Sử dụng Group Policy Editor để tinh chỉnh PC của bạn

2024 Tác giả: Geoffrey Carr | [email protected]. Sửa đổi lần cuối: 2023-12-17 11:02

Trong bài học về Geek School của ngày hôm nay, chúng tôi sẽ giải thích cách sử dụng trình chỉnh sửa Chính sách nhóm cục bộ để thực hiện các thay đổi đối với PC của bạn mà không có bất kỳ cách nào khác.

TRƯỜNG HƯỚNG DẪN

Sử dụng Task Scheduler để chạy các tiến trình sau
Sử dụng Trình xem sự kiện để khắc phục sự cố
Hiểu phân vùng ổ đĩa cứng với quản lý đĩa
Học cách sử dụng Registry Editor giống như Pro
Giám sát PC của bạn với màn hình tài nguyên và trình quản lý tác vụ
Hiểu bảng thuộc tính hệ thống nâng cao
Hiểu và quản lý các dịch vụ Windows
Sử dụng Group Policy Editor để tinh chỉnh PC của bạn
Tìm hiểu công cụ quản trị Windows

Chúng ta nên lưu ý ngay trước rằng trình chỉnh sửa Chính sách Nhóm chỉ khả dụng trong các phiên bản Pro của Windows - Người dùng Home hoặc Home Premium sẽ không có quyền truy cập vào nó. Mặc dù vậy vẫn đáng học.

Chính sách nhóm là một cách thực sự mạnh mẽ để thiết lập mạng công ty với mỗi máy tính bị khóa để người dùng không thể gây rối với những thay đổi không mong muốn và ngăn chúng chạy phần mềm không được chấp thuận, trong số nhiều ứng dụng khác.

Tuy nhiên, trong môi trường gia đình, có thể bạn sẽ không muốn đặt giới hạn độ dài mật khẩu hoặc bắt buộc phải thay đổi mật khẩu của mình. Và có thể bạn sẽ không cần khóa máy của mình để chỉ chạy các tệp thi hành được chấp thuận cụ thể.

Có nhiều thứ khác mà bạn có thể định cấu hình, chẳng hạn như tắt các tính năng Windows mà bạn không thích, chặn các ứng dụng nhất định chạy hoặc tạo tập lệnh chạy trong khi Đăng nhập hoặc Đăng xuất.

Hiểu giao diện

Giao diện rất giống với mọi công cụ quản trị khác - các khung nhìn bên trái cho phép bạn tìm kiếm các thiết lập trong cấu trúc thư mục phân cấp, có danh sách cài đặt và bảng xem trước cung cấp cho bạn thêm thông tin về cài đặt cụ thể.

Có hai thư mục cấp cao nhất cần lưu ý:

cấu hình máy tính - giữ các cài đặt được áp dụng cho máy tính bất kể người dùng nào đang đăng nhập.
Cấu hình người dùng - giữ các cài đặt được áp dụng cho tài khoản người dùng.

Trong mỗi thư mục này có một vài thư mục cho phép bạn xem chi tiết hơn về các cài đặt có sẵn:

Cài đặt phần mềm - thư mục này dành cho các cấu hình liên quan đến phần mềm và được để trống theo mặc định trên máy khách Windows.
Cài đặt Windows - thư mục này chứa các thiết lập bảo mật và các kịch bản cho đăng nhập / đăng xuất và khởi động / tắt máy.
mẫu hành chính - thư mục này chứa cấu hình dựa trên đăng ký, về cơ bản là cách nhanh chóng để tinh chỉnh cài đặt trên máy tính của bạn hoặc cho tài khoản người dùng của bạn. Có rất nhiều cài đặt có sẵn.

Tinh chỉnh quy tắc bảo mật

Nếu bạn nhấp đúp vào mục “Ngăn truy cập vào dấu nhắc lệnh” từ ảnh chụp màn hình ở trên, bạn sẽ thấy một cửa sổ giống như cửa sổ này - trên thực tế, hầu hết các cài đặt trong Khuôn mẫu quản trị sẽ trông giống.

