Wśród obecnych administratorów systemów, nie wspominając o zwykłych użytkownikach, istnieje dość ograniczona liczba osób, które jasno rozumieją preferencje dotyczące preferencji grupowych. Nie, w sensie ogólnym istnieje pojęcie. Większość ludzi uważa, że edytor polityki grupowej jest czymś w rodzaju odpowiednika środków służących do zmiany kluczy rejestru. Tak, częściowo tak jest. Ale rejestr pod względem ustawiania podstawowych parametrów jest priorytetem. Ale nie ma potrzeby mylić zasad i preferencji grupowych. To są zupełnie różne rzeczy (dalej będzie jasne, dlaczego).
Aby rozpocząć, zapoznajmy się z samym terminem. Co to jest polityka grupowa "Windows"? Jest to pewien zestaw reguł zastosowany do ustawień samego systemu operacyjnego lub zainstalowanych opcji dla każdego konkretnego użytkownika, który, z grubsza rzecz biorąc, określa jego status w kategoriach zmiany pewnych parametrów.
W ten sposób ustawienie polityki grupowej pozwala każdemu użytkownikowi ustawić własne priorytety dostępu do konfiguracji systemu, wywoływania pewnych programów i manewrowania na poziomie włączania lub wyłączania elementów sterujących systemu lub jego komponentów. Ale! Nie należy mylić zasad z ustawieniami preferencji. Zostały one pierwotnie opracowane jako swego rodzaju dodatek do opcji samych polityk. W niektórych przypadkach nie są one nawet zależne od zasad, ponieważ są używane w systemach Windows z włączoną domeną dostępu do Active Directory.
Jeśli lepiej zrozumieć, preferencje grupowe raczej nie są dogmatycznymi regułami i ustawieniami, ale zmiennymi opcjami.
Oznacza to, że jeśli chcesz ustawić określone priorytety wejściowe, zmienić ustawienia "Pulpitu" lub czegoś innego, dać lub anulować prawa do wykonywania niektórych czynności, oczywiście, będą potrzebne pozwolenia. Każdy użytkownik prawdopodobnie zauważył, że nawet niektóre programy nie mogą być uruchamiane jako administrator bez odpowiedniego potwierdzenia. I tutaj, jak się okazuje, sprawa nie jest w ogóle w ustawieniach systemu obronnego lub blokowania przez zaporę ogniową, ale tylko w tym, że zasady grupy lokalnej są skonfigurowane w taki sposób, że użytkownik po prostu nie ma prawa do zmiany bieżącej konfiguracji systemu.
Mówiąc w sensie ogólnym, takie ustawienia mogą rzeczywiście być interpretowane jako sposób zarządzania prawami użytkownika przy logowaniu. Po połączeniu własnego konta zarejestrowany użytkownik otrzymuje pewne prawa do wprowadzania zmian w konfiguracji systemu (lub nie otrzymuje ich wcale, jeśli takie ustawienia są określone na poziomie administracyjnym).
Klient zasad grupy po prostu reguluje wszystkie te działania. To tylko użytkownik zalogowany w ramach własnej rejestracji, a w ustawieniach natychmiast zarejestrowanych, że może to zrobić nie. Na poziomie zwykłego użytkownika, który nie ma uprawnień administratora, zmiana parametrów nie będzie możliwa. Nawet niektóre konta administratora mogą zostać zablokowane. To jest ustawienie zasad, ale nie preferencja.
Konfiguracja zasad grupy zależy w dużej mierze od tego, jakie uprawnienia powinny zostać przyznane zarejestrowanemu użytkownikowi (nawet na poziomie administratora). Oczywiście można obniżyć stopień kontroli UAC, ale nadal nie zapewnia on użytkownikowi pełnej kontroli nad wykonywanymi czynnościami.
Ale Zasady grupy systemu Windows dowolnej wersji, przynajmniej na początkowym etapie konfiguracji, umożliwiają konfigurację logowania (na przykład można ustawić wygaszacz ekranu dla każdego konkretnego użytkownika, wyświetlić skróty do programu na pulpicie, przyznać dostęp do wiersza poleceń i menu Uruchom "Itd.). Pełny opis parametrów i ustawień zostanie podany poniżej.
