Редактор групповой политики

Редактор групповой политики

Содержание

Административные шаблоны

Узел «Административные шаблоны» является крупнейшим из всех возможных расширений групповой политики и включает тысячи параметров для приложений и компонентов операционной системы Windows. Каждому параметру политики административных шаблонов соответствует определенный параметр системного реестра. Политики в узле «Административные шаблоны» конфигурации компьютера изменяют значения реестра в ключе HKEY_LOCAL_MACHINE (или просто HKLM), а политики в узле «Административные шаблоны» конфигурации пользователя — HKEY_CURRENT_USER (HKCU). В некоторых источниках административные шаблоны могут называться политиками на основе реестра. В рамках этой статьи будет рассматриваться узел «Административные шаблоны» для локального компьютера. О применении настроек административных шаблонов для нескольких компьютеров или пользователей, входящих в домен будет рассказываться в одной из последующих статей.

Для системных администраторов узел «Административные шаблоны» предоставляет возможности динамического управления операционной системой. Несмотря на то, что администратору понадобится немало времени на настройку этого узла, все изменения, примененные при помощи групповых политик, невозможно будет изменить средствами пользовательского интерфейса.

Административные шаблоны операционных систем Windows 7 и Windows Server 2008 R2 теперь поддерживают мультистроковые значения (REG_MULTI_SZ) и значения реестра QWORD, что значительно расширяет возможности групповой политики. Благодаря этим нововведениям вы можете применять административные шаблоны для управления тех приложений, которые используют в реестре значения типа REG_MULTI_SZ и QWORD. Может возникнуть следующий вопрос: «В чем же могут быть преимущества этих двух типов значений реестра по сравнению с параметрами политики административных шаблонов предшествующих операционных систем?».

При помощи типа значений реестра QWORD вы можете изменять параметра политики административных шаблонов для 64-разрядных приложений, а при помощи значений реестра REG_MULTI_SZ — вводить несколько строк текста, добавлять новые позиции строки, выбирать одну или несколько записей, а также удалять выбранные записи.

Большинство настроек политик административных шаблонов располагаются в следующих разделах системного реестра:

  • HKEY_LOCAL_MACHINE\SOFTWARE\policies — конфигурация компьютера;
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies — конфигурация компьютера;
  • HKEY_CURRENT_USER\SOFTWARE\policies — конфигурация пользователя;
  • HKEY_ CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies — конфигурация пользователя.

Для того чтобы изменить параметры существующей политики административных шаблонов, выполните следующие действия:

  1. Откройте оснастку «Редактор локальной групповой политики»;
  2. В дереве консоли разверните узел «Административные шаблоны», после чего откройте узел, содержащий нужный для вас параметр политики, например: Конфигурация пользователя\Административные шаблоны\Проводник Windows;

  3. Просмотрите параметры, которые расположены в этом узле. В области сведений вы можете прочитать подробную информацию об интересующем вас параметре политики. Нажмите левой кнопкой мыши на том параметре политики, конфигурацию которого вы планируете изменить, например, параметр «Максимально доступный размер корзины»;
  4. Откройте диалоговое окно свойств параметра политики. Открыть это окно вы можете следующими способами:
    • перейдите по ссылке «Параметр политики» в области сведений;
    • дважды щелкните левой кнопкой мыши на выбранном параметре;
    • в области действий выберите «Дополнительные действия», а затем команду «Изменить»;
    • откройте меню «Действие», а затем выберите команду «Изменить».
  5. В окне с названием политики (в нашем случае — «Максимально допустимый размер Корзины») вы можете выполнить следующие действия:
    • Выбрать одну из опций, отвечающую за состояние параметра. При выборе опции «Не задано» значение параметра реестра не изменяется. Если будет выбран параметр «Включить», в системном реестре будет выбрано значение, включающее параметр данной политики. Значение «Отключить», в свою очередь, выполняет действие, отключающее условия, указанные в параметре политики;
    • Добавить комментарий в специально отведенном для этого текстовом поле;
    • При необходимости указать параметр для включенной политики. В нашем случае, в качестве параметра вам нужно указать процент объема жесткого диска, который будет использоваться (значение должно быть от 0 до 100);
    • В текстовом поле «Справка» вы можете прочитать подробную информацию о данном параметре политики.

  6. Для того чтобы выбрать следующий или предыдущий параметр политики, нажмите на кнопку «Предыдущий параметр» или «Следующий параметр» в правой верхней части диалогового окна. После внесения изменений нажмите на кнопку «ОК».

В операционных системах Windows 7 и Windows Server 2008 R2 диалоговое окно параметров политики административных шаблонов значительно изменилось. В предыдущих операционных системах, это диалоговое окно содержало три вкладки: «Параметр», где можно было включать или отключать настройки выбранной политики; «Объяснение», вкладка, предназначенная для отображения справочной информации; «Комментарий», вкладка, позволяющая вводить дополнительную информацию о параметре политики. Теперь все эти настройки присутствуют только на одной вкладке, что избавляет вас от выполнения лишних действий.

Фильтрация узла «Административные шаблоны»

В оснастке «Редактор локальной групповой политики», начиная с операционных систем Windows Vista и Windows Server 2008, появилось еще одно важное нововведение — фильтрация параметров политики административных шаблонов. Данные фильтры позволяет вам выполнять поиск определённых параметров политики на основании:

  • управляемых, настраиваемых, а также комментируемых параметров политики;
  • ключевых слов заголовка параметра политики, справки или комментария;
  • требовании к платформе или приложениям.

