Посібник з редактора групових політик: функції та параметри доступу

Редактор групової політики - це надзвичайно потужний інструмент, який є життєво необхідним для виконання завдань адміністрування, і за допомогою якого користувачі можуть налаштовувати необхідні параметри. Наприклад, за допомогою цього редактора можна визначити, які зміни може вносити звичайний користувач у налаштуваннях/програмах, налаштувати вимоги до паролів тощо.

З точки зору ризиків для безпеки, ці налаштування (або коротко GPO) можуть бути використані хакерами для відключення антивірусу. Крім того, адміністратори потребують цих налаштувань для роботи з заблокованими користувачами.

У цьому посібнику ми зосередимося на Windows версії 10, але ця інформація про редактор групових політик також може бути застосована до версій 7, 8, Server 2003 і навіть інших. Тут ми обговоримо основні функції та варіанти доступу.  

5 способів доступу до редактора групової політики в Windows 10

Тепер перейдемо до власне методів доступу до редактора групової політики.

Спосіб 1: Використання діалогового вікна «Виконати»

• Почніть з пошуку на панелі інструментів і виберіть «Виконати», якщо ви його побачите або введете там.
• Після цього в командний рядок слід вставити 'gpedit.msc' і натиснути OK.

Спосіб 2: Пошук локального редактора групової політики

• Почніть з відкриття пошуку на панелі інструментів.
• Наступним кроком введіть 'gpedit' і натисніть 'Редагувати групову політику'.

Спосіб 3: Доступ через командний рядок

• Перебуваючи в командному рядку, ви повинні ввести 'gpedit.msc' і після цього натиснути 'enter'.

Спосіб 4: Запуск через PowerShell

• Перебуваючи в PowerShell, ви повинні використовувати той самий «gpedit» і після цього натиснути «Enter».
• У разі необхідності, ви також можете внести деякі необхідні зміни в локальні об'єкти GPO через PowerShell.

Спосіб 5: Перехід за допомогою меню «Пуск» і панелі керування

• Увійдіть в панель керування через меню «Пуск».
• Натисніть на іконку Windows і виберіть іконку віджетів.
• Введіть «gpedit» або «групова політика» і виберіть «Редагувати групову політику».

Функції та можливості редактора групової політики

Можливості та функції редактора групової політики величезні, ви можете зробити досить багато за допомогою цього потужного інструменту. Наприклад, ви можете відключити деякі служби або просто вибрати шпалери для робочого столу. Крім того, з нього можна керувати версією мережевого протоколу. Щоб підвищити безпеку системи, ІТ-відділи можуть використовувати редактор групових політик для налаштування, ось кілька прикладів того, що можна зробити:

• Відключення таких пристроїв, як DVD/USB-драйви.
• Обмеження доступу до gpedit, щоб звичайні користувачі не могли впливати на налаштування.
• Встановлення певних обмежень на доступ/встановлені програми на корпоративних комп'ютерах.
• Виберіть певні корпоративні шпалери і вимкніть можливість звичайних користувачів змінювати їх.
• Вимкніть мережеві протоколи, щоб користувачі мали доступ до більш безпечних.

Як бачите, групові політики важливі для налаштування безпеки, і тут було наведено лише кілька прикладів того, як все можна організувати. Існує набагато більше практичних сценаріїв зміцнення середовища.

Ключові компоненти редактора групових політик

Коли ви ввійдете до редактора групової політики, ви побачите вікно, розділене на 2 частини. Ліва частина містить усі можливі елементи, що стосуються конфігурації комп'ютера і конфігурацій користувачів. Наприклад, шаблони адміністратора, налаштування програмного забезпечення, налаштування вікон і багато іншого. При натисканні на певну категорію відкривається детальне дерево, де ви можете натиснути на будь-яку з них, і в правій частині вікна з'явиться детальна інформація.

Щоб змінити певні налаштування, вам потрібно лише двічі клацнути на потрібному пункті та увімкнути/вимкнути його. Також у цьому вікні ви можете переглянути опис довідки, перевірити, в яких версіях Windows підтримується цей параметр, тощо. Існують сотні різних опцій, з яких ви можете вибирати, тому перевірте групову політику.

Розподіл компонентів редактора локальної групової політики

• Налаштування користувача. Ці групи налаштувань стосуються лише локальної машини, а саме поточних користувачів і майбутніх користувачів.
• Конфігурація комп'ютера. Ці параметри стосуються локального комп'ютера і не залежать від користувача.

Це 2 основні категорії, які потім поділяються на інші категорії, такі як налаштування програмного забезпечення, налаштування Windows і шаблони адміністратора.

Кроки з налаштування політик безпеки за допомогою редактора локальної групової політики

Перш ніж вносити будь-які конкретні зміни, вам краще вирішити, які об'єкти GPO ви хочете змінити. Після цього процес буде досить простим.

Тут ми розповімо вам про просте налаштування паролів:

1. У редакторі групової політики у розділі конфігурації комп'ютера виберіть налаштування Windows, потім натисніть Налаштування облікових записів і політика паролів.
2. Виберіть «пароль повинен відповідати складності...».
3. Після цього виберіть «увімкнути» і застосуйте зміни.

Адміністрування групових політик за допомогою PowerShell

Для керування груповими політиками більшість адміністраторів використовують такі команди PowerShell, як наведені нижче:

• Invoke-GPUpdate: ця команда має вирішальне значення для оновлення об'єктів групової політики. Перевага полягає в тому, що ви можете запланувати оновлення на певний час на віддаленій машині. Крім того, ви можете написати скрипт для запуску декількох оновлень, якщо є така необхідність.
• New-GPO: ця команда потрібна для створення непризначеного об'єкта GPO. Тобто ви можете вказати власника, ім'я, домен та інші необхідні параметри.
• Get-GPResultantSetOfPolicy: ця команда повертає RsoP для машини або користувача, або навіть для обох, щоб створити файл з необхідними результатами. За допомогою цього XML-файлу ви можете визначити деякі проблеми з об'єктами GPO. Політика може бути перезаписана іншим об'єктом GPO, тому таким чином ви можете вказати реальне значення, призначене машині/користувачеві.
• Get-GPOReport: для усунення несправностей ця команда може бути дуже корисною, оскільки вона відображає всі GPO в домені.

Недоліки та обмеження редактора групових політик

Редактор групової політики є досить простим інструментом, але в той же час він може допомогти з різноманітністю налаштувань безпеки. Оновлення GPO відбуваються через певні проміжки часу на машинах в мережі. Тому важко визначити, коли всі машини в мережі отримають оновлення.

Одним з очевидних недоліків локальних групових політик є те, що хакери можуть скористатися цим інструментом і увімкнути всі механізми захисту. Крім того, інструмент не має вбудованого аудиту, що означає, що ви повинні робити його самостійно, а це може зайняти деякий час.