Među trenutnim administratorima sustava, a da ne spominjemo obične korisnike, postoji prilično ograničen broj ljudi koji jasno zamišljaju koje su prednosti grupne politike. Ne, u općem smislu postoji koncept. Većina vjeruje da je urednik grupne politike nešto poput analogne promjene ključeva registra sustava. Da, to je djelomično slučaj. Ali registar sustava u smislu zadatka glavnih parametara je prioritet. Ali ovdje vas ne bi trebalo brkati s grupnim pravilima i postavkama. To su potpuno različite stvari (bit će jasno zašto).
Windows Group Policy: Što je to?
Za početak, upoznajmo sam termin. Što je politika grupe Windsor? To je skup pravila koja se primjenjuju na postavke samog operativnog sustava ili na postavljene opcije za svakog pojedinačnog korisnika, što, grubo govoreći, definira njegov status u smislu promjene određenih parametara.
Prema tome, postavke pravila grupe omogućuju svakom korisniku postavljanje vlastitih prioriteta za pristup konfiguraciji sustava, pozivanje određenih programa, manevriranje na razini uključivanja ili onemogućavanja kontrola sustava ili njegovih komponenti. Ali! Nemojte se brkati s politikama i postavkama. Oni su izvorno razvijeni kao neka vrsta dodatka samim donositeljima odluka. U nekim slučajevima, oni čak i ne ovise o pravilima jer se koriste na Windows sustavima s omogućenom domenom pristupa Active Directory.
Štoprednosti
Ako uzmete u obzir, u velikoj mjeri, prednosti grupne politike, to su ne-dogmatska pravila i postavke i varijable opcija.
To je, naravno, ako trebate postaviti određene prioritete za prijavu, promijeniti postavke za Desktop, ili nešto drugo, dati ili otkazati prava za obavljanje neke vrste akcije, naravno, trebate dopuštenje. Svaki korisnik vjerojatno primijetio da čak i neki programi pokrenuti kao Administrator bez odgovarajuće potvrde ne može biti. I ovdje se, kako se ispostavilo, uopće ne nalazi u postavkama sigurnosnog sustava sustava ili zaključavanja na vatrozidu, već samo u tome što je politika lokalnih grupa konfigurirana na takav način da korisnik jednostavno nema pravo mijenjati trenutnu konfiguraciju sustava.
Analogna prijava
Općenito govoreći, takve se postavke doista mogu tumačiti kao sredstvo upravljanja korisničkim pravima kada su prijavljeni. Kada povežete vlastiti račun, registrirani korisnik prima neke dozvole za izmjene zadane konfiguracije (ili uopće ne dobiva ako su te postavke postavljene na administrativnoj razini).
Klijent grupne politike jednostavno regulira sve te radnje. Evo samo korisnik prijavljen pod vlastitu registraciju, te u postavkama odmah fiksne što on može učiniti, što nije. Na razini redovnog korisnika koji nema administratorske ovlasti, postavke se neće mijenjati. Čak i neke administrativne "oznake" mogu biti blokirane. To jestpostavku pravila, ali ne i postavke.
Pitanja konfiguracije sustava
Postavke grupnih pravila uvelike ovise o tome koje dozvole treba dati registriranom korisniku (čak i na razini administratora). Naravno, možete smanjiti stupanj kontrole UAC-a, ali još uvijek neće dati potpunu kontrolu nad izvedenim radnjama. Ali pravila grupe Windows bilo koje verzije barem u početnoj fazi konfiguracije omogućuju konfiguriranje prijave (na primjer, možete postaviti čuvar zaslona za svakog pojedinog korisnika, prikazati prečace programa na radnoj površini, dati pristup naredbenom retku i izborniku " Run », itd.). Detaljan opis opcija i postavki bit će naveden u nastavku. U takvoj situaciji, uređivač grupnih pravila može se koristiti za postavljanje zabrana na neke radnje, ali uglavnom, ako napravite odgovarajuće izmjene u registru, sve te radnje mogu biti jednostavno besmislene. I to je razlog zašto. Činjenica je da prilikom pokretanja sustav čita podatke iz registra koji se prosljeđuju nakon inicijalizacije svih uređaja u primarnom BIOS /UEFI sustavu. A kopija države registra je ključni uvjet za oporavak. Ispada da slika tvrdog diska za spremanje nije potrebna. Jednostavno stvorite kopiju funkcije izvoza i spremite datoteku s nastavkom REG na bilo kojem prikladnom mjestu.
