Настройка начального экрана и панели задач Windows 10 с помощью групповой политики

В этой статье

Относится к:

• Windows 10

В Windows10 Pro, Корпоративная и Windows10 для образовательных учреждений вы можете использовать объект групповой политики, чтобы развернуть настраиваемый макет начального экрана и панели задач для пользователей в домене. Вам не потребуется повторно создавать образ, а чтобы обновить макет начального экрана, достаточно перезаписать XML-файл, содержащий макет. Благодаря этому вы сможете настраивать макеты начального экрана и панели задач для различных отделов или организаций с минимальными затратами на управление.

В этой статье рассказывается, как обновить параметры групповой политики для отображения настроенного макета начального экрана и панели задач при входе пользователя в систему. Создав объект групповой политики на основе домена с этими параметрами, вы сможете развертывать настраиваемый макет начального экрана и панели задач для пользователей в домене.

Предупреждение

Если с помощью этого метода применяется полный макет начального экрана, пользователи не смогут закреплять приложения на начальном экране, а также откреплять или удалять их. Пользователи могут просматривать и открывать все приложения в представлении Все приложения , но не могут закреплять их на начальном экране. Если применяется частичный макет начального экрана, то пользователям не удастся изменить содержимое определенных групп плиток, но они смогут перемещать эти группы, а также создавать и настраивать собственные группы. При применении макета панели задач пользователи по-прежнему смогут закреплять и откреплять приложения, а также изменять порядок закрепленных приложений.

Требования к операционной системе

В Windows 10 версии 1607 управление макетом начального экрана и панели задач с помощью групповой политики поддерживается в Windows10 Корпоративная и Windows10 для образовательных учреждений. В Windows 10 версии 1703 управление макетом начального экрана и панели задач с помощью групповой политики также поддерживается в Windows10 Pro.

Вы можете настроить объект групповой политики с любого компьютера, на котором установлены необходимые ADMX- и ADML-файлы (StartMenu.admx и StartMenu.adml) для Windows10. В групповой политике файлы ADMX используются для определения параметров политики на основе реестра в категории административных шаблонов. Сведения о том, как создать центральное хранилище для файлов административных шаблонов, см. в статье 929841, написанной для Windows Vista и применяемой до сих пор , в базе знаний Майкрософт.

Принцип работы элемента управления макетом начального экрана

Элемент управления макетом начального экрана и панели задач можно включить с помощью указанных ниже функций.

• Использование групповой политики для применения настраиваемого макета начального экрана в домене

  Чтобы использовать макет начального экрана и панели задач для пользователей в домене, с помощью консоли управления групповыми политиками настройте объект групповой политики на основе домена, который задает параметры политики Макет начального экрана в административном шаблоне Меню "Пуск" и панель задач для пользователей в домене.

  Объект групповой политики применит макет начального экрана и панели задач при следующем входе пользователя в систему. Во время каждого входа пользователя в систему проверяется метка времени XML-файла с макетом начального экрана и панели задач, и если доступна более новая версия файла, будут применены параметры последней версии файла.

  Вы можете настроить объект групповой политики с любого компьютера, на котором установлены необходимые ADMX- и ADML-файлы (StartMenu.admx и StartMenu.adml) для Windows10.

  XML-файл с макетом начального экрана и панели задач должен быть расположен в общем сетевом хранилище, доступном компьютерам пользователей при входе в систему, при этом пользователи должны иметь доступ к файлу только для чтения. Если файл недоступен, когда первый пользователь выполняет вход, меню "Пуск" и панель задач будут не настроены во время сеанса, но пользователь не сможет вносить изменения в меню "Пуск". Если в последующих сеансах этот файл будет доступен на момент входа в систему, макет, содержащийся в этом файле, будет применяться к меню "Пуск" и панели задач пользователя.

  Сведения о развертывании объектов групповой политики в домене см. в статье Работа с объектами групповой политики .

  Использование групповой политики для применения настраиваемого макета начального экрана на локальном компьютере

  С помощью редактора локальных групповых политик вы можете предоставить настраиваемый макет начального экрана и панели задач для любого пользователя, выполняющего вход на локальном компьютере. Чтобы отобразить настраиваемый макет начального экрана и панели задач для всех пользователей, выполняющих вход в систему, настройте параметры политики Макет начального экрана для административного шаблона Меню "Пуск" и панель задач . Вы можете использовать административный шаблон Меню "Пуск" и панель задач в разделе Конфигурация пользователя или Конфигурация компьютера .

  Примечание

  В результате выполнения этой процедуры параметры политики будут применены только на локальном компьютере. Сведения о развертывании макета начального экрана и панели задач для пользователей в домене см. в статье .

  В результате выполнения этой процедуры будет создана локальная групповая политика, которая применяется ко всем пользователям на компьютере. Сведения о настройке локальной групповой политики, применимой к определенному пользователю или группе на компьютере, см. в Пошаговом руководстве по управлению несколькими объектами локальной групповой политики . Руководство было написано для Windows Vista, однако описанные в нем процедуры применимы и к Windows10.

