Предпочитания за групови правила. Задаване на групови правила в Windows
Сред настоящите системни администратори, да не говорим за обикновените потребители, има доста ограничен брой хора, които ясно разбират какви са предпочитанията на груповите политики. Не, в общ смисъл, има концепция. Повечето хора вярват, че редакторът на груповите политики е нещо като противоположност на средствата за промяна на ключовете в системния регистър. Да, отчасти така. Но регистърът по отношение на определянето на основните параметри е приоритет. Но не е необходимо да се бъркат груповите политики и предпочитания. Това са съвсем различни неща (по-нататък ще стане ясно защо).
Групова политика на Windows: какво е това?
За да започнете, нека се запознаем със самия термин. Какво представлява груповата политика "Windows"? Това е определен набор от правила, прилагани към настройките на самата операционна система или на инсталираните опции за всеки конкретен потребител, което, грубо казано, предопределя неговото състояние по отношение на промяната на определени параметри.
По този начин, задаването на групова политика позволява на всеки потребител да задава свои собствени приоритети за достъп до конфигурацията на системата, извикване на определени програми и маневриране на нивото на активиране или деактивиране на системните контроли или неговите компоненти. Но! Не бъркайте самите политики и задайте предпочитания. Първоначално те бяха разработени като своеобразно допълнение към възможностите на самите политики. В някои случаи те дори не зависят от политики, тъй като се използват в Windows системи с активиран домейн за достъп до Active Directory.
Какви са предпочитанията
Ако разбираме, като цяло, предпочитанията на груповата политика са по-скоро не догматични правила и настройки, а променливи опции.
Това означава, че ако искате да зададете някои приоритети за въвеждане, да промените настройките на "Desktop" или нещо друго, дайте или отменете правата за извършване на някои действия, разбира се, ще ви е необходимо разрешение. Всеки потребител вероятно е забелязал, че дори някои програми не могат да се изпълняват като администратор без правилно потвърждение. И въпросът тук, както се оказва, изобщо не е в настройките на защитата на системата или блокиране от защитната стена, а само в това, че политиката на локалната група е конфигурирана по такъв начин, че потребителят просто няма право да променя текущата конфигурация на системата.
Аналогов вход
Говорейки в общ смисъл, такива настройки могат наистина да се интерпретират като средство за управление на потребителските права при влизане в системата. Когато свържете собствената си сметка, регистрираният потребител получава някои права за промяна на конфигурацията на системата (или изобщо не ги получава, ако такива настройки са посочени на административно ниво).
Клиентът за групови правила просто регулира всички тези действия. Това е просто потребител, влязъл под собствената си регистрация, и в настройките веднага записал, че може да направи това не. На ниво нормален потребител, който няма администраторски права, няма да е възможно да се променят параметрите. Дори някои администраторски акаунти могат да бъдат блокирани. Това е политика, но не и предпочитание.
Проблеми с конфигурацията на системата
Конфигурирането на групови правила зависи до голяма степен от това какви разрешения трябва да се предоставят на регистриран потребител (дори на ниво администратор). Разбира се, можете да намалите степента на управление на UAC, но тя все още не предоставя на потребителя пълен контрол над извършените действия.
Но груповата политика на Windows от всяка версия, поне на началния етап на конфигуриране, ви позволява да конфигурирате вход (например, можете да зададете скрийнсейвър за всеки конкретен потребител, да показвате преки пътища на програмата на работния плот, да дадете достъп до командния ред и менюто Run "и т. д.). По-долу ще намерите пълно описание на параметрите и настройките.
В такава ситуация редакторът на груповите правила може да се използва за задаване на забрани за изпълнението на някои действия, но като цяло, ако направите съответните промени в регистъра, всички тези действия може да се окажат просто безсмислени. Ето защо.
Факт е, че когато системата започне, чете данните от регистъра, които се прехвърлят след инициализация на всички устройства в основната BIOS / UEFI система. И това е копие на държавата регистър е ключово условие за възстановяване. Оказва се, че изображението на твърдия диск не е необходимо да се записва. Просто създайте копие чрез функцията за експортиране и запишете файла с разширение .reg на всяко удобно място.
А привличането към груповите политики при стартиране ще се случи само на ниво регистър. В клона HKLM, ако отидете в секцията System (и не само там), има специална директория Policies, настройките на която напълно дублират опциите, зададени в груповите правила, но имат по-висок приоритет.
Каква е разликата между приоритетите и правилата на политиката?
Сега е време да разгледаме какво отличава предпочитанията на груповите политики от параметрите на самите политики. Това трябва да се разбира (поне на първоначалното ниво).
На първо място, заслужава да се каже, че предпочитанията на груповите политики в смисъл на задаване на правила за всеки конкретен потребител или компютър нямат нищо общо с ограниченията, зададени по подразбиране на самата система. Това може да се обясни със следния пример.
параметър | политика | предпочитания |
Заключване и задължително изпълнение | + | - |
Частично създаване на контроли, импортиране и добавяне на данни за настройки (включително от регистъра) | - | + |
Достъп до локални потребителски настройки | - | + |
Начални параметри | Презаписано (изтрито) | Да не се променя (запазва се, когато основните стойности са възстановени) |
филтриране | Приложим само за всички обекти в системата. | Персонализацията може да се използва за всеки потребител и параметър. |
интерфейс | стандарт | продължен |
Сравнителни характеристики на политиките и предпочитанията в публичното пространство
Сега трябва да разберем, че груповата политика на домейна, която отговаря за идентифицирането на компютрите в локалната мрежа, както и политиката за задаване на разрешения за извършване на определени действия в компютърна система, не се различават значително.
Ако се основава на предпочитанията, както се оказва, правилата на груповите политики могат да бъдат разбити само с помощта на съответния редактор. Как да отворите груповите политики? Да, просто въведете командата gpedit.msc в менюто Run. Ще се спрем на спецификацията на редактора малко по-късно, но засега нека видим към кои точно обекти е насочена действието на тази услуга.
цели
По отношение на избора на параметри, всички тези действия са предназначени да установят или отменят съществуващите санкции в самата система по отношение на местен потребител или група. Дори намаляването на степента на контрол на регистрираните „сметки” при активиране на активните параметри на груповите политики няма да доведе до нищо (потребителят няма да има право поне на това).
Самите обекти, които се използват от програмите за групови правила, са свързани предимно с потребителски настройки, чиито опции, с подходящи действия на системен администратор, могат да имат забрана, разрешаване или изключване на правила. Това са параметрите за влизане (показване на началния екран и изображението "Desktop", автозареждане). Обърнете внимание, че нито едно приложение, включително Windows Manager, не може да променя настройките на политиката. Това може да стане или в редактора или в системния регистър.
Редактор на локални групови правила на Windows и връзка с регистъра
Командата gpedit.msc, въведена в менюто за изпълнение на програмата (Win + R), извиква съответния редактор. Въпреки това, не бъркайте разрешения и забрани на ниво GPO. Случва се също така, че услугата за групови правила ви предпазва от влизане в системата. Това е нормално.
Ако потребителят не се регистрира на ниво администратор, какво да очаквате? Проблемът може да се състои и в това, че задаването на параметри на ниво регистър блокира редактирането в груповите политики, тъй като регистърът е задължителен за проверка при стартиране на системата. Най- редактор на регистър Има клонове, в които има раздел Политики. Те определят ключовите стойности в шестнадесетичен с заданието нула или едно, което може да означава забрана или разрешение за извършване на някои действия. Дори възстановяването на системата идва от копието на регистъра. Когато избирате последната работна конфигурация, последният записан REG файл се чете първо и само след това започва стартирането. Настройката на груповите правила, зададена в системния регистър, се задейства по-рано, отколкото тези параметри се дефинират в "родния" редактор.
Как да отворите груповите правила в регистъра? В менюто Run въведете командата regedit, използвайте search (Ctrl + F) и задайте политиките като текуща стойност. В намерените секции ще бъде възможно да се променят всички клавиши, но само ако входът е направен на ниво администратор (ако няма пускане от администратора в конзолата Run, файлът може да бъде отворен в папката System32 чрез PCM).
Основни действия
Но дори и не всички системни анализатори знаят, че в самия редактор настройките на груповите правила могат да се правят не само на ниво административни шаблони, които играят основна роля, въвеждането на някои команди може фундаментално да промени системните настройки, като:
- Създаване - създава параметър, ако не е създаден или липсва.
- Replace - заменете текущата стойност или създайте нов параметър със замяна.
- Актуализация - създаването на параметър, който все още не съществува по отношение на актуализирането на потребителски данни.
- Изтрий - изтрива предпочитанията на всички нива.
Специални предпочитания
Що се отнася до разширените настройки, които предоставя клиентът за групови правила, те трябва да конфигурират опции, които не се предоставят директно от Windows системите. Смята се, че тези операционни системи не предопределят предварително разрешения и забрани, затова може да се постигне, че настройките ще съответстват на потребителския режим и селективно за всяка Windows система.
Това може да бъде постигнато чрез т. Нар. CRUD правила, които установяват допълнителни предпочитания. С други думи, администраторът може да получи разширен интерфейс на операционната система, който няма да се различава много от стандартния, с изключение на символите, използвани в зелени и червени настройки. Зелената съответства на активирането на зададения параметър, когато се обработва от клиента, червеното означава, че е изключено или неподдържана промяна.
По този начин се правят настройки за всяка отделна система, където можете да редактирате опциите на менюто Старт (стандартен изглед, брой показвани програми, размер на плочките и т.н.). и т.н.), схеми за захранване, влизане в системата и много други. Но не всички параметри могат да се променят. Например, показването на съдържанието на панелите и настройките по подразбиране на Internet Explorer зависи единствено от инсталираната версия. Редактирането на параметрите на плочките в менюто "Старт" не е възможно при системни модификации под осмата.
По принцип такива настройки ви позволяват да постигнете по-гъвкаво управление на системата, в което да инсталирате персонализирани опции.
За бързо управление на настройките можете да използвате функционалните клавиши F5-F8:
- F5 - активиране на всички параметри.
- F6 - разрешава само избрания параметър.
- F7 - деактивиране на избрания параметър.
- F8 - деактивиране на всички параметри.
Актуализиране на настройките
Въпреки това, не винаги е възможно да се промени нещо. Клиентът може просто да не работи в определен момент, например поради краткосрочни повреди в самата система или вирусна експозиция. В този случай трябва да актуализирате груповите правила. Това не е възможно да се направи в редактора. Затова е необходимо да използвате командния ред, който е един вид унифициран инструмент за премахване на много проблеми със сривове в системата.
Актуализирането на груповите правила (принудително) обикновено се извършва с командата gpupdate / force или с допълненията, показани на изображението по-горе. Някои хора смятат, че е достатъчно само да рестартирате системата или да промените потребителя. Не е така. Поради ефекта няма да получите. Но посочената по-горе линия за актуализация дава резултат веднага. Вярно е, че командната конзола трябва да се изпълнява като администратор. В противен случай потребителят няма да получи разрешение за изпълнение на команди в него.
Основна цел на предпочитанията
Смята се, че на местно ниво няма смисъл да се променят политическите условия. Инсталирането на персонализирани разширени опции най-често може да се използва в корпоративни системи с широки локални мрежи в предприятия или офиси.
В този смисъл системният администратор, който управлява дъщерните машини от централния сървър, може, както се казва, да опрости живота на себе си и на обикновените служители, като веднъж направи подходящите настройки. В същото време няма значение какъв вид модификация на операционната система е инсталирана на компютри в мрежата или как те се зареждат (например през мрежата, ако няма твърди дискове в детските терминали).
Как точно ще бъдат направени настройките, администраторът сам решава. Всичко зависи от това как операционните системи се зареждат на локални компютри. От една страна, изглежда, че използването на клиент за групова или местна политика изглежда по-лесно. От друга страна, действията със системния регистър имат по-голям приоритет. Невъзможно е да се отменят изпълнените в него действия, да не говорим, че нововъведените опции в редактора на политики просто ще станат недостъпни.
Въпреки това, регистърът може да се редактира, когато операционната система се зарежда от централен сървър, например, когато се свързват мрежови терминали с помощта на звезда. На отделни компютри с инсталирани на тях операционни системи, претърсването на параметрите е абсолютно ненужно, затова е по-добре да се използват настройките на политиката тук. Въпреки това, с познаването на въпроса, някои параметри могат да бъдат зададени за клиента, а някои (особено важни) могат да бъдат редактирани в системния регистър. Нищо лошо в това няма да се случи, въпреки че някои настройки са дублирани както там, така и там.
Вместо общо
Ето кратко и всичко, което се отнася до предпочитанията. Разбира се, за един обикновен потребител разбирането на същността на всичко, което беше представено по-горе, може да изглежда малко сложно. Ако обаче искате да разберете тези настройки за тънкостите (особено за системните администратори на начинаещи), ще трябва да научите абсолютно всичко. И според истински експерти в тази област е необходимо да се работи с политиците на практика и да не се знае въпросът на ниво теоретични данни и статии. Както се казва, ще има желание. И можете да започнете да проучвате опциите, които използвате с един и същ редактор, където избирате административни шаблони, в които се посочват и двете основни правила за локални и групови настройки. Останалото е въпрос на техника. Разбирането ще дойде с времето, ако наистина започнете да го правите.
Ако обобщим малко, остава да добавим само, че предпочитанията са създадени, за да изберете необходимите опции и настройки, а не да се ограничават само до забрани и разрешения. А това, от своя страна, ви позволява да управлявате всяка система много гъвкаво. Разбира се, трябва да се отбележи отделно, че такива разширени настройки не са абсолютно необходими за обикновен потребител, но при условие, че няколко потребителя могат да бъдат регистрирани на един терминал, понякога задаването на съответните предпочитани опции може да бъде полезно. Но често трябва да инсталирате същото родителски контрол Ако детето може да работи на компютър, различен от възрастни родители. И всичко това е напълно елементарно регулирано в Windows-системите.