Сред настоящите системни администратори, да не говорим за обикновените потребители, има доста ограничен брой хора, които ясно си представят какви са ползите от груповата политика. Не, в общия смисъл има концепция. Повечето смятат, че редакторът на груповата политика е нещо като аналог на промяната на ключовете на системния регистър. Да, отчасти е така. Но системният регистър по отношение на задачата на основните параметри е приоритет. Но тук не трябва да се бърка с груповите политики и предпочитания. Това са съвсем различни неща (ще стане ясно защо).
Политика на Windows за групата: Какво е това?
Да започнем с това да разберем самия термин. Какво представлява груповата политика на Уиндзор? Това е набор от правила, които се прилагат за настройките на самата операционна система или на зададените опции за всеки отделен потребител, което, грубо казано, определя статуса му по отношение на промяната на определени параметри.
По този начин настройките на груповите правила позволяват на всеки потребител да зададе свои собствени приоритети за достъп до конфигурацията на системата, извикване на определени програми, маневриране на нивото на включване или изключване на контролите на системата или нейните компоненти. Но! Не се бърка с политиките и предпочитанията. Първоначално те бяха разработени като вид допълнение към самите политици. В някои случаи те дори не зависят от политики, защото се използват в Windows системи с активиран домейн за достъп до Active Directory.
Какво?са предимства
Ако смятате, че като цяло ползите от груповата политика са по-скоро не-догматични правила и настройки, и променливи на опциите.
Това е, разбира се, ако трябва да зададете някои приоритети за вход, да промените настройките на работния плот, или нещо друго, дайте или отмените правата за извършване на някакъв вид действие, разбира се, имате нужда от разрешение. Всеки потребител вероятно е забелязал, че дори някои програми, изпълнявани като Администратор, без правилно потвърждение, не могат да бъдат. И въпросът тук, както се оказва, изобщо не е в настройките на системата за сигурност на системата или на заключването на защитната стена, а само в това, че политиката на локалната група е конфигурирана по такъв начин, че потребителят просто няма право да променя текущата конфигурация на системата.
Аналогов вход
По принцип тези настройки могат наистина да се тълкуват като средство за управление на потребителските права при влизане в системата. Когато свържете собствения си акаунт, регистрираният потребител получава някои разрешения за извършване на промени в конфигурацията по подразбиране (или изобщо не се прави, ако тези настройки са зададени на административно ниво).
Клиент на групова политика просто регулира всички тези действия. Ето само потребителят влезе под собствената си регистрация, и в настройките веднага фиксира какво може да направи, което не е. На ниво редовен потребител, който няма администраторски права, настройките няма да бъдат променяни. Дори някои административни „отметки“ може да са блокирани. Това е таканастройка на политиката, но не и предпочитания.
Въпроси за конфигурация на системата
Настройките на груповите политики до голяма степен зависят от това какви разрешения трябва да се дават на регистрирания потребител (дори на ниво администратор). Разбира се, можете да намалите степента на контрол на UAC, но той все още няма да даде на потребителя пълен контрол над извършените действия. Но груповата политика на Windows на всяка версия поне на началния етап на конфигуриране ви позволява да конфигурирате влизането (например, можете да зададете скрийнсейвъра за всеки отделен потребител, да показвате преки пътища на програмата на работния плот, да дадете достъп до командния ред и менюто “ Run »и т.н.). По-долу ще намерите пълно описание на опциите и настройките. В тази ситуация редакторът на груповите политики може да се използва за задаване на забрани за някои действия, но като цяло, ако направите съответните промени в регистъра, всички тези действия могат да бъдат просто безсмислени. И затова. Факт е, че при стартиране системата прочете данните от регистъра, които се предават след инициализирането на всички устройства в основната BIOS /UEFI система. А копието на държавата на регистъра е ключово условие за възстановяване. Оказва се, че изображението на твърдия диск за записване не е необходимо. Просто създайте копие на функцията за експортиране и запишете файла с разширение REG на всяко удобно място.
И подходът към груповите политики в началото ще се случи точно на нивото на регистъра. В клона HKLM, ако отидете в секцията Система(и не само там) има специална директория на политиките, чиито параметри напълно дублират опциите, зададени в груповите правила, но имат по-висок приоритет.
Каква е разликата между приоритетите на правилата на политиката?
Сега е време да погледнем какви предимства на груповата политика се различават от параметрите на самите политици. Това трябва да се разбере (поне на първоначалното ниво). Трябва да се отбележи, че ползите от груповата политика по отношение на определянето на правила за всеки отделен потребител или компютър нямат нищо общо с настройките по подразбиране в самата система. Можете да обясните това в този пример.