В предыдущих моих статьях о групповых политиках было рассказано о принципах работы оснастки . Рассматривались некоторые узлы текущей оснастки, а также функционал множественной групповой политики. Начиная с этой статьи, вы сможете узнать об управлении параметрами безопасности на локальном компьютере, а также в доменной среде. В наше время обеспечение безопасности является неотъемлемой частью работы как для системных администраторов в крупных и даже мелких предприятиях, так и для домашних пользователей, перед которыми стоит задача настройки компьютера. Неопытные администраторы и домашние пользователи могут посчитать, что после установки антивируса и брандмауэра их операционные системы надежно защищены, но это не совсем так. Конечно, эти компьютеры будут защищены от множества атак, но что же спасет их от человеческого фактора? Сейчас возможности операционных систем по обеспечению безопасности очень велики. Существуют тысячи параметров безопасности, которые обеспечивают работу служб, сетевую безопасность, ограничение доступа к определенным ключам и параметрам системного реестра, управление агентами восстановления данных шифрования дисков BitLocker, управление доступом к приложениям и многое, многое другое.

В связи с большим числом параметров безопасности операционных систем Windows Server 2008 R2 и Windows 7, невозможно настроить все компьютеры, используя один и тот же набор параметров. В статье были рассмотрены методы тонкой настройки контроля учетных записей операционных систем Windows, и это только малая часть того, что вы можете сделать при помощи политик безопасности. В цикле статей по локальным политикам безопасности я постараюсь рассмотреть как можно больше механизмов обеспечения безопасности с примерами, которые могут вам помочь в дальнейшей работе.

Конфигурирование политик безопасности

Политика безопасности - это набор параметров, которые регулируют безопасность компьютера и управляются с помощью локального объекта GPO. Настраивать данные политики можно при помощи оснастки «Редактор локальной групповой политики» или оснастки . Оснастка «Локальная политика безопасности» используется для изменения политики учетных записей и локальной политики на локальном компьютере, а политики учетных записей, привязанных к домену Active Directory можно настраивать при помощи оснастки «Редактор управления групповыми политиками» . Перейти к локальным политикам безопасности, вы можете следующими способами:

В том случае, если ваш компьютер подсоединен к домену Active Directory, политика безопасности определяется политикой домена или политикой подразделения, членом которого является компьютер.

Применение политик безопасности для локального компьютера и для объекта групповой политики рабочей станции, подсоединенной к домену

При помощи следующих примеров вы увидите разницу между применением политики безопасности для локального компьютера и для объекта групповой политики рабочего компьютера, присоединенного к домену Windows Server 2008 R2.

Применение политики безопасности для локального компьютера

Для успешного выполнения текущего примера, учетная запись, под которой выполняются данные действия, должна входить в группу «Администраторы» на локальном компьютере. Если компьютер подключен к домену, то эти действия могут выполнять только пользователи, которые являются членами группы «Администраторы домена» или групп, с разрешенными правами на редактирование политик.

В этом примере мы переименуем гостевую учетную запись. Для этого выполните следующие действия:

После перезагрузки компьютера для того чтобы проверить, применилась ли политика безопасности к вашему компьютеру, вам нужно открыть в панели управления компонент «Учетные записи пользователей» и перейти по ссылке «Управление другой учетной записью» . В открывшемся окне вы увидите все учетные записи, созданные на вашем локальном компьютере, в том числе переименованную учетную запись гостя:

Применение политики безопасности для объекта групповой политики рабочей компьютера, присоединенного к домену Windows Server 2008 R2

В этом примере мы запретим пользователю Test_ADUser изменять пароль для учетной записи на своем компьютере. Напомню, что для выполнения следующих действий вы должны входить в группу «Администраторы домена» . Выполните следующие действия:

После перезагрузки компьютера для того чтобы проверить, применилась ли политика безопасности, перейдите на компьютер, над которым проводились изменения и откройте консоль управления MMC. В ней добавьте оснастку «Локальные пользователи и группы» и попробуйте изменить пароль для своей доменной учетной записи.

Применение политики безопасности для объекта групповой политики с контроллера домена Windows Server 2008 R2

При помощи этого примера, изменим число новых уникальных паролей, которые должны быть назначены учетной записи пользователя до повторного использования старого пароля. Эта политика позволяет вам улучшать безопасность, гарантируя, что старые пароли не будут повторно использоваться в течении нескольких раз. Войдите на контроллер домена или используйте средства администрирования удаленного сервера. Выполните следующие действия:

Об использовании оснастки «Управление групповой политикой» на контроллерах домена и о команде gpupdate будет подробно рассказываться в последующих статьях.

Заключение

Из этой статьи вы узнали о методах применения локальных политик безопасности. В предоставленных примерах проиллюстрирована настройка политик безопасности при помощи оснастки «Локальная политика безопасности» на локальном компьютере, настройка политик на компьютере, подсоединенном к домену, а также управление локальными политиками безопасности с использованием контроллер домена. В следующих статьях из цикла о локальных политиках безопасности вы узнаете об использовании каждого узла оснастки «Локальная политика безопасности» и о примерах их использования в тестовой и рабочей среде.