Для того чтобы создать фильтр, выполните следующие действия:

  1. Откройте оснастку «Редактор локальной групповой политики»;
  2. В дереве консоли перейдите к узлу «Административные шаблоны»;
  3. Выберите команду «Параметры политики» одним из следующих способов:
    • Нажмите правой кнопкой мыши на узле «Административные шаблоны» и выберите команду «Параметры фильтра»;
    • Откройте меню «Действие», а затем выберите команду «Параметры фильтра»;
    • В области действий выберите «Дополнительные действия», а затем команду «Параметры фильтра».

Фильтрация с помощью свойств

Фильтрация с использованием свойств может быть реализована при помощи управляемых, настраиваемых параметров, а также с использованием комментариев.

Фильтрация по управляемым параметрам

Для административных шаблонов существуют два вида параметров политики: управляемые и неуправляемые. Управляемые параметры политики влияют на тип изменения конфигурации при применении параметра объектов групповой политики. Когда пользователь или компьютер больше не попадает под область действия объекта GPO, конфигурация автоматически возвращается в состояние по умолчанию. Неуправляемые параметры политики вносят постоянные изменения в реестр. Если объект групповой политики больше не применяется, изменение параметра остается в реестре. Это изменение по-другому называется татуировкой реестра. Все политики являются постоянными и не удаляются даже в том случае, если вы выберите любой из этих видов параметров политики. У этого фильтра по управляемым параметрам есть три состояния: «Любой», «Да», «Нет».

При указании значения «Любой», в редакторе локальной групповой политики будут отображаться все параметры политики административных шаблонов. При указании значения «Да», в редакторе будут отображаться только управляемые параметры политики административных шаблонов, а все неуправляемые параметры будут скрыты. При указании значения «Нет», в редакторе будут отображаться только неуправляемые параметры политики административных шаблонов, а все управляемые параметры будут скрыты.

Фильтрация по настроенным параметрам

У всех параметров политики административных шаблонов может быть только одно из трех возможных состояний: «Не задано», «Включить» и «Отключить».

  • «Не задано» — это состояние, которое применяется по умолчанию для всех параметров политики. Параметры политики в состоянии «Не задано» не влияют на пользователей или компьютеры. Включение параметра политики административных шаблонов задействует параметр политики;
  • «Включить» — это состояние, которое указывает на то, что действие, применяемое в данном параметре политики должно применяться к компьютеру или пользователю;
  • «Отключить» — это состояние, которое указывает на то, что действие, применяемое в данном параметре политики не должно применяться к компьютеру или пользователю.

У этого фильтра есть три состояния: «Любой», «Да», «Нет».

При указании значения «Любые», в редакторе локальной групповой политики будут отображаться все параметры политики административных шаблонов. Это значение является параметром по умолчанию для данного фильтра. При указании значения «Да», в редакторе будут отображаться только настроенные параметры политики административных шаблонов, а все ненастроенные параметры будут скрыты. При указании значения «Нет», в редакторе будут отображаться только ненастроенные параметры политики административных шаблонов, а все настроенные параметры будут скрыты.

Фильтрация по комментариям

Поиск и фильтрация также может выполняться на основе комментариев политики. Как говорилось ранее, в параметры политики административных шаблонов можно добавлять комментарии (обычно они выполняются с целью документирования выполняемого действия).

У этого фильтра есть три состояния: «Любой», «Да», «Нет».

При указании значения «Любые», в редакторе локальной групповой политики будут отображаться все параметры политики административных шаблонов. Это значение является параметром по умолчанию для данного фильтра. При указании значения «Да», в редакторе будут отображаться только прокомментированные параметры политики административных шаблонов, а все параметры без комментариев будут скрыты. При указании значения «Нет», в редакторе будут отображаться только параметры политики административных шаблонов, не имеющие комментариев, а все параметры с комментариями будут скрыты.

Пример использования фильтрации при помощи свойств:

  1. Откройте оснастку «Редактор локальной групповой политики»;
  2. В дереве консоли перейдите к узлу «Административные шаблоны»;
  3. Перейдите к узлу «Панель управления\Персонализация»;
  4. Откройте параметр «Запретить изменение фона рабочего стола», включите его и введите комментарий, например «При помощи этого параметра пользователь не сможет изменять фон рабочего стола штатными средствами» и нажмите на кнопку «ОК»;
  5. Перейдите к узлу «Система\Варианты действий после нажатия CTRL+ALT+DEL». Откройте параметр «Запретить завершение сеанса». Отключите его, в комментариях введите «Включает все команды меню и кнопки, позволяющие выйти из системы» и нажмите на кнопку «ОК»;
  6. Перейдите к узлу «Общие папки». Откройте параметр «Разрешить публикацию общих папок». Для этого параметра только добавьте комментарий, например: «Позволяет публиковать общие папки в домене Active Directory» и нажмите на кнопку «ОК»;
  7. Откройте диалоговое окно «Параметры фильтра»;
  8. В группе «Выберите тип отображаемых параметров политики», установите для фильтрации по управляемым параметрам значение «Любой», для фильтрации по настроенным параметрам — значение «Да», а для фильтрации по комментариям — значение «Да» и нажмите на кнопку «ОК»;

Включите фильтрацию. Для этого:

  • Нажмите правой кнопкой мыши на узле «Административные шаблоны» и выберите команду «Фильтр»;
  • Откройте меню «Действие», а затем выберите команду «Фильтр»;
  • В области действий выберите «Дополнительные действия», а затем команду «Фильтр»;
  • Нажмите на кнопку «Фильтр» на панели инструментов.

