Конфигурация компьютера политики административные шаблоны

Содержание

Как открыть редактор локальной групповой политики в Windows 10

Конфигурация компьютера политики административные шаблоны

Групповая политика – это способ настройки параметров компьютера и пользователя для устройств, которые присоединены к доменным службам Active Directory (AD), а также к учетным записям локальных пользователей.

 Она контролирует широкий спектр параметров и может использоваться для принудительного применения и изменения настроек по умолчанию для соответствующих пользователей. Локальная групповая политика – это базовая версия групповой политики для компьютеров, не входящих в домен.

 Параметры локальной групповой политики хранятся в следующих папках: 

  • C:\Windows\System32\GroupPolicy 
  • C:\Windows\System32\GroupPolicyUsers.

Когда в Windows 10 вам необходимо открыть редактор локальной групповой политики, для этого вы можете использовать командную строку, команду выполнить, поиск на панели задач, меню Пуск или с помощью консоли управления (MMC).

Рассмотрим самые простые варианты:

  1. C помощью меню Пуск.
  2. C помощью команды Выполнить.
  3. C помощью Проводника Windows.
  4. С помощью командной строки или PowerShell
  5. Открыть редактор локальной групповой политики в качестве оснастки консоли управления.
  6. Открыть редактор локальной групповой политики в Windows 10 Home.

Открыть редактор локальной групповой политики с помощью меню «Пуск»

  1. Откройте меню «Пуск» и введите gpedit.msc в верхней части меню появится значок, при клике, на котором, откроется редактор политики.

Чтобы просмотреть все применяемые политики в разделе «Конфигурация компьютера», перейдите в раздел «Конфигурация компьютера \ Административные шаблоны \ Все параметры» 

Чтобы просмотреть все применяемые политики пользовательской настройки, перейдите в раздел «Конфигурация пользователя \ Административные шаблоны \ Все параметры».

Примечание: вы можете использовать поиск на панели задач.

Открыть редактор локальной групповой политики с помощью команды «Выполнить»

  1. Нажмите сочетание клавиш Win + X или кликните правой кнопкой мыши на меню «Пуск».
  1. В открывшемся меню выберите Выполнить.
  1. В строке «Открыть» введите – gpedit.msc и нажмите кнопку «ОК».

Открыть редактор локальной групповой политики с помощью Проводника Windows

  1. Откройте Проводник с помощью ярлыка на панели задач или просто нажав сочетание клавиш Win + E
  2. В адресную строку проводника введите или скопируйте и вставьте:

gpedit.msc

Открыть редактор локальной групповой политики из командной строки или PowerShell

Откройте Командную строку или вы можете открыть новый экземпляр PowerShell.

Введите: gpedit.msc  и нажмите клавишу Enter.

Открыть редактор локальной групповой политики в качестве оснастки консоли управления

  1. Откройте консоль управления MMC. (Нажмите кнопку «Пуск», введите mmc и нажмите клавишу Enter).

  1. В меню Файл выберите пункт Добавить или удалить оснастку.

  1. В открывшимся диалоговом окне, дважды кликните «Редактор объектов групповой политики» и нажмите кнопку «Готово» и «ОК».

Открыть редактор локальной групповой политики в Windows 10 Home

Как вы уже знаете, приложение Редактора локальной групповой политики доступно в Windows 10 Pro, Enterprise или Education. Пользователи Windows 10 Home не имеют доступа к gpedit.msc из-за ограничений ОС. Вот простое и элегантное решение, которое позволяет разблокировать его без установки сторонних приложений.

Существует простой способ включить Редактор локальных групповых политик в Windows 10 Home запустив всего лишь один пакетный файл.

Чтобы включить Gpedit.msc (групповая политика) в Windows 10 Home

  1. Загрузите следующий ZIP-архив: Скачать ZIP-архив.
  2. Распакуйте его содержимое в любую папку. Он содержит только один файл, gpedit_home.cmd
  3. Кликните правой кнопкой мыши по файлу.
  4. Выберите в контекстном меню «Запуск от имени администратора».

Все!

Пакетный файл вызовет DISM для активации редактора локальной групповой политики. Подождите, пока командный файл не завершит свою работу.

Помните, что некоторые политики не будут работать в Windows Home. Некоторые политики жестко заданы для версий Windows Pro. Кроме того, если вы активируете gpedit.msc с помощью предоставленного пакетного файла, изменение политик для отдельных пользователей не вступит в силу. Они по-прежнему требуют настройки реестра.

Вы можете самостоятельно создать пакетный файл. Прежде чем начать, рекомендуем создать точку восстановления системы, и вы могли в любой момент отменить произведенные изменения в системе.

  1. Откройте текстовый редактор, например «Блокнот».
  1. Скопируйте и вставьте следующие строки:

@echo off pushd “%~dp0″ dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >List.txt dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>List.txt for /f %%i in ('findstr /i . List.txt 2>nul') do dism /online /norestart /add-package:”%SystemRoot%\servicing\Packages\%%i” pause

  1. В меню «Файл» текстового редактора выберите «Сохранить как» в диалоговом окне в строке «Имя файла» введите – gpedit.bat и нажмите кнопку «Сохранить».
  1. Запустите от имени Администратора полученный пакетный файл gpedit.bat
  1. При запросе фильтра Windows SmartScreen, нажмите «Подробнее», затем нажмите кнопку «Выполнить в любом случае».
  1. В окне Контроля учетных записей, нажмите кнопку «Да».
  1. Дождитесь пока утилита DISM внесет изменения и закройте окно.

