeními nastavenými ve výchozím nastavení na samotném systému. To lze vysvětlit následujícím příkladem.
Parametr | Politici | Předvolby |
Zámek a povinné provedení | + | - |
Částečné vytvoření ovládacích prvků, import a přidávání dat nastavení (včetně z registru) | - | + |
Přístup k místním uživatelským nastavením | - | + |
Počáteční parametry | Přepsán (smazán) | Neměňte (uložené při obnovení primárních hodnot) |
Filtrování | Platí pouze pro všechny objekty v systému. | Personalizace může být použita pro každého uživatele a parametr. |
Rozhraní | Standardní | Pokročilé |
Srovnávací charakteristiky politik a preferencí ve veřejném vlastnictví
Nyní musíme pochopit, že skupinová politika domény, která je zodpovědná za identifikaci počítačů v místní síti, stejně jako zásady pro nastavení oprávnění k provádění určitých akcí v počítačovém systému, se nijak významně neliší.
Je-li to založeno na preferencích, jak se ukázalo, pravidla skupinových politik lze jednoduše rozdělit pomocí příslušného editoru. Jak otevřít zásady skupiny? Ano, stačí zadat příkaz gpedit.msc v nabídce Spustit. Budeme se zabývat specifikací redaktora trochu později, ale prozatím se podíváme, které objekty přesně působí na tuto službu.
Cíle
Pokud jde o výběr parametrů, v podstatě jsou všechna tato opatření navržena tak, aby stanovila nebo zrušila stávající sankce v samotném systému ve vztahu k místnímu uživateli nebo skupině. Dokonce i snížení míry kontroly registrovaných účtů při aktivaci aktivních parametrů skupinových zásad nepovede k ničemu (uživatel nebude mít alespoň toto právo).
Samotné objekty, které používají programy Skupinové politiky, se týkají především nastavení uživatelů, jejichž možnosti s příslušnými akcemi správce systému mohou zakázat, povolit nebo vyloučit pravidla. Jedná se o přihlašovací parametry (zobrazení úvodní obrazovky a obrázku "Plocha", automatické vkládání). Všimněte si, že žádné aplikace, včetně Správce systému Windows, nemohou změnit nastavení zásad. To lze provést buď v editoru nebo v registru systému.
Editor lokálních zásad skupiny systému Windows a odkaz registru
Příkaz gpedit.msc zadaný v nabídce spuštění programu (Win + R) zavolá příslušný editor. Nezaměňujte oprávnění a zákazy na úrovni GPO. Stává se také, že služba Zásady skupiny zabraňuje vstupu do systému. To je normální.
Pokud se uživatel přihlásí na úrovni správce, co očekávat? Problém může také spočívat ve skutečnosti, že nastavení parametrů na úrovni registru blokuje úpravy v zásadách skupiny, protože registru je nutné provést při spuštění systému. In editor registru Existují větve, ve kterých je část Politiky. Nastavují klíčové hodnoty v šestnáctkové soustavě s přiřazením nuly nebo jednoho, což může znamenat zákaz nebo oprávnění k provádění některých akcí. Dokonce i obnovení systému pochází z kopie registru. Při výběru poslední pracovní konfigurace se nejprve přečte poslední uložený soubor REG a teprve pak nastane start. A nastavení zásad skupiny zadané v registru je spuštěno dříve, než jsou tyto parametry definovány v editoru "nativní".
Jak otevřít zásady skupiny v registru? V nabídce Spustit zadejte příkaz regedit, použijte vyhledávání (Ctrl + F) a nastavte Politiky jako aktuální hodnotu. V nalezených sekcích bude možné změnit libovolné klávesy, ale pouze v případě, že je přihlášení provedeno na úrovni administrátora (pokud v administrační konzoli není spuštěn admin, může být soubor otevřen ve složce System32 pomocí PCM).
Základní akce
Ale ani ne všichni systémoví analytici vědí, že v samotném editoru nastavení zásad skupiny lze provést nejen na úrovni administrativních šablon, které hrají primární roli, vstup některých příkazů může zásadně změnit nastavení systému, například:
- Vytvořit - vytvoří parametr, pokud není vytvořen nebo chybí.
- Nahradit - nahradit aktuální hodnotu nebo vytvořit nový parametr s náhradou.
- Aktualizace - vytvoření parametru, který ještě neexistuje, pokud jde o aktualizaci uživatelských dat.
- Smazat - odstraní předvolby všech úrovní.
Zvláštní preference
Pokud jde o pokročilá nastavení, která poskytuje klient Zásady skupiny, mají konfigurovat možnosti, které nejsou přímo poskytovány systémy Windows. Předpokládá se, že tyto operační systémy předem nefinancují oprávnění a zákazy, a proto je možné zajistit, aby nastavení odpovídalo uživatelskému režimu a selektivně pro každý systém Windows.
Toho lze dosáhnout pomocí takzvaných pravidel CRUD, které stanoví další preference. Jinými slovy administrátor může získat rozšířené rozhraní operačního systému, které se od standardního standardu nijak neliší, s výjimkou symbolů použitých ikon v zeleném a červeném nastavení. Zelená odpovídá aktivaci nastaveného parametru při jeho zpracování klientem, červená znamená, že je vypnutá nebo nepodporovaná změna.