W takiej sytuacji Edytor zasad grupy może być użyty do ustawienia zakazu wykonywania niektórych działań, ale w zasadzie, jeśli dokonasz odpowiednich zmian w rejestrze, wszystkie te działania mogą okazać się po prostu pozbawione sensu. A oto dlaczego.
Faktem jest, że po uruchomieniu system odczytuje dane rejestru, które są przesyłane po inicjalizacji wszystkich urządzeń w podstawowym systemie BIOS / UEFI. I jest to kopia stanu rejestru, która jest kluczowym warunkiem odzyskiwania. Okazuje się, że obraz dysku twardego nie jest konieczny do zapisania. Po prostu utwórz kopię za pomocą funkcji eksportu i zapisz plik z rozszerzeniem .reg w dowolnym wygodnym miejscu.
A odwołanie do zasad grup podczas uruchamiania nastąpi tylko na poziomie rejestru. W gałęzi HKLM, jeśli przejdziesz do sekcji System (i nie tylko tam), istnieje specjalny katalog Polityk, którego ustawienia całkowicie powielają opcje ustawione w zasadach grupowych, ale mają wyższy priorytet.
Czas spojrzeć na to, co odróżnia preferencje polityki grupowej od parametrów samych polityk. Należy to rozumieć (przynajmniej na poziomie początkowym).
Przede wszystkim warto powiedzieć, że preferencje polityki grupowej w sensie ustawiania reguł dla każdego konkretnego użytkownika lub komputera nie mają nic wspólnego z ograniczeniami ustawionymi domyślnie w samym systemie. Można to wytłumaczyć następującym przykładem.
Parametr | Politycy | Preferencje |
Zablokuj i obowiązkowe wykonanie | + | - |
Częściowe tworzenie kontroli, importowanie i dodawanie danych ustawień (w tym z rejestru) | - | + |
Dostęp do lokalnych ustawień użytkownika | - | + |
Parametry początkowe | Zastąpiono (usunięto) | Nie zmieniaj (zapisywane, gdy przywracane są wartości podstawowe) |
Filtrowanie | Dotyczy tylko wszystkich obiektów w systemie. | Personalizacja może być używana dla każdego użytkownika i parametru. |
Interfejs | Standardowy | Zaawansowane |
Teraz musimy zrozumieć, że polityka grupowa domeny, która jest odpowiedzialna za identyfikację komputerów w sieci lokalnej, a także polityka ustawiania uprawnień do wykonywania określonych czynności w systemie komputerowym, nie różnią się znacząco.
Jeśli jest oparta na preferencjach, jak się okazuje, zasady zasad grupowych można zepsuć po prostu za pomocą odpowiedniego edytora. Jak otworzyć zasady grupowe? Tak, wystarczy wpisać polecenie gpedit.msc w menu Uruchom. Rozpatrzymy nieco później specyfikację edytora, ale na razie zobaczmy, które obiekty dokładnie zmierzają do działania tej usługi.
W odniesieniu do wyboru parametrów, zasadniczo wszystkie te działania mają na celu ustanowienie lub anulowanie istniejących sankcji w samym systemie w odniesieniu do lokalnego użytkownika lub grupy. Nawet zmniejszenie stopnia kontroli zarejestrowanych "kont" przy aktywowaniu aktywnych parametrów polityk grupowych nie doprowadzi do niczego (użytkownik nie będzie miał co najmniej takiego prawa).
Obiekty, które są używane przez programy Zasad grupowych, są głównie związane z ustawieniami użytkownika, których opcje, przy odpowiednich działaniach administratora systemu, mogą powodować blokowanie, udzielanie lub wykluczanie reguł. Są to parametry logowania (wyświetlanie ekranu powitalnego i obrazu "Pulpit", automatyczne ładowanie). Zwróć uwagę, że żadne aplikacje, w tym Menedżer systemu Windows, nie mogą zmieniać ustawień zasad. Można to zrobić w edytorze lub rejestrze systemowym.
Komenda gpedit.msc, wpisana w menu wykonywania programu (Win + R), wywołuje odpowiedni edytor. Jednak nie należy mylić uprawnień i zakazów na poziomie GPO. Zdarza się również, że usługa zasad grupy uniemożliwia wejście do systemu. Jest to normalne.
