Homepage » scuola » Utilizzo dell'Editor criteri di gruppo per modificare il PC

    Utilizzo dell'Editor criteri di gruppo per modificare il PC

    Nella lezione di Geek School di oggi, spiegheremo come utilizzare l'editor Criteri di gruppo locali per apportare modifiche al PC che non sono disponibili in altro modo.

    NAVIGAZIONE SCOLASTICA
    1. Utilizzo di Utilità di pianificazione per l'esecuzione di processi successivi
    2. Utilizzo del Visualizzatore eventi per la risoluzione dei problemi
    3. Informazioni sul partizionamento del disco rigido con Gestione disco
    4. Imparare ad usare l'editor del registro come un professionista
    5. Monitoraggio del PC con Resource Monitor e Task Manager
    6. Comprensione del pannello Proprietà avanzate del sistema
    7. Comprendere e gestire i servizi di Windows
    8. Utilizzo dell'Editor criteri di gruppo per modificare il PC
    9. Informazioni sugli strumenti di amministrazione di Windows

    Dovremmo notare in anticipo che l'editor Criteri di gruppo è disponibile solo nelle versioni Pro di Windows: gli utenti di Home o Home Premium non potranno accedervi. Vale comunque la pena di imparare qualcosa.

    I criteri di gruppo sono un modo davvero potente per configurare una rete aziendale con tutti i computer bloccati in modo che gli utenti non possano rovinarli con modifiche indesiderate e impedire loro di eseguire software non approvato, tra molti altri usi.

    Nell'ambiente domestico, tuttavia, probabilmente non si desidera impostare restrizioni sulla lunghezza della password o forzare se stessi a cambiare la password. E probabilmente non avrai bisogno di bloccare le tue macchine per eseguire solo specifici eseguibili approvati.

    Ci sono molte altre cose che puoi configurare, come disabilitare le funzionalità di Windows che non ti piacciono, il blocco di alcune applicazioni da eseguire o la creazione di script eseguiti durante l'accesso o la disconnessione.

    Capire l'interfaccia

    L'interfaccia è molto simile a tutti gli altri strumenti di amministrazione: la vista ad albero sulla sinistra ti permette di cercare le impostazioni in una struttura gerarchica delle cartelle, c'è un elenco di impostazioni e un pannello di anteprima che ti dà più informazioni sulla particolare impostazione.

    Esistono due cartelle di livello superiore di cui tenere conto:

    • Configurazione del computer - detiene le impostazioni che vengono applicate ai computer indipendentemente da quale utente sta effettuando l'accesso.
    • Configurazione utente - contiene le impostazioni applicate agli account utente.

    Sotto ciascuna di queste cartelle ci sono un paio di cartelle che ti permettono di approfondire ulteriormente le impostazioni disponibili:

    • Impostazioni del software - questa cartella è pensata per le configurazioni relative al software ed è vuota per impostazione predefinita sul client Windows.
    • Impostazioni di Windows - questa cartella contiene le impostazioni di sicurezza e gli script per l'accesso / disconnessione e l'avvio / arresto.
    • Modelli amministrativi - questa cartella contiene configurazioni basate sul registro, che sono essenzialmente un modo rapido per modificare le impostazioni sul tuo computer o per il tuo account utente. Ci sono molte impostazioni disponibili.

    Modificare le regole di sicurezza

    Se dovessi fare doppio clic sulla voce "Impedisci l'accesso al prompt dei comandi" dallo screenshot in alto, ti verrebbe visualizzata una finestra simile a questa: in effetti, la maggior parte delle impostazioni in Modelli amministrativi appariranno simile.

    Questa particolare impostazione consentirebbe di bloccare l'accesso al prompt dei comandi per gli utenti sul PC. È anche possibile configurare le impostazioni all'interno della finestra di dialogo per bloccare anche i file batch.

    Un'altra opzione nella stessa cartella ti consente di creare un'impostazione per "Esegui solo applicazioni Windows specificate" - devi configurare l'impostazione su Abilitato e quindi fornire un elenco di applicazioni consentite. Tutto il resto sarebbe bloccato dalla corsa.

    In questo caso, se dovessi eseguire un'applicazione che non è nell'elenco, riceverai un messaggio di errore come questo.

    Vale la pena notare che incasinare regole come questa potrebbe bloccarti dal tuo PC se fai qualcosa di sbagliato, quindi fai attenzione.

    Modifica delle impostazioni UAC per la sicurezza

    Sotto Configurazione computer -> Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri locali -> Cartella Opzioni di sicurezza, troverai un sacco di impostazioni interessanti per rendere il tuo computer un po 'più sicuro.

    La prima opzione può essere trovata in quella cartella come la voce "Controllo account utente: Comportamento del prompt di elevazione per gli amministratori", e se si sceglie "Richiedi credenziali sul desktop protetto", forza l'utente (o un altro utente) a inserisci la tua password ogni volta che tenti di eseguire qualcosa in modalità amministratore.

    Questa opzione fa sì che Windows funzioni più come Linux o Mac, dove ti viene chiesto di fornire la tua password ogni volta che devi apportare una modifica, e poiché Secure Desktop non consente ad altre applicazioni di interferire con la finestra di dialogo, è molto di più sicuro.

    Altre opzioni utili:

    • Controllo account utente: eleva solo gli eseguibili firmati e convalidati - questa opzione impedisce alle applicazioni che non sono firmate digitalmente di essere eseguite come amministratore.
    • Console di ripristino, consentire l'accesso amministrativo automatico - quando è necessario utilizzare la console di ripristino per eseguire attività di sistema, in genere è necessario fornire la password dell'amministratore. Se ti è capitato di dimenticare quella password, questo ti permetterebbe di entrare per resettarlo più facilmente. (E dato che puoi cancellare facilmente una password di Windows, non è molto meno sicuro).

    Una cosa che vale la pena notare è che molte delle politiche nell'elenco non si applicano effettivamente a tutte le versioni di Windows. Ad esempio, nello screenshot qui sotto, l'impostazione "Rimuovi i miei documenti icona" è disponibile solo per Windows XP e 2000. Alcune altre politiche diranno "Almeno Windows XP" o qualcosa del genere, il che significherebbe che continueranno a funzionare tutte le versioni.

    Ci sono un numero enorme di impostazioni nell'editor Criteri di gruppo, quindi è sicuramente la pena passare un po 'di tempo a guardarli se sei curioso. La maggior parte delle impostazioni ti consente di disabilitare le funzionalità di Windows che non ti piacciono particolarmente: pochissime offrono funzionalità che non avevi per impostazione predefinita.

    Impostazione degli script da eseguire all'accesso, disconnessione, avvio o spegnimento

    Ancora un altro esempio di qualcosa che puoi fare solo usando l'editor Criteri di gruppo è impostare uno script di disconnessione o di arresto da eseguire ogni volta che riavvii il PC.

    Questo può essere davvero utile per ripulire il sistema o eseguire un backup rapido di determinati file ogni volta che si spegne e si possono usare i file batch o anche gli script di PowerShell per entrambi. L'unica avvertenza è che questi script devono essere eseguiti in modo invisibile o bloccano il processo di disconnessione.

    Esistono due diversi tipi di script che è possibile eseguire.

    • Script di avvio / arresto - questi script si trovano in Configurazione computer -> Impostazioni di Windows -> Script e verranno eseguiti con l'account Sistema locale, in modo che possano manipolare i file di sistema, ma non verranno eseguiti come account utente.
    • Logon / Logoff Scripts - questi script si trovano in Configurazione utente -> Impostazioni di Windows -> Script e verranno eseguiti con il tuo account utente.

    Vale la pena notare che gli script di accesso e disconnessione non ti permetteranno di eseguire utility che richiedono l'accesso come amministratore, a meno che tu non abbia completamente disabilitato il controllo dell'account utente.

    Per l'esempio di oggi, creeremo uno script di disconnessione andando a Configurazione utente -> Impostazioni di Windows -> Script e facendo doppio clic su Disconnetti.

    La finestra Proprietà disconnessione consente di aggiungere più script di disconnessione per l'esecuzione.

    È inoltre possibile configurare gli script di PowerShell.

    La cosa veramente importante da notare qui è che i tuoi script devono essere in una cartella particolare per farli funzionare correttamente.

    Gli script di accesso e disconnessione dovranno essere nelle seguenti cartelle:

    • C: \ Windows \ System32 \ GroupPolicy \ User \ Scripts \ disconnessione
    • C: \ Windows \ System32 \ GroupPolicy \ User \ Scripts \ Logon

    Mentre gli script di avvio e spegnimento devono essere presenti in queste cartelle:

    • C: \ Windows \ System32 \ GroupPolicy \ Machine \ Scripts \ Shutdown
    • C: \ Windows \ System32 \ GroupPolicy \ Machine \ Scripts \ Startup

    Dopo aver configurato lo script di disconnessione, puoi testarlo - abbiamo impostato un semplice script che ha creato un file di testo sul desktop, quindi disconnesso e ripristinato. Ma potresti farlo fare tutto ciò che volevi.

    E, naturalmente, se invece si stesse eseguendo uno script di accesso, potrebbe effettivamente avviare le applicazioni.

    Una cosa importante da notare è che se lo script richiede l'input dell'utente, Windows si bloccherà durante l'arresto o la disconnessione per 10 minuti prima che lo script venga ucciso e Windows possa riavviarsi. Questo è qualcosa che dovresti assolutamente tenere a mente durante la progettazione del tuo script.

    Criteri di gruppo non finisce qui

    Abbiamo appena scalfito la superficie per ciò che i Criteri di gruppo possono realmente fare, e in un ambiente di dominio aziendale è uno degli strumenti più potenti e importanti a tua disposizione. Poiché questa serie non riguarda gli utenti IT, non ci occuperemo di tutto il resto, ma vale la pena di fare qualche ricerca da solo.