Как отключить групповую политику на Windows 7

Чтобы запустить указанную оснастку, щелкните «Пуск» и перейдите в «Панель управления». Далее откройте раздел «Система и безопасности». Щелкните «Администрирование». Из предложенного набора системных инструментов выберите вариант «Локальная политика безопасности».

Открыть редактор локальной групповой политики с помощью меню «Пуск». Откройте меню «Пуск» и введите gpedit. msc в верхней части меню появится значок, при клике, на котором, откроется редактор политики.

Секреты Windows 7

Локальная политика безопасности – это оснастка консоли управления, позволяющая устанавливать различные системные параметры безопасности. Данная оснастка также является частью групповой политики.

Для запуска этой оснастки откройте Панель управления, в категории Система и безопасность щелкните на ссылке Администрирование, после этого дважды щелкните на значке Локальная политика безопасности и подтвердите ваши действия в окне UAC (если оно появится). Все доступные административные параметры разделены на несколько групп (рис. 11.30).

Рис. 11.30. Локальная политика безопасности

Наиболее актуальные параметры безопасности собраны в разделе Локальные политики.

• Политика аудита. Здесь вы можете определить, какие события будут записываться в журнал безопасности. Для включения аудита дважды щелкните на нужном событии и в появившемся окне установите нужные флажки: Успех – для занесения в журнал удачных попыток, Отказ – для фиксации неудачных попыток выбранного действия.

• Назначение прав пользователя. В этой категории имеется довольно обширный список параметров, определяющих, что можно и что нельзя делать на компьютере отдельным пользователям и группам. Например, вы можете указать, каким пользователям разрешить локальный вход, а каким – доступ по сети, кто может выполнять завершение работы или изменять системное время.

• Параметры безопасности. Здесь собраны различные административные параметры, определяющие поведение системы при входе в нее, доступе к компьютеру из сети, работе с устройствами и др.

Внимание!

Не изменяйте параметры безопасности без особой необходимости, поскольку это может вызвать проблемы в работе системы. В большинстве случаев для настройки безопасности достаточно стандартных средств: использования различных типов учетных записей, разрешений NTFS и родительского контроля (см. гл. 10).

Трюк 1. Обходим загрузку политик

Давай разберемся, как вообще каждая машина в локальной сети получает групповые политики из домена? Процесс создания групповых политик можно разбить на следующие условные этапы:

  1. Админ создает объект групповой политики.
  2. Привязывает его к каким-то элементам домена.
  3. При входе в домен комп отправляет запрос на получение политик и получает их в ответ от домена.
  4. При входе пользователя выполняется аналогичный запрос, но уже по пользовательским политикам.

Итак, что мы здесь видим: политики подгружаются на стадии входа в систему. Здесь есть небольшая фича. По умолчанию обновление политик выполняется каждые 5 минут. Но если политики не были получены во время входа в систему, то обновляться они не будут! Вырисовывается элементарный способ, как эту особенность можно использовать:

  1. Вынимаем патч-корд из компа.
  2. Включаем комп и логинимся под своей учеткой.
  3. Подключаем патч-корд обратно.

Даже при отсутствии доступа в сеть мы сможем войти в домен, так как винда ранее закешировала наш логин и пароль (это произошло во время предыдущего входа в систему). Но уже без применения групповых политик. При этом мы спокойно сможем использовать ресурсы сети, так как патч-корд к этому моменту будет на месте, а со всякими авторизациями на удаленных ресурсах справится сама винда. Стоит добавить, что в безопасном режиме винды групповые политики вообще не действуют. Комментарии, я думаю, излишни.

Способы открыть редактор групповой политики (gpedit.msc)

Ниже — все основные способы запуска редактора локальной групповой политики. Существуют и другие, но они являются производными от описанных далее.

Диалоговое окно «Выполнить»

Первый способ, о котором я пишу чаще других, подходящий для всех актуальных версий Windows — нажать клавиши Win+R (Win — клавиша с эмблемой ОС), и в открывшееся окно «Выполнить» ввести gpedit.msc

После этого нажмите Enter или Ok — сразу откроется интерфейс редактора локальной групповой политики, при условии его наличия в вашей редакции системы.

Файл gpedit.msc

Вы можете запустить редактор локальной групповой политики, а также создать ярлык для него в нужном вам расположении, используя файл для запуска: он находится в папке C:\Windows\System32 и имеет имя gpedit.msc

Поиск Windows 10, 8.1 и Windows 7

Одна из функций ОС Windows, которой пользователи незаслуженно не уделяют внимания — поиск в системе, который в Windows 7 находится в меню «Пуск», в Windows 10 — в панели задач, а в 8.1 — в отдельной панели поиска (можно вызвать клавишами Win+I). Если вы не знаете, как что-либо запустить, используйте поиск: обычно, это самый быстрый способ.

Однако, по какой-то причине, нужный результат находится только если вводить «Групповой политики», без слова «Редактор». По этому же запросу нужный результат можно найти в поиске в «Параметры» Windows 10.

