Omezení uživatele počítače pomocí zásad místní skupiny (Účty a hesla)

Přátelé, v jednom z posledních článků na webu, jsme prozkoumali 5 způsobů, jak omezit možnosti uživatelů počítačů, implementovaných převládáním účtů správce nad standardními a používání funkcí, jako je „Rodičovská kontrola“. V tomto článku pokračujeme v tématu kontroly uživatelů, kterému někdy musíme důvěřovat svým počítačům, ale nemůžeme si být jisti, jaké jsou jeho činnosti v důsledku bezvědomí nebo nezkušenosti. Podívejme se, jaké další akce dětí a nezkušených dospělých lze v prostředí Windows omezit. Pro tyto účely použijeme standardní nástroj pro lokální skupiny, který je k dispozici v edicích Windows, počínaje Pro.

Omezení uživatele počítače pomocí zásad místní skupiny

Zásady skupiny pro všechny uživatele počítačů

Skupinová politika je nástroj, pomocí kterého můžete flexibilně konfigurovat Windows. Tato funkce je spravována pomocí editoru gpedit.msc. Pro rychlý start lze jeho název zadat do pole prohledávání v rámci systému nebo příkazu Spustit. Editor obsahuje dvě hlavní větve parametrů: • „Konfigurace počítače“, která obsahuje parametry pro celý počítač, tedy pro všechny jeho uživatele; • „Konfigurace uživatele“ - adresář obsahující parametry jednotlivých uživatelů počítače.

Provedení změn přímo v okně editoru bude platné pro všechny účty. Pokud například zablokujete spouštění některých programů, bude toto blokování použito pro správce i standardní uživatele. Pokud pracujete na počítači s jedním účtem správce, můžete okamžitě začít uvažovat o konkrétních parametrech uvedených v poslední části článku. Pokud však mají ostatní členové rodiny své vlastní účty, zatímco omezení by se neměla týkat správce, budete muset nakonfigurovat něco jiného.

Skupinová politika pro jednotlivé účty

Jak se mohu ujistit, že pomocí zásad místní skupiny můžete provádět změny pouze pro jednotlivé účty? Schopnost spravovat tento systémový nástroj, pokud jde o provádění změn, není pro každého, ale pouze pro vybrané uživatele počítače, pokud je editor přidán jako snap do konzoly MMC. Pomocí vyhledávače uvnitř systému nebo příkazu Spustit spustíme standardní nástroj mmc.exe. V nabídce Soubor na konzole vyberte možnost Přidat nebo odebrat modul snap-in..

Ve sloupci napravo vyberte „Editor objektů zásad skupiny“, klikněte uprostřed uprostřed „Přidat“.

Nyní - recenze.

A přidávat uživatele. Vybereme: • buď „Není administrátoři“, pokud chcete, aby se nastavení použilo na všechny účty v systému, jako je „Standardní uživatel“; • nebo konkrétní uživatel.

Hotovo.

V okně pro přidání modulů klikněte na „OK“ a poté v nabídce „Soubor“ vyberte „Uložit jako“.

Pojmenujte soubor konzoly, určete nějaký pohodlný způsob, jak jej uložit, řekněme na plochu a uložit.

Vytvořili jsme tedy modul snap-in Editor zásad skupiny pro jednotlivého uživatele. Toto je ve skutečnosti stejný editor jako gpedit.msc, ale je omezen přítomností pouze jedné větve „User Configuration“. V tomto vlákně budeme pracovat s nastavením zásad skupiny.

Uložený soubor konzoly bude muset být spuštěn pokaždé, když je to nutné ke změně nastavení zásad skupiny pro jednotlivé účty.

Omezení zásad skupiny

Editor zásad skupiny obsahuje spoustu možností, které vaši přátelé mohou samostatně zkoumat a rozhodnout, které z nich je třeba použít ve vašem konkrétním případě. Podle mého uvážení jsem provedl malý výběr zákazů v prostředí Windows 10. Všechny se týkají pouze uživatele pod kontrolou. V souladu s tím budou provedeny změny ve větvi editoru „Konfigurace uživatele“.

Pokud tedy potřebujete provést omezení pro všechny uživatele počítače, spusťte editor gpedit.msc. A pokud potřebujete omezit schopnosti jednotlivců, ale aby se to netýkalo administrátora, spustíme vytvořený soubor konzoly a pracujeme s editorem uvnitř.