Параметър
Политики
Ползи
Блокиране и задължително Изпълнение
+
-
Частично създаване на контролни елементи, импортиране и добавяне на тези настройки (включително регистъра)
-
+
Достъп до местните потребителски настройки
-
+
изходни параметри
) Избършете (изтриване)
Не променяйте (съхранява се при възстановяване на първичното знание)
Само за всички обекти в системата
За всеки Потребител и параметър могат да бъдат използвани Персонализация
Интерфейс
Стандарт
Разширено
Сравнителни характеристики на политиките и. \ TПредимства в публичната версия
Сега е необходимо да се разбере, че груповата политика на домейна, отговаряща за идентифицирането на компютри в локалната мрежа, както и политиката за задаване на разрешения за създаване на определени действия в компютърната система, не се различават значително.
Ако се окаже, че се основава на предпочитания, се оказва, че правилата за груповите политики могат да бъдат нарушени елементарно, използвайки подходящия редактор за това. Как да отворя групови правила? Така че просто напишете gpedit.msc в менюто Run. По спецификацията на редактора ще се спрем малко по-късно, но засега нека да видим какви обекти са насочени към работата на тази услуга.
Целеви обекти
По отношение на избора на параметри, по принцип всички тези действия са предназначени да установят или отменят съществуващите санкции в самата система по отношение на местния потребител или група. Дори намаляването на контрола на регистрираните "сметки" с участието на активни параметри на груповите политики няма да доведе до нищо (потребителят поне няма да е прав).
Самите обекти, които използват програми за групови политики, се отнасят предимно до потребителски дефинирани настройки, които могат или не могат да бъдат разрешени от системния администратор за подходящи действия. Това са опциите за вход (показване на скрийнсейвъра и снимките на работния плот, автозареждане). Моля, обърнете внимание, че нито едно приложение, включително Windows Manager, не може да променя настройките на политиката. Това може да стане или в редактора или всистемния регистър.
Редакторът на локалните групови правила на Windows и връзката на системния регистър
Командата gpedit.msc, която е въведена в менюто Win + R, се извиква от съответния редактор. Въпреки това, не бъркайте разрешението и забраната на ниво GPO. Случва се също така и услугата за групови правила да не позволява влизането. Това е нормално. Ако потребителят влезе на ниво администратор, какво да очаквате? Проблемът може да се крие и в това, че задачата на ниво регистър блокира редактирането в груповите политики, тъй като регистърът е задължителен за проверка при стартиране на системата. Редакторът на регистъра има клонове, които съдържат раздела Политики. Те определят стойностите на ключовете в шестнадесетичната система с нулево или едно задание, което може да означава забрана или разрешение за извършване на някои действия. Дори възстановяването на системата е точно копие на системния регистър. Когато избирате последната работна конфигурация, последният записан REG файл се прочита за първи път и само след това започва стартирането. А зададените в системните параметри параметри на груповата политика работят по-рано, отколкото тези параметри се дефинират в родния редактор. Как да отворите груповите правила в регистъра? В менюто Run (Изпълни) въведете regedit, използвайте търсенето (Ctrl + F) и задайте текущата стойност на Policies. В намерените дялове можете да промените всички клавиши, но само ако входът е направен на ниво администратор (ако Run Console липсва от администраторския администратор, файлът може да бъде отворен в папката System32 чрез PKM).
Основни действия
Но тук не всичкисистемните инженери знаят, че в самия редактор настройката на груповите политики може да се направи не само на ниво административни шаблони, които играят първостепенна роля, въвеждането на някои команди може радикално да промени системните настройки, като например: ,
Замяна - заменя текущата стойност или създава нов параметър за подмяна.
Update - Създайте параметър, който не съществува на базата на актуализации на потребителски данни.
Изтриване - премахване на предпочитанията на всички нива.
Специални предимства
Що се отнася до допълнителните опции, предоставени от клиента на груповата политика, те се състоят от опции за настройка, които не са изрично предоставени от системите на Windows. Смята се, че тези ОС не предопределят разрешение и забрана, така че можете да се уверите, че настройките ще пасват на потребителския режим и избирателно за всяка Windows система. Можете да направите това, като използвате така наречените CRUD правила, което добавя допълнителни ползи. С други думи, администраторът може да получи разширен интерфейс на операционната система, който няма да се различава от стандартния, с изключение на иконите, използвани в настройките в зелено и червено. Зелената съответства на активирането на зададения параметър, когато се обработва от клиента, червеното означава неговото изключване или неподдържана промяна. По този начин параметрите се задават за всяка отделна система, където можете да редактирате опциите на менюто Старт(стандартен изглед, брой на дисплейните програми, размер на плочките и т.н.), схеми за захранване, потребителско име и много други. Но не всички параметри могат да се променят. Например съдържанието и настройките на Internet Explorer по подразбиране зависят единствено от инсталираната версия. Редактирането на опциите на плочките в менюто "Старт" е налично при модификации на системата под осем. По принцип такива инсталации позволяват по-гъвкав контрол на системата, в която се извършва инсталирането на специални опции. Можете да използвате функционалните клавиши F5-F8 за бързо управление на настройките:
F5 - активиране на всички параметри.