После того как фильтр будет включен, в узле «Административные шаблоны» отобразятся только следующие параметры политики:

Причем в каждом из трех узлов доступны лишь те параметры политики, которые вы настраивали в предыдущих процедурах.

Использование фильтров по ключевым словам

Помимо вышеперечисленных фильтров вы можете создавать фильтр на основании ключевых слов. Ключевыми словами могут быть заголовки параметров политики административных шаблонов, текст, который отображается в справочной информации к параметру политики, а также комментарии, которые вы добавляли вручную. Для того чтобы выбрать определенное свойство, вы можете снять флажки с ненужных для вас параметров.

Также вы можете управлять отображением параметров политики при помощи одного из следующих фильтров:

  • «Любой» — это фильтр, который содержит любое слово, находящееся в текстовом поле «Фильтры по словам».
  • «Все» — это фильтр, который содержит все слова, находящиеся в текстовом поле «Фильтры по словам».
  • «Точное» — это фильтр, который содержит точное соответствие слов, находящихся в текстовом поле «Фильтры по словам».

Пример использования фильтрации по ключевым словам:

  1. Откройте оснастку «Редактор локальной групповой политики»;
  2. В дереве консоли перейдите к узлу «Административные шаблоны»;
  3. Откройте диалоговое окно «Параметры фильтра»;
  4. Установите флажок в группе «Включить фильтры по ключевым словам»;
  5. В текстовом поле «Фильтры по словам» введите следующее: «Максимально, Directory, 4294967200» и выберите команду «Все» из раскрывающегося списка, расположенного справа от текстового поля;
  6. Снимите флажок с опции «Заголовок параметра политики» и нажмите на кнопку «ОК»;

  7. Примените фильтр.

Как видно на следующем скриншоте, фильтр отобразил только те параметры, в справке или комментарии которых были все ключевые слова. В этом случае, эти слова встречаются в справочной информации к параметру «Установить интервал повторного поиска контроллера домена».

Если в параметрах этого фильтра выбрать «Любое» значение, то в дереве консоли отобразится значительно больше узлов, содержащих параметры с текущими ключевыми словами:

Фильтры по требованию

В оснастке «Редактор локальной групповой политики» существует еще третий способ фильтрации параметров политики — «Фильтрация по требованию». При помощи этого способа фильтрации, вы можете отобразить параметры, соответствующие всем выбранным платформам или отобразить параметры, соответствующие любым из выбранных платформ. По требованию «Включить параметры, соответствующие любым из выбранных платформ» будут отображаться параметры политики административных шаблонов, которые соответствуют любому из элементов, выбранных в управляемом списке. Указав требование «Включить параметры, соответствующие всем выбранным платформам», фильтр отобразит только те параметры, которые соответствуют всем выбранным элементам одновременно.

Пример использования фильтрации по требованию:

  1. Откройте оснастку «Редактор локальной групповой политики»;
  2. В дереве консоли перейдите к узлу «Административные шаблоны»;
  3. Откройте диалоговое окно «Параметры фильтра»;
  4. Установите флажок в группе «Включить фильтры по требованиям»;
  5. В раскрывающемся списке «Включить параметры, соответствующие всем выбранным платформам», и установите флажки на значениях «Семейство Windows 7 > Windows 7» и «Семейство Windows Vista > Vista», после чего нажмите на кнопку «ОК»;

  6. Примените фильтр.

Фильтр отобразил параметры, операционная система которых не должна быть старше Windows Vista.

Добавление и удаление шаблонов

Кроме всех вышеперечисленных возможностей, оснастка «Редактор локальной групповой политики» позволяет добавлять файлы классических административных шаблонов (*.adm-файлы, которые не используют формат XML). В операционных системах, начиная с ОС Windows Vista и Windows Server 2008, по умолчанию шаблоны с расширением .adm не используются. Но редактор локальной групповой политики все еще может распознавать такие шаблоны, и при необходимости вы их можете добавить в узел «Классические административные шаблоны». Для того чтобы добавить такой шаблон, выполните следующие действия:

  1. Откройте оснастку «Редактор локальной групповой политики»;
  2. В дереве консоли перейдите к узлу «Административные шаблоны»;
  3. Выберите команду «Добавление и удаление шаблонов» одним из следующих способов:
    • Нажмите правой кнопкой мыши на узле «Административные шаблоны» и выберите команду «Добавление и удаление шаблонов»;
    • Откройте меню «Действие», а затем выберите команду «Добавление и удаление шаблонов»;
    • В области действий выберите «Дополнительные действия», а затем команду «Добавление и удаление шаблонов».

  4. Для добавления шаблона нажмите на кнопку «Добавить». В диалоговом окне «Шаблоны политики», передвигаясь по дереву каталогов, откройте папку, содержащую нужный файл. В диалоговом окне будут выведены все файлы с расширением *.adm. После того как нужное изображение будет найдено, выделите его, щелкнув на нем левой кнопкой мыши, что поместит его имя в строку для ввода имени файла и нажмите на кнопку «Открыть».
  5. Для удаления шаблона в диалоговом окне «Добавление и удаление шаблонов», выберите шаблон, который хотите удалить и нажмите на кнопку «Удалить».

    В этой статье рассказывается об узле «Административные шаблоны» оснастки «Редактор локальной групповой политики». При помощи этой статьи вы узнали, как можно использовать этот узел, изменять параметры политики, а также фильтровать параметры политики, отображаемые в узле административных шаблонов тремя методами. Также был описан метод добавления устаревших файлов шаблонов административных политик в оснастку «Редактор локальной групповой политики». О методах создания собственных шаблонов административных политик будет рассказано в одной из следующих статей.

