лаб. 11. Лабораторная работа 11. Администрирование сети ограничения пользователей компьютера с помощью локальной групповой политики
Скачать 2.33 Mb.
|
ФИО студента Сичный Андрей Анатольевич ЛАБОРАТОРНАЯ РАБОТА №11. АДМИНИСТРИРОВАНИЕ СЕТИ Ограничения пользователей компьютера с помощью локальной групповой политики Содержание: Ограничения пользователей компьютера с помощью локальной групповой политики Групповая политика для всех пользователей компьютера Групповая политика для отдельных учётных записей Ограничения с помощью групповой политики 1. Запрет запуска отдельных программ 2. Ограничение размера профиля 3. Отключение записи на съёмные носители 4. Удаление файлов мимо корзины 5. Запрет доступа к дискам компьютера 6. Запрет доступа к панели управления и приложению «Параметры» ↑ Ограничения пользователей компьютера с помощью локальной групповой политики ↑ Групповая политика для всех пользователей компьютера Групповая политика – это инструмент, с помощью которого можно гибко настроить работу Windows. Управление этим функционалом осуществляется посредством редактора gpedit.msc. Для быстрого запуска его название можно ввести в поле внутрисистемного поиска или команды «Выполнить». Редактор содержит две основных ветки параметров: • «Конфигурация компьютера», где содержатся параметры для всего компьютера, то есть для всех его пользователей; • «Конфигурация пользователя» – каталог, содержащий параметры отдельных пользователей компьютера. Внесение изменений непосредственно в окне редактора будет иметь силу для всех учётных записей. Если, например, заблокировать запуск каких-то программ, эта блокировка будет применена и для администратора, и для стандартных пользователей. Если на компьютере проводится работа с единственной учётной записи администратора, можно сразу приступать к рассмотрению конкретных параметров, которые приводятся в последнем разделе статьи. Но если у других членов семьи есть свои учётные записи, при этом ограничения не должны касаться администратора, потребуется ещё кое-что настроить. ↑ Групповая политика для отдельных учётных записей Как сделать так, чтобы с помощью локальной групповой политики можно было вносить изменения только для отдельных учётных записей? Возможность управления этим инструментом системы в части применения изменений не для всех, а лишь для выбранных пользователей компьютера, появится, если редактор добавить в качестве оснастки консоли ММС. С помощью внутрисистемного поисковика или команды «Выполнить» запускаем штатную утилиту mmc.exe. В меню «Файл» консоли выбираем «Добавить или удалить оснастку». В колонке справа выбираем «Редактор объектов групповой политики», жмём посередине «Добавить». Теперь – «Обзор». И добавляем пользователей. Выбираем: • либо «Не администраторы», если нужно, чтобы настройки применялись ко всем имеющимся в системе учётным записям типа «Стандартный пользователь»; • либо конкретного пользователя. Готово. Жмём «Ок» в окошке добавления оснасток, затем в меню «Файл» выбираем «Сохранить как». Задаём файлу консоли имя, указываем какой-нибудь удобный путь сохранения, скажем, на рабочем столе, и сохраняем. Итак, мы создали оснастку редактора групповой политики для отдельного пользователя. Это, по сути, тот же редактор, что и gpedit.msc, но ограниченный наличием только единственной ветки «Конфигурация пользователя». В этой ветке и будем работать с параметрами групповой политики. Сохранённый файл консоли нужно будет запускать каждый раз при необходимости изменить параметры групповой политики для отдельных учётных записей. ↑ Ограничения с помощью групповой политики Редактор групповой политики содержит массу параметров, которые вы, друзья, можете самостоятельно исследовать и решить, какие из них необходимо применять в вашем конкретном случае. Я же сделал небольшую подборку запретов в среде Windows 10 на своё усмотрение. Все они будут касаться только подконтрольного пользователя. И, соответственно, изменения будут вноситься в ветку редактора «Конфигурация пользователя». Итак, если нужно внести ограничения для всех, кто пользуется