Cài đặt cụ thể này sẽ cho phép bạn chặn truy cập vào dấu nhắc lệnh cho người dùng trên PC. Bạn cũng có thể định cấu hình cài đặt bên trong hộp thoại để chặn tệp hàng loạt.

Một tùy chọn khác trong cùng một thư mục cho phép bạn tạo cài đặt cho “Chỉ chạy các ứng dụng Windows được chỉ định” - bạn sẽ định cấu hình cài đặt thành Đã bật và sau đó cung cấp danh sách các ứng dụng được phép. Mọi thứ khác sẽ bị chặn không cho chạy.

Trong trường hợp này, nếu bạn đã chạy một ứng dụng không có trong danh sách, bạn sẽ nhận được một thông báo lỗi như thế này.

Điều đáng chú ý là rối tung với các quy tắc như thế này có thể khóa bạn ra khỏi máy tính của bạn nếu bạn làm điều gì đó sai, vì vậy hãy cẩn thận.

Tinh chỉnh cài đặt UAC cho bảo mật

Trong Cấu hình máy tính -> Cài đặt Windows -> Cài đặt bảo mật -> Chính sách địa phương -> Thư mục tùy chọn bảo mật, bạn sẽ tìm thấy một loạt các cài đặt thú vị để làm cho máy tính của bạn an toàn hơn một chút.

Tùy chọn đầu tiên có thể được tìm thấy trong thư mục đó là mục “User Account Control: Hành vi của lời nhắc độ cao cho Administrators”, và nếu bạn chọn “Prompt for credentials trên desktop an toàn”, nó sẽ buộc bạn (hoặc người dùng khác) nhập mật khẩu của bạn bất cứ lúc nào bạn cố gắng chạy một cái gì đó trong chế độ quản trị viên.

Tùy chọn này làm cho Windows hoạt động giống như Linux hoặc Mac, nơi bạn được yêu cầu cung cấp mật khẩu bất cứ lúc nào bạn cần thay đổi và vì Secure Desktop không cho phép bất kỳ ứng dụng nào khác gây rối với hộp thoại, đảm bảo.

Kiểm soát tài khoản người dùng: Chỉ nâng cao các tệp thực thi được ký và xác thực - tùy chọn này cấm các ứng dụng không được ký điện tử khi chạy với tư cách quản trị viên.
Recovery console, cho phép đăng nhập quản trị tự động - khi bạn cần sử dụng bàn điều khiển khôi phục để thực hiện các tác vụ hệ thống, bạn thường phải cung cấp mật khẩu quản trị viên. Nếu bạn đã quên mật khẩu đó, điều này sẽ cho phép bạn đăng nhập để đặt lại mật khẩu dễ dàng hơn. (Và vì bạn có thể dễ dàng xóa mật khẩu Windows, nên nó không thực sự kém an toàn hơn).

Một điều đáng chú ý là nhiều chính sách trong danh sách không thực sự áp dụng cho mọi phiên bản Windows. Ví dụ: trong ảnh chụp màn hình bên dưới, cài đặt “Xóa biểu tượng tài liệu của tôi” chỉ có sẵn cho Windows XP và 2000.Một số chính sách khác sẽ nói "Ít nhất Windows XP" hoặc một cái gì đó tương tự, điều đó có nghĩa là chúng sẽ tiếp tục hoạt động trên tất cả các phiên bản.

Có một số lượng lớn các cài đặt trong trình chỉnh sửa Chính sách Nhóm, do đó, nó chắc chắn đáng để dành thời gian xem xét chúng nếu bạn tò mò. Hầu hết các cài đặt đều cho phép bạn tắt các tính năng của Windows mà bạn không đặc biệt thích - rất ít cung cấp cho bạn chức năng mà bạn không có theo mặc định.