Ссылки по теме

  • Купить продукты Microsoft в интернет-магазине itshop.ru
  • Купить Windows 7 в интернет-магазине itshop.ru
  • Курсы обучения по Windows 7

> Настройка Меню «Пуск» и Панель задач через Редактор локальной групповой политики

Редактор локальной групповой политики является оснасткой консоли управления Microsoft (MMC) и используется для редактирования объектов локальной групповой политики (GPO). В Windows Server 2008 R2 и версиях Windows 7 Профессиональная, Максимальная и Корпоративная доступны редактор локальной групповой политики и оснастка «Результирующая политика».

Как открыть редактор локальной групповой политики (Консоль управления)

  1. С помощью поиска Win+Q находим консоль управления, для этого вводим в поисковую строку MMC.
  2. В консоли управления открываем меню Файл и выбираем пункт Добавить или удалить оснастку (для быстрого открытия этого пункта можно использовать комбинацию клавиш Ctrl+M в консоли управления).
  3. Дальше выделяем пункт Редактор объектов групповой политики и нажимаем Добавить > Готово > ОК.

Плюсом данного способа есть возможность сохранить файлы консоли управления хоть на рабочем столе и при необходимости иметь возможность быстро запускать консоль.

Выводы

Редактор локальной групповой политики часто используют пользователи для настройки операционной системы. Изменив групповую политику можно настраивать компьютер. Именно поэтому даже у нас на сайте можно найти множество статей где используется редактор групповой политики.

В этой статье мы рассмотрели лучшие способы как открыть редактор локальной групповой политики в Windows 10 Профессиональная. Сами же отдаем предпочтение способу открытия редактора с использованием окна выполнить.

Редактор локальной групповой политики Windows для начинающих

06.06.2014&nbsp windows | для начинающих

В этой статье поговорим о еще одном инструменте администрирования Windows — редакторе локальной групповой политики. С его помощью вы можете настроить и определить значительное количество параметров своего компьютера, установить ограничения пользователей, запретить запускать или устанавливать программы, включить или отключить функции ОС и многое другое.

Отмечу, что редактор локальной групповой политики недоступен в Windows 7 Домашняя и Windows 8 (8.1) SL, которые предустановлены на многие компьютеры и ноутбуки (однако, можно установить Редактор локальной групповой политики и в домашней версии Windows). Вам потребуется версия начиная с Профессиональной.

Дополнительно на тему администрирования Windows

  • Администрирование Windows для начинающих
  • Редактор реестра
  • Редактор локальной групповой политики (эта статья)
  • Работа со службами Windows
  • Управление дисками
  • Диспетчер задач
  • Просмотр событий
  • Планировщик заданий
  • Монитор стабильности системы
  • Системный монитор
  • Монитор ресурсов
  • Брандмауэр Windows в режиме повышенной безопасности

Примеры использования

Перейдем к использованию редактора локальной групповой политики. Я покажу несколько примеров, которые позволят увидеть, как именно производятся настройки.

Разрешение и запрет запуска программ

Если вы пройдете в раздел Конфигурация пользователя — Административные шаблоны — Система, то там вы обнаружите следующие интересные пункты:

  • Запретить доступ к средствам редактирования реестра
  • Запретить использование командной строки
  • Не запускать указанные приложения Windows
  • Выполнять только указанные приложения Windows

Два последних параметра могут быть полезными даже обычному пользователю, далекому от системного администрирования. Кликните дважды по одному из них.

В появившемся окне установите «Включено» и нажмите по кнопке «Показать» около надписи «Список запрещенных приложений» или «Список разрешенных приложений», в зависимости от того, какой из параметров меняется.

Укажите в строчках имена исполняемых файлов программ, запуск которых нужно разрешить или запретить и примените настройки. Теперь, при запуске программы, которая не разрешена, пользователь будет видеть следующее сообщение об ошибке «Операция отменена из-за ограничений, действующих на этом компьютере».

Изменение параметров контроля учетных записей UAC

В разделе Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности имеется несколько полезных настроек, одну из которых можно и рассмотреть.

Выберите параметр «Контроль учетных записей: поведение запроса на повышение прав для администратора» и дважды кликните по нему. Откроется окно с параметрами этой опции, где по умолчанию стоит «Запрос согласия для исполняемых файлов не из Windows» (Как раз поэтому, всякий раз, при запуске программы, которая хочет изменить что-то на компьютере, у вас запрашивают согласие).

Вы можете вообще убрать подобные запросы, выбрав параметр «Повышение без запроса» (только этого лучше не делать, это опасно) или же, напротив, установить параметр «Запрос учетных данных на безопасном рабочем столе». В этом случае, при запуске программы, которая может внести изменения в системе (а также для установки программ) каждый раз потребуется вводить пароль учетной записи.

Сценарии загрузки, входа в систему и завершения работы

Еще одна вещь, которая может оказать полезной — скрипты загрузки и выключения, которые вы можете заставить выполняться с помощью редактора локальной групповой политики.

Это может пригодиться, например, для запуска раздачи Wi-Fi с ноутбука при включении компьютера (если вы реализовывали ее без сторонних программ, а создав Wi-Fi сеть Ad-Hoc) или выполнения операций резервного копирования при выключении компьютера.

В качестве скриптов можно использовать командные файлы .bat или же файлы сценариев PowerShell.

Сценарии загрузки и выключения находятся в Конфигурация компьютера — Конфигурация Windows — Сценарии.

