การใช้ตัวแก้ไขนโยบายกลุ่มเพื่อปรับแต่งพีซีของคุณ

ในบทเรียนของโรงเรียน Geek วันนี้เราจะอธิบายวิธีใช้เครื่องมือแก้ไขนโยบายกลุ่มท้องถิ่นเพื่อทำการเปลี่ยนแปลงกับพีซีของคุณที่ไม่สามารถใช้วิธีอื่นได้.

การนำทางของโรงเรียน

1. ใช้ Task Scheduler เพื่อเรียกใช้กระบวนการในภายหลัง
2. การใช้ตัวแสดงเหตุการณ์เพื่อแก้ไขปัญหา
3. ทำความเข้าใจเกี่ยวกับการแบ่งพาร์ติชันฮาร์ดดิสก์ด้วยการจัดการดิสก์
4. เรียนรู้การใช้ Registry Editor อย่างมืออาชีพ
5. ตรวจสอบพีซีของคุณด้วย Resource Monitor และ Task Manager
6. ทำความเข้าใจกับพาเนลคุณสมบัติระบบขั้นสูง
7. ทำความเข้าใจและจัดการบริการ Windows
8. การใช้ตัวแก้ไขนโยบายกลุ่มเพื่อปรับแต่งพีซีของคุณ
9. ทำความเข้าใจกับเครื่องมือการดูแลระบบ Windows

เราควรทราบล่วงหน้าว่าเครื่องมือแก้ไขนโยบายกลุ่มนั้นมีเฉพาะใน Windows รุ่น Pro เท่านั้น - ผู้ใช้ Home หรือ Home Premium จะไม่สามารถเข้าถึงได้ มันยังคงคุ้มค่าที่จะเรียนรู้.

นโยบายกลุ่มเป็นวิธีที่มีประสิทธิภาพมากในการตั้งค่าเครือข่ายขององค์กรที่มีคอมพิวเตอร์แต่ละเครื่องล็อคเพื่อให้ผู้ใช้ไม่สามารถยุ่งเหยิงพวกเขาด้วยการเปลี่ยนแปลงที่ไม่พึงประสงค์และหยุดพวกเขาจากการเรียกใช้ซอฟต์แวร์ที่ไม่ได้รับการอนุมัติ.

อย่างไรก็ตามในสภาพแวดล้อมภายในบ้านคุณอาจไม่ต้องการตั้งค่าการจำกัดความยาวของรหัสผ่านหรือบังคับให้คุณเปลี่ยนรหัสผ่าน และคุณอาจไม่จำเป็นต้องล็อคเครื่องของคุณเพื่อให้เรียกใช้งานโปรแกรมที่ได้รับการอนุมัติเฉพาะเท่านั้น.

มีสิ่งอื่น ๆ อีกมากมายที่คุณสามารถกำหนดค่าได้เช่นการปิดใช้งานคุณลักษณะ Windows ที่คุณไม่ชอบบล็อกแอปพลิเคชันบางตัวไม่ให้ทำงานหรือสร้างสคริปต์ที่ทำงานระหว่างการเข้าสู่ระบบหรือออกจากระบบ.

ทำความเข้าใจกับส่วนต่อประสาน

อินเทอร์เฟซคล้ายกับเครื่องมือการจัดการอื่น ๆ มาก - มุมมองด้านซ้ายช่วยให้คุณมองหาการตั้งค่าในโครงสร้างโฟลเดอร์แบบลำดับชั้นมีรายการการตั้งค่าและแผงแสดงตัวอย่างที่ให้ข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่าเฉพาะ.

มีสองโฟลเดอร์ระดับบนสุดที่ต้องระวัง:

• การกำหนดค่าคอมพิวเตอร์ - เก็บการตั้งค่าที่ใช้กับคอมพิวเตอร์โดยไม่คำนึงว่าผู้ใช้รายใดกำลังเข้าสู่ระบบ.
• การกำหนดค่าผู้ใช้ - เก็บการตั้งค่าที่ใช้กับบัญชีผู้ใช้.