Thiết lập Scripts để chạy lúc đăng nhập, đăng xuất, khởi động hoặc tắt máy

Tuy nhiên, một ví dụ khác về một cái gì đó bạn chỉ có thể làm bằng cách sử dụng trình soạn thảo chính sách nhóm là thiết lập một kịch bản đăng xuất hoặc tắt máy để chạy mỗi lần bạn khởi động lại máy tính của mình.

Điều này có thể thực sự hữu ích cho việc dọn dẹp hệ thống của bạn hoặc sao lưu nhanh các tệp nhất định mỗi khi bạn tắt, và bạn có thể sử dụng các tệp batch hoặc thậm chí cả các kịch bản PowerShell cho một trong hai. Thông báo trước duy nhất là các tập lệnh này phải chạy âm thầm hoặc chúng sẽ khóa quá trình đăng xuất.

Có hai loại tập lệnh khác nhau mà bạn có thể chạy.

Tập lệnh khởi động / tắt máy - các tập lệnh này được tìm thấy trong Cấu hình máy tính -> Cài đặt Windows -> Tập lệnh và sẽ chạy trong tài khoản Hệ thống cục bộ, để chúng có thể thao tác các tệp hệ thống, nhưng sẽ không chạy như tài khoản người dùng của bạn.
Script Logon / Logoff - Các tập lệnh này được tìm thấy trong User Configuration -> Windows Settings -> Scripts và sẽ được chạy trong tài khoản người dùng của bạn.

Cần lưu ý rằng các tập lệnh đăng nhập và đăng xuất sẽ không cho phép bạn chạy các tiện ích yêu cầu quyền truy cập của quản trị viên trừ khi bạn hoàn toàn vô hiệu hóa UAC.

Đối với ví dụ hôm nay, chúng ta sẽ tạo một kịch bản đăng xuất bằng cách hướng xuống Cấu hình người dùng -> Cài đặt Windows -> Tập lệnh và nhấp đúp vào Đăng xuất.

Cửa sổ thuộc tính Logoff cho phép bạn thêm nhiều kịch bản đăng xuất để chạy.

Bạn cũng có thể cấu hình các kịch bản PowerShell thay thế.

Điều quan trọng cần lưu ý ở đây là các tập lệnh của bạn cần nằm trong một thư mục cụ thể để chúng hoạt động bình thường.

Kịch bản đăng nhập và đăng xuất sẽ cần phải nằm trong các thư mục sau:

C: Windows System32 GroupPolicy User Scripts Đăng xuất
C: Windows System32 GroupPolicy User Scripts Đăng nhập

Trong khi các tập lệnh khởi động và tắt máy sẽ cần phải nằm trong các thư mục này:

C: Windows System32 GroupPolicy Machine Scripts Tắt
C: Windows System32 GroupPolicy Machine Scripts Khởi động

Khi bạn đã định cấu hình tập lệnh đăng xuất của mình, bạn có thể thử nghiệm - chúng tôi thiết lập một tập lệnh đơn giản đã tạo tệp văn bản trên màn hình, sau đó đăng xuất và bật lại. Nhưng bạn có thể làm cho nó làm bất cứ điều gì bạn muốn.

Và dĩ nhiên, nếu bạn đang thực hiện một kịch bản đăng nhập thay vào đó, nó thực sự có thể khởi chạy các ứng dụng.

Một điều quan trọng cần lưu ý là nếu kịch bản của bạn nhắc đầu vào của người dùng, Windows sẽ treo trong khi tắt hoặc đăng xuất trong 10 phút trước khi tập lệnh bị giết và Windows có thể khởi động lại. Đây là điều bạn nên nhớ khi thiết kế kịch bản của mình.

Chính sách nhóm không kết thúc ở đây

Chúng tôi chỉ trầy xước bề mặt cho những gì chính sách nhóm thực sự có thể làm, và trong một môi trường miền công ty nó là một trong những công cụ mạnh mẽ và quan trọng nhất theo ý của bạn. Vì loạt bài này không phải về người dùng CNTT, chúng tôi sẽ không đi sâu vào tất cả các phần còn lại, nhưng bạn nên tự mình thực hiện một số nghiên cứu.