Администрирование компьютера – тонкое и гибкое дело, требующее взвешенного подхода и вдумчивости. Также, чтобы заниматься этим профессионально, понадобится масса знаний и умений. Да, если вы хотите обдуманного контроля над операционной системой, стоит всерьез поразмыслить над установкой серверной версии Windows (благо, в ней намного больше инструментов и средств для администрирования, чем в пользовательской и бизнес-версиях Windows 10).

Но даже в версии Professional можно найти достаточно много механизмов для полного контроля над работой системы, пользовательским доступом, сферой применения программ, поведением UAC и других функций, над которыми рядовой пользователь даже не задумывается (редакция Home не подойдет). Львиная доля этих механизмов сосредоточена в редакторе локальной групповой политики Windows 10.

Если копнуть глубже, здесь можно встретить практически каждый аспект поведения ОС, начиная от правил разрешения сертификатов и заканчивая шифрованием по алгоритму BitLocker. Понадобится недюжинное умение и довольно немало времени, чтобы разобраться во всех настройках и нюансах редактора. Однако я сэкономлю ваше время и расскажу об основных операциях, которые можно проделать с помощью редактора локальной групповой политики в «десятке».

Чтобы включить клиент групповой политики, используйте комбинацию Win+R и на возникшей форме введите название оснастки, - gpedit.msc. После этого редактор откроется. Альтернативный вариант – воспользоваться встроенным в систему поиском, нажав пиктограммку в форме лупы в левом нижнем углу панели задач.

Внешний вид редактора внешне абсолютно ничем не отличается от всех других оснасток для управления и контроля над ПК: сервисов, разметки жесткого диска, системного монитора, средства проверки памяти и других узлов. В левой части активного окна находится структура папок для иерархического доступа к параметрам кастомизации, а в правой части – сами эти параметры. Настройки в левой части оснастки поделены на две основные категории: для управления конфигурацией компьютера (т.е. те, которые действуют для системы в целом, вне зависимости от того, с помощью какого аккаунта был выполнен вход в ОС) и для настройки конфигурации пользователя (т.е. актуальный только для того юзера, который залогинился в операционку). См. также Как войти в Windows 10 как администратор.

Как создать учетную запись Microsoft на Windows 10

Каждая из представленных категорий вмещает в себя параметры трех типов:

• административные шаблоны (настройки для кастомизации ключей из реестра Windows. По существу, те же самые операции можно выполнить и напрямую из реестра, но сделать это при использовании редактора локальной групповой политики гораздо удобнее);
• конфигурация Виндовс (параметры безопасности и системы, прочие настройки среды);
• конфигурация приложений (настройки, имеющие отношение к программам, установленным на ПК).

Рассмотрим несколько простых возможностей, доступных в редакторе. Откроем папку «Конфигурация пользователя», и в ней Административные шаблоны -> Система. Как видим, тут доступны такие занимательные опции, как «Запрет доступа к средствам правки реестра», «Запрет применения режима командной строки», «Запрет запуска заданных приложений Windows» и «Разрешение запуска лишь заданных приложений Windows».

Откроем параметр «Запрет запуска заданных приложений Виндовс». Как несложно догадаться, в этом поле можно указать программы, которые в вашей операционной среде запускаться не смогут. Эта настройка очень простая, и с ней смогут разобраться даже те, кто мало что понимает в средствах администрирования.

По умолчанию данный параметр отключен. Включим его. Для этого в левом верхнем углу выберем опцию «Включено», а рядом с полем «Список запрещенных приложений» нажмем кнопку «Показать».

Теперь перед вами окно, где в каждой из строчек можно задать имя исполняемого файла для приложения, которое вы желаете заблокировать. Впишем в это поле значение “mspaint.exe”, которое соответствует простому графическому редактору Paint, вшитому в базовую комплектацию Windows 10.

Подтвердим свой выбор. После заданных настроек программа Paint будет заблокирована для запуска, а при попытке запустить графический редактор напрямую, через проводник, на экране появится системное сообщение о невозможности выполнения данной операции.

Чтобы отключить групповую политику, выберите вариант «Не задано».

Как настроить локальную сеть в Windows 10

Рассмотрим еще одну функциональную возможность, а именно изменим уровень контроля UAC в качестве примера.

Откроем категорию «Конфигурация компьютера», и в ней папки Конфигурация Windows –> Параметры безопасности -> Локальные политики -> Параметры безопасности. В ней найдем пункт «Контроль над учетными записями: действие запроса, соответствующего повышению привилегий администратора» и выполним двойной щелчок на нем.

По дефолту тут выставлено значение «Запрос на согласие запуска файлов, не соответствующих стандартной поставке Windows» (если выбран этот вариант, при каждом запуске программы, пытающейся внести некие изменения в настройки или параметры ОС, у пользователя каждый раз будут спрашивать согласия).

Рассмотрим другие значения. Первый вариант «Повышение прав без запроса» является наиболее уязвимым, поскольку полностью отключает UAC, позволяя запускать какие-угодно приложения в операционке без каких-либо запросов. Это не вполне безопасно, поэтому данный вариант стоит рассматривать в самую последнюю очередь.

Следующая опция – «Запрос учетных данных на безопасном рабочем столе». Если используется это значение, при каждой попытке запустить на исполнение (или инсталлировать) программу, вносящую изменения в настройки среды, у пользователя будут спрашивать логин и пароль текущей учетной записи. Один из наиболее безопасных режимов, если вы хотите обеспечить максимум контроля над ОС, если за вашим компьютером работает кто-то еще.

Еще один вариант – «Запрос согласия на безопасном рабочем столе». Значение, схожее с предыдущим, с той лишь разницей, что вместо данных для аутентификации перед пользователем будут возникать запросы на подтверждение операции с файлом.

Следующие два значения ведут себя схожим образом, с той лишь разницей, что область применения указанной настройки не распространяется лишь на зону рабочего стола.

Если присмотреться к настройке UAC с помощью редактора, то здесь вариативность и возможности кастомизации гораздо шире, чем с помощью дефолтного метода, из панели управления. Там таких возможностей нет и в помине, а в совокупности с другими модулями клиента локальной групповой политики перед вами открываются огромнейшие горизонты для тонкого управления поведением своей основной рабочей среды.

Что такое торрент и что такое торрент-трекер?

Напоследок я расскажу, как с помощью групповых политик включить защитника Windows 10.

Перейдем в раздел «Конфигурация компьютера», и в нем откроем каталог «Административные шаблоны» -> «Компоненты Windows» -> «Endpoint Protection».

Если в качестве значения параметра «Выключить Endpoint Protecton» указана опция «Включено», выполните двойной щелчок на ней и установите значение «Отключено» или «Не задано».

Возможностей для изменения групповых политик в редакторе действительно предостаточно. Если вы хотите поближе познакомиться с навыками администрирования ОС Windows при помощи данной оснастки, в сети можно найти достаточно много справочных руководств на эту тематику. В этой статье я лишь описал некоторые из основных приемов.

composs.ru

Как на практике применить групповые политики в Windows 10

Здравствуйте, уважаемые читатели моего блога. В некоторых статьях я неоднократно использовал возможности системной утилиты gpedit, которая позволяет управлять запуском и установкой приложений, контролировать поведение пользователей, ограничивать некоторые возможности ОС. Сегодня я хотел бы подробно рассказать о такой важной вещи, как настройка групповых политик в Windows 10. Будет рассмотрено несколько полезных примеров, которые могут Вам пригодиться.

Сразу же подчеркну, что подобный функционал доступен только в «Профессиональной» и «Корпоративной» версиях операционной системы Microsoft. Но есть способ установить утилиту и для «Домашней» (Home) версии. Если этого не делать, то вносить изменения в некоторые аспекты ОС придется через редактирование реестра, что менее безопасно и не так удобно, чем с помощью графического интерфейса.

Добавление утилиты для версий «Домашняя» и «Стартер»

Нам понадобится скачать вот этот архив с патчем:

Распаковываем в любую папку и запускаем установщик setup.exe с правами администратора.

Когда появится последнее окно с кнопкой «Закончить установку» (Finish), не спешите её нажимать. Если используете систему 64 bit, то следует зайти в каталог, где расположены системные файлы (Windows) и скопировать из временной папки Temp/gpedit следующие dll-файлы:

1. gpedit
2. appmgr
3. gptext
4. fdeploy
5. gpedit.msc

• Вставляем их в директорию %WinDir%\System32
• Теперь заходим в каталог SysWOW64 и с него копируем папки:

1. GroupPolicy
2. GroupPolicyUsers
3. GPBAK
4. И один файл gpedit.msc

• Вставляем их System32 и перезапускаем ПК.
• После запуска пробуем войти в консоль «Выполнить» (Win + R) и вбиваем в поле ввода следующую команду:

• В случае возникновения ошибки (если не удается войти) следует пройти по пути: Windows\ Temp\ gpedit и там в ручном режиме запустить файл, соответствующий разрядности Вашей ОС – xbat или x86.bat.

Вот и всё. Теперь Ваша «Домашняя» версия поддерживает возможность настройки групповых политик.

Примеры работы групповых политик на практике

О том, как запустить утилиту было сказано выше. Не буду повторяться. Когда откроется окно редактора локальной групповой политики, слева отобразится перечень элементов для конфигурации ПК и пользователя, а справа – более конкретные параметры, а также подробная информация о выбранном пункте.

Уверен, Вы хотите поскорее перейти от сухой теории к рассмотрению живых примеров.

Установка запрета на запуск приложений

• Переходим по следующему пути: «Конфигурация пользователя», затем «Административные шаблоны», выбираем подпапку «Система».
• Справа отобразится перечень возможностей.

• Допустим, мы не хотим запускать определенные приложения из соображений безопасности. Для этого открываем настройки пункта «Не запускать указанные приложения Windows».
• В открывшемся окне выделяем отметку «Включить», а после этого кликаем по кнопке «Показать» (которая откроет перечень запрещенных программ).

• Теперь осталось только прописать имена.exe файлов в данном списке, и сохранить изменения, нажав на «ОК».
• После попытки запуска указанного софта будет появляться следующая ошибка:

• Чтобы отключить запрет, нужно просто удалить нужный файл из «черного списка».

Внесение изменений в UAC

Если Вам надоело всплывающее окно, которое появляется каждый раз, когда Вы пытаетесь запустить стороннее приложение, значит необходимо изменить некоторые параметры управления учетными записями. Для этого:

• Переходим к папке «Конфигурация ПК», затем – «Конфигурирование Windows». После этого открываем директорию «Параметры безопасности», переходим в «Локальные политики».
• Справа отобразится перечень настроек. Нас интересует следующая опция: «Запрос согласия для исполняемых файлов не из Windows».
• Чтобы полностью отказаться от появления уведомлений, выбираем из списка вариант «Повышение без запроса».

Это лишь парочка простейших примеров, которые могут помочь в решении некоторых проблем. Я рекомендую более подробно изучить работу данного системного клиента, чтобы научиться управлять большинством возможностей Windows 10.

Может Вы поделитись своими способами применения групповых политик в Windows. Буду ждать Ваших примеров в комментариях.

C уважением, Виктор

it-tehnik.ru

Как Windows 10 сбросить настройки локальной групповой политики.

Редактор групповой политики это важный инструмент ОС Windows с его помощью системные администраторы могут настраивать тонкие параметры системы. Он имеет несколько вариантов конфигурации и позволят вам внести коррективы производительности, настройки безопасности для пользователей и компьютеров.

Иногда после неудачной настройки вашего редактора групповой политики ваш компьютер начинает вести себя не лучшим образом. Это значит, что пришло время, сбросить все настройки групповой политики и вернуть значения по умолчанию, тем самым сэкономив время и нервы вместо переустановки Windows. В этом руководстве мы покажем вам, как сбросить все настройки групповой политики по умолчанию в операционной системе Windows 10.

Сброс групповой политики к значениям по умолчанию

Настройки Групповой политики могут различаться между несколькими конфигурациями, как персонализация, настройки брандмауэра, принтеры, политики безопасности и т.д. Мы рассмотрим несколько способов с помощью которых вы можете сбросить соответствующие политики в состояние по умолчанию.

Сбросить параметры объекта групповой политики с помощью редактора локальной групповой политики

Выполните следующие действия, чтобы сбросить измененные параметры объекта групповой политики.

1. Нажмите Клавиша Windows + R на клавиатуре, для запуска аплета Выполнить. Введите в строку gpedit.msc и нажмите Enter, чтобы открыть редактор локальных групповых политик.

2. Перейдите к следующему пути на левой боковой панели окна редактора групповой политики:

Политика Локальный компьютер> Конфигурация компьютера> Административные шаблоны> Все Параметры

3. Теперь, в правой стороне окна, упорядочить параметры политики с помощью столбца Состояние, так что все политики, которые включены / отключены можно получить в верху списка.

5. Повторите то же самое для пути указанного ниже:

Политика локальный компьютер> Конфигурация пользователя> Административные шаблоны> Все Параметры

6. Это позволит восстановить все параметры групповой политики в состояние по умолчанию. Однако, если вы столкнулись с некоторыми серьезными проблемами, как потеря привилегий администратора или проблемы входа в систему, то вы можете попробовать метод ниже.

Восстановление локальных политик безопасности по умолчанию

Политики безопасности о вашей учетной записи администратора в Windows 10, находятся в другой консоли управления - secpol.msc (Локальная политика безопасности). Эта оснастка параметр безопасности расширяет групповые политики и помогает определить политики безопасности для компьютеров в домене.

Выполните следующие действия, чтобы изменить политику безопасности на вашей машине:

1. Нажмите КлавишиWindows + X на клавиатуре, запустив Quick Link меню. Выберите Командная строка (Admin) , чтобы открыть командную строку с повышенными правами.

2. Введите следующую команду в окне командной строки и нажмите клавишу ВВОД:

Secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

3. После завершения задачи, перезагрузите компьютер, чтобы изменения вступили в силу.

Сброс объектов групповой политики с помощью командной строки

Данный метод включает в себя удаление папки параметров групповой политики с диска, на котором установлена ​​операционная система. Выполните следующие действия, чтобы сделать это с помощью командной строки от имени администратора.

1. Откройте командную строку как администратор

2. Введите следующие команды в CMD и выполнять их одну за другой.

RD /S /Q "%WinDir%\System32\GroupPolicyUsers" RD /S /Q "%WinDir%\System32\GroupPolicy" gpupdate /force

3. После этого, перезагрузите компьютер.

Примечание: Убедитесь, что вы создали точку восстановления системы перед внесением изменений в реестр или объектов групповой политики.

g-ek.com

Административные шаблоны в Windows 7: основы

“Административные шаблоны” или “Административные политики” в Windows 7 – это специально созданный файл, в котором находятся настройки реестра. Операционная система считывает эти настройки как при запуске, так и при входе пользователя.

Параметры “Административных шаблонов” находятся в Редакторе локальной групповой политики, и присутствую как в узле “Конфигурация компьютера“, так и в узле “Конфигурации пользователя“.