Tímto způsobem jsou nastavena nastavení pro každý jednotlivý systém, kde můžete upravit možnosti nabídky Start (standardní zobrazení, počet zobrazených programů, velikost dlaždic atd.). atd.), schémata napájení, přihlášení uživatele a mnoho dalších. Ale ne všechny parametry lze změnit. Zobrazení obsahu panelů a výchozího nastavení prohlížeče Internet Explorer například závisí pouze na nainstalované verzi. Úpravy parametrů dlaždic v nabídce Start nejsou k dispozici v systémových úpravách pod osmi.
Tato nastavení obecně umožňují dosažení flexibilnější správy systému, v níž instalujete personalizované možnosti.
Chcete-li rychle spravovat nastavení, můžete použít funkční tlačítka F5-F8:
- F5 - povolit všechny parametry.
- F6 - povolit pouze vybraný parametr.
- F7 - deaktivace vybraného parametru.
- F8 - deaktivace všech parametrů.
Nastavení aktualizace
Není však vždy možné něco změnit. Klient může jednoduše nepracovat v určitém bodě, například kvůli krátkodobým výpadkům v samotném systému nebo virové expozici. V takovém případě je třeba aktualizovat zásady skupiny. Není to možné v editoru. Proto je nutné použít příkazový řádek, který je jakousi jednotnou pomůckou pro odstranění mnoha problémů s haváriemi systému.
Aktualizace zásad skupiny (vynucená) se obecně provádí pomocí příkazu gpupdate / force nebo pomocí dodatků uvedených na obrázku výše. Někteří lidé si myslí, že stačí restartovat systém nebo změnit uživatele. To není. Důsledný účinek nebudete mít. Aktualizační řádek uvedený výše však dává výsledek okamžitě. Je pravda, že příkazová konzola musí být spuštěna jako správce. V opačném případě uživatel nedostane povolení k provádění příkazů v něm.
Primární účel preferencí
Domníváme se, že na místní úrovni nemá smysl měnit nastavení politiky. Instalace rozšířených rozšířených možností lze většinou použít v podnikových systémech s rozsáhlými lokálními sítěmi v podnicích nebo kancelářích.
V tomto smyslu může administrátor systému, který spravuje podřízené stroje z centrálního serveru, může, jak se říká, zjednodušit život jak pro sebe, tak i pro obyčejné zaměstnance tím, že provede příslušná nastavení jednou. Současně nezáleží na tom, jaký typ úpravy operačního systému je nainstalován na počítačích v síti nebo jak jsou načteny (například v síti, pokud nejsou v podřízených terminálech žádné pevné disky).
Přesně tak, jak budou provedena nastavení, správce se sám rozhodne. Vše závisí na tom, jak jsou operační systémy načteny do místních počítačů. Na jedné straně se zdá, že použití klienta skupiny nebo místní politiky vypadá jednodušší. Na druhou stranu mají zvýšené priority akce se systémovým registrem. Není možné zrušit akce, které se v něm provádějí, natož, že nově instalované možnosti v editoru zásad budou jednoduše nepřístupné.
Účet registru lze však upravit, pokud je operační systém načten z centrálního serveru, například při připojení síťových terminálů pomocí schématu hvězd. Na jednotlivých počítačích s nainstalovanými operačními systémy je přehazování parametrů absolutně zbytečné, a proto je lepší zde použít nastavení zásad. Nicméně se znalostí otázky mohou být pro klienta nastaveny některé parametry a některé (obzvláště důležité) mohou být editovány v registru. V tomto případě se nic nestane, i když některé nastavení jsou duplikovány tam a tam.
Místo toho celkem
Zde je krátký a vše, co se týká preferencí. Samozřejmě, pro běžné uživatele, pochopení podstaty všeho, co bylo uvedeno výše, se může zdát poněkud komplikované. Nicméně, chcete-li porozumět takovýmto nastavením jemnosti (zejména pro začínající administrátory systému), budete se muset absolutně naučit vše. A podle skutečných odborníků v této oblasti je nutné pracovat s politiky v praxi a nevědět otázku na úrovni teoretických údajů a článků. Jak říkají, bude tu touha. A můžete začít zkoumat možnosti, které používáte ve stejném editoru, kde vyberete šablony pro správu, ve kterých jsou uvedeny hlavní pravidla pro místní i skupinová nastavení. Zbytek je otázka techniky. Porozumění přijde s časem, pokud to opravdu začnete dělat.
Když trochu shrneme, zůstává přidávat pouze to, že jsou vytvořena předvolby pro výběr požadovaných voleb a nastavení a neomezují se pouze na zákazy a oprávnění. A to zase umožňuje řídit libovolný systém velmi flexibilně. Samozřejmě je třeba si uvědomit, že takové pokročilé nastavení nejsou pro běžného uživatele absolutně nezbytné, ale za předpokladu, že na jednom terminálu může být registrováno více uživatelů, někdy může být užitečné nastavení odpovídajících možností. Ale poměrně často musíte instalovat to samé rodičovskou kontrolu Pokud dítě může pracovat na počítači jiný než dospělí rodiče. A to vše je naprosto elementární regulováno v systémech Windows.