Jeśli użytkownik loguje się nie na poziomie administratora, czego się spodziewać? Problem może również polegać na tym, że ustawianie parametrów na poziomie rejestru blokuje edytowanie w zasadach grupowych, ponieważ rejestr jest obowiązkowy przy uruchamianiu systemu. W edytor rejestru Istnieją oddziały, w których znajduje się sekcja Polityki. Ustawiają kluczowe wartości w systemie szesnastkowym z przydziałem zero lub jeden, co może oznaczać zakaz lub zezwolenie na wykonanie niektórych czynności. Nawet przywrócenie systemu pochodzi z kopii rejestru. Po wybraniu ostatniej działającej konfiguracji ostatnio zapisany plik REG jest odczytywany jako pierwszy i dopiero wtedy następuje start. Ustawienie zasad grupy określone w rejestrze jest uruchamiane wcześniej, niż te parametry są zdefiniowane w "natywnym" edytorze.
Jak otworzyć zasady grupy w rejestrze? W menu Uruchom wpisz polecenie regedit, użyj wyszukiwania (Ctrl + F) i ustaw zasady jako bieżącą wartość. W znalezionych sekcjach będzie można zmienić dowolne klucze, ale tylko wtedy, gdy logowanie odbywa się na poziomie administratora (jeśli nie ma uruchamiania z poziomu administratora w konsoli Uruchom, plik można otworzyć w folderze System32 za pomocą PCM).
Ale nawet nie wszyscy analitycy systemu wiedzą, że w samym edytorze ustawienia zasad grupy można wprowadzać nie tylko na poziomie szablonów administracyjnych, które odgrywają podstawową rolę, wprowadzanie niektórych poleceń może zasadniczo zmienić ustawienia systemowe, takie jak:
Jeśli chodzi o ustawienia zaawansowane, które zapewnia klient zasad grupy, mają one skonfigurować opcje, które nie są dostarczane bezpośrednio przez systemy Windows. Uważa się, że te systemy operacyjne nie uprzednio ustalają uprzednio uprawnień i zakazów, dlatego można osiągnąć, że ustawienia będą odpowiadały trybowi użytkownika i selektywnie dla każdego systemu Windows.
Można to osiągnąć za pomocą tak zwanych zasad CRUD, które ustanawiają dodatkowe preferencje. Innymi słowy, administrator może uzyskać rozszerzony interfejs systemu operacyjnego, który nie odbiega zbytnio od standardowego, z wyjątkiem symboli używanych w zielonych i czerwonych ustawieniach. Zielony odpowiada aktywacji ustawionego parametru, gdy jest przetwarzany przez klienta, czerwony oznacza, że jest on wyłączony lub nieobsługiwana.
W ten sposób ustawienia są wprowadzane dla każdego pojedynczego systemu, w którym można edytować opcje menu Start (widok standardowy, liczba wyświetlanych programów, rozmiar płytek itp.). itp.), schematy zasilania, logowanie użytkownika i wiele więcej. Ale nie wszystkie parametry można zmienić. Na przykład wyświetlanie zawartości paneli i ustawień domyślnych programu Internet Explorer zależy wyłącznie od zainstalowanej wersji. Edytowanie parametrów płytek w menu Start nie jest dostępne w modyfikacjach systemu poniżej ósmego.
Ogólnie, takie ustawienia pozwalają uzyskać bardziej elastyczne zarządzanie systemem, w którym instalujesz spersonalizowane opcje.
Aby szybko zarządzać ustawieniami, możesz użyć klawiszy funkcyjnych F5-F8:
Jednak nie zawsze można coś zmienić. Klient może po prostu nie pracować w pewnym momencie, na przykład z powodu krótkoterminowych awarii samego systemu lub ekspozycji wirusowej. W takim przypadku musisz zaktualizować zasady grupy. Nie można tego zrobić w edytorze. Dlatego konieczne jest użycie wiersza poleceń, który jest rodzajem zunifikowanego narzędzia, aby wyeliminować wiele problemów z awarią systemu.