Панель управления

Запуск редактор локальной групповой политики возможен из панели управления, однако тоже с некоторыми странностями: он должен находиться в разделе «Администрирование», однако если его открыть, такого пункта там не будет (во всяком случае в Windows 10).

Если же начать вводить «Групповой политики» в поиске в панели управления (в окно справа вверху), редактор будет найден именно в разделе «Администрирование».

Все остальные способы — по сути варианты уже описанных: например, gpedit.msc вы можете запустить из командной строки или PowerShell, ярлык к файлу gpedit.msc можно закрепить на панели задач или в меню Пуск. Так или иначе, думаю, что описываемых методов для ваших целей окажется достаточно. Также может быть полезным: Редактор локальной групповой Windows политики для начинающих.

А вдруг и это будет интересно:

Почему бы не подписаться?

Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)

>>Однако, по какой-то причине, результат находится только если вводить… без слова «Редактор» Потому что пункт называется Изменение групповой политики.

Да, но странность (с моей точки зрения) как раз в том, что он так называется, ведь то, что запускается в результате озаглавлено «Редактор»

Вопрос не по теме, в 1903 после нажатия завершения работ тебя при в ходе насильно тянет в виндовс 10, а у тебя ещё три, четыре ос, виндовс 10 не установлен как первая, лично у меня виндовс 7 первая. Мало того, в записи отключено метро, и оно работает с других ос и даже с виндовс 10 1903 при перезагрузки (старое), но как завершение работ, именно виндовс 10, то тебя про посту туда тянет, без выбора.

Редактор локальной групповой политики Windows для начинающих

Локальная политика безопасности Windows 7 где находится?

06.06.2014 windows | для начинающих

В этой статье поговорим о еще одном инструменте администрирования Windows — редакторе локальной групповой политики. С его помощью вы можете настроить и определить значительное количество параметров своего компьютера, установить ограничения пользователей, запретить запускать или устанавливать программы, включить или отключить функции ОС и многое другое.

Отмечу, что редактор локальной групповой политики недоступен в Windows 7 Домашняя и Windows 8 (8.1) SL, которые предустановлены на многие компьютеры и ноутбуки (однако, можно установить Редактор локальной групповой политики и в домашней версии Windows). Вам потребуется версия начиная с Профессиональной.

Как запустить редактор локальной групповой политики

Первый и один из самых быстрых способов запуска редактора локальной групповой политики — нажать клавиши Win + R на клавиатуре и ввести gpedit.msc — этот способ будет работать в Windows 8.1 и в Windows 7.

Также можно воспользоваться поиском — на начальном экране Windows 8 или в меню пуск, если вы используете предыдущую версию ОС.

Где и что находится в редакторе

Интерфейс редактора локальной групповой политики напоминает другие инструменты администрирования — та же структура папок в левой панели и основная часть программы, в которой можно получить информацию по выбранному разделу.

Слева настройки разделены на две части: Конфигурация компьютера (те параметры, которые задаются для системы в целом, вне зависимости от того, под каким пользователем был совершен вход) и Конфигурация пользователя (настройки, относящиеся к конкретным пользователям ОС).

Каждая из этих частей содержит следующие три раздела:

  • Конфигурация программ — параметры, касающиеся приложений на компьютере.
  • Конфигурация Windows — настройки системы и безопасности, другие параметры Windows.
  • Административные шаблоны — содержит конфигурацию из реестра Windows, то есть эти же параметры вы можете изменить с помощью редактора реестра, но использование редактора локальной групповой политики может быть более удобным.

Примеры использования

Перейдем к использованию редактора локальной групповой политики. Я покажу несколько примеров, которые позволят увидеть, как именно производятся настройки.

Разрешение и запрет запуска программ

Если вы пройдете в раздел Конфигурация пользователя — Административные шаблоны — Система, то там вы обнаружите следующие интересные пункты:

  • Запретить доступ к средствам редактирования реестра
  • Запретить использование командной строки
  • Не запускать указанные приложения Windows
  • Выполнять только указанные приложения Windows

Два последних параметра могут быть полезными даже обычному пользователю, далекому от системного администрирования. Кликните дважды по одному из них.

В появившемся окне установите «Включено» и нажмите по кнопке «Показать» около надписи «Список запрещенных приложений» или «Список разрешенных приложений», в зависимости от того, какой из параметров меняется.

Укажите в строчках имена исполняемых файлов программ, запуск которых нужно разрешить или запретить и примените настройки. Теперь, при запуске программы, которая не разрешена, пользователь будет видеть следующее сообщение об ошибке «Операция отменена из-за ограничений, действующих на этом компьютере».

Изменение параметров контроля учетных записей UAC

В разделе Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности имеется несколько полезных настроек, одну из которых можно и рассмотреть.

Читайте также:  Включение микрофона на компьютере с Windows 7

Выберите параметр «Контроль учетных записей: поведение запроса на повышение прав для администратора» и дважды кликните по нему. Откроется окно с параметрами этой опции, где по умолчанию стоит «Запрос согласия для исполняемых файлов не из Windows» (Как раз поэтому, всякий раз, при запуске программы, которая хочет изменить что-то на компьютере, у вас запрашивают согласие).

