Preferenze di criteri di gruppo. Impostazione dei criteri di gruppo in Windows
Tra gli attuali amministratori di sistema, per non parlare degli utenti ordinari, c'è un numero abbastanza limitato di persone che capiscono chiaramente quali sono le preferenze della politica di gruppo. No, in senso generale, c'è un concetto. La maggior parte delle persone crede che l'editor di criteri di gruppo sia una sorta di controparte dei mezzi per cambiare le chiavi di registro. Sì, in parte così com'è. Ma il registro in termini di impostazione dei parametri di base è una priorità. Ma non è necessario confondere le politiche e le preferenze di gruppo. Queste sono cose completamente diverse (inoltre sarà chiaro perché).
Criteri di gruppo di Windows: che cos'è?
Per iniziare, facciamo la conoscenza del termine stesso. Qual è la politica di gruppo "Windows"? Si tratta di un determinato insieme di regole applicate alle impostazioni del sistema operativo stesso o alle opzioni installate per ciascun utente specifico, che, in parole povere, determinano il suo stato in termini di modifica di determinati parametri.
Pertanto, l'impostazione di una politica di gruppo consente a ciascun utente di impostare le proprie priorità per l'accesso alla configurazione del sistema, invocando determinati programmi e le manovre a livello di abilitazione o disabilitazione dei controlli di sistema o dei suoi componenti. Ma! Non confondere le politiche stesse e impostare le preferenze. Sono stati originariamente sviluppati come una sorta di aggiunta alle opzioni delle politiche stesse. In alcuni casi, non dipendono nemmeno dalle policy, in quanto vengono utilizzate su sistemi Windows con il dominio di accesso di Active Directory abilitato.
Quali sono le preferenze
Se per comprendere, in linea di massima, le preferenze delle politiche di gruppo non sono piuttosto regole e impostazioni dogmatiche, ma opzioni modificabili.
Cioè, se si desidera impostare determinate priorità di input, modificare le impostazioni del "Desktop" o qualcos'altro, dare o annullare i diritti per eseguire alcune azioni, ovviamente, sarà necessario il permesso. Ogni utente ha probabilmente notato che anche alcuni programmi non possono essere eseguiti come amministratore senza una conferma adeguata. E la questione qui, come risulta, non è affatto nelle impostazioni delle difese del sistema o del blocco da parte del firewall, ma solo nel fatto che la politica del gruppo locale è configurata in modo tale che l'utente semplicemente non ha il diritto di modificare la configurazione attuale del sistema.
Login analogico
Parlando in senso generale, tali impostazioni possono infatti essere interpretate come un mezzo per gestire i diritti degli utenti all'accesso. Quando si connette il proprio account, l'utente registrato ottiene alcuni diritti per apportare modifiche alla configurazione del sistema (o non li riceve affatto, se tali impostazioni sono specificate a livello amministrativo).
Il client di Criteri di gruppo regola semplicemente tutte queste azioni. Questo è solo l'utente che ha effettuato l'accesso con la propria registrazione, e nelle impostazioni registrate immediatamente che può farlo no. A livello di un utente normale che non dispone di diritti di amministratore, non sarà possibile modificare i parametri. Anche alcuni account amministratore possono essere bloccati. Questa è una impostazione politica, ma non una preferenza.
Problemi di configurazione del sistema
La configurazione dei criteri di gruppo dipende in gran parte da quali autorizzazioni devono essere concesse a un utente registrato (anche a livello di amministratore). Naturalmente, è possibile ridurre il grado di controllo UAC, ma non fornisce ancora all'utente il pieno controllo sulle azioni eseguite.
Ma i Criteri di gruppo di Windows di qualsiasi versione, almeno nella fase iniziale della configurazione, consentono di configurare l'accesso (ad esempio, è possibile impostare uno screen saver per ciascun utente specifico, visualizzare scorciatoie del programma sul desktop, dare accesso alla riga di comando e al menu Esegui "e t. d.). Di seguito verrà fornita una descrizione completa dei parametri e delle impostazioni.
In tale situazione, l'Editor criteri di gruppo può essere utilizzato per impostare divieti sull'esecuzione di alcune azioni, ma, nel complesso, se si apportano le modifiche appropriate al registro, tutte queste azioni potrebbero rivelarsi semplicemente prive di significato. Ed ecco perché
Il fatto è che quando il sistema si avvia, legge i dati del registro, che vengono trasferiti dopo l'inizializzazione di tutti i dispositivi nel sistema BIOS / UEFI primario. Ed è una copia dello stato del registro è una condizione chiave per il recupero. Si scopre che l'immagine del disco rigido non è necessaria per il salvataggio. Basta creare una copia attraverso la funzione di esportazione e salvare il file con un'estensione .reg in qualsiasi posto conveniente.
E l'appello alle politiche di gruppo all'avvio avverrà solo a livello di registro. Nel ramo HKLM, se vai alla sezione Sistema (e non solo lì), c'è una speciale directory Policy, le cui impostazioni duplicano completamente le opzioni impostate nei criteri di gruppo, ma hanno una priorità più alta.
Qual è la differenza tra priorità e regole politiche?
Ora è il momento di esaminare ciò che distingue le preferenze della politica di gruppo dai parametri delle politiche stesse. Questo dovrebbe essere compreso (almeno al livello iniziale).
Prima di tutto, vale la pena dire che le preferenze di politica di gruppo nel senso di impostare le regole per ogni specifico utente o computer non hanno nulla a che fare con le limitazioni impostate di default sul sistema stesso. Questo può essere spiegato dal seguente esempio.
parametro | politica | preferenze |
Blocco e esecuzione obbligatoria | + | - |
Creazione parziale di controlli, importazione e aggiunta di dati delle impostazioni (incluso dal registro) | - | + |
Accesso alle impostazioni dell'utente locale | - | + |
Parametri iniziali | Sovrascritto (eliminato) | Non modificare (salvato quando vengono ripristinati i valori primari) |
filtraggio | Applicabile solo a tutti gli oggetti nel sistema. | La personalizzazione può essere utilizzata per ogni utente e parametro. |
interfaccia | standard | esteso |
Caratteristiche comparative di politiche e preferenze di dominio pubblico
Ora dobbiamo capire che la politica di gruppo del dominio, che è responsabile per l'identificazione dei computer sulla rete locale, nonché la politica per l'impostazione delle autorizzazioni per eseguire determinate azioni su un sistema informatico, non differiscono in modo significativo.
Se si basa sulle preferenze, come risulta, le regole dei criteri di gruppo possono essere violate semplicemente usando l'editor appropriato. Come aprire le politiche di gruppo? Sì, basta inserire il comando gpedit.msc nel menu Esegui. Ci soffermeremo sulle specifiche dell'editor un po 'più tardi, ma per ora vediamo quali oggetti esattamente l'azione di questo servizio è rivolta a.
obiettivi
Per quanto riguarda la scelta dei parametri, fondamentalmente tutte queste azioni sono progettate per stabilire o annullare sanzioni esistenti nel sistema stesso in relazione a un utente o gruppo locale. Anche l'abbassamento del grado di controllo degli "account" registrati quando si attivano i parametri attivi delle politiche di gruppo non porterà a nulla (l'utente non avrà diritto ad almeno questo).
Gli oggetti stessi utilizzati dai programmi di Criteri di gruppo sono principalmente correlati alle impostazioni dell'utente, le cui opzioni, con le azioni appropriate di un amministratore di sistema, potrebbero aver vietato, autorizzato o escluso le regole. Questi sono i parametri di accesso (visualizzazione della schermata iniziale e immagine "Desktop", autoloading). Si noti che nessuna applicazione, incluso Windows Manager, può modificare le impostazioni dei criteri. Questo può essere fatto nell'editor o nel registro di sistema.
Editor criteri di gruppo locale di Windows e collegamento del Registro di sistema
Il comando gpedit.msc, inserito nel menu di esecuzione del programma (Win + R), chiama l'editor appropriato. Tuttavia, non confondere autorizzazioni e divieti a livello di oggetto Criteri di gruppo. Accade anche che il servizio Criteri di gruppo ti impedisca di accedere al sistema. Questo è normale
Se l'utente non accede a livello di amministratore, cosa aspettarsi? Il problema può anche consistere nel fatto che i parametri di impostazione a livello di registro bloccano la modifica nei criteri di gruppo, poiché il registro è obbligatorio per verificare all'avvio del sistema. il editor del registro Ci sono rami in cui c'è una sezione Politiche. Impostano i valori chiave in esadecimali con l'assegnazione di zero o uno, il che può significare un divieto o il permesso di eseguire alcune azioni. Anche il ripristino del sistema proviene dalla copia del registro. Quando si seleziona l'ultima configurazione di lavoro, l'ultimo file REG salvato viene letto per primo e solo allora si verifica l'avvio. E l'impostazione dei criteri di gruppo specificata nel registro viene attivata prima che questi parametri siano definiti nell'editor "nativo".
Come aprire le politiche di gruppo nel registro? Nel menu Esegui, immettere il comando regedit, utilizzare la ricerca (Ctrl + F) e impostare i criteri come valore corrente. Nelle sezioni trovate, sarà possibile modificare qualsiasi chiave, ma solo se l'accesso è effettuato a livello di amministratore (se non ci sono lanci dall'amministratore nella console Run, il file può essere aperto nella cartella System32 tramite PCM).
Azioni di base
Ma anche non tutti gli analisti di sistema sanno che nell'editor stesso le impostazioni di Criteri di gruppo possono essere eseguite non solo a livello di modelli amministrativi, che svolgono un ruolo primario, l'input di alcuni comandi può cambiare radicalmente le impostazioni di sistema, come ad esempio:
- Crea : crea un parametro se non è stato creato o è mancante.
- Sostituisci - sostituisce il valore corrente o crea un nuovo parametro con la sostituzione.
- Aggiorna : la creazione di un parametro che non esiste ancora per quanto riguarda l'aggiornamento dei dati dell'utente.
- Elimina : elimina le preferenze di tutti i livelli.
Preferenze speciali
Per quanto riguarda le impostazioni avanzate fornite dal client Criteri di gruppo, devono configurare opzioni che non sono direttamente fornite dai sistemi Windows. Si ritiene che questi sistemi operativi non predetermino preventivamente autorizzazioni e divieti, pertanto è possibile ottenere che le impostazioni corrispondano alla modalità utente e in modo selettivo per ciascun sistema Windows.
Questo può essere ottenuto utilizzando le cosiddette regole CRUD, che stabiliscono ulteriori preferenze. In altre parole, l'amministratore può ottenere un'interfaccia estesa del sistema operativo, che non differirà molto da quella standard, ad eccezione dei simboli utilizzati nelle impostazioni verde e rosso. Il verde corrisponde all'attivazione del parametro impostato quando viene elaborato dal client, rosso indica che è disattivato o non supportato.
In questo modo, le impostazioni vengono fatte per ogni singolo sistema, in cui è possibile modificare le opzioni del menu Start (vista standard, numero di programmi visualizzati, dimensioni delle tessere, ecc.). ecc.), schemi di alimentazione, accesso utente e molto altro. Ma non tutti i parametri possono essere modificati. Ad esempio, la visualizzazione dei contenuti dei pannelli e le impostazioni predefinite di Internet Explorer dipendono esclusivamente dalla versione installata. La modifica dei parametri delle tessere nel menu Start non è disponibile nelle modifiche di sistema sotto l'ottavo.
In generale, tali impostazioni consentono di ottenere una gestione del sistema più flessibile, in cui vengono installate opzioni personalizzate.
Per gestire rapidamente le impostazioni, è possibile utilizzare i tasti funzione F5-F8:
- F5 - abilita tutti i parametri.
- F6 - attiva solo il parametro selezionato.
- F7 - disattivazione del parametro selezionato.
- F8 - disattivazione di tutti i parametri.
Impostazioni di aggiornamento
Tuttavia, non è sempre possibile cambiare qualcosa. Il cliente potrebbe semplicemente non lavorare a un certo punto, ad esempio, a causa di guasti a breve termine nel sistema stesso o esposizione virale. In questo caso, è necessario aggiornare la politica di gruppo. Non è possibile farlo nell'editor. Pertanto, è necessario utilizzare la riga di comando, che è una sorta di strumento unificato per eliminare molti problemi con i crash del sistema.
L'aggiornamento dei Criteri di gruppo (applicato) viene generalmente eseguito con il comando gpupdate / force o con le aggiunte mostrate nell'immagine sopra. Alcuni pensano che sia sufficiente riavviare il sistema o cambiare utente. Non lo è. L'effetto dovuto non si ottiene. Ma la linea di aggiornamento sopra specificata dà immediatamente il risultato. È vero, la console di comando deve essere eseguita come amministratore. In caso contrario, l'utente non riceverà l'autorizzazione ad eseguire comandi al suo interno.
Scopo primario delle preferenze
Si ritiene che a livello locale non vi sia alcun senso modificare le impostazioni di un politico. L'installazione di opzioni avanzate personalizzate può essere utilizzata principalmente nei sistemi aziendali con estese reti locali in aziende o uffici.
In questo senso, l'amministratore di sistema che gestisce le macchine secondarie dal server centrale può, come si suol dire, semplificare la vita sia per se stessi che per i dipendenti ordinari, apportando le impostazioni appropriate una volta. Allo stesso tempo, non importa quale tipo di modifica del sistema operativo è installata sui computer della rete o come vengono caricati (ad esempio, sulla rete se non ci sono dischi rigidi nei terminali figlio).
Esattamente come saranno fatte le impostazioni, l'amministratore decide da solo. Tutto dipende da come i sistemi operativi vengono caricati sui computer locali. Da un lato, sembra che l'utilizzo di un client di gruppo o di politica locale sia più semplice. D'altra parte, le azioni con il registro di sistema hanno una priorità maggiore. È impossibile annullare le azioni eseguite in esso, per non parlare del fatto che le nuove opzioni installate nell'editor delle policy diventeranno semplicemente inaccessibili.
Tuttavia, il registro può essere modificato quando il sistema operativo viene caricato da un server centrale, ad esempio, quando si collegano i terminali di rete utilizzando uno schema a stella. Sui singoli computer con sistemi operativi installati su di essi, la ricerca dei parametri non è assolutamente necessaria, quindi è meglio utilizzare le impostazioni dei criteri qui. Tuttavia, con la conoscenza della domanda, alcuni parametri possono essere impostati per il client e alcuni (particolarmente importanti) possono essere modificati nel registro. Niente di male in questo accadrà, anche se alcune impostazioni sono duplicate sia lì che lì.
Invece del totale
Ecco un breve e tutto ciò che riguarda le preferenze. Ovviamente, per un utente ordinario, la comprensione dell'essenza di tutto ciò che è stato presentato sopra può sembrare alquanto complicata. Tuttavia, se vuoi comprendere tali impostazioni per le sottigliezze (specialmente per gli amministratori di sistema principianti), dovrai imparare assolutamente tutto. E, secondo i veri esperti in questo campo, è necessario lavorare con i politici in pratica e non conoscere la questione a livello di dati e articoli teorici. Come si suol dire, ci sarebbe un desiderio. E puoi iniziare a esplorare le opzioni che usi con lo stesso editor, in cui selezioni i modelli amministrativi, in cui sono indicate sia le regole principali sia per le impostazioni locali e di gruppo. Il resto è una questione di tecnica. La comprensione arriverà con il tempo, se davvero inizi a farlo.
Se riassumiamo un po ', resta da aggiungere solo che le preferenze vengono create per selezionare le opzioni e le impostazioni richieste, e non essere limitato esclusivamente a divieti e permessi. E questo, a sua volta, ti consente di gestire qualsiasi sistema in modo molto flessibile. Naturalmente, va notato separatamente che tali impostazioni avanzate non sono assolutamente necessarie per un utente normale, ma a condizione che diversi utenti possano essere registrati su un terminale, a volte può essere utile impostare le opzioni preferite corrispondenti. Ma molto spesso devi installare anche lo stesso controllo parentale Se un bambino può lavorare su un computer diverso dai genitori adulti. E tutto questo è completamente elementare regolato nei sistemi Windows.