Все! Редактор локальных групповых политик (gpedit.msc) включен и теперь Вы можете его запустить любым из описанных выше способов.

Policy Plus

Существует хорошая альтернатива встроенному приложению gpedit.msc, которое называется Policy Plus. Это стороннее приложение с открытым исходным кодом: PolicyPlus

Policy Plus предназначен для того, чтобы сделать параметры групповой политики доступными для всех.

  • Редактор работает на всех выпусках Windows, не только на Pro и Enterprise
  • Полностью соблюдает условия лицензирования
  • Просмотр и редактирование политик на основе реестра в локальных объектах групповой политики, объектах групповой политики для отдельных пользователей, отдельных файлах POL, автономных кустах пользователей реестра и действующем реестре
  • Переход к политикам по идентификатору, тексту или отдельным записям реестра.
  • Просмотр дополнительной технической информации об объектах (политики, категории, продукты)
  • Удобные способы изменить и импортировать настройки политики

Рекомендуем: Как Windows 10 вернуть настройки локальной групповой политики по умолчанию.

Источник: https://g-ek.com/kak-otkryit-redaktor-gpedit-windows10

Оснастка

Конфигурация компьютера политики административные шаблоны

В предыдущей части статьи вы узнали о том, что такое оснастка “Редактор локальной групповой политики”, категориях групповой политики, а также об узлах “Конфигурация компьютера” и “Конфигурация пользователей”.

Помимо этого, вы могли вкратце ознакомиться с узлами “Конфигурация программ” и “Конфигурация Windows”, которые располагаются внутри обоих основных узлов.

В этой части статьи вы узнаете о последнем узле оснастки “Редактор локальной групповой политики”“Административные шаблоны”.

Административные шаблоны – это параметры политики на основе данных реестра, которые появляются в редакторе локальной групповой политики в узле “Административные шаблоны” как в узле конфигурации пользователя, так и в узле конфигурации компьютера. Также вы научитесь использовать фильтры представления папки административных шаблонов.

Административные шаблоны

Узел “Административные шаблоны” является крупнейшим из всех возможных расширений групповой политики и включает тысячи параметров для приложений и компонентов операционной системы Windows. Каждому параметру политики административных шаблонов соответствует определенный параметр системного реестра.

Политики в узле “Административные шаблоны” конфигурации компьютера изменяют значения реестра в ключе HKEY_LOCAL_MACHINE (или просто HKLM), а политики в узле “Административные шаблоны” конфигурации пользователя – HKEY_CURRENT_USER (HKCU).

В некоторых источниках административные шаблоны могут называться политиками на основе реестра. В рамках этой статьи будет рассматриваться узел “Административные шаблоны” для локального компьютера.

О применении настроек административных шаблонов для нескольких компьютеров или пользователей, входящих в домен будет рассказываться в одной из последующих статей.

Для системных администраторов узел “Административные шаблоны” предоставляет возможности динамического управления операционной системой. Несмотря на то, что администратору понадобится немало времени на настройку этого узла, все изменения, примененные при помощи групповых политик, невозможно будет изменить средствами пользовательского интерфейса.

Административные шаблоны операционных систем Windows 7 и Windows Server 2008 R2 теперь поддерживают мультистроковые значения (REG_MULTI_SZ) и значения реестра QWORD, что значительно расширяет возможности групповой политики.

Благодаря этим нововведениям вы можете применять административные шаблоны для управления тех приложений, которые используют в реестре значения типа REG_MULTI_SZ и QWORD.

Может возникнуть следующий вопрос: “В чем же могут быть преимущества этих двух типов значений реестра по сравнению с параметрами политики административных шаблонов предшествующих операционных систем?”.

При помощи типа значений реестра QWORD вы можете изменять параметра политики административных шаблонов для 64-разрядных приложений, а при помощи значений реестра REG_MULTI_SZ – вводить несколько строк текста, добавлять новые позиции строки, выбирать одну или несколько записей, а также удалять выбранные записи.

Большинство настроек политик административных шаблонов располагаются в следующих разделах системного реестра:

  • HKEY_LOCAL_MACHINE\SOFTWARE\policies – конфигурация компьютера;
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies – конфигурация компьютера;
  • HKEY_CURRENT_USER\SOFTWARE\policies – конфигурация пользователя;
  • HKEY_ CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies – конфигурация пользователя.

Для того чтобы изменить параметры существующей политики административных шаблонов, выполните следующие действия:

  1. Откройте оснастку “Редактор локальной групповой политики”;
  2. В дереве консоли разверните узел “Административные шаблоны”, после чего откройте узел, содержащий нужный для вас параметр политики, например: Конфигурация пользователя\Административные шаблоны\Проводник Windows;

  3. Просмотрите параметры, которые расположены в этом узле. В области сведений вы можете прочитать подробную информацию об интересующем вас параметре политики. Нажмите левой кнопкой мыши на том параметре политики, конфигурацию которого вы планируете изменить, например, параметр “Максимально доступный размер корзины”;
  4. Откройте диалоговое окно свойств параметра политики. Открыть это окно вы можете следующими способами:
    • перейдите по ссылке “Параметр политики” в области сведений;
    • дважды щелкните левой кнопкой мыши на выбранном параметре;
    • в области действий выберите “Дополнительные действия”, а затем команду “Изменить”;
    • откройте меню “Действие”, а затем выберите команду “Изменить”.
  5. В окне с названием политики (в нашем случае – “Максимально допустимый размер Корзины”) вы можете выполнить следующие действия:
    • Выбрать одну из опций, отвечающую за состояние параметра. При выборе опции “Не задано” значение параметра реестра не изменяется. Если будет выбран параметр “Включить”, в системном реестре будет выбрано значение, включающее параметр данной политики. Значение “Отключить”, в свою очередь, выполняет действие, отключающее условия, указанные в параметре политики;