Вы можете вообще убрать подобные запросы, выбрав параметр «Повышение без запроса» (только этого лучше не делать, это опасно) или же, напротив, установить параметр «Запрос учетных данных на безопасном рабочем столе». В этом случае, при запуске программы, которая может внести изменения в системе (а также для установки программ) каждый раз потребуется вводить пароль учетной записи.

Сценарии загрузки, входа в систему и завершения работы

Еще одна вещь, которая может оказать полезной — скрипты загрузки и выключения, которые вы можете заставить выполняться с помощью редактора локальной групповой политики.

Это может пригодиться, например, для запуска раздачи Wi-Fi с ноутбука при включении компьютера (если вы реализовывали ее без сторонних программ, а создав Wi-Fi сеть Ad-Hoc) или выполнения операций резервного копирования при выключении компьютера.

В качестве скриптов можно использовать командные файлы .bat или же файлы сценариев PowerShell.

Сценарии загрузки и выключения находятся в Конфигурация компьютера — Конфигурация Windows — Сценарии.

Сценарии входа в систему и выхода — в аналогичном разделе в папке «Конфигурация пользователя».

Например, мне нужно создать сценарий, выполняемый при загрузке: я дважды кликаю по «Автозагрузка» в сценариях конфигурации компьютера, нажимаю «Добавить» и указываю имя файла .bat, который следует выполнить. Сам файл должен находится в папке C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup (этот путь можно увидеть по нажатию кнопки «Показать файлы»).

В случае, если сценарий требует ввода каких-то данных пользователем, то на время его исполнения дальнейшая загрузка Windows будет приостановлена, до завершения работы скрипта.

В заключение

Это лишь несколько простых примеров использования редактора локальной групповой политики, для того, чтобы показать, что такое вообще присутствует на вашем компьютере. Если вдруг захочется разобраться подробнее — в сети есть масса документации на тему.

А вдруг и это будет интересно:

Введение

В предыдущих моих статьях о групповых политиках было рассказано о принципах работы оснастки «Редактор локальной групповой политики». Рассматривались некоторые узлы текущей оснастки, а также функционал множественной групповой политики. Начиная с этой статьи, вы сможете узнать об управлении параметрами безопасности на локальном компьютере, а также в доменной среде.

В наше время обеспечение безопасности является неотъемлемой частью работы как для системных администраторов в крупных и даже мелких предприятиях, так и для домашних пользователей, перед которыми стоит задача настройки компьютера. Неопытные администраторы и домашние пользователи могут посчитать, что после установки антивируса и брандмауэра их операционные системы надежно защищены, но это не совсем так.

Конечно, эти компьютеры будут защищены от множества атак, но что же спасет их от человеческого фактора? Сейчас возможности операционных систем по обеспечению безопасности очень велики.

Существуют тысячи параметров безопасности, которые обеспечивают работу служб, сетевую безопасность, ограничение доступа к определенным ключам и параметрам системного реестра, управление агентами восстановления данных шифрования дисков BitLocker, управление доступом к приложениям и многое, многое другое.

В связи с большим числом параметров безопасности операционных систем Windows Server 2008 R2 и Windows 7, невозможно настроить все компьютеры, используя один и тот же набор параметров.

В статье «Настройки групповых политик контроля учетных записей в Windows 7» были рассмотрены методы тонкой настройки контроля учетных записей операционных систем Windows, и это только малая часть того, что вы можете сделать при помощи политик безопасности.

В цикле статей по локальным политикам безопасности я постараюсь рассмотреть как можно больше механизмов обеспечения безопасности с примерами, которые могут вам помочь в дальнейшей работе.

Данная установка запрещена политикой, заданной системным администратором

При попытке установить программу из MSI пакета на рабочей станции (права администратора имеются) возникает ошибка «Данная установка запрещена политикой, заданной системным администратором». Проверили – ни какой другой MSI файл также не запускается. Что делать?

Ответ

Сообщение «Данная установка запрещена политикой, заданной системным администратором» (The system administrator has set policies to prevent this installation) может появляться как во время запуска exe файлов, так и при установке MSI пакетов. Даже, если ограничения не настраивались специально, в некоторых случаях Windows или какая-т другая программа могла самостоятельно изменить параметры политики Software Restriction Policies (SRP). Вот что можно предпринять в таком случае:

Вариант №3: Запуск программы из поисковых результатов

При помощи встроенной в систему функции поиска можно запустить редактор групповой политики. Сделать это будет даже проще, чем в предыдущих вариантах, так как не потребуется запоминать различные команды. Проделаем следующие шаги:

  1. Нажимаем клавиатурную комбинацию «WIN+S» для отображения окна поиска или вызываем его, кликнув по соответствующей кнопке на нижней панели.
  2. После этого начинаем вводить текст – Изменение групповой политики .

3. В поисковых результатах появится нужная нам программа, и её можно будет открыть.