I pristup grupnim politikama na početku dogodit će se točno na razini registra. U ogranku HKLM, ako idete na odjeljak Sustav(i ne samo tamo) postoji poseban direktorij Policies, čiji parametri potpuno dupliciraju opcije postavljene u grupnim pravilima, ali imaju veći prioritet.
Koja je razlika između prioriteta pravila politike? Sada je vrijeme da pogledamo koje se prednosti grupne politike razlikuju od parametara samih političara. To se mora razumjeti (barem na početnoj razini). Treba odmah primijetiti da prednosti grupne politike u smislu postavljanja pravila za svakog pojedinog korisnika ili računalo nemaju nikakve veze s zadanim postavkama u samom sustavu. To možete objasniti u ovom primjeru.
Parametar
Pravila
Prednosti
Blokiranje i obvezno Performanse
+
-
Djelomično stvaranje kontrolnih elemenata, uvoz i dodavanje tih postavki (uključujući registar)
-
+
Pristup lokalnim korisničkim postavkama
-
+
izlazni parametri
) Brisanje (brisanje)
Ne mijenjajte (pohranjuje se pri vraćanju primarnog znanja
Samo za sve objekte u sustavu
Korisnik i parametar mogu se koristiti Personalizacija
Sučelje
Standard
Napredno 106)
Usporedna obilježja politika iPrednosti u javnoj verziji
Sada je potrebno razumjeti da se grupna politika domene koja je odgovorna za identificiranje računala u lokalnoj mreži, kao i politika postavljanja dozvola za stvaranje određenih radnji u računalnom sustavu, ne razlikuju značajno.
Ako se ispostavi da se temelji na preferencama, ispada da se pravila za grupne politike mogu kršiti elementarno, koristeći odgovarajući urednik za to. Kako mogu otvoriti pravila grupe? Jednostavno upišite gpedit.msc u izbornik Run. O specifikaciji urednika zadržat ćemo se malo kasnije, ali za sada ćemo vidjeti što su objekti usmjereni na rad ove usluge.
Ciljani objekti
S obzirom na izbor parametara, u osnovi su sve te radnje osmišljene kako bi uspostavile ili otkazale postojeće sankcije u samom sustavu u odnosu na lokalnog korisnika ili skupinu. Čak i snižavanje kontrole registriranih "računa" s uključivanjem aktivnih parametara grupnih pravila neće dovesti ni do čega (korisnik barem neće biti u pravu).
Sami predmeti koji koriste programe grupne politike prvenstveno se odnose na korisnički definirane postavke, koje administrator sustava može ili ne mora dopustiti odgovarajuće radnje. Ovo su opcije prijave (prikaz zaslona i slika radne površine, automatsko postavljanje). Napominjemo da nijedna aplikacija, uključujući Windows Manager, ne može mijenjati postavke pravila. To se može učiniti ili u uređivaču ili uregistra sustava.
Urednik lokalne grupne politike sustava Windows i veza registra
Naredbu gpedit.msc koja se unosi u izbornik Win + R naziva odgovarajući urednik. Međutim, nemojte brkati dopuštenje i zabranu na razini GPO-a. Također se događa da usluga grupnih pravila sprječava prijavu. To je normalno. Ako se korisnik prijavljuje na razini administratora, što možete očekivati? Problem može biti i u tome što zadatak na razini registra blokira uređivanje u grupnim pravilima, budući da je registar obvezan za provjeru valjanosti prilikom pokretanja sustava. Uređivač registra ima grane koje sadrže odjeljak Pravila. Oni određuju vrijednosti ključeva u heksadecimalnom sustavu s dodjelom nula ili jedan, što može značiti zabranu ili dopuštenje za izvođenje nekih radnji. Čak i oporavak sustava je točno kopija registra sustava. Prilikom odabira zadnje radne konfiguracije, posljednja spremljena REG datoteka se prvo pročita i tek tada započinje početak. A skup parametara registra grupnih pravila radi prije nego što su ti parametri definirani u izvornom uređivaču. Kako otvoriti pravila grupe u registru? Na izborniku Pokreni, upišite regedit, koristite pretraživanje (Ctrl + F) i postavite trenutnu vrijednost na Policies. U pronađenim particijama možete promijeniti bilo koju tipku, ali samo ako je prijava izvršena na razini administratora (ako Run admin konzola nedostaje u admin admin, datoteka se može otvoriti u mapi System32 preko PKM).