Источник: http://www.interface.ru/home.asp?artId=23376

Recommendations for managing Group Policy administrative template (.adm) files – Windows Server

Конфигурация компьютера политики административные шаблоны

  • 12/04/2020
  • 11 minutes to read
    • D
    • A
    • s

This article describes how ADM files work, the policy settings that are available to manage their operation, and recommendations about how to handle common ADM file management scenarios.

Original product version:   Windows Server 2012 R2, Windows 10 – all editions
Original KB number:   816662

Note

We recommend that you use Windows Vista to manage the Group Policy infrastructure by using a central store. This recommendation holds true even when the environment has a mix of down-level clients and servers, such as computers that are running Windows XP or Windows Server 2003. Windows Vista uses a new model that employs ADMX and ADML files to manage Group Policy templates.

For more information, visit the following Web sites:

If you must use Windows XP-based or Windows Server 2003-based computers to manage the Group Policy infrastructure, see the recommendations in this article.

Introduction to ADM files

ADM files are template files that are used by Group Policies to describe where registry-based policy settings are stored in the registry. ADM files also describe the user interface that administrators see in the Group Policy Object Editor snap-in. Group Policy Object Editor is used by administrators when they create or modify Group Policy objects (GPOs).

ADM file storage and defaults

In the Sysvol folder of each domain controller, each domain GPO maintains a single folder, and this folder is named the Group Policy Template (GPT). The GPT stores all the ADM files that were used in Group Policy Object Editor when the GPOs were last created or edited.

Each operating system includes a standard set of ADM files. These standard files are the default files that are loaded by Group Policy Object Editor. For example, Windows Server 2003 includes the following ADM files:

  • System.adm
  • Inetres.adm
  • Conf.adm
  • Wmplayer.adm
  • Wuau.adm

Custom ADM files

Custom ADM files can be created by program developers or IT professionals to extend the use of registry-based policy settings to new programs and components.

Note

Programs and components must be designed and coded to recognize and respond to the policy settings that are described in the ADM file.

To load ADM files in Group Policy Object Editor, follow these steps:

  1. Start the Group Policy Object Editor.

  2. Right-click Administrative Templates, and then click Add/Remove Templates.

    Note

    Administrative Templates are available under either Computer or User Configuration. Select the configuration that is correct for your custom template.

  3. Click Add.

  4. Click an ADM file, and then click Open.

  5. Click Close.

  6. The custom ADM file policy settings are now available in Group Policy Object Editor.

Each administrative workstation that is used to run Group Policy Object Editor stores ADM files in the %windir%\Inf folder. When GPOs are created and first edited, the ADM files from this folder are copied to the Adm subfolder in the GPT. This includes the standard ADM files and any custom ADM files that are added by the administrator.

Note

Creating a GPO without later editing that GPO creates a GPT without any ADM files.

By default, when GPOs are edited, Group Policy Object Editor compares the timestamps of the ADM files in the workstation's %windir%\Inf folder with those that are stored in the GPTs Adm folder.

If the workstation's files are newer, Group Policy Object Editor copies these files to the GPT Adm folder, overwriting any existing files of the same name.

This comparison occurs when the Administrative Templates node (computer or user configuration) is selected in Group Policy Object Editor, regardless of whether the administrator actually edits the GPO.

Note

The ADM files stored in the GPT can be updated by viewing a GPO in Group Policy Object Editor.

Because of the importance of timestamps on ADM file management, editing of system-supplied ADM files is not recommended. If a new policy setting is required, Microsoft recommends that you create a custom ADM file. This prevents the replacement of system-supplied ADM files when service packs are released.

Group Policy Management Console

By default, the Group Policy Management Console (GPMC) always uses local ADM files, regardless of their time stamp, and never copies the ADM files to the Sysvol. If an ADM file is not found, GPMC looks for the ADM file in the GPT. Also, the GPMC user can specify an alternative location for ADM files. If an alternative location is specified, this alternative location takes precedence.

GPO replication

The File Replication Service (FRS) replicates the GPTs for GPOs throughout the domain. As part of the GPT, the Adm subfolder is replicated to all domain controllers in the domain. Because each GPO stores multiple ADM files, and some can be quite large, you must understand how ADM files that are added or updated when you use Group Policy Object Editor can affect replication traffic.

Two policy settings area available to help with management of ADM files. These settings make it possible for the administrator to tune the use of ADM files for a specific environment. These are the “Turn off automatic updates of ADM files” and the “Always use local ADM files for Group Policy Editor” settings.

This policy setting is available under User Configuration\Administrative Templates\System\Group Policy in Windows Server 2003, in Windows XP, and in Windows 2000. This setting may be applied to any Group Policy-enabled client.

Always use local ADM files for Group Policy editor

This policy setting is available under Computer Configuration\Administrative Templates\System\Group Policy. This is a new policy setting. It may be successfully applied only to Windows Server 2003 clients.

The setting may be deployed to older clients, but it will have no effect on their behavior.

If this setting is enabled, Group Policy Object Editor always uses local ADM files in the local system %windir%\Inf folder when you edit a Group Policy object.

