Nastavitve pravilnika skupine. Nastavitev pravilnika skupine v sistemu Windows
Med sedanjimi sistemskimi administratorji, da ne omenjam navadnih uporabnikov, obstaja precej omejeno število ljudi, ki jasno razumejo, kaj so nastavitve politik skupine. Ne, v splošnem je koncept. Večina ljudi verjame, da je urejevalnik politik skupine nekaj podobnega sredstvom za spreminjanje registrskih ključev. Ja, deloma tako, kot je. Vendar je register v smislu določanja osnovnih parametrov prednostna naloga. Vendar pa ni treba zamenjati skupinskih politik in preferenc. To so povsem različne stvari (v nadaljevanju bo jasno, zakaj).
Pravilnik skupine Windows: kaj je to?
Da bi začeli, se bomo seznanili s samim pojmom. Kaj je skupinska politika »Windows«? To je določen sklop pravil, ki veljajo za nastavitve samega operacijskega sistema ali za nameščene možnosti za vsakega posameznega uporabnika, kar v grobem določa njegovo stanje v smislu spreminjanja določenih parametrov.
Določanje skupinskih pravil omogoča vsakemu uporabniku, da določi lastne prioritete za dostop do konfiguracije sistema, pozivanje na določene programe in manevriranje na ravni omogočanja ali onemogočanja sistemskih kontrol ali njegovih komponent. Toda! Ne zamenjujte politik in določajte preferenc. Prvotno so bili razviti kot nekakšen dodatek k možnostim politik. V nekaterih primerih niso niti odvisne od pravilnikov, saj se uporabljajo v sistemih Windows z omogočeno domeno dostopa do imenika Active Directory.
Kakšne so želje
Če razumemo, na splošno, so preference skupine politik ne dogmatična pravila in nastavitve, ampak spremenljive možnosti.
To pomeni, da če želite določiti nekatere vhodne prioritete, spremeniti nastavitve "namizja" ali kaj drugega, dajte ali prekličite pravice za izvedbo nekaterih dejanj, seveda bo potrebno dovoljenje. Vsak uporabnik je verjetno opazil, da tudi nekaterih programov ni mogoče zagnati kot skrbnik brez ustrezne potrditve. In tu se, kot se je izkazalo, sploh ni v nastavitvah obrambe sistema ali blokiranju s strani požarnega zidu, temveč le v tem, da je politika lokalnih skupin konfigurirana tako, da uporabnik preprosto nima pravice spreminjati trenutne konfiguracije sistema.
Analogna prijava
Ko govorimo v splošnem smislu, lahko takšne nastavitve resnično razlagamo kot sredstvo za upravljanje uporabniških pravic pri prijavi. Ko povežete svoj račun, registrirani uporabnik dobi nekaj pravic za spremembo sistemske konfiguracije (ali pa jih sploh ne prejme, če so te nastavitve določene na upravni ravni).
Odjemalec pravilnika skupine preprosto ureja vsa ta dejanja. To je samo uporabnik prijavljen pod lastno registracijo, in v nastavitvah takoj zapisal, da lahko to storite ne. Na ravni običajnega uporabnika, ki nima skrbniških pravic, parametrov ne bo mogoče spremeniti. Tudi nekateri skrbniški računi so lahko blokirani. To je nastavitev politike, vendar ne preferenca.
Težave s konfiguracijo sistema
Konfiguriranje pravilnika skupine je v veliki meri odvisno od tega, katera dovoljenja naj bodo dodeljena registriranemu uporabniku (tudi na ravni skrbnika). Seveda, lahko zmanjšate stopnjo nadzora UAC, vendar še vedno ne zagotavljajo uporabniku popoln nadzor nad izvedenimi ukrepi.
Toda Windows Group pravilnik katere koli različice, vsaj na začetni stopnji konfiguracije, vam omogoča, da konfigurirate prijavo (na primer, lahko nastavite ohranjevalnik zaslona za vsakega določenega uporabnika, prikažete bližnjice programa na namizju, omogočite dostop do ukazne vrstice in menija Run. Itd.). Popoln opis parametrov in nastavitev bo podan spodaj.
V takšnem primeru lahko za urejanje pravilnika skupine nastavite prepovedi izvajanja nekaterih dejanj, vendar pa lahko, če naredite ustrezne spremembe v registru, vsa ta dejanja preprosto brez pomena. In tukaj je razlog zakaj.
Dejstvo je, da ko se sistem zažene, bere podatke iz registra, ki se prenesejo po inicializaciji vseh naprav v primarnem sistemu BIOS / UEFI. In to je kopija registra država je ključni pogoj za izterjavo. Izkazalo se je, da slika trdega diska ni potrebna za shranjevanje. Ustvarite kopijo prek funkcije izvoza in shranite datoteko z razširitvijo .reg na poljubno mesto.
Poziv k skupinskim pravilnikom ob zagonu se bo zgodil samo na ravni registra. V oddelku HKLM, če greste v razdelek Sistem (in ne samo tam), obstaja posebna mapa Policies, katere nastavitve popolnoma podvajajo možnosti, določene v pravilnikih skupine, vendar imajo višjo prednost.
Kakšna je razlika med prednostnimi nalogami in pravili politike?
Zdaj je čas, da pogledate, kaj razlikuje prednostne usmeritve skupine od parametrov politik. To je treba razumeti (vsaj na začetni ravni).
Najprej je vredno reči, da nastavitve skupinskih politik v smislu določanja pravil za vsakega določenega uporabnika ali računalnik nimajo nič skupnega z omejitvami, ki so privzeto določene na samem sistemu. To je mogoče pojasniti z naslednjim primerom.
Parameter | Politiki | Nastavitve |
Zaklepanje in obvezna izvedba | + | - |
Delno ustvarjanje kontrol, uvoz in dodajanje podatkov o nastavitvah (tudi iz registra) | - | + |
Dostop do lokalnih uporabniških nastavitev | - | + |
Začetni parametri | Prepisano (izbrisano) | Ne spremeni (shrani, ko so osnovne vrednosti obnovljene) |
Filtriranje | Uporablja se samo za vse objekte v sistemu. | Personalizacija se lahko uporabi za vsakega uporabnika in parameter. |
Vmesnik | Standard | Napredno |
Primerjalne značilnosti politik in preferenc v javni domeni
Zdaj moramo razumeti, da se skupinska politika domene, ki je odgovorna za identifikacijo računalnikov v lokalnem omrežju, kot tudi politika za določanje dovoljenj za izvajanje določenih dejanj v računalniškem sistemu, ne razlikujejo bistveno.
Če temelji na preferencah, se izkaže, da se pravila skupinskih pravil lahko preprosto razbijejo z ustreznim urejevalnikom. Kako odpreti skupinske politike? Da, preprosto vnesite ukaz gpedit.msc v meniju Zaženi. O specifikaciji urednika se bomo ukvarjali malo kasneje, toda za zdaj poglejmo, kateri objekti so namenjeni prav temu delovanju te storitve.
Cilji
V zvezi z izbiro parametrov so v bistvu vsi ti ukrepi namenjeni vzpostavitvi ali preklicu obstoječih sankcij v samem sistemu glede na lokalnega uporabnika ali skupino. Tudi zmanjšanje stopnje nadzora nad registriranimi »računi« pri aktiviranju aktivnih parametrov skupinskih pravil ne bo pripeljalo do ničesar (uporabnik nima pravice do vsaj tega).
Sami predmeti, ki jih uporabljajo programi pravilnika skupine, so v glavnem povezani z uporabniškimi nastavitvami, pri katerih imajo lahko možnosti z ustreznimi ukrepi skrbnika sistema prepoved, dovoljevanje ali izključitev pravil. To so prijavni parametri (prikaz splash zaslona in »Desktop« slike, samodejni nalaganje). Upoštevajte, da nobena aplikacija, vključno s programom Windows Manager, ne more spreminjati nastavitev pravilnika. To lahko storite v urejevalniku ali v sistemskem registru.
Urejevalnik pravilnikov lokalne skupine in povezava registra
Ukaz gpedit.msc, vnesen v meniju za izvajanje programa (Win + R), pokliče ustreznega urejevalnika. Vendar pa ne mešajte dovoljenj in prepovedi na ravni GPO. Prav tako se zgodi, da vam storitev pravilnika skupine prepreči vstop v sistem. To je normalno.
Če se uporabnik ne prijavi na skrbniški ravni, kaj naj pričakujem? Težava je lahko tudi v tem, da nastavljanje parametrov na ravni registra blokira urejanje v pravilnikih skupine, saj je registracija obvezna za preverjanje ob zagonu sistema. V urejevalnika registra Obstajajo podružnice, v katerih je razdelek Politike. Nastavijo ključne vrednosti v šestnajstiški obliki z dodelitvijo nič ali eno, kar lahko pomeni prepoved ali dovoljenje za izvajanje nekaterih dejanj. Tudi obnovitev sistema prihaja iz kopije registra. Pri izbiri zadnje delovne konfiguracije se najprej shrani zadnja shranjena REG datoteka in šele nato se začne zagon. Nastavitev pravilnika skupine, podana v registru, se sproži prej, kot so ti parametri definirani v »native« urejevalniku.
Kako odpreti skupinske pravilnike v registru? V meniju Zaženi vnesite ukaz regedit, uporabite iskanje (Ctrl + F) in nastavite pravilnike kot trenutno vrednost. V najdenih odsekih je možno spremeniti katerekoli tipke, vendar le, če je prijava izvedena na skrbniški ravni (če v ukazni vrstici Zaženi ni nobenega zagona iz admina, lahko datoteko odprete v mapi System32 prek PCM).
Osnovni ukrepi
Toda tudi ne vsi sistemski analitiki vedo, da lahko v samem urejevalniku nastavitve pravilnika skupine naredimo ne le na ravni administrativnih predlog, ki igrajo glavno vlogo, lahko vnos nekaterih ukazov bistveno spremeni sistemske nastavitve, kot so:
- Ustvari - ustvari parameter, če ni ustvarjen ali manjka.
- Replace - zamenjajte trenutno vrednost ali ustvarite nov parameter z zamenjavo.
- Posodobitev - ustvarjanje parametra, ki še ne obstaja v zvezi s posodabljanjem uporabniških podatkov.
- Izbriši - izbriše nastavitve vseh ravni.
Posebne nastavitve
Kar zadeva napredne nastavitve, ki jih nudi odjemalec pravilnika skupine, morajo konfigurirati možnosti, ki jih sistemi Windows ne zagotavljajo neposredno. Menijo, da ti operacijski sistemi ne določajo vnaprej dovoljenj in prepovedi, zato je mogoče doseči, da bodo nastavitve ustrezale uporabniškemu načinu in selektivno za vsak sistem Windows.
To je mogoče doseči s tako imenovanimi pravili CRUD, ki določajo dodatne preference. Z drugimi besedami, administrator lahko dobi razširjen vmesnik operacijskega sistema, ki se ne bo bistveno razlikoval od standarda, razen simbolov, ki se uporabljajo v zelenih in rdečih nastavitvah. Zelena ustreza aktiviranju nastavljenega parametra, ko ga obdeluje odjemalec, rdeča pomeni, da je izklopljen ali nepodprta sprememba.
Na ta način se nastavitve izvedejo za vsak posamezen sistem, kjer lahko urejate možnosti menija Start (standardni pogled, število prikazanih programov, velikost ploščic itd.). itd.), napajalne sheme, prijavo uporabnika in še veliko več. Vendar ne moremo spremeniti vseh parametrov. Prikazovanje vsebine plošč in privzetih nastavitev Internet Explorerja je na primer odvisno samo od nameščene različice. Urejanje parametrov ploščic v meniju Start ni na voljo v sistemskih spremembah pod osmim.
Na splošno te nastavitve omogočajo bolj prilagodljivo upravljanje sistema, v katerem namestite prilagojene možnosti.
Za hitro upravljanje nastavitev lahko uporabite funkcijske tipke F5-F8:
- F5 - omogoči vse parametre.
- F6 - omogoči samo izbrani parameter.
- F7 - deaktivacija izbranega parametra.
- F8 - deaktivacija vseh parametrov.
Posodobi nastavitve
Vendar pa ni vedno mogoče nekaj spremeniti. Naročnik lahko preprosto ne dela na določeni točki, na primer zaradi kratkotrajnih napak v samem sistemu ali izpostavljenosti virusu. V tem primeru morate posodobiti pravilnik skupine. To ni mogoče v urejevalniku. Zato je potrebno uporabiti ukazno vrstico, ki je nekakšno poenoteno orodje za odpravljanje številnih težav z zrušitvami sistema.
Posodabljanje pravilnika skupine (uveljavljeno) se običajno izvede z ukazom gpupdate / force ali z dodatki, prikazanimi na zgornji sliki. Nekateri menijo, da je dovolj, da ponovno zaženete sistem ali spremenite uporabnika. To ni. Zaradi učinka ne boste dobili. Zgoraj navedena posodobitvena vrstica pa daje rezultat takoj. True, ukazna konzola mora biti zagnana kot skrbnik. V nasprotnem primeru uporabnik ne bo prejel dovoljenja za izvajanje ukazov v njem.
Primarni namen preferenc
Domneva se, da na lokalni ravni ni smisla spreminjati okolja politikov. Namestitev prilagojenih naprednih možnosti se lahko večinoma uporablja v poslovnih sistemih z obsežnimi lokalnimi omrežji v podjetjih ali pisarnah.
V tem smislu lahko skrbnik sistema, ki upravlja otroške stroje iz osrednjega strežnika, poenostavi življenje tako samim sebi kot navadnim zaposlenim, tako da enkrat izvede ustrezne nastavitve. Hkrati ni pomembno, kakšne vrste sprememb operacijskega sistema je nameščenih na omrežnih računalnikih ali kako so naložene (na primer prek omrežja, če v podrejenih terminalih ni trdih diskov).
Točno, kako bodo nastavitve izvedene, se administrator sam odloči. Vse je odvisno od tega, kako so operacijski sistemi naloženi na lokalnih računalnikih. Po eni strani se zdi, da je uporaba skupine ali lokalne stranke lažja. Po drugi strani imajo ukrepi s sistemskim registrom večjo prednost. Ukrepov, ki se izvajajo v njem, ni mogoče preklicati, kaj šele, da bodo na novo nameščene možnosti v urejevalniku politik preprosto nedostopne.
Vendar pa je register mogoče urejati, ko je operacijski sistem naložen iz osrednjega strežnika, na primer pri povezovanju omrežnih terminalov z zvezdico. Na posameznih računalnikih, na katerih so nameščeni operacijski sistemi, je povpraševanje po parametrih povsem nepotrebno, zato je bolje uporabiti nastavitve politike tukaj. Vendar pa lahko s poznavanjem vprašanja nastavite nekatere parametre za odjemalca, nekatere (še posebej pomembne) pa lahko uredite v registru. Nič narobe s tem se ne bo zgodilo, čeprav so nekatere nastavitve podvojene tako tam kot tam.
Namesto skupnega
Tukaj je kratek povzetek in vse, kar zadeva preference. Seveda se lahko za navadnega uporabnika razumevanje bistva vsega, kar je bilo predstavljeno zgoraj, zdi nekoliko zapleteno. Vendar, če želite razumeti takšne nastavitve za razčlenjenosti (zlasti za začetnike sistemskih administratorjev), se boste morali naučiti vsega. In po mnenju resničnih strokovnjakov na tem področju je treba v praksi delati s politiki in ne pozabiti vprašanja na ravni teoretičnih podatkov in člankov. Kot pravijo, bi bila želja. Začnete lahko raziskovati možnosti, ki jih uporabljate z istim urejevalnikom, kjer izberete upravne predloge, v katerih sta označena glavna pravila za lokalne in skupinske nastavitve. Ostalo je stvar tehnike. Razumevanje bo prišlo s časom, če ga zares začnete.
Če povzamemo malo, je treba dodati le, da so nastavitve ustvarjene tako, da izberete zahtevane možnosti in nastavitve in da se ne omejijo samo na prepovedi in dovoljenja. To pa vam omogoča, da upravljate kateri koli sistem zelo fleksibilno. Seveda je treba posebej poudariti, da takšne napredne nastavitve niso nujno potrebne za običajnega uporabnika, vendar pod pogojem, da je več uporabnikov mogoče registrirati na enem terminalu, včasih pa je lahko koristno, da nastavite ustrezne prednostne možnosti. Toda pogosto morate celo namestiti enako starševski nadzor Če lahko otrok dela na računalniku, razen odraslih staršev. In vse to je popolnoma osnovno urejeno v sistemih Windows.