Om du vill ändra hur Windows beter sig genom att ta mer kontroll över säkerheten eller inaktivera några saker som Microsoft kastar åt dig, kan du göra det genom att justera grupprincipinställningarna. Ja, du kan också göra samma från registerredigeraren, men grupprincip har några fler fördelar som att grupprincip inte ändras efter en Windows-uppdatering, till skillnad från registret. Viktigast av allt kan du antingen konfigurera grupppolicy lokalt på ditt system eller göra den aktiva katalogen tillämplig på flera system i din domän. Så det här är särskilt användbart för kontor och skolor som kör Windows-datorer.
Bästa grupppolicyinställningar
Innan vi börjar, låt oss förstå att grupprincip är ett grafiskt verktyg som låter dig redigera inbyggda OS-inställningar, kärninställningar etc. Men om du justerar grupprincipen på fel sätt kan det till och med orsaka att ditt operativsystem inte fungerar. Så om du ska göra några ändringar, se till att exportera listan innan du gör några ändringar.
Så här får du tillgång till grupppolicy
En av de största förbehållen för grupppolicyn är att den endast är tillgänglig på de datorer som kör Windows Professional, Education eller Enterprise-versioner. Även om du kör Windows Home kan du komma åt grupprincipen men med få lösningar, vilket jag kommer att förklara nedan.
För att komma åt grupppolicyn finns det flera sätt, ett av de enklaste sätten är att öppna kommandotolken> skriv “gpedit.msc” och klicka på enter.
Även om grupppolicy inte är en del av Windows Home-utgåvor finns det fortfarande ett sätt att komma åt den. Allt du behöver göra är att installera en grupprincipredigerare från tredje part genom att ladda ner den här batchfilen. Öppna den som administratör, den börjar installeras i kommandotolken. Det tar cirka 2 - 3 minuter att installera. När processen är klar öppnar du kommandotolken igen och skriver gpedit.msc för att komma åt den.
1. Inaktivera all programinstallation
Genom att inte tillåta användare att installera olika program kan du minska mängden underhåll och rengöring som krävs när något dåligt är installerat eftersom det också är en av de potentiella orsakerna till skadlig programvara. Detta är ännu mer användbart, särskilt i skolor, där du vill att eleverna bara ska få tillgång till det som krävs.
Om du vill begränsa användare från att installera eller köra program kan du ställa in det genom att öppna Grupprincip> Navigera till datorkonfigurationer> Administrativa mallar> Windows-komponenter> Windows Installer och dubbelklicka på Stäng av Windows Installer alternativ. Ändra inställningen för att aktivera och se till att alternativet säger ”Endast för icke-hanterade applikationer” så att de kan installera alla appar som är tillåtna av ledningen. Klicka nu på Apply och starta om datorn för att ändringar ska kunna ske.
Blockering för att köra specifika applikationer
Att blockera alla appar som ska installeras är överdrivet i många situationer. Om allt du vill blockera bara några appar kan du göra dessa ändringar i grupprincipen.
Öppna Grupprincip> Användarkonfiguration> Administrativa mallar> System och dubbelklickaKör inte angivna Windows-programalternativ. Ändra inställningen för att aktivera och klicka på Visa-knappen. Nu kan du gå in i listan över de appar du vill blockeras för användarna och klicka på ok. Klicka nu på Apply och starta om systemet för att inställningarna ska tillämpas.
2. Blockera åtkomsten till Kontrollpanelen
Det är viktigt att sätta gränser för kontrollpanelen mestadels i affärsmiljöer eftersom det ger dig kontroll över hela systemet. Du kan antingen blockera hela åtkomsten eller begränsa dess åtkomst.
För att blockera åtkomst, öppna Grupprincip> Användarkonfiguration> Administrativa mallar> Kontrollpanelen> och dubbelklicka påFörbjuda åtkomst till Kontrollpanel och PC-inställningar och klicka på aktivera och tillämpa. Och ändringarna kommer att tillämpas direkt.
Visa bara specifika objekt på kontrollpanelen
Ovanstående process blockerar åtkomst till hela kontrollpanelen. Men om du vill begränsa användningen. du kan göra det genom att öppna Grupprincip> Användarkonfiguration> Administrativa mallar> Kontrollpanelen> och dubbelklicka på Visa endast angivna objekt på kontrollpanelenoch klicka på aktivera. Klicka nu på showalternativet för att specificera varje kontrollpanelalternativ som ska visas. Om den inte finns med i den här listan kommer den inte att visas för användaren.
Det innebär att du måste välja och skriva ut alla objekt på kontrollpanelen som du vill inkludera. Du hittar namnen på alla objekt på Kontrollpanelen på Microsofts webbplats.
3. Inaktivera kommandotolken
Kommandotolken är utan tvekan så användbar och också en mardröm samtidigt som det ger användarna möjlighet att köra kommandon och program som du inte är avsedd för. Det kan också vara ett farligt verktyg i händerna på de oerfarna. Det finns många anledningar att inaktivera kommandotolken. Du kanske har barn som delar en familjedator eller låter gästerna använda din dator när de bor hos dig. Eller kanske du driver en företagsdator måste du låsa den.
För att inaktivera, öppna Grupprincip> Användarkonfiguration> Administrativa mallar> System och dubbelklicka på Förhindra åtkomst till kommandotolken alternativ. Ändra policyn för att aktivera och tillämpa. Nu behöver du en omstart för att ändringarna ska gälla.