Так что же такое политика и как ими пользоваться

Рассмотри такое известное свойства рабочего стола Windows 7, как “Обои“. Вы можете поменять обои в любое время, так же и сменить заставку, тему. Все это пользовательские свойства. Политики, устанавливаемые администратором имеют более высокий приоритет, чем свойства пользователя. В системе приоритеты политик и свойств распределяются следующим образом:

• Политика и свойства не установлены – применяются параметры по умолчанию
• Политика не установлена, применено пользовательское свойство – система использует свойство пользователя.
• Политика установлена, свойство не используется – система будет использовать политику.
• Политика установлена и установлено пользовательское свойство – система будет использовать политику, а свойство нет

Вывод прост: если применена политика, установлена администратором, то все попытки пользователя изменить свойства останутся без результата.

Еще одно большое преимущество “Административных шаблонов” – это изменение параметров конфигурации без редактора реестра (regedit). Не надо искать в реестре раздел, имя ключа или параметра. Достаточно войти в “Редактор локальной групповой политики” и изменить состояние нужной политики, тем более, что политика управляет окружением всех пользователей. Администратору достаточно изменить состояние политики, чтобы изменения были применены для всех пользователей.

Примечание: чтобы изменять параметры в “Редакторе локальной политики“, необходимо иметь права “Администратора“.

Запуск “Редактора локальной политики”

Чтобы открыть “Редактор локальной групповой политики” нажмите кнопку Пуск – Выполнить и введите команду gpedit.msc, и нажмите клавишу ОК. В открывшемся “Редакторе локальной групповой политики” видим “Административные шаблоны” присутствуют как в “Конфигурации компьютера“, так и в “Конфигурации пользователя“. Соответственно параметры “Конфигурации компьютера” находятся в разделе HKEY_LOCAL_MACHINE\Software\Policies, а параметры “Конфигурации пользователя” в разделе HKEY_CURRENT_USER\Software\Policies.Так же параметры могут быть и в разделе SOFTWARE\Microsoft\Windows\CurrentVersion\Policies. Доступ к этим параметрам имеют только администраторы.

Практическое применение политик

Вернемся к свойству экрана и посмотрим, как можно отключить этот параметр. Запускаем Редактор локальной групповой политики. В левой панели переходим в раздел Конфигурация пользователя – Административные шаблоны – Панель управления – Окно свойств экрана. В правой панели два раза кликаем мышкой на “Отключить окно свойств экрана в панели управления“. Как видим политика имеет три состояния:

• Не задано – применяется свойство пользователя.
• Включить – в этом состоянии в реестре значение параметра меняется на 1 (или 0), что соответствует активному состоянию
• Выключить – соответствующий параметр в реестре имеет значение 0

Если выбрать состояние Включить, то при попытке открыть окно свойств экрана, появится сообщение, что выполнение этого действия запрещено.

Как видим “Административные шаблоны” достаточно мощный инструмент в управление компьютером, тем более, что в Windows 7 эти политики были значительно обновлены и расширены. Применение тех или иных политик требует определенной осторожности, достаточно посмотреть список политик, который находится в Административных шаблонах.

В этой небольшой статье мы затронули лишь малую часть возможностей Административных шаблонов. Более подробно узнать о Редакторе локальной групповой политики можно из справки, которая вызывается из меню редактора. В этой справке есть большой раздел по настройке Internet Explorer.

windata.ru

Настройки групповой политики Windows 8

Групповая политика в Windows 8 мало чем отличается от аналогичного инструмента в «десятке». Рассмотрим его на примере Windows 10, подразумевая что в «восьмёрке» он ничем не отличается, за исключением наличия нескольких дополнительных опций.

Что это за инструмент

Групповая политика – это обширный набор плавил, опций и настроек, посредством которых системный администратор может конфигурировать параметры компьютера. Сюда относится возможность изменять различные значения, устанавливать всевозможные ограничения, отключать или активировать функции. В общем, групповая политика предоставляет пользователю возможность редактировать записи системного реестра посредством удобного и понятного инструмента, в котором каждый параметр имеет название с кратким описанием, чего не предоставляет редактор реестра.

Эта оснастка доступна только для пользователей, которые установили на свои компьютеры Windows 10 профессиональную (Pro) или для бизнеса (Enterprise). В ином случае придется обновлять операционную систему или остаться без нижеописанных возможностей.

Запуск редактора

Прежде чем ознакомиться с функционалом редактора, необходимо выяснить, каким образом он запускается, и как быстрее вызвать оснастку.

Выполняем команду «gpedit.msc», скопировав или вбив ее в поисковую строку начального экрана, или «Пуск» в Windows 10, или текстовую форму командного интерпретатора (вызывается на экран посредством Win + R).

Добавление редактора в Виндовс Домашняя

Если появилось сообщение, оповещающее о невозможности запустить редактор, или используете домашнюю версию Windows 10 или «восьмерки», тогда придется выполнить интеграцию инструмента в операционную систему.

Внимание! Редактор групповой политики в домашнюю версию Виндовс не добавляется с XP, и Виндовс 10 не стала исключением.