Вариант №4: Открываем редактор из системной папки

Описываемая в нашей статье утилита по своей сути является обычным приложением, и соответственно её можно найти на диске, где установлена операционная система. Редактор групповой политики по умолчанию находится по следующему адресу:

C:\Windows\System32\gpedit.msc

Если Windows установлен на другой диск, то в адресе нужно будет изменить букву накопителя. Перейти в нужную нам папку можно поочерёдно, открыв соответствующие директории или просто скопировав и вставив путь в адресную строку проводника. После этого необходимо нажать «ENTER» – так редактор будет сразу запущен.

Если пользователю нужно отыскать сам файл программы, то потребуется просто перейти в каталог C:\Windows\System32\ и среди большого количества находящихся там файлов отыскать приложение с именем gpedit.msc

3. Дополнительные Параметры безопасности в Windows 7

SeAuditPrivilege. Данный параметр разрешает службе или учетной записи указывать параметры аудита доступа к объектам для отдельных ресурсов (файлов, объектов Active Directory, разделов реестра). То есть создавать записи в стандартном журнале безопасности системы (eventvwr. msc) при помощи API-функции ReportEvent.

Еще данное право разрешает очищать журнал безопасности оснастки eventvwr. msc.

По умолчанию данное право предоставлено группе «Администраторы». Вы же можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого надо войти в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки «Редактор локальной групповой политики» и включить политику «Управлять аудитом и журналом безопасности».

SeCreatePermanentPrivilege. Данный параметр позволяет службе или учетной записи создавать постоянные объекты, которые будут не удаляемыми при отсутствии ссылок на них. Например, создавать объекты каталога с помощью диспетчера объектов.

По умолчанию данное право никому не предоставлено, но вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого надо войти в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки «Редактор локальной групповой политики» и использовать политику «Создание постоянных общих объектов раздела».

SeCreateTokenPrivilege. Данный параметр разрешает службе или учетной записи создавать первичные маркеры. То бишь: учетная запись может создать маркер, содержащий любые SID и привилегии, и запустить с его помощью процесс.

По умолчанию данное право никому не предоставлено, но вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого надо войти в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки «Редактор локальной групповой политики» и использовать политику «Создание маркерного объекта».

SeEnableDelegationPrivilege. Данный параметр используется в Active Directory для делегирования учетных записей и определяет, может ли данная учетная запись устанавливать параметр «Делегирование разрешено» для пользовательского или компьютерного объекта.

Этот параметр можно устанавливать только для тех учетных записей пользователей или компьютеров, для которых снят флажок «Учетная запись не может быть делегирована». По умолчанию в Windows 7 данное право никому не предоставлено. А на контроллере домена данное право по-умолчанию предоставлено группе «Администраторы».

Вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого надо войти в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки «Редактор локальной групповой политики» и использовать политику «Разрешить доверия к учетным записям компьютеров и пользователей при делегировании».

SeLockMemoryPrivilege. Данное право разрешает службе или учетной записи выполнять блокировку физических страниц памяти.

Блокировка физических страниц памяти запрещает сброс блокированных страниц в файл подкачки на диск. То есть они всегда будут находиться в оперативной памяти.

В Windows 7 данное право по умолчанию никому не предоставлено.

Вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого войдите в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки «Редактор локальной групповой политики» и используйте политику «Блокировка страниц в памяти».

SeMachineAccountPrivilege. Данное право необходимо, чтобы диспетчер учетных данных безопасности SAM разрешил добавление компьютера к домену. Если пользователь обладает данным правом, он может добавить до десяти компьютеров в домен.

По умолчанию данное право предоставлено пользователям, прошедшим проверку подлинности на контроллере домена.

Вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого войдите в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки «Редактор локальной групповой политики» и используйте политику «Добавление рабочих станций к домен».

SeSyncAgentPrivilege. Данное право позволяет пользователям выполнять синхронизацию Active Directory. Оно позволяет читать объекты и свойства каталога Active Directory, даже если их атрибуты защиты это запрещают.

Читайте также:  Удаление служб в Windows 7

В Windows 7 данное право по умолчанию никому не предоставлено.

Вы можете самостоятельно выбрать пользователей и группы, которым будет предоставлено данное право. Для этого войдите в раздел Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки «Редактор локальной групповой политики и используйте политику «Синхронизировать данные службы каталогов».

Действие 2. Модифицируйте ряд значений системного реестра

Эффективным способом избавиться от ошибки «Администратор вашей сети применил групповую политику, которая не позволяет выполнить установку» является модификация ряда ключей системного реестра. Выполните следующее:

  • Нажмите Win+R в ОС Виндовс;
  • В появившемся окне наберите regedit и нажмите ввод;
  • В появившемся окне реестра Виндовс перейдите по пути:

Измените значения ключей на 1

Правило сертификата

Устанавливаются для файлов, имеющих цифровую подпись издателя. Для создания правила нажмите кнопку Обзор и укажите необходимый сертификат.

Правило для сертификата

Способ идентификации программ с помощью сертификатов достаточно надежен, но и у него существуют минусы. Во-первых, он требует применения центров сертификации. Во-вторых, невозможно установить разные значения правил для программ одного издателя. Например, тот же пасьянс из стандартных игр Windows таким правилом запретить не получится, поскольку оно запретит и запуск ключевых компонентов всей операционной системы.

Структура редактора групповой политики

Оснастка Редактор локальной групповой политики позволяет изменять политики, распространяющиеся как на компьютеры, так и на пользователей.

В панели пространства имен оснастки Редактор локальной групповой политики представлено два узла: Конфигурация компьютера и Конфигурация пользователя.

Узел Конфигурация компьютера содержит параметры политик, определяющих работу компьютера. Эти политики регулируют функционирование операционной системы, определяют права пользователей в системе, работу системных служб и средств безопасности и т. д.

Узел Конфигурация пользователя содержит параметры политик, определяющих работу пользователей.

Рис.3 Редактор локальной групповой политики

Изменение в групповых политиках по умолчанию в операционной системе Windows применяются через полтора часа (90 мин.). За данную настройку опять же отвечает отдельная политика. Частота обновления определяется политикой Интервал обновления групповой политики для компьютеров, которая расположена в узле Конфигурация компьютера > Административные шаблоны > Система > Групповая политика. Интервал указывается в минутах и определяет, как часто компьютер будет предпринимать попытку обновления политик. Рационально уменьшать интервал обновления групповой политики при частом применении изменений.

Рис.4 Настройка частоты обновления политик

Рис.5 Настройка частоты обновления политик

Если необходимо чтобы изменения групповых политик вступили в силу немедленно, можно принудительно применить измененные параметры, которые были внесены в редакторе локальной групповой политики несколькими способами:

  • осуществить перезагрузку операционной системы
  • использовать утилиту gpupdate.exe для принудительного обновления групповой политики. Для этого необходимо либо в окне Выполнить, либо в командной строке ввести gpupdate /force и нажать ОК.

Рис.6 Обновление политик в командной строке

С использованием параметра /target можно указать, будет ли это обновление параметров применяться только для пользователя или только для компьютера. Если не указано, обновляются параметры обеих политик.

Например, для выполнения обновления политик для пользователя, необходимо ввести gpupdate /target:user .

Рис.7 Обновление политик для пользователя в командной строке

Конфигурирование политик безопасности

Политика безопасности – это поднабор множеств параметров, которые регулируют безопасность компьютера и управляются с помощью локального объекта GPO. Настраивать данные политики можно при помощи оснастки «Редактор локальной групповой политики» или оснастки «Локальная политика безопасности». Оснастка «Локальная политика безопасности» используется для изменения политики учетных записей и локальной политики на локальном компьютере, а политики учетных записей, привязанных к домену Active Directory можно настраивать при помощи оснастки «Редактор управления групповыми политиками». Перейти к локальным политикам безопасности, вы можете следующими способами:

  1. Нажмите на кнопку «Пуск» для открытия меню, в поле поиска введите Локальная политика безопасности и откройте приложение в найденных результатах;
  2. Воспользуйтесь комбинацией клавиш winkey+R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите secpol.msc и нажмите на кнопку «ОК»;
  3. Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Редактор локальной групповой политики» и нажмите на кнопку «Добавить». В появившемся диалоге «Выбор объекта групповой политики» нажмите на кнопку «Обзор» для выбора компьютера или нажмите на кнопку «Готово» (по умолчанию установлен объект «Локальный компьютер»). В диалоге «Добавление или удаление оснасток» нажмите на кнопку «ОК». В оснастке «Редактор локальной групповой политики» перейдите в узел «Конфигурация компьютера», а затем откройте узел «Параметры безопасности».

lps-01

В том случае, если ваш компьютер подсоединен к домену Active Directory, политика безопасности определяется политикой домена или политикой подразделения, членом которого является компьютер.

Настройка системы безопасности windows 7

В видеокурсе «Создание и администрирование одноранговой сети», в уроке посвященному вопросам безопасности, я рассказывал о том, что учетные записи рядовых пользователей должны обязательно быть ограниченны в правах. Но, для более безопасной работы, лучше так же ограничить учетную запись, под которой вы работаете на домашнем компьютере.

На первый взгляд может показаться, зачем это нужно? Мол имеет смысл лишать рядовых пользователей административных прав, по тому, что они мало разбираются в информационных технологиях и могут начудить все что угодно, так же собственноручно скачать вирус и заразить им систему. Но, для того, чтобы заразить систему не обязательно скачивать вирус и запускать его. Он может попасть в систему, например через браузер, с кэшированными файлами. А как показывают последние данные, любой антивирус можно обойти, вопрос только во времени и желании.

Думаю, вы сами сталкивались с ситуацией, когда антивирус работает в режиме реального времени и сканирует все файлы, к которым обращается операционная система. Причем стоит поставить сканировать диски на наличие вирусов, что-нибудь то находится, и я не говорю про архивы, которые были скачаны с Интернета, их антивирус проверяет в момент разархивирования, а системные файлы. Возникает вопрос КАК? Ведь антивирус следит за всеми файлами, которые использует операционная система? После возникновения подобных проблем я начал создавать задание для антивируса, чтобы раз в день, или в два дня он сканировал все винты. Но если железо слабое, то данная процедура может сильно грузануть систему, но, это опять же не 100% вариант защиты, как говорится 100% вообще ничего не бывает.

По этому, предлагаю повысить уровень защиты вашего компьютера, выполнив действия, описанные в данном видеоуроке, и так давайте приступим, а пойдем мы тем же путем что и в видеокурсе «Создание и администрирование одноранговой сети», но для Windows 7 некоторые действия будут отличаться, чем в Windows XP.

1) Заходим в Пуск \ Панель управления \ Администрирование \ Управление компьютером. При установке Windows 7, учетная запись пользователя автоматически имеет права администратора, а учетка админа отключена

— включаем учетку админа (правая кнопка \ свойства \ отключенная учетная запись);

— переименовываем учетку администратора в нестандартное имя, чтобы затруднить подбор имени и пароля (Пуск \ Панель управления \ Администрирование \ Локальная политика безопасности \ Локальные политики \ Параметры безопасности \ Учетные записи: Переименование учетной записи администратора \ adminic);

Перезагрузим компьютер и зайдем под администратором

В Windows XP, учетная запись администратора является скрытой, т.е. зайти в неё можно дважды нажав ctrl+alt+del, ввести имя и пароль. В Windows 7 система другая, здесь все включенные учетные записи отображаются в окне приветствия, а нам этого не надо, иначе, какой смысл был менять имя администратора, если его сразу можно увидеть.

2) Заходим под adminic

— сделаем ввод имени пользователя и пароля в ручном режиме (Пуск \ Панель управления \ Администрирование \ Локальная политика безопасности \ Локальные политики \ Параметры безопасности \ Интерактивный вход в систему: Не требовать нажатия ctrl+alt+del \ отключен, т.е. требовать нажатия ctrl+alt+del);

— запретим отображение имени последнего пользователя выполнявшего вход в систему, для того, чтобы опять же усложнить подбор имени и пароля (Пуск \ Панель управления \ Администрирование \ Локальная политика безопасности \ Локальные политики \ Параметры безопасности \ Интерактивный вход в систему: Не отображать последнее имя пользователя \ включен);

— переименовываем учетку пользователя, который будет работать за компом, так как в моем случае, злоумышленник может знать как меня зовут и ввести в поле пользователь мое имя. Собственно как сейчас и называется моя рабочая учетка. По этому переименовываем её и задаем пароль.

Лучше всего придумать свои, уникальные, имена для пользователя и администратора.

— теперь лишаем пользователя прав администратора, для этого исключаем его из группы администраторы и добавляем в пользователи.

Перезагружаем систему и проверяем все сделанное ранее.

Пользоваться учетной записью лишенной административных прав не удобно, так как существуют определенные ограничения, но, в Windows 7 все сделано намного проще! Для того, чтобы выполнить действия, разрешенные только администратору, система автоматически запрашивает данные администратора. В Windows XP такого нет L, там приходится заходить под учетной записью администратора.

Допустим, попробуем удалить системный файл, система спрашивает пароль администратора, а в XP просто появилась бы ошибка, доступ запрещен. И можно было бы это сделать, только зайдя под администратором.

Не надо лишать прав пользователей, к которым вы выезжаете на дом! Если они мало соображают в компьютерах, то они вам просто мозг вынесут, своими, почему да как!

Настройки для меню «Пуск» и панели задач

Групповая политика предлагает множество настроек для меню «Пуск» и панели задач, чтобы настроить их по своему усмотрению. Настройки идеально подходят как администраторам, так и обычным пользователям, которые хотят настроить меню «Пуск» и панель задач Windows.

Перейдите в указанное ниже место в редакторе групповой политики, и вы найдёте все настройки с объяснением того, что они делают.

Читайте также:  Убираем фоновые шумы микрофона в Windows 7

Конфигурация пользователяАдминистративные шаблоныМеню «Пуск» и панель задач

Настройки действительно просты для понимания, поэтому я не думаю, что мне придется объяснять каждую из них. Кроме того, Windows предлагает подробное описание для каждой настройки. Некоторые из вещей, которые вы можете сделать, включают: изменение функции кнопки питания в меню «Пуск», запрет пользователям закреплять программы на панели задач, ограничение возможностей поиска, скрытие области уведомлений, скрытие значка батареи, предотвращение изменений в настройках панели задач и меню «Пуск», запрещение пользователям использовать любые параметры питания (выключение, переход в спящий режим и т.д.), удаление параметра «Выполнить» из меню «Пуск» и множество других настроек.

Принудительный сброс настроек локальных GPO из командной строки

В этом разделе описан способ принудительного сброса всех текущих настроек групповых политик в Windows. Однако сначала опишем некоторые принципы работы административных шаблонов групповых политик в Windows.

Архитектура работы групповых политик основана на специальных файлах Registry .pol . Данные файлы хранят параметры реестра, которые соответствуют тем или иным параметрам настроенных групповых политик. Пользовательские и компьютерные политики хранятся в разных файлах Registry .pol .

  • Настройки конфигурации компьютера (раздел Computer Configuration ) хранятся в %SystemRoot%\System32\ GroupPolicy\Machine\registry.pol
  • Пользовательские политики (раздел User Configuration ) — %SystemRoot%\System32\ GroupPolicy\User\registry.pol

При загрузке компьютера система импортирует содержимое файла \Machine\Registry.pol в ветку системного реестра HKEY_LOCAL_MACHINE (HKLM). Содержимое файла \User\Registry.pol импортируется в ветку HKEY_CURRENT_USER (HKCU) при входе пользователя в систему.

Консоль редактора локальных групповых политик при открытии загружает содержимое данных файлов и предоставляет их в удобном пользователю графическом виде. При закрытии редактора GPO внесенные изменения записываются в файлы Registry.pol. После обновления групповых политик (командой gpupdate /force или по-расписанию), новые настройки попадают в реестр.

Совет . Для внесения изменения в файлы стоит использовать только редактор групповых политик GPO. Не рекомендуется редактировать файлы Registry.pol вручную или с помощью старых версий редактора групповой политики!

Чтобы удалить все текущие настройки локальных групповых политик, нужно удалить файлы Registry.pol в каталоге GroupPolicy. Сделать это можно следующими командами, запущенными в командной строке с правами администратора:

RD /S /Q «%WinDir%\System32\GroupPolicyUsers» RD /S /Q «%WinDir%\System32\GroupPolicy»

После этого нужно обновить настройки политик в реестре:

Данные команды сбросят все настройки локальных групповых политик в секциях Computer Configuration и User Configuration.

Откройте консоль редактора gpedit.msc и убедитесь, что все политики перешли в состояние Не задано / Not configured. После запуска консоли gpedit.msc удаленные папки будут созданы автоматически с настройками по-умолчанию.

Как сбросить локальные политики безопасности в Windows 10, 8 и Windows 7

Для локальных политик безопасности есть отдельный редактор — secpol.msc, однако, способ для сброса локальных групповых политик здесь не подойдет, потому как некоторых из политик безопасности имеют заданные значения по умолчанию.

Для сброса вы можете использовать командную строку, запущенную от имени администратора, в которую следует ввести команду

Настройка стандартных игр windows 8 русском

Хотя игры пасьянс Косынка, Паук и Сапер отсутствуют в базовом пакете, их можно вернуть. Наиболее легкий метод – скачать приложения. Но он не безопасный, так как часто попадаются файлы с вирусами. Тем более, что вернуть стандартные игры для Windows 8 несложно.

  • Найдите компьютер, на котором установлена Windows 7;
  • Найдите там директорию Microsoft Games и сохраните ее на носитель;
  • С того же компьютера найдите папку System32;
  • Найдите в ней dll — файл cardgames и скопируйте его;
  • Теперь скопируйте этот файл во все папки, расположенные в Microsoft Games. Чтобы вернуть пасьянс Паук — в папку Spider, Солитер – Solitaire и т.д.;
  • Загрузите патч с сайта https://forums.mydigitallife.info/threads/33214-How-to-use-Microsoft-Games-from-Windows-7-in-Windows-8-x-10;
  • Установите патч и Вы сможете играть в Косынку бесплатно на собственном ПК.

Так привычная игра в Косынку вернется на Ваш ноутбук. Иногда, при скачивании патча, антивирусная защита сообщает, что в нем есть вирусный компонент. Однако, чаще всего, это традиционная реакция антивируса на любые патчи, так как программа усматривает в них вредоносных код и распознает его как вирус. Windows – самая узнаваемая ОС в настоящее время. Однако большинство поклонников мало о ней знают. В частности, не все знают, что такое локальная политика безопасности и какие функции она выполняет. Такая политика – подборка настроек и компонентов, с которыми системный администратор меняет конфигурацию ОС для разных групп юзеров. Конфигурация пользователя создается для компьютеров, размещенных в пределах одного домена.

Локальная политика безопасности Windows

  • Facebook
  • LiveJournal
  • Blogger

Локальная политика безопасности Windows
Объекты групповой политики (ОГП) включает контейнер и административный шаблон. В них находятся данные, необходимые для формирования той или иной области конфигураций. Это позволяет системному администратору менять конфигурации, чтобы ограничить права пользователя в Windows 7 быстро и просто.

Вместо послесловия

При помощи таких несложных манипуляций мы поняли, как решить проблему, если не удается найти gpedit.msc в Windows 10. Версия Home получила редактор групповой политики, но данный метод подходит и для других операционных систем от Microsoft. Хотелось бы отметить, что все действия, которые производились выше, возможны только при работе из-под учетной записи администратора. В противном случае вы ничего не увидите кроме ошибки.

Следует понимать, что редактор групповой политики важная и нужная вещь даже в домашней версии Windows 10. Хотя большинству пользователей, например, на домашнем ПК или в учебном заведении он может и не понадобиться. К тому же данный инструмент является всего лишь дублем программы regedit (стандартный редактор системного реестра), который может совершить все те действия, для которых нужен редактор локальной политики. Еще один важный момент – если вы внесли изменения в реестр при помощи данного редактора, отменить их в regedit уже не выйдет. Поэтому перед тем как делать что-либо, сделайте контрольную точку восстановления, которая впоследствии поможет отменить любые действия.

Отменяем действие групповых политик на локальном компьютере

Групповые политики — это основной инструмент управления пользователями в домене. С их помощью администратор может настраивать практически любые параметры рабочей среды пользователя. Все, начиная от запрета на запуск определенных программ и заканчивая рисунком на рабочем столе можно задать через групповые политики. Управление политиками осуществляется на уровне домена и только члены группы администраторов домена или предприятия имеют к ним доступ.

А можно ли отменить действие групповых политик на компьютере, не будучи при этом администратором домена? Сегодня мы попробуем это выяснить. В качестве подопытного возьмем компьютер с установленной на нем Windows 7, являющийся членом домена. Все действия будем проводить под обычной учетной записью, не имеющей в домене никаких административных полномочий.

За применение групповых политик на локальном компьютере в Windows 7 отвечает служба Group Policy Client (gpsvc). Ее состояние можно посмотреть прямо в Диспетчере задач, на вкладке Службы.

gpsvc в task manager

Или в оснастке Службы (Services).

gpsvc в оснастке Services

Первое что приходит в голову — просто остановить службу и установить режим запуска в Disabled. Но не все так просто, как кажется. Служба gpsvc запускается от имени локальной системы, и не остановить, не изменить параметры запуска ее из графической оснастки мы не сможем.

свойства gpsvc

Как вариант можно с помощью утилиты psexec запустить командную консоль от имени системы и затем остановить службу командой net stop gpsvc

останавливаем gpsvc из командной строки

Но решение это временное. Хотя служба и остановлена, изменить параметры ее запуска мы все равно не сможем, и при следующей перезагрузке она будет запущена. Чтобы изменить режим запуска службы нам потребуется правка реестра.

Настройки службы находятся в разделе HKLM\SYSTEM\CurrentControlSet\Services\gpsvc. По умолчанию изменение параметров этого раздела запрещено, так что прежде чем приступать к его редактированию, нам необходимо получить на это права. Кликаем правой клавишей мыши на разделе и выбираем пункт «Разрешения».

меняем разрешения gpsvc в реестре

Первым делом нам надо изменить владельца раздела. Для этого идем в дополнительные параметры безопасности и выбираем владельцем свою учетную запись.

изменение владельца раздела реестра gpsvc

После чего даем себе полные права и, на всякий случай, удаляем всех из списка доступа.

редактируем список доступа раздела реестра

Теперь можно вернуться к настройкам службы. За режим запуска отвечает параметр Start. По умолчанию он равен 2, что означает режим запуска Авто. Для отключения службы ставим 4.

настраиваем режим запуска службы gpsvc

И еще. Отключив таким образом службу клиента групповой политики, вы периодически будете получать в трее уведомления о недоступности службы Windows.

сообщение о недоступности службы

Чтобы этого избежать, можно удалить (предварительно сохранив) раздел реестра HKLM\SYSTEM\CurrentControlSet\Control\Winlogon\Notifications\Components\GPClient

отключаем уведомления о недоступности службы gpsvc

Таким вот нехитрым способом можно отключить действие групповых политик. При этом совсем не обязательно обладать административными правами в домене, достаточно лишь входить в группу локальных администраторов на компьютере. Правда такой номер может пройти только на компьютерах с Windows 7 или Vista. В более ранних ОС службы gpsvc нет, а за применение групповых политик отвечает служба Winlogon.

Да, чуть не забыл. Все действия, описанные в статье, я проводил исключительно в познавательных целях 🙂 Делать подобное в сети предприятия крайне не рекомендуется, кое где за это могут и уволить. И перед любым вмешательством в реестр обязательно делайте его резервную копию, чтобы в случае чего оперативно откатить изменения.

Диктатура админ

После произведенных настроек мы получим полностью контролируемую сеть, в
которой будут использоваться только разрешенные программы, а пользователи не
будут отвлекаться от работы. Также не забываем о записях системы аудита, в
которых будет присутствовать информация о переводе сетевого интерфейса в
пассивный режим или установке программ. Конечно, это не все варианты
установления "диктатуры" админа в LAN; добавим сюда отключение пользователя от
интернета при превышении лимита, шейпинг трафика, контроль МАС- и IP-адресов,
блокировку мессенджеров, фильтрацию URL и контента и многое другое.

О том, как блокировать IM, Skype, P2P читай в статье "Серпом
по аськам", в августовском номере ][ за 2009 год.

Ссылка на основную публикацию