Сценарии входа в систему и выхода — в аналогичном разделе в папке «Конфигурация пользователя».

Например, мне нужно создать сценарий, выполняемый при загрузке: я дважды кликаю по «Автозагрузка» в сценариях конфигурации компьютера, нажимаю «Добавить» и указываю имя файла .bat, который следует выполнить. Сам файл должен находится в папке C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup (этот путь можно увидеть по нажатию кнопки «Показать файлы»).

В случае, если сценарий требует ввода каких-то данных пользователем, то на время его исполнения дальнейшая загрузка Windows будет приостановлена, до завершения работы скрипта.

Административные шаблоны в Windows 7: основы

“Административные шаблоны” или “Административные политики” в Windows 7 – это специально созданный файл, в котором находятся настройки реестра. Операционная система считывает эти настройки как при запуске, так и при входе пользователя.

Параметры “Административных шаблонов” находятся в Редакторе локальной групповой политики, и присутствую как в узле “Конфигурация компьютера“, так и в узле “Конфигурации пользователя“.

Так что же такое политика и как ими пользоваться

Рассмотри такое известное свойства рабочего стола Windows 7, как “Обои“. Вы можете поменять обои в любое время, так же и сменить заставку, тему. Все это пользовательские свойства. Политики, устанавливаемые администратором имеют более высокий приоритет, чем свойства пользователя. В системе приоритеты политик и свойств распределяются следующим образом:

  • Политика и свойства не установлены – применяются параметры по умолчанию
  • Политика не установлена, применено пользовательское свойство – система использует свойство пользователя.
  • Политика установлена, свойство не используется – система будет использовать политику.
  • Политика установлена и установлено пользовательское свойство – система будет использовать политику, а свойство нет

Вывод прост: если применена политика, установлена администратором, то все попытки пользователя изменить свойства останутся без результата.

Еще одно большое преимущество “Административных шаблонов” – это изменение параметров конфигурации без редактора реестра (regedit). Не надо искать в реестре раздел, имя ключа или параметра. Достаточно войти в “Редактор локальной групповой политики” и изменить состояние нужной политики, тем более, что политика управляет окружением всех пользователей. Администратору достаточно изменить состояние политики, чтобы изменения были применены для всех пользователей.

Примечание: чтобы изменять параметры в “Редакторе локальной политики“, необходимо иметь права “Администратора“.

Запуск “Редактора локальной политики”

Чтобы открыть “Редактор локальной групповой политики” нажмите кнопку Пуск – Выполнить и введите команду gpedit.msc, и нажмите клавишу ОК. В открывшемся “Редакторе локальной групповой политики” видим “Административные шаблоны” присутствуют как в “Конфигурации компьютера“, так и в “Конфигурации пользователя“. Соответственно параметры “Конфигурации компьютера” находятся в разделе HKEY_LOCAL_MACHINE\Software\Policies, а параметры “Конфигурации пользователя” в разделе HKEY_CURRENT_USER\Software\Policies.Так же параметры могут быть и в разделе SOFTWARE\Microsoft\Windows\CurrentVersion\Policies. Доступ к этим параметрам имеют только администраторы.

Практическое применение политик

Вернемся к свойству экрана и посмотрим, как можно отключить этот параметр. Запускаем Редактор локальной групповой политики. В левой панели переходим в раздел Конфигурация пользователя – Административные шаблоны – Панель управления – Окно свойств экрана. В правой панели два раза кликаем мышкой на “Отключить окно свойств экрана в панели управления“. Как видим политика имеет три состояния:

  • Не задано – применяется свойство пользователя.
  • Включить – в этом состоянии в реестре значение параметра меняется на 1 (или 0), что соответствует активному состоянию
  • Выключить – соответствующий параметр в реестре имеет значение 0

Если выбрать состояние Включить, то при попытке открыть окно свойств экрана, появится сообщение, что выполнение этого действия запрещено.

Как видим “Административные шаблоны” достаточно мощный инструмент в управление компьютером, тем более, что в Windows 7 эти политики были значительно обновлены и расширены. Применение тех или иных политик требует определенной осторожности, достаточно посмотреть список политик, который находится в Административных шаблонах.

В этой небольшой статье мы затронули лишь малую часть возможностей Административных шаблонов. Более подробно узнать о Редакторе локальной групповой политики можно из справки, которая вызывается из меню редактора. В этой справке есть большой раздел по настройке Internet Explorer.

04.11. Раздел Настройка

В данной статье мы рассмотрим вопрос дополнительной защиты с использованием групповой политики Windows. Одна из небольшого списка полезных возможностей операционной системы Windows — запрет запуска исполняемых файлов вредоносных и потенциально опасных программ.

Как настроить запрет запуска исполняемых файлов из каталога?

Рассмотрим более надежный и удобный вариант запрета запуска исполняемых файлов.

Открываем настройку Групповой политики Windows. Для этого запускаем Run (Пуск-Выполнить). Вводим gpedit.msc и нажимаем ОК.

В открывшемся окне переходим в раздел Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Политики ограниченного использования программ — Дополнительные правила.

Если у вас отсутствует папка «Дополнительные правила», то необходимо нажать на Политики ограниченного использования программ правой кнопкой мыши и нажать на «Создать политики ограниченного использования программ». Затем переходите в папку «Дополнительные правила».

В данной папке нажимаем правой кнопкой — «Создание правила для пути».

Нам необходимо создать правило, запрещающее запуск исполняемых файлов с расширением *.ехе из каталога %AppData%.

В поле путь прописываем «%appdata%\*.exe», уровень безопасности «Запрещено», описание на ваше усмотрение.