• Скачиваем архив с установочным файлом и несколькими заплатками, которые собрала команда энтузиастов, по ссылке http://winitpro.ru/wp-content/uploads/tools/add_gpedit_msc.zip.
• Выполняем декомпрессию загруженного архива.
• Выполняем файл «setup.exe» с привилегиями администратора через его контекстное меню.
• Устанавливаем недостающую оснастку, выполняя приведенные инструкции.

Посмотрите ещё: Как переустановить Windows 8

• При использовании операционной системы разрядностью x32 бит закрываем окно, нажав «Finish», в 64-х битной редакции Виндовс 10 и 8 эту кнопку ни в коем случае не трогаем.
• Заходим в папку «Temp», расположенную в директории «Windows» системного тома.
• Копируем туда динамические библиотеки (файлы с расширением dll) gpedit, fde,gptext, appmgr, fdeploy с распакованного архива.
• Копируем файл «gpedit.msc» в директорию «System32», которая находится в той же системной папке «Windows».

• Создаем копии GroupPolicy, GPBAK файлов GroupPolicyUsers иmsc, расположенных в «SysWOW64», в папке «System32».
• Если все прошло успешно, жмем «Finish» и перезагружаем Windows 10.

При возникновении ошибки в случае копирования документов придется подождать около минуты и повторить попытку или освободить проблемные файлы от использования их запущенными приложениями при помощи Unlocker.

Бывает, что при точном выполнении всех пунктов инструкции появляется ошибка с текстом о невозможности создания оснастки MMC. Тогда идем в каталог «Temp\gpedit», расположенный в «Windows», и запускаем командный файл x86.bat при использовании 32-х битной Виндовс 10, или x64.bat, если на компьютере используется 64-х разрядная ОС.

Как ни печально, но ни одна новая политика для «восьмерки» и «десятки» не будет доступной, ведь инструмент разрабатывался для «семерки» и был лишь незначительно подкорректирован для поддержания «десяткой».

Работаем в редакторе

Внешний вид окна редактора политики мало чем отличается от классического проводника и редактора реестра концептуально. Здесь присутствует все та же иерархическая структура каталогов с подкаталогами (аналогично разделам реестра и папкам в проводнике) и параметрами (файлы в проводнике и ключи в реестре) с подробной информацией о каждом из них.

Аналогично кустам реестра, список доступных опций в редакторе политики разделен на две части, первая из которых применима для активного пользователя, а вторая – для всех юзеров компьютера. В каждом разделе содержится ещё по три подраздела:

• «Конфигурация программ» - настройки, касающиеся ограничений на запуск приложений на компьютере;
• «Конфигурация Windows» - перечень групповых политик, влияющих на безопасность, позволяющих внедрять пользовательские скрипты для их выполнения во время запуска ПК;
• «Административные шаблоны» - пункт содержит перечень всех настроек, которые доступны для пользователя через «Панель управления».

Посмотрите ещё: Восстановление системы Windows 8

Пользователя, владеющего базовыми знаниями о возможностях, которые предоставляют групповые политики, ждет приятное открытие – доступ к массе спрятанных в дебрях системы и даже недоступных посредством графического интерфейса функциям.

(Visited 2 386 times, 1 visits today)

Если вы посчитали, что, настроив на своём сервере антивирусы, вы на 100% обезопасили себя и своих клиентов от каких бы то ни было инцидентов, то это ещё не всё. Вам не помешают групповые настройки, исключающие любые ошибки.

Зачем в Windows нужна локальная политика безопасности

Групповая (локальная) политика безопасности (ГПБ/ЛПБ) - это программные средства, обеспечивающие согласованную и максимально эффективную работу компьютеров компании или учреждения. Иметь высокую производительность труда, экономя время и ресурсы - это о вас, если на ПК и ноутбуках под управлением Windows работают настройки группового соединения: вместе эти компьютеры образуют единое целое, помогающее вашей конторе расти и развиваться дальше. Для этого требуется их подключение к одному домену.

Какая версия Windows 10 подходит для настроек групповой политики

Вам нужна Professional/Enterprise - её используют работники частных фирм и госслужащие. Дело в том, что в версии Home/Starter, предназначенной для обычных пользователей, нет компонента gpedit.exe (англ. Group Politics Editor) - нужна его принудительная установка.

Почему в Windows Home/Starter нет инструмента GPEdit

В Home/Starter ГПБ представлена лишь службой «Клиент групповой политики», которую можно отключить совсем. Да и зачем она, если доступ к расширенным настройкам закрыт? Сделано это для предотвращения изменений, вносимых в настройки ОС вредоносным ПО под именем администратора.

Где находится и как работает локальная политика безопасности

Локальные средства безопасности «десятки» управляются службой «Клиент групповой политики». Если эта служба отключена, средство Group Politics Editor не запустится или будет давать сбои в настройке.

Запуск редактора локальной политики безопасности Windows 10

Дайте команду «Пуск - Выполнить» и введите в открывшейся строке команду gpedit.msc.

Подтвердите ввод, нажав OK

Запустить редактор также можно, введя «gpedit» в поиске главного меню Windows 8/10.

Функционал редактора групповой политики

Настройка сервиса ГПБ включает в себя:

Как выключить локальную политику безопасности

Необходимо выключить службу «Клиент групповой политики». Но она «вшита» в Windows 7/8/10 настолько прочно, что остановить и деактивировать её с помощью встроенного мастера настройки служб, вызываемого из диспетчера задач, нельзя.