4. Inaktivera Windows Registerredigerare
Samma som kommandotolken kan registerredigeraren till och med bryta saker och kringgå några begränsningar för grupprinciper. Så för att skydda policyn kan du öppna Grupprincip> Användarkonfiguration> Administrativa mallar> System och dubbelklicka på Förhindra åtkomst till registerredigeringsverktyg och aktivera det. Klicka nu på Apply och starta om datorn för att tillämpa ändringar.
5. Blockera drivrutiner för flyttbara media
USB-enheter eller andra former av flyttbara mediaenheter kan vara farliga för datorn. Om någon av misstag eller medvetet ansluter en virusinfekterad lagringsenhet kan det påverka datorn eller till och med domänen. När du kör många datorer är det svårt att hantera lagring genom att tillåta mediedrivrutiner. Blockering av flyttbara mediedrivrutiner används ofta i många skolor och högskolor.
Öppna för att blockera mediedrivrutiner Grupprincip> Användarkonfiguration> Administrativa mallar> System> Avtagbar lagringsåtkomst och dubbelklicka på Flyttbara diskar: Neka läsåtkomst. Klicka nu på aktiveringsalternativet och ansök om att stoppa PC för att läsa externa drivrutiner.
Blockera skrivalternativ
Ovanstående alternativ gör bara att PC inte läser filerna i den externa enheten. Men du kan fortfarande kopiera filerna till den externa enheten. Om du vill skydda filerna måste du också blockera skrivalternativet. Detta implementeras vanligtvis i affärsmiljöer.
För att blockera skrivalternativ, öppna Grupprincip> Användarkonfiguration> Administrativa mallar> System> Avtagbar lagringsåtkomst och dubbelklicka på Flyttbara diskar: Neka skrivåtkomst. Aktivera nu alternativet och välj tillämpa för att tillämpa ändringarna.
Alternativt kan du använda Alla flyttbara lagringsklasser: Neka all åtkomst för att blockera både läs- och skrivalternativ samtidigt.
6. Dölj partitionenhet från datorn
Om det finns känslig information i systemen kanske du vill dölja den för specifika användare för att få åtkomst till den. Du kan göra det från grupprincipinställningar. Men kom ihåg att den här inställningen bara kommer att dölja den från filutforskaren och några andra appar, men människor kan fortfarande komma åt den från kommandotolken.
Hur som helst kan du dölja det genom att öppna Grupprincip> Användarkonfiguration> Administrativa mallar> Windows-komponenter> Windows Explorer och dubbelklicka på Dölja dessa angivna enheter på den här datorn och välj aktiveringsalternativet. När den är aktiverad klickar du på rullgardinsmenyn i alternativpanelen och väljer vilka enheter du vill dölja. Enheterna döljs när du klickar på OK.
7. Öka minsta lösenordslängd
Standardlösenordslängden för Windows är 8 och du måste använda minst ett versaler, gemener och nummer eller specialtecken. Det är faktiskt väl säkrat. Men du kan förbättra säkerheten genom att öka lösenordslängden. Du kan ställa in upp till 14 tillsammans med versaler, gemener och nummer eller specialtecken.
Du kan ändra det genom att öppna Grupppolicy> Datorkonfiguration> Windows-inställningar> Säkerhetsinställningar> Kontopolicy> Lösenordspolicy och dubbelklicka Minsta lösenordslängd policy & Ange ett värde för längden och klicka på och applicera.
8. Spåra kontoinloggningar
Med grupprincip kan du tvinga windows att spåra alla lyckade och misslyckade inloggningar till datorn. Du kan antingen ställa in den på en specifik dator eller en specifik användare. Hur som helst kommer detta att vara användbart för att spåra obehöriga personer som försöker logga in. Du kan aktivera det genom att öppna Grupprincip> Datorkonfiguration> Windows-inställningar> Säkerhetsinställningar> Lokala policyer> Granskningspolicy och dubbelklicka på Revisionsinloggningshändelser.
Markera kryssrutan bredvid"Framgång" och"Fel" alternativ. När du klickar på ok kommer Windows att börja registrera inloggningar på datorn.
För att se dessa inloggningar, öppna Kör och ange eventvwr för att öppna Windows Event Viewer. Utöka nu Windows-loggar och välj sedan säkerhet alternativ. I mittpanelen kan du titta på alla inloggningsförsök. Du kan titta på det konto som försökte logga in, datum och även tiden. Men framgång och misslyckade försök nämns med kod.
9. Inaktivera OneDrive
Du kanske gillar OneDrive eller helt hatar det. Om du eller din organisation inte använder OneDrive eller bara vill ta bort från din dator kan du göra med grupprincip. Öppna Grupprincip> Datorkonfiguration> Administrativa mallar> Windows-komponenter> OneDrive och dubbelklicka Förhindra användningen av OneDrive för fillagring. Aktivera det nu och klicka på Apply. Du måste starta om datorn för ändringarna.
10. Behåll grupppolicyändringar i kontrollen
Hur som helst kan dessa ändringar återställas till det normala genom att använda grupprincipen med samma metod men ställa in dem för att inaktivera. Du kan förbli ansvarig för grupprincipen genom att använda grupprincipobjektgranskning. För att hålla koll på ändringar som gjorts i grupprincipobjekt, prova Lepide Change Reporter.
Avslutar
När du är klar med att justera grupprincipinställningarna måste du flytta inställningarna till datorgruppen i Active Directory där du kan ställa in katalogen för varje dator i domänen. Du kan också ställa in specifika grupppolicyer för endast enskilda användare eller datorer. Nu är allt du behöver göra att ladda ner grupprincipen från Active-katalogen för att tillämpa. Alla ändringar i den aktiva katalogen gäller automatiskt för de enskilda systemen.