Note

If this policy setting is enabled, the Turn off automatic updates of ADM files policy setting is implied.

Common scenarios and recommendations for multilanguage administration issues

In some environments, policy settings may have to be presented to the user interface in different languages.

For example, an administrator in the United States may want to view policy settings for a specific GPO in English, and an administrator in France may want to view the same GPO by using French as their preferred language.

Because the GPT can store only one set of ADM files, you cannot use the GPT to store ADM files for both languages.

For Windows 2000, the use of local ADM files by Group Policy Object Editor is not supported. To work around this, use the “Turn off automatic updates of ADM files” policy setting.

Because this policy setting has no effect on the creation of new GPOs, the local ADM files will be uploaded to the GPT in Windows 2000, and creating a GPO in Windows 2000 effectively defines “the language of the GPO”.

If the “Turn off automatic updates of ADM files” policy setting is in effect at all Windows 2000 workstations, the language of the ADM files in the GPT will be defined by the language of the computer that is used to create the GPO.

For administrators that are using Windows XP and Windows Server 2003, the “Always use local ADM files for Group Policy editor” policy setting can be used.

This makes it possible for the French administrator to view policy settings by using the ADM files that are installed locally on his or her workstation (French), regardless of the ADM file that is stored in the GPT.

When you use this policy setting, it is implied that the “Turn off automatic updates of ADM files” policy setting is enabled to avoid unnecessary updates of the ADM files to the GPT.

Also, consider standardizing on the latest operating system from Microsoft for administrative workstations in a multi-language administrative environment. Then configure both the “Always use local ADM files for Group Policy editor” and “Turn off automatic updates of ADM files” policy settings.

If Windows 2000 workstations are being used, use the “Turn off automatic updates of ADM files” policy setting for administrators and consider the ADM files in the GPT to be the effective language for all Windows 2000 workstations.

Note

Windows XP workstations may still use their local, language specific versions.

Common scenarios and recommendations for operating system and service pack release issues

Each operating system or service pack release includes a superset of the ADM files provided by earlier releases, including policy settings that are specific to operating systems that are different to those of the new release.

For example, the ADM files that are provided with Windows Server 2003 include all policy settings for all operating systems, including those that are only relevant to Windows 2000 or Windows XP Professional. This means that only viewing a GPO from a computer with the new release of an operating system or service pack effectively upgrades the ADM files.

As later releases are typically a superset of previous ADM files, this will not typically create problems, assuming that the ADM files that are being used have not been edited.

In some situations, an operating system or service pack release may include a subset of the ADM files that was provided with earlier releases. This has the potential to present an earlier subset of the ADM files, resulting in policy settings no longer being visible to administrators when they use Group Policy Object Editor.

However, the policy settings will remain active in the GPO. Only the visibility of the policy settings in Group Policy Object Editor is affected. Any active (either Enabled or Disabled) policy settings are not visible in Group Policy Object Editor, but remain active.

Because the settings are not visible, it is not possible for the administrator to view or edit these policy settings.

To work around this issue, administrators must become familiar with the ADM files that are included with each operating system or service pack release before using Group Policy Object Editor on that operating system, keeping in mind that the act of viewing a GPO is enough to update the ADM files in the GPT, when the timestamp comparison determines an update is appropriate.

To plan for this in your environment, Microsoft recommends that you either:

  • Define a standard operating system/service pack from which all viewing and editing of GPOs occurs, making sure that the ADM files that are being used include the policy settings for all platforms.
  • Use the “Turn off automatic updates of ADM files” policy setting for all Group Policy administrators to make sure that ADM files are not overwritten in the GPT by any Group Policy Object Editor session, and make sure that you are using the latest ADM files that are available from Microsoft.

Note

The “Always use local ADM files for Group Policy editor” policy is typically used with this policy, when it is supported by the operating system from which Group Policy Object Editor is run.

By default, ADM files are stored in the GPT, and this can significantly increase the Sysvol folder size. Also, frequent editing of GPOs can result in a significant amount of replication traffic.

Using a combination of the “Turn off automatic updates of ADM files” and “Always use local ADM files for Group Policy editor” policy settings can greatly reduce the size of Sysvol folder and reduce policy-related replication traffic where a significant number of policy edits occur.

If the size of the Sysvol volume or Group Policy-related replication traffic becomes problematic, consider implementing an environment where the Sysvol does not store any ADM files. Or consider maintaining ADM files on administrative workstations. This process is described in the following section.

To clear the Sysvol folder of ADM files, follow these steps:

  1. Enable the “Turn off automatic update of ADM files” policy setting for all Group Policy administrators who will be editing GPOs.
  2. Make sure that this policy has been applied.
  3. Copy any custom ADM templates to the %windir%\Inf folder.
  4. Edit existing GPOs, and then remove all ADM files from the GPT. To do this, right-click Administrative Templates, and then click Add/Remove Template.
  5. Enable the “Always use local ADM files for Group Policy Object Edit” policy setting for administrative workstations.

Maintain ADM files on administrative workstations

When you use the “Always use local ADM files for Group Policy editor” policy setting, make sure that each workstation has the latest version of the default and custom ADM files.

If all ADM files are not available locally, some policy settings that are contained in a GPO will not be visible to the administrator. Avoid this by implementing a standard operating system and service pack version for all administrators.

If you cannot use a standard operating system and service pack, implement a process to distribute the latest ADM files to all administrative workstations.

Note

  • Because the workstation ADM files are stored in the %windir%\Inf folder, any process that is used to distribute these files must run in the context of an account that has administrative credentials on the workstation.
  • Windows XP does not support editing GPOs when there are no ADM files in the Sysvol folder. In a live environment, you must consider this design limitation.

Источник: https://support.microsoft.com/ru-kz/help/816662.

Административные шаблоны windows 10 как открыть

Конфигурация компьютера политики административные шаблоны

» Windows 10 » Административные шаблоны windows 10 как открыть

Администрирование компьютера – тонкое и гибкое дело, требующее взвешенного подхода и вдумчивости. Также, чтобы заниматься этим профессионально, понадобится масса знаний и умений.

Да, если вы хотите обдуманного контроля над операционной системой, стоит всерьез поразмыслить над установкой серверной версии Windows (благо, в ней намного больше инструментов и средств для администрирования, чем в пользовательской и бизнес-версиях Windows 10).

Но даже в версии Professional можно найти достаточно много механизмов для полного контроля над работой системы, пользовательским доступом, сферой применения программ, поведением UAC и других функций, над которыми рядовой пользователь даже не задумывается (редакция Home не подойдет). Львиная доля этих механизмов сосредоточена в редакторе локальной групповой политики Windows 10.

Если копнуть глубже, здесь можно встретить практически каждый аспект поведения ОС, начиная от правил разрешения сертификатов и заканчивая шифрованием по алгоритму BitLocker.

Понадобится недюжинное умение и довольно немало времени, чтобы разобраться во всех настройках и нюансах редактора.

Однако я сэкономлю ваше время и расскажу об основных операциях, которые можно проделать с помощью редактора локальной групповой политики в «десятке».

Чтобы включить клиент групповой политики, используйте комбинацию Win+R и на возникшей форме введите название оснастки, — gpedit.msc. После этого редактор откроется. Альтернативный вариант – воспользоваться встроенным в систему поиском, нажав пиктограммку в форме лупы в левом нижнем углу панели задач.

https://www.youtube.com/watch?v=m8sxKktFKv8

Внешний вид редактора внешне абсолютно ничем не отличается от всех других оснасток для управления и контроля над ПК: сервисов, разметки жесткого диска, системного монитора, средства проверки памяти и других узлов. В левой части активного окна находится структура папок для иерархического доступа к параметрам кастомизации, а в правой части – сами эти параметры.

Настройки в левой части оснастки поделены на две основные категории: для управления конфигурацией компьютера (т.е. те, которые действуют для системы в целом, вне зависимости от того, с помощью какого аккаунта был выполнен вход в ОС) и для настройки конфигурации пользователя (т.е. актуальный только для того юзера, который залогинился в операционку). См.

также Как войти в Windows 10 как администратор.

  Как создать учетную запись Microsoft на Windows 10

Каждая из представленных категорий вмещает в себя параметры трех типов:

  • административные шаблоны (настройки для кастомизации ключей из реестра Windows. По существу, те же самые операции можно выполнить и напрямую из реестра, но сделать это при использовании редактора локальной групповой политики гораздо удобнее);
  • конфигурация Виндовс (параметры безопасности и системы, прочие настройки среды);
  • конфигурация приложений (настройки, имеющие отношение к программам, установленным на ПК).

Рассмотрим несколько простых возможностей, доступных в редакторе. Откроем папку «Конфигурация пользователя», и в ней Административные шаблоны -> Система.

Как видим, тут доступны такие занимательные опции, как «Запрет доступа к средствам правки реестра», «Запрет применения режима командной строки», «Запрет запуска заданных приложений Windows» и «Разрешение запуска лишь заданных приложений Windows».

Откроем параметр «Запрет запуска заданных приложений Виндовс». Как несложно догадаться, в этом поле можно указать программы, которые в вашей операционной среде запускаться не смогут. Эта настройка очень простая, и с ней смогут разобраться даже те, кто мало что понимает в средствах администрирования.

По умолчанию данный параметр отключен. Включим его. Для этого в левом верхнем углу выберем опцию «Включено», а рядом с полем «Список запрещенных приложений» нажмем кнопку «Показать».

Теперь перед вами окно, где в каждой из строчек можно задать имя исполняемого файла для приложения, которое вы желаете заблокировать. Впишем в это поле значение “mspaint.exe”, которое соответствует простому графическому редактору Paint, вшитому в базовую комплектацию Windows 10.

Подтвердим свой выбор. После заданных настроек программа Paint будет заблокирована для запуска, а при попытке запустить графический редактор напрямую, через проводник, на экране появится системное сообщение о невозможности выполнения данной операции.

Чтобы отключить групповую политику, выберите вариант «Не задано».

  Как настроить локальную сеть в Windows 10

Рассмотрим еще одну функциональную возможность, а именно изменим уровень контроля UAC в качестве примера.

Откроем категорию «Конфигурация компьютера», и в ней папки Конфигурация Windows –> Параметры безопасности -> Локальные политики -> Параметры безопасности. В ней найдем пункт «Контроль над учетными записями: действие запроса, соответствующего повышению привилегий администратора» и выполним двойной щелчок на нем.

По дефолту тут выставлено значение «Запрос на согласие запуска файлов, не соответствующих стандартной поставке Windows» (если выбран этот вариант, при каждом запуске программы, пытающейся внести некие изменения в настройки или параметры ОС, у пользователя каждый раз будут спрашивать согласия).

Рассмотрим другие значения. Первый вариант «Повышение прав без запроса» является наиболее уязвимым, поскольку полностью отключает UAC, позволяя запускать какие-угодно приложения в операционке без каких-либо запросов. Это не вполне безопасно, поэтому данный вариант стоит рассматривать в самую последнюю очередь.

Следующая опция – «Запрос учетных данных на безопасном рабочем столе».

Если используется это значение, при каждой попытке запустить на исполнение (или инсталлировать) программу, вносящую изменения в настройки среды, у пользователя будут спрашивать логин и пароль текущей учетной записи. Один из наиболее безопасных режимов, если вы хотите обеспечить максимум контроля над ОС, если за вашим компьютером работает кто-то еще.

Еще один вариант – «Запрос согласия на безопасном рабочем столе». Значение, схожее с предыдущим, с той лишь разницей, что вместо данных для аутентификации перед пользователем будут возникать запросы на подтверждение операции с файлом.

Следующие два значения ведут себя схожим образом, с той лишь разницей, что область применения указанной настройки не распространяется лишь на зону рабочего стола.

Если присмотреться к настройке UAC с помощью редактора, то здесь вариативность и возможности кастомизации гораздо шире, чем с помощью дефолтного метода, из панели управления.

Там таких возможностей нет и в помине, а в совокупности с другими модулями клиента локальной групповой политики перед вами открываются огромнейшие горизонты для тонкого управления поведением своей основной рабочей среды.

  Что такое торрент и что такое торрент-трекер?

Напоследок я расскажу, как с помощью групповых политик включить защитника Windows 10.

Перейдем в раздел «Конфигурация компьютера», и в нем откроем каталог «Административные шаблоны» -> «Компоненты Windows» -> «Endpoint Protection».

Если в качестве значения параметра «Выключить Endpoint Protecton» указана опция «Включено», выполните двойной щелчок на ней и установите значение «Отключено» или «Не задано».

Возможностей для изменения групповых политик в редакторе действительно предостаточно. Если вы хотите поближе познакомиться с навыками администрирования ОС Windows при помощи данной оснастки, в сети можно найти достаточно много справочных руководств на эту тематику. В этой статье я лишь описал некоторые из основных приемов.

composs.ru

Как на практике применить групповые политики в Windows 10

Здравствуйте, уважаемые читатели моего блога.

В некоторых статьях я неоднократно использовал возможности системной утилиты gpedit, которая позволяет управлять запуском и установкой приложений, контролировать поведение пользователей, ограничивать некоторые возможности ОС.

Сегодня я хотел бы подробно рассказать о такой важной вещи, как настройка групповых политик в Windows 10. Будет рассмотрено несколько полезных примеров, которые могут Вам пригодиться.

Сразу же подчеркну, что подобный функционал доступен только в «Профессиональной» и «Корпоративной» версиях операционной системы Microsoft. Но есть способ установить утилиту и для «Домашней» (Home) версии. Если этого не делать, то вносить изменения в некоторые аспекты ОС придется через редактирование реестра, что менее безопасно и не так удобно, чем с помощью графического интерфейса.

Добавление утилиты для версий «Домашняя» и «Стартер»

Нам понадобится скачать вот этот архив с патчем:

Групповые политики для Windows Home Скачано: 1642, размер: 855 Кб, дата: 08.Авг.2016

Распаковываем в любую папку и запускаем установщик setup.exe с правами администратора.

Когда появится последнее окно с кнопкой «Закончить установку» (Finish), не спешите её нажимать. Если используете систему 64 bit, то следует зайти в каталог, где расположены системные файлы (Windows) и скопировать из временной папки Temp/gpedit следующие dll-файлы:

  1. gpedit
  2. appmgr
  3. fde
  4. gptext
  5. fdeploy
  6. gpedit.msc
  • Вставляем их в директорию %WinDir%\System32
  • Теперь заходим в каталог SysWOW64 и с него копируем папки:
  1. GroupPolicy
  2. GroupPolicyUsers
  3. GPBAK
  4. И один файл gpedit.msc
  • Вставляем их System32 и перезапускаем ПК.
  • После запуска пробуем войти в консоль «Выполнить» (Win + R) и вбиваем в поле ввода следующую команду:
  • В случае возникновения ошибки (если не удается войти) следует пройти по пути: Windows\ Temp\ gpedit и там в ручном режиме запустить файл, соответствующий разрядности Вашей ОС – xbat или x86.bat.

Вот и всё. Теперь Ваша «Домашняя» версия поддерживает возможность настройки групповых политик.

Примеры работы групповых политик на практике

О том, как запустить утилиту было сказано выше. Не буду повторяться. Когда откроется окно редактора локальной групповой политики, слева отобразится перечень элементов для конфигурации ПК и пользователя, а справа – более конкретные параметры, а также подробная информация о выбранном пункте.

Уверен, Вы хотите поскорее перейти от сухой теории к рассмотрению живых примеров.

Установка запрета на запуск приложений

  • Переходим по следующему пути: «Конфигурация пользователя», затем «Административные шаблоны», выбираем подпапку «Система».
  • Справа отобразится перечень возможностей.
  • Допустим, мы не хотим запускать определенные приложения из соображений безопасности. Для этого открываем настройки пункта «Не запускать указанные приложения Windows».
  • В открывшемся окне выделяем отметку «Включить», а после этого кликаем по кнопке «Показать» (которая откроет перечень запрещенных программ).
  • Теперь осталось только прописать имена .exe файлов в данном списке, и сохранить изменения, нажав на «ОК».
  • После попытки запуска указанного софта будет появляться следующая ошибка:
  • Чтобы отключить запрет, нужно просто удалить нужный файл из «черного списка».

Внесение изменений в UAC

Если Вам надоело всплывающее окно, которое появляется каждый раз, когда Вы пытаетесь запустить стороннее приложение, значит необходимо изменить некоторые параметры управления учетными записями. Для этого:

  • Переходим к папке «Конфигурация ПК», затем – «Конфигурирование Windows». После этого открываем директорию «Параметры безопасности», переходим в «Локальные политики».
  • Справа отобразится перечень настроек. Нас интересует следующая опция: «Запрос согласия для исполняемых файлов не из Windows».
  • Чтобы полностью отказаться от появления уведомлений, выбираем из списка вариант «Повышение без запроса».

Это лишь парочка простейших примеров, которые могут помочь в решении некоторых проблем. Я рекомендую более подробно изучить работу данного системного клиента, чтобы научиться управлять большинством возможностей Windows 10.

Источник: https://htfi.ru/windows_10/administrativnye_shablony_windows_10_kak_otkryt.html

Как управлять параметрами ОС Windows 10 с помощью редактора групповой политики

Конфигурация компьютера политики административные шаблоны

В этой статье мы рассмотрим что такое редактор локальной групповой политики, как установить эту функцию на Windows 10 Home и как администраторам сети управлять и вносить нужные изменения в параметры операционных систем других ПК всего с одного компьютера.

Windows 10 является последней версией операционной системы от Microsoft и стала ядром большинства существующих платформ: персональные компьютеры, ноутбуки, планшеты, смартфоны и даже игровые консоли.

Тем не менее, компания разработчиков решила разделить единую операционную систему на подтипы. Практически наверняка ведущим мотиватором, как и для любой другой компании, стала прибыль.

Гораздо выгоднее повышать ценник с добавлением дополнительных функций, нежели сделать all inclusive с одной ценой.

Несмотря на то, что версий операционной системы Windows 10 целых 4, далеко не каждый пользователь сможет найти между ними разницу. Именно поэтому была создана Windows 10 Home Edition.

Она представляет собой базовую ОС со всеми необходимыми функции для начинающих юзеров.

К сожалению, Windows 10 Home не осталась без недостатков — в ней полностью отсутствует возможность выбора способа обновления ядра операционной системы.

Отличие версий Windows 10 Pro и Windows 10 Home

Базовые компоненты Pro и Home версий совершенно идентичны, разница заключается лишь в бизнес-компонентах. Они позволяют настроить связь между компьютерами внутри одной корпоративной сети и беспрепятственно работать целым офисом. В домашних же условиях эта особенность бесполезна и у нас нет нужды связывать два устройства.

Что отличает Windows 10 Pro от Windows 10 Home:

  • Поддержка подключения дополнительных устройств и возможность управления ими.
  • Доступ к шифрованию передаваемых данных в единой корпоративной сети.
  • Расширенный список сетевых стандартов.
  • Доступ к общим офисным документам и принтерам.
  • Работа с облаком.
  • Управление групповыми политиками.
  • Возможность недорогого обновления до Windows 10 Enterprise.

Большинство описанных выше функций не пригодятся обычному пользователю. Они предназначены для ведения бизнеса и работы с документами. Однако, особое внимание следует уделить такой особенности как управление групповыми политиками.

Данная функция открывает широкие возможности по настройке компьютера для каждого юзера и при этом не вынуждает идти на высокие риски.

О приложении gpedit.msc

Редактор групповой политики — это инструмент, позволяющий администраторам сети внести нужные изменения в параметры Windows всего с одного компьютера.

Данное приложение включает в себе все доступные варианты настройки операционной системы: реестровые параметры, настройки безопасности, параметры установки программного обеспечения, сценарии запуска и отключения компьютера, пере-направление папок.

С помощью редактора групповой политики вы можете с легкостью ограничить сотрудникам доступ к тем или иным корпоративным документам, или же, наоборот, открыть его. Таким образом появляется возможность контроля информации внутри предприятия.

Редактор групповой политики позволяет работать с одиночным компьютером и проводить с ним аналогичные манипуляции. Прекрасно подходит для настройки Windows в домашних условиях.

Отличие между редактором локальной групповой политики и редактором реестра

Если вы обратите внимание на функционал обоих редакторов, то быстро убедитесь в превосходстве редактора локальной групповой политики. Это объясняется тем, что работая в режиме групповой политики, вы всегда видите и понимаете с чем имеете дело — нет сложных кодов, которые доступны только людям, работающим в данной сфере.

Внося какое-либо изменение внутри редактора групповой политики, они автоматически будут задействованы и в редакторе реестра. Так же и наоборот. Если вы внесете изменения в редакторе реестра, значения редактора групповой политики будут изменены до следующей корректировки.

Интересный факт. Групповая политика в Windows 10 с определенным интервалом времени автоматически совершает обновление реестра. Это делается для сохранения его рабочего состояния. Как правило, интервал времени находится в диапазоне от 30 до 90 минут. Однако, при желании, вы всегда можете его изменить.

Как открыть редактор локальной групповой политики в Windows 10

Для пользователей операционных систем Windows 10 Pro и Windows 10 Enterprise открыть редактор локальной групповой политики довольно легко.

1. Откройте утилиту Выполнить с помощью комбинации клавиш Windows + R.

2. Введите команду gpedit.msc и нажмите клавишу Enter.