Самый действенный способ - вмешаться в реестр системы. Сделайте следующее:

1. Войдите в уже знакомую строку запуска программ «Выполнить» и введите команду «regedit». Откроется редактор реестра.
2. Перейдите в директорию \HKLM\SYSTEM\CurrentControlSet\Services\gpsvc (процесс gpsvc.exe, видимый в диспетчере задач при работе «Клиента групповой политики», запускается реестром Windows из этого места).
3. Правый щелчок мышью откроет меню папки «gpsvc» - выберите «Разрешения».

   В редакторе реестра находим папку «gpsvc», нажимаем «Разрешения»

4. Выберите другого владельца, зайдя в дополнительные параметры безопасности.

   Без изменения имени вы не сможете добраться до полного доступа к процессу gpsvc

5. Отметьте все разрешения. Желательно удалить лишних пользователей из настройки неограниченного доступа к службе.

   Отметьте все разрешения, удалите лишних пользователей из настройки дополнительного доступа в графе «Группы или пользователи»

6. Вернитесь к папке gpsvc в данной директории реестра и измените ключ Start, введя значение 4 («Отключено»).

   В папке gpsvc измените ключ Start, введя значение 4, и система отключится

7. Закройте все окна, нажав OK, перезапустите компьютер.

Это ещё не всё! Вам будет мешать сообщение в трее о неработе службы «Клиент групповой политики».

Оно будет появляться каждый раз, уберите его

Чтобы его убрать, сделайте следующее:

Предварительно сохраните эту папку в отдельный файл реестра. Это делается на случай, если работу службы нужно быстро восстановить, не переустанавливая Windows. После удаления папки перезапустите компьютер - уведомление больше не появится.

Локальная политика безопасности Windows 10 не включается

Причины, по которым не включается служба, следующие:

• вы скачали сборку ОС, в которой этот компонент отключён. Вам поможет код реестра (можно сохранить и запустить как отдельный reg-файл): Windows «EnableInstallerDetection»=dword:00000001. Перезапустите компьютер после запуска созданного твика;
• вы используете Win 10 Home. Поставьте сервис «Локальная политика безопасности самостоятельно, если у вас нет сборки Professional или Enterprise. Воспользуйтесь инструкциями для Windows 7 и выполните похожее для Windows 10;
• недостаточно прав, нужны «админские» права. Чтобы включить учётную запись администратора, воспользуйтесь командой «net user администратор /active:yes» в командной строке и зайдите в систему под именем администратора. Попытайтесь запустить редактор ГПБ заново известными выше способами. Как только надобность в GPEditor отпадёт и службу вы отключите, выйдите из учётной записи администратора и выключите его командой «net user администратор /active:no».

Видео: как установить редактор групповой политики в Windows

Службы и процессы групповой безопасности Windows - полезный инструмент, здорово выручающий в работе. Когда он не нужен, его легко выключить.

Вы пытаетесь запустить редактор локальной групповой политику с помощью команды gpedit.msc в Windows 10 Home? И вам выдает ошибку "Не удается найти gpedit.msc. Проверьте, правильно ли указано имя и повторите попытку"? Дело в том, что в редакции home ее попросту нет. Отсутствие редактора групповой политики в windows 10 home является головной болью для домашних пользователей. Они ограничены в настройках операционной системы. Все простые манипуляции, которые можно выполнить быстро и легко с помощью групповой политики, приходится редактировать через редактор реестра, что является для простых пользователей очень непонятно, запутано и сложно.

Групповая политика - это инструмент, который позволяет сетевым администраторам изменять возможность включения, отключения многих важных параметров. Содержит все настройки, которые могут быть изменены через рабочий стол в пару кликов, но к сожалению Microsoft не включает функцию Gpedit в редакцию Windows 10 Home. И соответственно домашним пользователям приходится изменять "кошерные" параметры через реестр.

Активировать редактор локальной групповой политики Gpedit.msc в Windows 10 Home

В Windows 10 нет встроенного инструмента, который может активировать редактор локальной групповой политики. Таким образом, единственный способ - это помощь сторонней утилиты Policy Plus с русским интерфейсом.

Policy Plus

Policy Plus - это бесплатная программа, которая отлично активирует редактор локальных групповых политик "Gpedit.msc" в Windows 10 Home. Этот инструмент приобретает лицензию для работы в Windows 10, поэтому вы можете запускать ее без каких-либо проблем с нарушением условий. Policy Plus напоминает реальный редактор политики Windows 10 Group.

Шаг 1 . Загрузите Policy Plus из репозитория Github . Как только загрузка закончится, откройте файл, и вы сразу получите простой чистый интерфейс, имеющий все параметры политики в категориях и подкатегориях.

Шаг 2 . Нажмите "Help ", а затем "Acquire ADMX Files". В появившимся окне нажмите "Begin " (начать). Это загрузит полный набор политик от Microsoft.

Шаг 3 . Можете приступать к настройкам параметров вашей системы windows 10 Home.