Aktualizowanie Zasad Grupy (wymuszane) zwykle odbywa się za pomocą polecenia gpupdate / force lub dodatków pokazanych na powyższym obrazku. Niektórzy uważają, że wystarczy tylko zrestartować system lub zmienić użytkownika. Tak nie jest. Z powodu efektu nie dostaniesz. Ale wiersz aktualizacji określony powyżej daje natychmiastowy wynik. To prawda, konsola poleceń musi być uruchomiona jako administrator. W przeciwnym razie użytkownik nie otrzyma uprawnień do wykonywania w nim poleceń.
Uważa się, że na poziomie lokalnym nie ma sensu zmieniać ustawień polityka. Instalacja niestandardowych zaawansowanych opcji może być najczęściej stosowana w systemach korporacyjnych z rozbudowanymi sieciami lokalnymi w przedsiębiorstwach lub biurach.
W tym sensie administrator systemu, który zarządza komputerami podrzędnymi z centralnego serwera, może, jak to się mówi, uprościć życie zarówno samym sobie, jak i zwykłym pracownikom, dokonując jednorazowych odpowiednich ustawień. Jednocześnie nie ma znaczenia, jaki rodzaj modyfikacji systemu operacyjnego jest zainstalowany na komputerach sieciowych lub w jaki sposób są one ładowane (na przykład przez sieć, jeśli w terminalach podrzędnych nie ma żadnych dysków twardych).
Dokładnie w jaki sposób ustawienia zostaną wprowadzone, administrator sam zdecyduje. Wszystko zależy od sposobu ładowania systemów operacyjnych na komputerach lokalnych. Z jednej strony wydaje się, że używanie klienta grupowego lub lokalnego wygląda łatwiej. Z drugiej strony, działania z rejestrem systemu mają zwiększony priorytet. Nie można anulować wykonanych w nim akcji, nie mówiąc już o tym, że nowo zainstalowane opcje w edytorze polityki staną się po prostu niedostępne.
Rejestr można jednak edytować, gdy system operacyjny jest ładowany z serwera centralnego, na przykład podczas podłączania terminali sieciowych za pomocą schematu gwiaździstego. Na pojedynczych komputerach z zainstalowanymi na nich systemami operacyjnymi przeglądanie parametrów jest absolutnie zbędne, dlatego lepiej jest tu użyć ustawień zasad. Jednak przy znajomości tego pytania, niektóre parametry mogą być ustawione dla klienta, a niektóre (szczególnie ważne) mogą być edytowane w rejestrze. Nic złego się nie stanie, nawet jeśli niektóre ustawienia są powielane zarówno tam, jak i tam.
Oto krótki i wszystko, co dotyczy preferencji. Oczywiście dla zwykłego użytkownika zrozumienie istoty wszystkiego, co przedstawiono powyżej, może wydawać się nieco skomplikowane. Jednakże, jeśli chcesz zrozumieć takie ustawienia subtelności (szczególnie dla początkujących administratorów systemu), będziesz musiał uczyć się absolutnie wszystkiego. I, według prawdziwych ekspertów w tej dziedzinie, trzeba w praktyce współpracować z politykami i nie znać pytania na poziomie danych teoretycznych i artykułów. Jak mówią, będzie pożądanie. I możesz zacząć odkrywać opcje, których używasz z tym samym edytorem, w którym wybierasz szablony administracyjne, w których wskazane są zarówno główne reguły dla ustawień lokalnych i grupowych. Reszta to kwestia techniki. Zrozumienie przyjdzie z czasem, jeśli naprawdę zaczniesz to robić.
Jeśli podsumujemy trochę, pozostaje tylko dodać, że preferencje są tworzone, aby wybrać wymagane opcje i ustawienia, a nie ograniczać się wyłącznie do zakazów i uprawnień. A to z kolei pozwala bardzo elastycznie zarządzać dowolnym systemem. Oczywiście osobno należy zauważyć, że takie zaawansowane ustawienia nie są absolutnie niezbędne dla zwykłego użytkownika, ale pod warunkiem, że kilku użytkowników może być zarejestrowanych na jednym terminalu, czasami może być przydatne ustawienie odpowiednich preferowanych opcji. Ale dość często trzeba nawet zainstalować to samo kontrola rodzicielska Jeśli dziecko może pracować na komputerze innym niż dorosły rodzice. Wszystko to jest całkowicie elementarne w systemach Windows.