F6 - включен е само избраният параметър.
F7 - деактивиране на избрания параметър.
F8 - деактивиране на всички параметри.
Актуализиране на настройките
Въпреки това, не винаги можете да промените нищо. Клиентът може просто да не работи в определен момент, да речем, вследствие на краткосрочни повреди в самата система или вирусни влияния. В този случай трябва да актуализирате груповите правила. Това не е възможно да се направи в редактора. Ето защо е необходимо да се използва команден ред, който е определен унифициран инструмент за решаване на много проблеми със сривове в системата.
Актуализацията на груповите правила (принудително) обикновено се изпълнява от командата gpupdate /force или от допълненията, показани на изображението по-горе. Някои смятат, че е лесно да рестартирате системата или да промените потребителя. Това не е вярно.Няма да получите правилния ефект. Но посочената по-горе линия за актуализация дава резултат веднага. Вярно е, че командната конзола трябва да се изпълнява от името на администратора. В противен случай потребителят няма да може да изпълнява команди в него.
Основната цел на ползите
Смята се, че няма смисъл да се променят политическите настройки на местно равнище. Инсталирането на адаптивни разширени опции в по-голямата си част може да се използва в корпоративни системи с обширни локални мрежи в предприятия или офиси. В този смисъл системният администратор, управляващ дъщерните машини от централния сървър, може да опрости живота, както за себе си, така и за обикновените служители, след като веднъж са направили съответните настройки. Абсолютно няма значение какво точно е инсталирана модификацията на операционната система на компютрите в мрежата или как те са заредени (например в мрежата при липса на терминали за деца на твърди дискове). Администраторът ще реши как да персонализира параметрите. Всичко зависи от това как операционните системи се изтеглят на локални компютри. От една страна, изглежда, че използването на клиентска група или местна политика е по-лесно. От друга страна, действията със системния регистър имат висок приоритет. Не можете да отмените действията, които е необходимо, да не говорим, че в редактора на политики преинсталираните опции просто стават недостъпни. Въпреки това, редактирането на регистъра може да се приложи при зареждане на операционната системасе извършва от централния сървър, например, когато се свързват мрежовите терминали в схемата "звезда". На отделни компютри с инсталирани на тях операционни системи, копането в параметрите е абсолютно ненужно, така че е по-добре да използвате настройката на политиката тук. Въпреки това, когато знаете въпроса, някои параметри могат да бъдат зададени за клиента, а някои (особено важни) да се редактират в системния регистър. Няма да има нищо лошо в това, въпреки че някои настройки са дублирани както там, така и там.
Вместо резултат
Ето кратко резюме на всички ползи. Разбира се, средният потребител на цялата същност на това, което е дадено по-горе, може да изглежда малко сложно. Въпреки това, ако искате да разберете тънкостите в тези настройки (особено за начинаещи системни администратори), ще трябва да изучите абсолютно всичко. И според истински експерти в тази област, работата с политиците трябва да се практикува, а не да се изучават въпроси на ниво теоретични данни и статии. Както се казва, това би било желание. И започнете разработването на приложимите опции може да бъде от един и същ редактор, който избира административни шаблони, в които са избрани и двете основни правила за локални и групови настройки. Останалото е свързано с технологията. Разбирането ще дойде с времето, ако наистина започнеш да го правиш. Ако обобщим малко, остава да добавим само, че ползите се създават и създават, за да изберете необходимите опции и настройки, и не се ограничават само до забрани и разрешения. А това, от своя страна, позволявауправлението на всяка система е много гъвкаво. Разбира се, заслужава да се отбележи, че средният потребител изобщо не се нуждае от такива разширени настройки, но ако няколко потребителя могат да бъдат регистрирани на един терминал, понякога настройката на подходящите желани опции може да е полезна. В крайна сметка, често е необходимо да се установи, че родителският контрол, ако на компютъра, в допълнение към възрастните родители, може да работи и дете. И всичко това е изцяло елементарно регулирано в Windows системите.
И подходът към груповите политики в началото ще се случи точно на нивото на регистъра. В клона HKLM, ако отидете в секцията Система(и не само там) има специална директория на политиките, чиито параметри напълно дублират опциите, зададени в груповите правила, но имат по-висок приоритет.
Самите обекти, които използват програми за групови политики, се отнасят предимно до потребителски дефинирани настройки, които могат или не могат да бъдат разрешени от системния администратор за подходящи действия. Това са опциите за вход (показване на скрийнсейвъра и снимките на работния плот, автозареждане). Моля, обърнете внимание, че нито едно приложение, включително Windows Manager, не може да променя настройките на политиката. Това може да стане или в редактора или всистемния регистър.