компьютером, запускаем редактор gpedit.msc. А если нужно урезать возможности отдельных людей, но чтобы это не касалось администратора, запускаем созданный файл консоли и работаем с редактором внутри неё. ↑ 1. Запрет запуска отдельных программ Если кого-то нужно ограничить в работе с отдельными программами или играми, следуем по пути: Административные шаблоны - Система Выбираем параметр «Не запускать указанные приложения Windows». Включаем его, жмём «Применить». Появится список запрещённых приложений. Кликаем «Показать» и в графы появившегося окошка поочерёдно выписываем десктопные программы и игры, запуск которых будет заблокирован. Вписываем их полное имя с расширением по типу: AnyDesk.exe После чего снова жмём «Применить» в окне параметра. Теперь подконтрольный пользователь вместо запуска программы или игры увидит только вот это. По такому же принципу можно сформировать перечень только разрешённых для запуска программ и игр, выбрав параметр в этой же ветке ниже «Выполнять только указанные приложения Windows». И тогда для пользователя будет блокироваться всё, что не разрешено этим перечнем. ↑ 2. Ограничение размера профиля Пыл любителей скачивать с Интернета что попало и захламлять раздел (C:\) можно поубавить, если ограничить профиль таких пользователей в размере. Идём по пути: Административные шаблоны – Система – Профили пользователей Выбираем параметр «Ограничить размер профиля». Включаем, устанавливаем максимальный размер профиля в кБ, при желании можем отредактировать сообщение о превышении лимита пространства профиля и выставить свой интервал появления этого сообщения. Применяем. При достижении указанного лимита система будет выдавать соответствующее сообщение. ↑ 3. Отключение записи на съёмные носители Отключение возможности записи на съёмные носители – это мера предосторожности скорее для серьёзных организаций, бдящих о сохранении коммерческой тайны. Таким образом на компьютерах сотрудников блокируется возможность переноса на флешки или прочие носители важных данных. Но в семьях бывают разные ситуации. Так что если потребуется, для отдельных людей можно отключить работу с подключаемыми носителями – и чтение, и запись. Делается это по пути: Административные шаблоны – Система – Доступ к съёмным запоминающим устройствам. Чтобы, например, кто-то из близких не перенёс на съёмный носитель (любого типа) хранящуюся на компьютере ценную информацию, выбираем параметр «Съёмные диски: Запретить запись». Включаем, применяем. ↑ 4. Удаление файлов мимо корзины При частом захламлении диска (C:\) учётные записи активно участвующих в этом процессе пользователей можно настроить так, чтобы их файлы удалялись полностью, минуя корзину. Это делается по пути: Административные шаблоны – Компоненты Windows – Проводник Отрываем параметр «Не перемещать удаляемые файлы в корзину». Включаем, применяем. ↑ 5. Запрет доступа к дискам компьютера Ограничить доступ других пользователей к отдельным дискам компьютера можно разными методами. Например, путём установки запрета доступа в свойствах диска или посредством функционала шифрования, в частности, штатного BitLocker. Но есть и способ с помощью групповой политики. Правда, работает он только для штатного проводника. Идём по пути: Административные шаблоны – Компоненты Windows – Проводник Открываем параметр «Запретить доступ к дискам через «Мой компьютер». Включаем, применяем. Появится окошко выбора дисков компьютера. Выбираем нужный вариант и применяем настройки. ↑ 6. Запрет доступа к панели управления и приложению «Параметры» Стандартные учётные записи в любом случае ограничены UAC, и с них невозможно без пароля администратора вносить какие-то серьёзные настройки в систему. Но при необходимости для стандартных пользователей можно и вовсе запретить запуск панели управления и приложения «Параметры». Чтобы не могли менять даже и то, на что не требуется разрешение администратора. Идём по пути: Административные шаблоны – Компоненты Windows – Проводник Запускаем параметр «Запретить доступ к панели управления и параметрам компьютера». Включаем, применяем. |