Glavne akcije
Ali ovdje nisu sveSistemski inženjeri znaju da se u samom uređivaču postavka grupnih pravila može obaviti ne samo na razini administrativnih predložaka koji igraju najvažniju ulogu, uvođenje nekih naredbi može radikalno promijeniti postavke sustava, kao što su: ,
Replace - zamjenjuje trenutnu vrijednost ili stvara novi zamjenski parametar.
Ažuriranje - Stvorite parametar koji ne postoji na temelju ažuriranja korisničkih podataka.
Izbriši - uklanja preferencije svih razina.
Posebne pogodnosti
Što se tiče dodatnih opcija koje osigurava klijent grupne politike, one se sastoje od postavki koje nisu izričito predviđene sustavima Windows. Vjeruje se da ti OS ne predodređuju dopuštenje i zabranu, tako da možete osigurati da postavke odgovaraju stilu korisnika, i selektivno za svaki Windows sustav. To možete učiniti pomoću tzv. CRUD pravila, što dodaje dodatne pogodnosti. Drugim riječima, administrator može dobiti sučelje naprednog operativnog sustava, koje se neće razlikovati od standardnog, osim ikona koje se koriste u postavkama u zelenoj i crvenoj boji. Zeleno odgovara aktivaciji postavljenog parametra kada ga klijent obrađuje, crveno znači njegovo isključivanje ili nepodržanu promjenu. Tako su parametri postavljeni za svaki pojedini sustav, gdje možete urediti opcije izbornika Start(standardni prikaz, broj programa za prikaz, veličina pločica, itd.), sheme napajanja, korisnička prijava i još mnogo toga. Ali ne mogu se mijenjati svi parametri. Na primjer, zadani sadržaj i postavke panela Internet Explorer ovise isključivo o instaliranoj verziji. Uređivanje opcija pločica u izborniku Start dostupno je u modifikacijama sustava ispod osmog. Općenito, takva postrojenja omogućuju fleksibilniju kontrolu sustava u kojem se provodi instalacija posebnih opcija. Funkcijske tipke F5-F8 možete koristiti za brzo upravljanje postavkama:
F5 - omogućite sve parametre.
F6 - uključen je samo odabrani parametar.
F7 - deaktiviranje odabranog parametra.
F8 - deaktiviranje svih parametara.
Ažuriranje postavki
Međutim, ne možete uvijek ništa promijeniti. Klijent jednostavno ne može raditi u određenom trenutku, recimo, zbog kratkotrajnih neuspjeha u samom sustavu ili virusnih utjecaja. U tom slučaju morate ažurirati pravila grupe. To nije moguće u uređivaču. Stoga je potrebno koristiti naredbeni redak, koji je određeni jedinstveni alat za rješavanje mnogih problema s padom sustava.
Ažuriranje grupnih pravila (prisilno) općenito se izvodi pomoću naredbe gpupdate /force ili s dodacima prikazanim na slici iznad. Neki vjeruju da je lako ponovno pokrenuti sustav ili promijeniti korisnika. To nije istina.Nećete dobiti pravi učinak. Ali gore navedena linija ažuriranja daje rezultat odmah. Istina, naredbena konzola bi se trebala pokrenuti u ime administratora. U suprotnom, korisniku neće biti dopušteno izvršavanje naredbi u njemu.