Данным правилом мы запретили запуск *.exe только в папке %appdata%, но в данной папке есть много различных подпапок, в которых тоже необходимо запретить выполнение данных файлов. Поэтому создаем еще одно правило для подпапок. Для этого делаем все тоже самое, но путь указываем «%appdata%\*\*.exe».

Но этого не достаточно для безопасности. Вредоносные программы могут запускаться из других мест. Наиболее популярные места хранения вредоносных программ рассмотрим ниже.

Какие пути можно прописать для запрета запуска исполняемых файлов?

%LocalAppData%\*.exe – Запрет запуска файлов из %LocalAppData%.

%LocalAppData%\*\*.exe – Запрет файлов запуска из вложенных каталогов %LocalAppData%.

%LocalAppData%\Temp\Rar*\*.exe – Запрет запуска exe файлов из архивов, открытых с помощью WinRAR.

%LocalAppData%\Temp\7z*\*.exe – Запрет запуска exe файлов из архивов, открытых с помощью 7zip.

%LocalAppData%\Temp\wz*\*.exe – Запрет запуска exe файлов из архивов, открытых с помощью WinZip.

%LocalAppData%\Temp\.zip*\*.exe – Запрет запуска exe файлов из архивов, открытых с помощью встроенного архиватора Windows.

%Temp%\*.exe – Запрет запуска exe файлов из каталога %temp%.

%Temp%\*\*.exe – Запрет запуска exe файлов из вложенных каталогов %temp%.

После создания правил необходимо применить их. Правила начнут действовать после перезагрузки компьютера, либо после выполнения команды «gpupdate /force» в командной строке.

PS: имейте ввиду, что недостаточно заблокировать файлы только с расширением .exe. Вирусы могут быть и с другими расширениями, например, *.bat,*.vbs, *.js, *.wsh и т.п.

И помните, что у вас могут возникнуть проблемы с установкой и обновлением легальных программ, т.к. многие используют заблокированные выше пути для своих файлов с расширением .exe и т.п.

Также можно ознакомиться со статьей “Отключаем потенциально опасные службы Windows“.

Полезный текст? Поделись с друзьями!

Запрет запуска программ через Редактор групповых политик

Запускаем редактор локальных Групповых политик, для этого открываем меню Пуск, в строке поиска вводим gpedit.msc и нажимаем Ввод.

В открывшемся окне открываем раздел Конфигурация пользователя\Административные шаблоны\Система.

В правой части окна находим два параметра:

  1. Не запускать указанные приложения Windows — будут разрешены все приложения, кроме перечисленных.
  2. Выполнять только указанные приложения Windows — будут запрещены все приложения, кроме перечисленных.

Предположим, что я хочу выбрать второй пункт Выполнять только указанные приложения Windows — открываю его двойным нажатием мыши.

Устанавливаем радио переключатель в положение Включить, затем в разделе Параметры нажимаем кнопку Показать, для того, чтоб отобразить список разрешенных для запуска программ.

В появившемся диалоговом окне Show Contents можно ввести список программ, с которыми будет разрешено работать пользователям. По завершении нажмите ОК и закройте резактор локальных групповых политик.

Если пользователь попытается запустить программу, которой нет в списке разрешенных программ — система выдаст предупреждение и сделает запись в журнале событий Windows.

Обратите внимание: Если вы оставите список программ, как указан в моем примере, то вы не сможете ничего запустить, кроме браузера Mozilla Firefox, даже редактор групповой политики! Поэтому этот параметр групповой политики применяйте крайне обдумано!

Запрет запуска программ через реестр Windows

Как я уже упоминал в начале статьи, если у вас установлена домашняя версия Windows, то редактор групповых политик вам не будет доступен. В этом случае можно воспользоваться редактором реестра Windows и ограничить запуск программ через него.

Запустите редактор реестра Windows: Откройте меню Пуск (комбинация клавиш WIN + R) и в строке поиска введите regedit.

Найдите следующую ветвь реестра:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Если еще не создан, создайте новый параметр DisallowRun, имеющий тип 32-bit DWORD. Установите его значение в 1.

Затем в левой части редактора реестра, создайте новую ветвь, имеющую такое-же название, как и только что созданный параметр (DisallowRun).

После того, как ветвь создана, создайте внутри нее группу строковых переменных (имеющих тип String), с именем типа 1, 2, 3 и так далее. Значение каждой переменной должно содержать имя исполняемого файла, выполнение которого следует запретить. Например, для того, чтоб запретить запуск firefox, следует создать параметр:

Запрет запуска программ, используя групповые политики Windows очень полезен как для администрирования отдельных компьютеров, так и группы компьютеров, входящих в домен предприятия. В последнем случае настройка групповых политик делается централизованно на контроллере домена.

Основы работы с редактором локальной групповой политики в ОС Windows 10

Групповые политики — это параметры, управляющие функционированием системы. Групповая политика упрощает администрирование, предоставляя администраторам централизованный контроль над привилегиями, правами и возможностями пользователей и компьютеров.

Изменять групповые политики можно с помощью Редактора локальной групповой политики.

В редакциях операционной системы Windows 7 Starter, Home Basic и Home Premium редактор локальной групповой политики недоступен. Также он недоступен в редакциях Home Windows 8 и 10.

Групповые политики в Windows 10 позволяют управлять различными штатными средствами системы:

  1. Политики для настройки встроенного брандмауэра Windows;
  2. Политики для управления электропитанием;
  3. Политики для настройки панели управления, панели задач и др.
  4. Политики для настройки антивирусной защиты;
  5. Политики для управления подключаемых устройств;
  6. Политики для настройки штатных средств шифрования
  7. Политики для настройки штатного браузера;
  8. Политики для настройки беспроводных сетей и многое многое другое.

