Obmedzenia používateľov počítačov pomocou politiky miestnych skupín (Účty a heslá)

Priatelia sme v jednom z posledných článkov na webe preskúmali 5 spôsobov, ako obmedziť možnosti používateľov počítačov, implementovaných prevalenciou účtov správcu oproti štandardným a použitím funkcií, ako napríklad „Rodičovská kontrola“. V tomto článku pokračujeme v téme kontroly používateľov, ktorej niekedy musíme dôverovať počítačom, ale nemôžeme si byť istí ich činnosťou v dôsledku bezvedomia alebo neskúsenosti. Pozrime sa, aké ďalšie akcie detí a neskúsených dospelých môžu byť obmedzené v prostredí Windows. Na tieto účely použijeme štandardný nástroj politiky miestnych skupín, ktorý je k dispozícii vo vydaniach Windows, počnúc verziou Pro.

Obmedzenia používateľov počítačov pomocou politiky miestnych skupín

Skupinová politika pre všetkých používateľov počítačov

Skupinová politika je nástroj, pomocou ktorého môžete flexibilne konfigurovať systém Windows. Táto funkcia je riadená pomocou editora gpedit.msc. Na rýchle spustenie je možné zadať jeho názov do poľa pre vyhľadávanie v rámci systému alebo do príkazu „Spustiť“. Editor obsahuje dve hlavné vetvy parametrov: • „Konfigurácia počítača“, ktorá obsahuje parametre pre celý počítač, tj pre všetkých jeho používateľov; • „Konfigurácia používateľa“ - adresár obsahujúci parametre jednotlivých používateľov počítača.

Vykonávanie zmien priamo v okne editora bude platné pre všetky účty. Ak napríklad zablokujete spustenie niektorých programov, toto blokovanie sa použije na administrátora aj štandardných používateľov. Ak pracujete na počítači s jedným účtom správcu, môžete okamžite začať uvažovať o konkrétnych parametroch, ktoré sú uvedené v poslednej časti článku. Ak však majú ostatní členovia rodiny svoje vlastné účty, pričom obmedzenia by sa nemali týkať správcu, musíte nakonfigurovať niečo iné.

Skupinová politika pre jednotlivé účty

Ako sa môžem uistiť, že pomocou pravidiel miestnych skupín môžete vykonať zmeny iba pre jednotlivé účty? Schopnosť riadiť tento systémový nástroj z hľadiska uplatňovania zmien nie je pre každého, ale iba pre vybraných používateľov počítača, ak pridáte editor ako modul snap-in do konzoly MMC. Pomocou vyhľadávacieho nástroja pre intrasystém alebo príkazu Spustiť spustíme štandardný nástroj mmc.exe. V ponuke Súbor na konzole vyberte možnosť Pridať alebo odstrániť modul snap-in..

V stĺpci napravo vyberte možnosť „Editor objektov politiky skupiny“ a kliknite na stred „Pridať“..

Teraz - recenzia.

A pridávať používateľov. Vyberáme: • buď „Nie správcovia“, ak chcete, aby sa nastavenia použili na všetky účty v systéme, ako napríklad „Štandardný používateľ“; • alebo konkrétny používateľ.

Hotovo.

Kliknite na tlačidlo „OK“ v okne na pridanie doplnkov a potom v ponuke „Súbor“ vyberte možnosť „Uložiť ako“.

Pomenujte súbor konzoly, zadajte vhodný spôsob, ako ho uložiť, napríklad na plochu a uložiť.

Vytvorili sme preto modul snap-in Editor politiky skupiny pre jednotlivého používateľa. Toto je v skutočnosti rovnaký editor ako gpedit.msc, ale je obmedzený prítomnosťou iba jednej vetvy „User Configuration“. V tomto vlákne budeme pracovať s nastaveniami skupinovej politiky.

Uložený súbor konzoly bude potrebné spustiť zakaždým, keď je to potrebné na zmenu nastavení skupinovej politiky pre jednotlivé účty.

Obmedzenia skupinovej politiky

Editor zásad skupiny obsahuje veľa možností, ktoré vaši priatelia môžu nezávisle skúmať a rozhodnúť sa, ktoré z nich je potrebné uplatniť v konkrétnom prípade. Podľa môjho uváženia som urobil malý výber zákazov v prostredí Windows 10. Všetky sa týkajú iba používateľa pod kontrolou. V súlade s tým sa vykonajú zmeny v vetve editora „Konfigurácia používateľa“.

Ak teda potrebujete urobiť obmedzenia pre všetkých používateľov počítača, spustite editor gpedit.msc. A ak potrebujete obmedziť možnosti jednotlivcov, ale aby sa to netýkalo administrátora, spustíme vytvorený konzolový súbor a pracujeme s editorom v ňom..