Glavna svrha koristi
Smatra se da nema smisla mijenjati postavke politike na lokalnoj razini. Instalacija prilagodljivih naprednih opcija može se uglavnom koristiti u korporativnim sustavima s velikim lokalnim mrežama u poduzećima ili uredima. U tom smislu, administrator sustava, koji upravlja djetetovim strojevima s centralnog poslužitelja, može, kao što je možda, pojednostaviti život i sebi i običnim zaposlenicima nakon što je napravio odgovarajuće postavke. Apsolutno nije važno što je točno modifikacija operativnog sustava instalirana na mrežnim računalima ili kako su učitane (na primjer, na mreži u odsutnosti dječjih terminala tvrdih diskova). Administrator će odlučiti kako prilagoditi parametre. Sve ovisi o načinu na koji se operativni sustavi preuzimaju na lokalna računala. S jedne strane, izgleda da je korištenje grupe klijenata ili lokalne politike lakše. S druge strane, akcije s registrom sustava imaju visok prioritet. Ne možete poništiti radnje koje je potrebno, da ne spominjemo da u uređivaču pravila, ponovno instalirane opcije jednostavno postaju nedostupne. Međutim, uređivanje registra može se primijeniti pri dizanju OS-aIzvodi se od središnjeg poslužitelja, na primjer, kada se mrežni terminali povezuju u shemu "zvijezda". Na odvojenim računalima s instaliranim operativnim sustavima, kopanje u parametre je apsolutno nepotrebno, pa je bolje koristiti postavku politike ovdje. Međutim, kada znate pitanje, neki se parametri mogu postaviti za klijenta, a neki (posebno važni) za uređivanje u registru. Neće biti ništa loše u tome, iako su neke postavke duplicirane i tamo i tamo.
Umjesto ishoda
Evo kratkog sažetka svih prednosti. Naravno, prosječni korisnik cjelokupne suštine onoga što je gore navedeno može se činiti pomalo kompliciranom. Međutim, ako želite razumjeti zamršenosti ovih postavki (posebno za početnike administratora sustava), morat ćete proučavati apsolutno sve. I, prema stvarnim stručnjacima u ovom području, rad s političarima treba prakticirati, a ne učiti pitanja na razini teorijskih podataka i članaka. Kao što kažu, to bi bila želja. I početi razvoj primjenjivih opcija može biti iz istog urednika, koji odabire administrativne predloške, u kojima su odabrana oba glavna pravila za lokalne i grupne postavke. Ostatak je o tehnologiji. Razumijevanje će doći s vremenom ako ga stvarno počnete raditi. Ako sažeti malo, ostaje da se doda samo da su pogodnosti stvorene i stvorene da biraju potrebne opcije i postavke, a ne ograničavaju se na zabrane i dozvole. A to, zauzvrat, dopuštaupravljati bilo koji sustav vrlo fleksibilan. Naravno, treba napomenuti da prosječan korisnik napredne postavke nisu apsolutno nužni, ali pod uvjetom da se može biti registriran za više korisnika, ponekad postavljanje željene opcije mogu biti korisne. To je sasvim uobičajeno instalirati roditeljski nadzor ako je računalo osim odraslih roditelja može nositi čak i dijete. I to je apsolutno elementarna u Windows reguliranim sustavima.
Klijent grupne politike jednostavno regulira sve te radnje. Evo samo korisnik prijavljen pod vlastitu registraciju, te u postavkama odmah fiksne što on može učiniti, što nije. Na razini redovnog korisnika koji nema administratorske ovlasti, postavke se neće mijenjati. Čak i neke administrativne "oznake" mogu biti blokirane. To jestpostavku pravila, ali ne i postavke.
I pristup grupnim politikama na početku dogodit će se točno na razini registra. U ogranku HKLM, ako idete na odjeljak Sustav(i ne samo tamo) postoji poseban direktorij Policies, čiji parametri potpuno dupliciraju opcije postavljene u grupnim pravilima, ali imaju veći prioritet.
Sami predmeti koji koriste programe grupne politike prvenstveno se odnose na korisnički definirane postavke, koje administrator sustava može ili ne mora dopustiti odgovarajuće radnje. Ovo su opcije prijave (prikaz zaslona i slika radne površine, automatsko postavljanje). Napominjemo da nijedna aplikacija, uključujući Windows Manager, ne može mijenjati postavke pravila. To se može učiniti ili u uređivaču ili uregistra sustava.
Ažuriranje grupnih pravila (prisilno) općenito se izvodi pomoću naredbe gpupdate /force ili s dodacima prikazanim na slici iznad. Neki vjeruju da je lako ponovno pokrenuti sustav ili promijeniti korisnika. To nije istina.Nećete dobiti pravi učinak. Ali gore navedena linija ažuriranja daje rezultat odmah. Istina, naredbena konzola bi se trebala pokrenuti u ime administratora. U suprotnom, korisniku neće biti dopušteno izvršavanje naredbi u njemu.