Для настройки параметров в операционной системе MS Windows 10 используется оснастка Редактор локальной групповой политики. Данная оснастка служит для просмотра и редактирования объектов групповой политики (Group Policy Object, GPO), в которых хранятся параметры локальных политик для компьютера и пользователей.

Оснастку Редактор объектов групповой политики можно запустить, например, введя в окне Выполнить, либо в поисковой строке gpedit.msc.

Рис.1 Окно Выполнить

Оснастка Локальная политика безопасности входит в состав оснастки Редактор

Для удобства можно добавить ярлык оснастки на рабочий стол. Для этого необходимо открыть C:\Windows\System32, выбрать правой клавишей мыши gpedit и отправить ярлык на рабочий стол.

Рис.2 Создание ярлыка для оснастки Редактор локальной групповой политики

Чтобы работать с объектами локальной групповой политики, необходимо войти в систему с учетной записью администратора.

Структура редактора групповой политики

Оснастка Редактор локальной групповой политики позволяет изменять политики, распространяющиеся как на компьютеры, так и на пользователей.

В панели пространства имен оснастки Редактор локальной групповой политики представлено два узла: Конфигурация компьютера и Конфигурация пользователя.

Узел Конфигурация компьютера содержит параметры политик, определяющих работу компьютера. Эти политики регулируют функционирование операционной системы, определяют права пользователей в системе, работу системных служб и средств безопасности и т. д.

Узел Конфигурация пользователя содержит параметры политик, определяющих работу пользователей.

Рис.3 Редактор локальной групповой политики

Изменение в групповых политиках по умолчанию в операционной системе Windows применяются через полтора часа (90 мин.). За данную настройку опять же отвечает отдельная политика. Частота обновления определяется политикой Интервал обновления групповой политики для компьютеров, которая расположена в узле Конфигурация компьютера > Административные шаблоны > Система > Групповая политика. Интервал указывается в минутах и определяет, как часто компьютер будет предпринимать попытку обновления политик. Рационально уменьшать интервал обновления групповой политики при частом применении изменений.

Рис.4 Настройка частоты обновления политик

Рис.5 Настройка частоты обновления политик

Если необходимо чтобы изменения групповых политик вступили в силу немедленно, можно принудительно применить измененные параметры, которые были внесены в редакторе локальной групповой политики несколькими способами:

  • осуществить перезагрузку операционной системы
  • использовать утилиту gpupdate.exe для принудительного обновления групповой политики. Для этого необходимо либо в окне Выполнить, либо в командной строке ввести gpupdate /force и нажать ОК.

Рис.6 Обновление политик в командной строке

С использованием параметра /target можно указать, будет ли это обновление параметров применяться только для пользователя или только для компьютера. Если не указано, обновляются параметры обеих политик.

Например, для выполнения обновления политик для пользователя, необходимо ввести gpupdate /target:user.

Рис.7 Обновление политик для пользователя в командной строке

Пример последовательности действий при редактировании определенной политики

Чтобы на примере рассмотреть настройку политик, в данной статье будет описан механизм скрытия всех апплетов Панели управления, кроме определенных. При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя большую часть апплетов Панели управления, оставив только необходимые. Для этого:

  • Войти в систему под учетной записью администратора.
  • Запустить Редактор локальной групповой политики
    • Открыть окно Выполнить,
    • Ввести gpedit.msc,
    • Нажать Enter.
  • Последовательно развернуть элементы Конфигурация пользователя > Административные шаблоны > Панель управления в окне Редактора локальной групповой политики.

Рис.8 Редактирование параметра политики Отображать только указанные объекты панели управления

  • Дважды щелкнуть ЛКМ по параметру политики Отображать только указанные объекты панели управления.
  • Выбрать значение Включено.

Рис.9 Редактирование параметра политики Отображать только указанные объекты панели управления

  • Нажать кнопку Показать, чтобы вызвать диалоговое окно Вывод содержания.
  • Ввести имя апплета или апплетов, которые необходимо показывать в Панели управления, и нажать Enter.

Рис.10 Список разрешенных элементов панели управления

  • Нажать OK.
  • Закрыть редактор локальной групповой политики
  • Проверить результат

Для некоторых политик, чтобы изменения вступили в силу сразу, необходимо в окне Выполнить ввести gpupdate /force.

Рис.11 Список элементов панели управления до изменения параметра локальной групповой политики

Рис.12 Список элементов панели управления после изменения параметра локальной групповой политики

Изменения, которые вносятся через редактор локальной групповой политики, будут применены для всех учетных записей, зарегистрированных в системе, включая учетную запись администратора, который инициировал изменения.

Чтобы настраивать политики для конкретных пользователей, в операционной системе Windows применяется многоуровневая локальная групповая политика:

  • стандартная локальная групповая политика, позволяющая изменять системные и пользовательские настройки, которые будут применены для всех пользователей операционной системы;
  • групповая политика для администраторов и не администраторов. Эта групповая политика содержит только конфигурационные параметры пользователя и применяется в зависимости от того, является ли используемая учетная запись пользователя членом локальной группы Администраторы или нет;
  • групповая политика для конкретного пользователя. Эта групповая политика содержит только конфигурационные параметры конкретного пользователя

Последовательность действий при добавлении объектов групповой политики через консоль управления (Microsoft Management Console, MMC)

Добавление объекта групповой политики первого уровня

  • В окне Выполнить ввести MMC и нажать Enter
  • Открыть меню Файл и выбрать опцию Добавить или удалить оснастку

Рис.13 Добавление оснастки через консоль управления

  • Найти и выделить Редактор объектов групповой политики и нажать кнопку Добавить

Рис.14 Диалоговое окно Добавление и удаление оснасток

  • В открывшемся мастере групповой политики в поле Объект групповой политики оставить по умолчанию Локальный компьютер (первый уровень, стандартная локальная политика) и нажать кнопку Готово.