1. Zákaz spustenia jednotlivých programov

Ak niekto musí byť obmedzený pri práci s jednotlivými programami alebo hrami, ideme touto cestou: Administratívne šablóny - systém Vyberte možnosť „Nespúšťať určené aplikácie systému Windows“.

Zapnite ho a kliknite na tlačidlo Použiť..

Zobrazí sa zoznam zakázaných aplikácií. Kliknite na „Zobraziť“ a v zobrazených grafoch postupne zapisujeme programy a hry pre stolné počítače, ktorých spustenie bude zablokované. Zadajte svoje celé meno s príponou typu: AnyDesk.exe

Potom znova kliknite na tlačidlo „Použiť“ v okne parametrov. Teraz bude mať používateľ pod kontrolou namiesto spustenia programu alebo hry iba toto.

Na základe toho istého princípu môžete vytvoriť zoznam iba programov a hier, ktoré sa môžu spúšťať výberom možnosti v rovnakej vetve pod položkou „Spúšťať iba určené aplikácie Windows“. A potom bude zablokované všetko, čo tento zoznam nepovoľuje.

2. Limit veľkosti profilu

Horlivosť fanúšikov, ktorí si sťahujú z internetu to, čo je hrozné a neprehľadné v sekcii (C: \), sa dá znížiť, ak obmedzíte veľkosť takýchto používateľov. Ideme po ceste: Šablóny pre správu - Systém - Profily používateľov Vyberte možnosť „Obmedziť veľkosť profilu“.

Zapneme ju, nastavíme maximálnu veľkosť profilu v KB, v prípade potreby môžeme upraviť správu o prekročení limitu priestorového profilu a nastaviť náš interval, aby sa táto správa zobrazila. platiť.

Po dosiahnutí stanoveného limitu systém vydá zodpovedajúcu správu.

3. Zakázanie nahrávania na vymeniteľné médium

Vypnutie možnosti nahrávania na vymeniteľné médiá je skôr opatrnosťou pre vážne organizácie, ktoré sú ostražité pri zachovávaní obchodného tajomstva. Schopnosť prenášať dôležité údaje na flash disky alebo iné pamäťové médiá je na zamestnaneckých počítačoch blokovaná. Ale v rodinách sú rôzne situácie. Takže v prípade potreby môžete pre jednotlivcov vypnúť prácu s pripojenými médiami - čítanie aj písanie. Toto sa deje na ceste: Šablóny pre správu - Systém - Prístup k vymeniteľným úložným zariadeniam.

Aby napríklad niekto vo vašom okolí nepreniesol cenné informácie uložené v počítači na vymeniteľné médiá (akéhokoľvek typu), vyberieme možnosť „Vymeniteľné jednotky: Odmietnuť záznam“. Zapnite, použite.

4. Odstránenie súborov z koša

Pri častom preplnovaní jednotky (C: \) je možné účty používateľov, ktorí sa aktívne podieľajú na tomto procese, nakonfigurovať tak, aby sa ich súbory úplne odstránili a obišli sa z koša. To sa deje na ceste: Šablóny pre správu - Súčasti systému Windows - Prieskumník. Odtrhávame možnosť „Nepremiestňovať odstránené súbory do koša“..

Zapnite, použite.

5. Odmietnuť prístup k počítačovým diskom

Existujú rôzne metódy na obmedzenie prístupu ostatných používateľov na jednotlivé počítačové disky. Napríklad nastavením zákazu prístupu vo vlastnostiach disku alebo prostredníctvom šifrovacích funkcií, najmä bežného nástroja BitLocker. Existuje však spôsob, ako používať skupinovú politiku. Pravda, funguje to iba pre pravidelného dirigenta. Ideme po ceste: Šablóny pre správu - Súčasti systému Windows - Prieskumník Otvorte možnosť „Zakázať prístup k jednotkám prostredníctvom priečinka„ Tento počítač “..

Zapnite, použite. Zobrazí sa okno na výber jednotiek počítača. Vyberte požadovanú možnosť a použite nastavenia..

6. Odmietnutie prístupu k ovládaciemu panelu a aplikácii Nastavenia

Štandardné účty sú v každom prípade obmedzené UAC a nie je možné vykonať akékoľvek vážne nastavenia v systéme bez hesla správcu. Ak je to však potrebné, pre bežných používateľov môžete úplne zabrániť spusteniu ovládacieho panela a aplikácie Nastavenia. Aby nemohli ani zmeniť niečo, čo nevyžaduje povolenie správcu. Ideme po ceste: Šablóny pre správu - Súčasti systému Windows - Prieskumník Spustite možnosť „Odmietnuť prístup k nastaveniam ovládacieho panela a počítača“.