3. Выполните нужные действия в открывшемся окне приложения Редактор локальной групповой политики.

же проблема заключается в Windows 10 Home, а точнее в отсутствии редактора локальной групповой политики. Для пользователей данной версии операционной системы Windows мы подготовили подробный гайд и подготовке и установке gpedit.msc.

Особенности работы gpedit.msc на Windows 10 Home Edition

В установке редактора локальной групповой политики в Windows 10 Home нет ничего сложного. Достаточно загрузить установочный файл и запустить его — все, редактор на вашем компьютере! Однако, это было бы слишком просто, не будь здесь подводных камней.

К сожалению, редактор локальной групповой политики работает не на всех ПК под управлением Windows 10 Home. В этом случае, скорее всего, операционная система попросит вас установить устаревшие версии Microsoft NET Framework (v2.0 или v3.0).

Скачайте Редактор локальной групповой политики (gpedit.msc).

В нашем следующем руководстве мы опишем не столько процесс установки групповой политики, сколько способы заставить ее работать на вашем ПК.

Активация редактора локальной групповой политики

Как мы уже говорили выше, gpedit.msc не всегда торопится нормально работать в операционной системе Windows 10 Home. Тем не менее, мы можем его заставить. Для этого будут разобраны два способа: работа через системную папку SysWOW64 и работа со всеми любимой командной строкой.

SysWOW64
Подходит в случае когда система оповещает об отсутствии файла gpedit.msc.

1. Откройте папку C:\Windows\SysWOW64.
Чтобы упростить задачу, скопируйте путь и вставьте его в диалоговое окно меню Пуск или Проводника. Затем нажмите клавишу Enter.

2. Скопируйте папки GroupPolicy и GroupPolicyUsers.

3. Теперь пройдите по пути C:\Windows\System32 и вставьте скопированные папки.

Командная строка
Подходит в случае возникновения ошибки MMC could not create the snap-in.

1. Откройте командную строку от имени администратора.

2. Введите команду cd/ и нажмите клавишу Enter.

3. Теперь введите команду cd Windows.

4. Введите команду cd Temp.

5. Если на вашем компьютере все работает, вы получите следующее уведомление: Системе не удается найти указанный путь. Если же нет, перейдите к пункту 6 не покидая командной строки.

6. Введите команду x64.bat и нажмите клавишу Enter, чтобы завершить работу.

7. Перезапустите компьютер, чтобы внесенные изменения вступили в силу.

Некоторые функции редактора групповой политики (gpedit.msc)

Как только вы закончили с установкой редактора групповой политики, рекомендуем обратить внимание на ее возможности. Для этого мы подготовили пару примеров, с помощью которых покажем самые базовые возможности приложения.

Оно объединяет в себе буквально все параметры Windows, которые только можно найти. Главное только не забывать, что внося много рискованных изменений мы можем непреднамеренно повредить Windows.

Поэтому, совершая те или иные корректировки, соблюдайте осторожность.

Отключение Защитника Windows

Защитник Windows — это встроенный системный антивирус, задача которого оберегать своего пользователя от угроз из интернета и загруженных им приложений. В некоторых случаях он может потреблять слишком много ресурсов или начинает работать тогда когда в этом нет необходимости. Поэтому самым частым решением данной ситуации является отключение Защитника Windows.

Как отключить встроенный антивирус с помощью редактора групповой политики:

1. Откройте утилиту Выполнить с помощью комбинации клавиш Windows + R.

2. Введите команду gpedit.msc и нажмите клавишу Enter.

3. Проследуйте по следующему пути внутри приложения “Редактор локальной групповой политики”:
Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа “Защитник Windows”.

4. Найдите параметр Выключить антивирусную программу “Защитник Windows”.

5. Щелкните по параметру правой кнопкой мыши и нажмите Изменить.

6. Измените состояние параметра на Отключено.

7. Примените и сохраните внесенные изменения.

Отключение обновлений Windows

Часто обновление операционной системы начинается совершенно не вовремя, когда мы к этому не готовы и, например, работаем. Это нарушает распорядок дня и, хуже всего, если такое обновление заканчивается багом вследствие которого компьютер перестает запускаться. Единственным действенным решением в такой ситуации является откат апдейта.

Можно ли предотвратить неожиданные обновления Windows и получить контроль над этим процессом? Легко! С помощью редактора локальной групповой политики вы можете в два клика отключить автоматические обновления операционной системы. При желании, вы можете запустить процесс апдейта вручную.

1. Откройте утилиту Выполнить с помощью комбинации клавиш Windows + R.

2. Введите команду gpedit.msc и нажмите клавишу Enter.

3. Проследуйте по следующему пути внутри приложения “Редактор локальной групповой политики”:
Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows.

5. Щелкните по параметру правой кнопкой мыши и нажмите Изменить.

6. Измените статус параметра на Отключено.

7. Примените и сохраните внесенные изменения.

Как вы, наверняка, заметили функционал редактора локальной групповой политики весьма обширен. Вы можете изменить каждый параметр операционной системы всего в одном приложении.

“С большой силой приходит большая ответственность”.

Поэтому, внося изменения в редакторе локальной групповой политики, вы вносите корректировки в реестр тоже. Помните об этом и соблюдайте осторожность.

Источник: www.starusrecovery.ru

Источник: https://zen.yandex.ru/media/starusrecovery/kak-upravliat-parametrami-os-windows-10-s-pomosciu-redaktora-gruppovoi-politiki-5dd525b6710eb34d51c31532

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.