Рис.15 Диалоговое окно выбора объекта групповой политики

Добавление объекта групповой политики второго уровня

  • В окне Добавление и удаление оснасток добавить новую оснастку Редактор объектов групповой политики.
  • В мастере групповой политики в поле Объект групповой политики нажать кнопку Обзор.
  • На вкладке Пользователи выбрать Администраторы и нажать кнопку ОК и Готово

Рис.16 Настройка объекта групповой политики второго уровня

Добавление объекта групповой политики третьего уровня

  • В окне Добавление и удаление оснасток добавить новую оснастку Редактор объектов групповой политики.
  • В мастере групповой политики в поле Объект групповой политики нажать кнопку Обзор.
  • На вкладке Пользователи выбрать нужную учетную запись.
  • Нажать ОК, чтобы закрыть диалоговое окно Добавление и удаление оснасток.

Рис.17 Консоль управления

  • Для удобства, используя команды в главном меню Файл >Сохранить как, сохранить файл консоли управления на рабочем столе для последующего редактирования политик.

Теперь, используя данную консоль, можно настраивать политики для определенных пользователей.

Галашина Надежда Евгеньевна, старший преподаватель факультета методов и техники управления НИУ ИТМО Санкт-Петербурга. Специально для портала Comss.ru

Нашли опечатку? Выделите и нажмите Ctrl+Enter

Как открыть редактор локальной групповой политики в Windows 10.

Групповая политика — это способ настройки параметров компьютера и пользователя для устройств, которые присоединены к доменным службам Active Directory (AD), а также к учетным записям локальных пользователей. Она контролирует широкий спектр параметров и может использоваться для принудительного применения и изменения настроек по умолчанию для соответствующих пользователей. Локальная групповая политика — это базовая версия групповой политики для компьютеров, не входящих в домен. Параметры локальной групповой политики хранятся в следующих папках:

  • C: \ Windows \ System32 \ GroupPolicy
  • C: \ Windows \ System32 \ GroupPolicyUsers.

Когда в Windows 10 вам необходимо открыть редактор локальной групповой политики, для этого вы можете использовать командную строку, команду выполнить, поиск на панели задач, меню Пуск или с помощью консоли управления (MMC).

Рассмотрим самые простые варианты:

  1. C помощью меню Пуск.
  2. C помощью команды Выполнить.
  3. C помощью Проводника Windows.
  4. Открыть редактор локальной групповой политики в качестве оснастки консоли управления.
  5. Открыть редактор локальной групповой политики в Windows 10 Home.

Открыть редактор локальной групповой политики в Windows 10 Home.

Как вы уже знаете, приложение Редактора локальной групповой политики доступно в Windows 10 Pro, Enterprise или Education. Пользователи Windows 10 Home не имеют доступа к gpedit.msc из-за ограничений ОС. Вот простое и элегантное решение, которое позволяет разблокировать его без установки сторонних приложений.

Существует простой способ включить Редактор локальных групповых политик в Windows 10 Home запустив всего лишь один пакетный файл.

Чтобы включить Gpedit.msc (групповая политика) в Windows 10 Home

  1. Загрузите следующий ZIP-архив: .
  2. Распакуйте его содержимое в любую папку. Он содержит только один файл, gpedit_home.cmd
  3. Кликните правой кнопкой мыши по файлу.
  4. Выберите в контекстном меню «Запуск от имени администратора».

Все!

Пакетный файл вызовет DISM для активации редактора локальной групповой политики. Подождите, пока командный файл не завершит свою работу.

Помните, что некоторые политики не будут работать в Windows Home. Некоторые политики жестко заданы для версий Windows Pro. Кроме того, если вы активируете gpedit.msc с помощью предоставленного пакетного файла, изменение политик для отдельных пользователей не вступит в силу. Они по-прежнему требуют настройки реестра.

Вы можете самостоятельно создать пакетный файл. Прежде чем начать, рекомендуем создать точку восстановления системы, и вы могли в любой момент отменить произведенные изменения в системе.

  1. Откройте текстовый редактор, например «Блокнот».
  1. Скопируйте и вставьте следующие строки:

@echo off pushd «%~dp0″ dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >List.txt dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>List.txt for /f %%i in (‘findstr /i . List.txt 2^>nul’) do dism /online /norestart /add-package:»%SystemRoot%\servicing\Packages\%%i» pause

  1. В меню «Файл» текстового редактора выберите «Сохранить как» в диалоговом окне в строке «Имя файла» введите — gpedit.bat и нажмите кнопку «Сохранить».
  1. Запустите от имени Администратора полученный пакетный файл gpedit.bat
  1. При запросе фильтра Windows SmartScreen, нажмите «Подробнее», затем нажмите кнопку «Выполнить в любом случае».
  1. В окне Контроля учетных записей, нажмите кнопку «Да».
  1. Дождитесь пока утилита DISM внесет изменения и закройте окно.

Все! Редактор локальных групповых политик (gpedit.msc) включен и теперь Вы можете его запустить любым из описанных выше способов.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *