בשיעור היום נראה כיצד להשתמש בעורך המדיניות הקבוצתית המקומית, קטע נסתר ומלא מאוד של Windows שממנו ניתן לבצע שינויים רבים במחשב האישי שאחרת היו מתאפשרים רק על ידי שינוי מפתחות הרישום המסובכים יותר. עורך המדיניות הקבוצתית זמין רק בגירסאות ה- Pro של Windows והוא נעדר בגירסאות הבית והפרמיום.
עם זאת, אתה יכול להוריד ולהתקין gpedit.msc ב- Windows 10, 7 ו- 8 Home.
באופן כללי אין סיבה לגעת במדיניות קבוצתית זו במחשב ביתי, אך עדיין חשוב לדעת כיצד לגשת אליהם ומה ניתן לעשות כדי לא להיות מוכנים למקרה שיש צורך לשנות.
לדוגמה, מדיניות קבוצתית מועילה להגדרת אבטחה ברשת ארגונית כדי לחסום שינויים מסוימים בכל המחשבים או כדי למנוע ממשתמשים להפעיל תוכנה שלא אושרה.
כדי לפתוח את עורך המדיניות הקבוצתית ב- Windows עליכם לפתוח חלון הפעלה על ידי לחיצה על מקשי Windows-R ואז לכתוב ולהפעיל את הפקודה gpedit.msc .
החלון שנפתח דומה לכל כלי ניהול אחר, עם עץ תיקיות היררכי שכל אחד מהם מכיל הגדרות רבות.
ההגדרות באמת רבות, אך עדיין מתוארות בפירוט.
ישנן שתי תיקיות עיקריות: תצורת מחשב, עם הגדרות המשפיעות על התנהגות המערכת עבור כל המשתמשים ותצורת משתמשים, כדי לשנות את התנהגותה של Windows בהתבסס על המשתמש המשתמש בה.
מתחת לשתי התיקיות העיקריות שלוש קטעים:
- הגדרות תוכנה, היכן ליצור תצורות חדשות בהתאמה אישית.
- הגדרות Windows היא תיקיה הכוללת הגדרות אבטחה ותסריט התחלה / עצירה.
- מודלים אדמיניסטרטיביים, עם תצורות מבוססות רישום וזה החלק עליו קל יותר להתערב, עם אפשרויות רבות זמינות.
הגדרות אבטחה (כמה דוגמאות)
כדי לתת דוגמה למה שניתן לעשות כדי להגביל את אבטחת המחשבים ברמת המשתמש, עבור אל תצורת משתמש -> תבניות ניהול -> מערכת ולחץ פעמיים על ההגדרה " מניעת גישה לפקודת שורת פקודה ".
מהחלון שנפתח אתה יכול להפעיל את הבקרה ולחץ על החל כדי לחסום גישה לשורת הפקודה עבור כל משתמשי המחשב האישי.
אפשרות אחרת באותה תיקיה מאפשרת לך לבחור לבחור אילו תוכניות ניתן לפתוח במחשב שלך.
לחץ לחיצה כפולה על " הפעל רק יישומי Windows שצוינו ", הפעל ואז ציין אילו תוכנות לאפשר.
כל השאר חסום כעת.
תחת תצורת מחשב -> הגדרות חלונות -> הגדרות אבטחה -> מדיניות מקומית -> תיקיית אפשרויות אבטחה תמצאו הגדרות שימושיות רבות כדי להפוך את המחשב למעט יותר בטוח אם תרצו.
לדוגמה, אתה יכול לשנות את שם חשבון מנהל המערכת ואת חשבון האורח ותוכל לבחור להפעיל את בקשת האישורים ל"בקרת חשבון משתמש: התנהגות בקשת העלאת הרשאות למנהלים "לבקש להזין את הסיסמה בכל פעם אתה מנסה לעשות משהו במצב מנהל.
עם אפשרות זו, Windows הופכת להיות בטוחה יותר ודומה ל- Linux ו- Mac, שם אתה מתבקש לספק את הסיסמה שלך בכל פעם שתצטרך לבצע שינוי.
עם בקרת חשבון משתמש: רק מעלה קבצי הפעלה חתומים ותוקפים, יישומים שאינם חתומים דיגיטלית פועלים כמנהל אסורים.
מסוף השחזור, אפשר לגישה של מנהל מערכת באופן אוטומטי אין בקשות לסיסמא בעת השימוש במסוף השחזור לביצוע פעולות מערכת.
כפי שתבחין, יש מספר עצום של הגדרות בעורך המדיניות הקבוצתית, כך מתוך סקרנות, בהחלט כדאי להקדיש זמן לבחון אותן.
מרבית ההגדרות מאפשרות לך להשבית תכונות של Windows שאינך רוצה להשתמש בהן.
ראוי לציין שרבים מהמדיניות ברשימה לא חלות על כל גרסאות Windows.
דוגמה נוספת למה שניתן לעשות רק באמצעות עורך המדיניות הקבוצתית היא יצירת סקריפט שרץ אחרי לוגו או לאחר כיבוי, בכל פעם שאתה מפעיל מחדש את המחשב.
זה יכול להיות שימושי לניקוי המערכת או לבצע גיבוי מהיר של קבצים מסוימים בכל פעם שאתה מכבה את המחשב, ותוכל להשתמש בקבצי אצווה או אפילו בסקריפטים של PowerShell עבור שניהם.
האזהרה היחידה היא שצריך להפעיל סקריפטים אלה ברקע או שתהליך ה- logoff ייחסם.
ישנם שני סוגים שונים של סקריפטים שניתן להריץ.
התחל / עצור סקריפט בתצורת מחשב -> הגדרות חלונות -> סקריפט והוא יפעל תחת חשבון המערכת המקומי, כך שיוכלו לתפעל קבצי מערכת, אך לא יפעלו כחשבון משתמש.
סקריפט כניסה / יציאה בתצורת משתמשים -> הגדרות חלונות -> סקריפט .
סקריפטים של כניסה ויציאה אינם מאפשרים לך להפעיל פקודות המחייבות גישה למנהל אם אין UAC מושבת לחלוטין.
ראוי לציין שאפשר לקבוע את אותן פעולות במתזמן, אחד מכלי הניהול בלוח הבקרה, הרבה יותר קל לשימוש.
עורך המדיניות הקבוצתית עשיר כל כך עד שלא ניתן יהיה למצוא מדריך שלם ומקיף על מה עדיף לערוך.
במאמרים אחרים שאלתי אותם בספק לגבי:
- כיצד להשבית את Skydrive במערכת Windows 8.1 (או להסתיר אותה)
- הפעל את ה- Bitlocker ב- Windows 7
- הפעל את מצב הארגון ב- Internet Explorer 11
- השבת את בקרת UAC בחלונות 7 ו- 8