ภายใต้แต่ละโฟลเดอร์เหล่านี้มีโฟลเดอร์สองสามโฟลเดอร์ที่อนุญาตให้คุณเจาะลึกลงไปในการตั้งค่าที่ใช้ได้:

• การตั้งค่าซอฟต์แวร์ - โฟลเดอร์นี้มีไว้สำหรับการกำหนดค่าที่เกี่ยวข้องกับซอฟต์แวร์และจะว่างเปล่าตามค่าเริ่มต้นบนไคลเอนต์ Windows.
• การตั้งค่า Windows - โฟลเดอร์นี้เก็บการตั้งค่าความปลอดภัยและสคริปต์สำหรับการเข้าสู่ระบบ / ออกจากระบบและการเริ่มต้น / ปิด.
• เทมเพลตการดูแลระบบ - โฟลเดอร์นี้มีการกำหนดค่าตามรีจิสทรีซึ่งเป็นวิธีที่รวดเร็วในการปรับแต่งการตั้งค่าในคอมพิวเตอร์ของคุณหรือสำหรับบัญชีผู้ใช้ของคุณ มีการตั้งค่ามากมาย.

ปรับแต่งกฎความปลอดภัย

หากคุณคลิกสองครั้งที่รายการ“ ป้องกันการเข้าถึงพรอมต์คำสั่ง” จากภาพหน้าจอด้านบนคุณจะเห็นหน้าต่างที่มีลักษณะดังนี้ - อันที่จริงการตั้งค่าส่วนใหญ่ภายใต้เทมเพลตการดูแลระบบจะดู คล้ายคลึงกัน.

การตั้งค่าเฉพาะนี้จะช่วยให้คุณสามารถบล็อกการเข้าถึงพรอมต์คำสั่งสำหรับผู้ใช้บนพีซี คุณยังสามารถกำหนดการตั้งค่าภายในกล่องโต้ตอบเพื่อบล็อกไฟล์แบตช์ได้เช่นกัน.

ตัวเลือกอื่นในโฟลเดอร์เดียวกันช่วยให้คุณสร้างการตั้งค่าสำหรับ“ เรียกใช้เฉพาะแอปพลิเคชัน Windows ที่ระบุ” - คุณจะกำหนดการตั้งค่าเป็นเปิดใช้งานจากนั้นระบุรายการแอปพลิเคชันที่อนุญาต ทุกอย่างอื่นจะถูกปิดกั้นไม่ให้ทำงาน.

ในกรณีนี้หากคุณต้องเรียกใช้แอปพลิเคชั่นที่ไม่ได้อยู่ในรายการคุณจะได้รับข้อความแสดงข้อผิดพลาดเช่นนี้.

เป็นเรื่องที่ควรสังเกตว่าการทำตามกฎเช่นนี้อาจทำให้คุณไม่ได้รับพีซีถ้าคุณทำอะไรผิดพลาดดังนั้นระวัง.

ปรับแต่งการตั้งค่า UAC เพื่อความปลอดภัย

ภายใต้การกำหนดค่าคอมพิวเตอร์ -> การตั้งค่า Windows -> การตั้งค่าความปลอดภัย -> นโยบายท้องถิ่น -> โฟลเดอร์ตัวเลือกความปลอดภัยคุณจะพบการตั้งค่าที่น่าสนใจมากมายที่จะทำให้คอมพิวเตอร์ของคุณปลอดภัยยิ่งขึ้น.

ตัวเลือกแรกสามารถพบได้ในโฟลเดอร์นั้นเป็นรายการ“ การควบคุมบัญชีผู้ใช้: พฤติกรรมของพรอมต์การยกระดับสิทธิ์สำหรับผู้ดูแลระบบ” และหากคุณเลือก“ พร้อมท์สำหรับข้อมูลรับรองบนเดสก์ท็อปที่ปลอดภัย” มันจะบังคับให้คุณ ป้อนรหัสผ่านทุกครั้งที่คุณพยายามเรียกใช้บางอย่างในโหมดผู้ดูแลระบบ.

ตัวเลือกนี้ทำให้ Windows ทำงานได้มากขึ้นเช่น Linux หรือ Mac ที่คุณถูกขอให้ระบุรหัสผ่านของคุณเมื่อใดก็ตามที่คุณต้องการทำการเปลี่ยนแปลงและเนื่องจาก Secure Desktop ไม่อนุญาตให้แอปพลิเคชันอื่น ๆ ยุ่งกับกล่องโต้ตอบ ปลอดภัย.

ตัวเลือกที่มีประโยชน์อื่น ๆ :

• การควบคุมบัญชีผู้ใช้: ยกระดับการปฏิบัติการที่ลงนามและตรวจสอบความถูกต้องเท่านั้น - ตัวเลือกนี้ห้ามไม่ให้แอปพลิเคชันที่ไม่ได้ลงชื่อทำงานแบบดิจิทัลในฐานะผู้ดูแลระบบ.
• คอนโซลการกู้คืนอนุญาตการเข้าสู่ระบบโดยอัตโนมัติ - เมื่อคุณต้องการใช้คอนโซลการกู้คืนเพื่อดำเนินงานระบบโดยทั่วไปคุณต้องระบุรหัสผ่านของผู้ดูแลระบบ หากคุณลืมรหัสผ่านสิ่งนี้จะช่วยให้คุณสามารถรีเซ็ตรหัสผ่านได้ง่ายขึ้น (และเนื่องจากคุณสามารถล้างรหัสผ่าน Windows ได้อย่างง่ายดายจึงไม่ปลอดภัยน้อยกว่านี้).

สิ่งหนึ่งที่ควรค่าแก่การสังเกตคือนโยบายหลายอย่างในรายการไม่ได้ใช้กับ Windows ทุกรุ่น ตัวอย่างเช่นในภาพหน้าจอด้านล่างการตั้งค่า“ ลบเอกสารของฉัน” จะใช้ได้เฉพาะกับ Windows XP และ 2000 นโยบายอื่น ๆ บางอย่างจะพูดว่า“ อย่างน้อย Windows XP” หรืออะไรทำนองนั้นซึ่งหมายความว่าพวกเขาจะทำงานต่อไป ทุกรุ่น.

มีการตั้งค่าจำนวนมากในเครื่องมือแก้ไขนโยบายกลุ่มดังนั้นจึงคุ้มค่าที่จะใช้เวลาสำรวจดูพวกเขาหากคุณสงสัย การตั้งค่าส่วนใหญ่อนุญาตให้คุณปิดใช้งานฟีเจอร์ Windows ที่คุณไม่ชอบโดยเฉพาะ - น้อยมากที่ให้การทำงานที่คุณไม่มีตามค่าเริ่มต้น.

การตั้งค่าสคริปต์ให้ทำงานที่การเข้าสู่ระบบออกจากระบบเริ่มต้นระบบหรือปิดเครื่อง

อีกตัวอย่างหนึ่งของสิ่งที่คุณทำได้โดยใช้ตัวแก้ไขนโยบายกลุ่มคือการตั้งค่าสคริปต์ออกจากระบบหรือปิดระบบเพื่อให้ทำงานทุกครั้งที่คุณรีบูตเครื่อง PC.

สิ่งนี้มีประโยชน์จริง ๆ สำหรับการล้างข้อมูลระบบของคุณหรือทำการสำรองข้อมูลไฟล์บางไฟล์อย่างรวดเร็วทุกครั้งที่คุณปิดระบบและคุณสามารถใช้แบตช์ไฟล์หรือแม้แต่สคริปต์ PowerShell ก็ได้ ข้อแม้เดียวก็คือสคริปต์เหล่านี้จะต้องทำงานอย่างเงียบ ๆ หรือพวกเขาจะล็อคกระบวนการออกจากระบบ.

มีสคริปต์ที่แตกต่างกันสองประเภทที่คุณสามารถเรียกใช้ได้.

• สคริปต์เริ่มต้น / ปิดเครื่อง - พบสคริปต์เหล่านี้ภายใต้การกำหนดค่าคอมพิวเตอร์ -> การตั้งค่า Windows -> สคริปต์และจะทำงานภายใต้บัญชี Local System เพื่อให้สามารถจัดการไฟล์ระบบได้ แต่จะไม่ทำงานเหมือนบัญชีผู้ใช้ของคุณ.
• สคริปต์การเข้าสู่ระบบ / ออกจากระบบ - พบสคริปต์เหล่านี้ภายใต้การกำหนดค่าผู้ใช้ -> การตั้งค่า Windows -> สคริปต์และจะทำงานภายใต้บัญชีผู้ใช้ของคุณ.

เป็นที่น่าสังเกตว่าสคริปต์การเข้าสู่ระบบและการออกจากระบบจะไม่ยอมให้คุณเรียกใช้ยูทิลิตี้ที่ต้องมีการเข้าถึงของผู้ดูแลระบบเว้นแต่คุณจะปิดใช้งาน UAC อย่างสมบูรณ์.

ตัวอย่างของวันนี้เราจะสร้างสคริปต์ออกจากระบบโดยมุ่งหน้าไปยังการกำหนดค่าผู้ใช้ -> การตั้งค่า Windows -> สคริปต์และดับเบิลคลิกที่ออกจากระบบ.

หน้าต่างคุณสมบัติการออกจากระบบอนุญาตให้คุณเพิ่มสคริปต์การออกจากระบบหลายสคริปต์เพื่อให้ทำงานได้.

คุณสามารถกำหนดค่าสคริปต์ PowerShell แทน.

สิ่งสำคัญที่ควรทราบที่นี่คือสคริปต์ของคุณต้องอยู่ในโฟลเดอร์เฉพาะเพื่อให้ทำงานได้อย่างถูกต้อง.

สคริปต์การเข้าสู่ระบบและการออกจากระบบจะต้องอยู่ในโฟลเดอร์ต่อไปนี้:

• C: \ Windows \ System32 \ GroupPolicy \ User \ Scripts \ ออกจากระบบ
• C: \ Windows \ System32 \ GroupPolicy \ User \ Scripts \ การเข้าสู่ระบบ

ในขณะที่สคริปต์เริ่มต้นและสคริปต์ปิดเครื่องจะต้องอยู่ในโฟลเดอร์เหล่านี้:

• C: \ Windows \ System32 \ GroupPolicy \ เครื่อง \ Scripts \ Shutdown
• C: \ Windows \ System32 \ GroupPolicy \ เครื่อง \ Scripts \ Startup

เมื่อคุณกำหนดค่าสคริปต์ออกจากระบบของคุณคุณสามารถทดสอบได้ - เราตั้งค่าสคริปต์อย่างง่ายที่สร้างไฟล์ข้อความบนเดสก์ท็อปแล้วออกจากระบบและกลับสู่ แต่คุณสามารถทำสิ่งที่คุณต้องการ.

และแน่นอนถ้าคุณทำสคริปต์เข้าสู่ระบบแทนมันสามารถเปิดใช้แอปพลิเคชันได้จริง.

สิ่งสำคัญที่ควรทราบคือหากสคริปต์ของคุณแจ้งให้ผู้ใช้ป้อนข้อมูล Windows จะหยุดทำงานในระหว่างการปิดระบบหรือออกจากระบบเป็นเวลา 10 นาทีก่อนที่สคริปต์จะหยุดทำงานและ Windows สามารถรีบูตได้ นี่คือสิ่งที่คุณควรระลึกไว้เสมอเมื่อออกแบบสคริปต์ของคุณ.

นโยบายกลุ่มไม่สิ้นสุดที่นี่

เราเพิ่งขีดข่วนพื้นผิวสำหรับสิ่งที่นโยบายกลุ่มสามารถทำได้จริง ๆ และในสภาพแวดล้อมของโดเมนองค์กรมันเป็นหนึ่งในเครื่องมือที่ทรงพลังและสำคัญที่สุดในการกำจัดของคุณ เนื่องจากซีรี่ส์นี้ไม่เกี่ยวกับผู้ใช้ไอทีเราจะไม่เข้าไปยุ่งเกี่ยวทั้งหมด แต่ก็คุ้มค่าที่จะทำการค้นคว้าด้วยตัวเอง.