1. Zákaz spouštění jednotlivých programů

Pokud někdo musí být omezen při práci s jednotlivými programy nebo hrami, jdeme cestou: Administrativní šablony - systém Vyberte možnost „Nespouštět určené aplikace systému Windows“.

Zapněte jej a klikněte na „Použít“..

Zobrazí se seznam zakázaných aplikací. Klikněte na „Zobrazit“ a v zobrazených grafech postupně zapisujeme stolní programy a hry, jejichž spuštění bude blokováno. Zadejte své celé jméno s příponou typu: AnyDesk.exe

Poté znovu klikněte na „Použít“ v okně parametrů. Nyní bude mít uživatel pod kontrolou místo spuštění programu nebo hry pouze toto.

Pomocí stejného principu můžete vytvořit seznam pouze programů a her, které jsou povoleny ke spuštění výběrem možnosti ve stejné větvi pod položkou „Spouštět pouze určené aplikace Windows“. A pak pro uživatele bude blokováno vše, co tento seznam nepovoluje.

2. Limit velikosti profilu

Horlivost fanoušků stahovat z internetu to, co je hrozné a nepřehledné v sekci (C: \), lze snížit, pokud omezíte profil takových uživatelů na velikost. Vydáme se na cestu: Šablony pro správu - Systém - Uživatelské profily Vyberte možnost „Omezit velikost profilu“.

Zapneme ji, nastavíme maximální velikost profilu v KB, pokud je to žádoucí, můžeme upravit zprávu o překročení limitu prostoru profilu a nastavit náš interval pro zobrazení této zprávy. Použít.

Po dosažení zadaného limitu systém vydá odpovídající zprávu.

3. Zakázání nahrávání na vyměnitelná média

Vypnutí možnosti záznamu na vyměnitelná média je spíše preventivním opatřením pro závažné organizace, které ostražitě dbají na zachování obchodního tajemství. Schopnost přenášet důležitá data na flash disky nebo jiná paměťová média je tedy na počítačích zaměstnanců blokována. Ale v rodinách jsou různé situace. Takže v případě potřeby můžete pro jednotlivce vypnout práci s připojenými médii - čtení i psaní. Děje se tak na cestě: Šablony pro správu - Systém - Přístup k vyměnitelným úložným zařízením.

Aby například někdo z vašich blízkých nepřenášel cenné informace uložené v počítači na vyměnitelné médium (jakéhokoli typu), vybereme možnost „Vyměnitelné disky: Odepřít záznam“. Zapněte, použijte.

4. Mazání souborů kolem koše

S častým zaplněním jednotky (C: \) lze účty uživatelů, kteří se aktivně účastní tohoto procesu, nakonfigurovat tak, aby jejich soubory byly zcela odstraněny a obešly odpadky. To se provádí na cestě: Šablony pro správu - Součásti systému Windows - Průzkumník. Odtrháváme možnost „Nepohazovat odstraněné soubory do koše“..

Zapněte, použijte.

5. Odepřít přístup k počítačovým jednotkám

Existuje několik způsobů, jak omezit přístup ostatních uživatelů na jednotlivé počítačové disky. Například nastavením zákazu přístupu ve vlastnostech disku nebo prostřednictvím šifrovacích funkcí, zejména pravidelného nástroje BitLocker. Existuje však způsob, jak používat Skupinová politika. Je pravda, že funguje pouze pro běžného dirigenta. Vydáme se na cestu: Šablony pro správu - Součásti systému Windows - Průzkumník Otevřete možnost „Odepřít přístup k jednotkám prostřednictvím„ Tento počítač “.

Zapněte, použijte. Zobrazí se okno pro výběr jednotek počítače. Vyberte požadovanou možnost a použijte nastavení..

6. Odepření přístupu k ovládacímu panelu a aplikaci Nastavení

Standardní účty jsou v každém případě omezeny standardem UAC a bez závažného hesla správce nelze v systému provádět žádná závažná nastavení. Pokud je to však nutné, pro standardní uživatele můžete zcela zabránit spuštění ovládacího panelu a aplikace Nastavení. Aby nemohli ani změnit něco, co nevyžaduje oprávnění správce. Vydáme se na cestu: Šablony pro správu - Součásti systému Windows - Průzkumník Spusťte možnost „Odepřít přístup k nastavení ovládacího panelu a počítače“.