Редактор локальной групповой политики позволяет изменять параметры групповой политики на операционных системах Windows. Эта оснастка позволяет редактировать объекты локальной групповой политики, хранимые на компьютере. Редактор групповой политики по умолчанию доступен только в Профессиональной и Корпоративной версиях операционных систем от Майкрософт.
Данная статья расскажет как открыть редактор локальной групповой политики в Windows 10. Мы рассмотрим все актуальные способы как можно зайти в редактор локальной групповой политики. А также покажем как найти редактор в системе используя проводник.
Благодаря обновленному поиску в сравнении с предыдущей версией операционной системы Windows появилась возможность быстро запускать любые приложения.
А также можно ввести в поиске команду gpedit.msc и в результатах выбрать Документ Microsoft Common Console . Пользователь аналогично попадает в редактор групповой политики.
Как зайти в редактор локальной групповой политики (Проводник)
Все системные приложения размещаются на системном локальном диске. Если знать что и где искать, тогда можно запустить любую стандартную программу через проводник.
Как запустить редактор локальной групповой политики (Выполнить)
Наверное лучший способ запуска редактора групповой политики. Буквально в несколько нажатий можно сразу же открыть редактор групповой политики, без необходимости искать его. Интересной особенностью окна выполнить есть сохранение предыдущих команд, которые уже использовались в списке. Поэтому достаточно, только открыть окно выполнить и выбрать нужную команду.
- Запускаем окно выполнить нажав Win+X, и выбрав пункт Выполнить (также можно использовать комбинацию клавиш Win+R ).
- В строке Открыть: вводим gpedit.msc и нажимаем ОК .
Больше полезных команд можно найти в статье .
Как открыть редактор локальной групповой политики (Консоль управления)
Выводы
Редактор локальной групповой политики часто используют пользователи для настройки операционной системы. Изменив групповую политику можно настраивать компьютер. Именно поэтому даже у нас на сайте можно найти множество статей где используется редактор групповой политики.
В этой статье мы рассмотрели лучшие способы как открыть редактор локальной групповой политики в Windows 10 Профессиональная. Сами же отдаем предпочтение способу открытия редактора с использованием окна выполнить.
Операционная система Windows всегда отличалась широким выбором возможных настроек, количеством выполняемых задач и поддерживаемых приложений. Но управлять таким объемом ресурсов было бы сложно, если бы не специальная программа, позволяющая изменить все необходимые параметры в одном месте. Именно для этих целей практически во всех версиях Windows, в том числе и в Windows 10, существует специальное приложение «Локальная политика безопасности».
Зачем нужно приложение «Локальная политика безопасности»
В этом приложении находятся разнообразные настройки как для всей системы, так и для отдельных ее пользователей. С помощью этой программы можно выставить различные параметры и ограничения для системы, изменить настройки реестра, удалить или настроить приложения, установленные на компьютере.
В левой стороне окна программы вы можете использовать дерево папок, которое разбито на два самых больших раздела: конфигурация компьютера и пользователя. В каком из них работать зависит от того, хотите ли вы внести изменения для всех пользователей вашего компьютера или только для одного. Если вас интересует первый вариант, то могут понадобиться права администратора.
Каждый из основных разделов имеет три подпункта, в которых находятся все настройки и функции для определенного типа файлов:
Как открыть программу - инструкция
Почему приложение отсутствует на компьютере
Программу «Локальная политика безопасности» отсутствует в домашней и в домашней расширенной версии Windows. Запустить и использовать ее можно только в версии «Профессиональная» или «Максимальная».
Что делать, если редактор групповой политики не открывается
Сначала убедитесь, что ваша операционная система предусматривает наличие программы. Если причина проблемы не в этом, а при попытке открыть программу появляется ошибка, сообщающая, что выполнение операции невозможно, то используйте инструкцию, приведенную ниже.
- Выходом из сложившейся ситуации является ручная установка локальной групповой политики. Сначала переходим на официальный сайт Microsoft (http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=25250) и скачиваем установочный файл программы.
- Запустите процесс установки и, если вы используете 64-разрядную операционную систему, то, доведя его до конца, не закрывайте окно, не нажимайте кнопку Finish. Сначала выполните следующие действия.
- Используя поисковую строку Windows, откройте программу «Выполнить».
- Пропишите и выполните команду %WinDir%\Temp, чтобы перейти к нужной папке. Скопируйте из нее файлы dll, fde.dll, gptext.dll, appmgr.dll, fdeploy.dll и перенести их в папку System32, находящуюся на диске C. Также перенесите элементы GroupPolicy, GroupPolicyUsers, GPBAK, gpedit.msc, находящиеся в папке C:\Windows\SysWOW64, в ту же папку System32.
- Перезапустите компьютер.
- Готово, теперь программа должна начать открываться.
- Если программа не открывается при помощи выполнения команды, то можно попробовать перейти в папку C:\Windows\Temp\gpedi и запустить файл в формате.bat с именем в честь разрядности вашей системы вручную.
Отмена внесенных изменений (отключение) через локальную политику безопасности
Если вы стакнулись с тем, что после изменений параметров в приложении у вас появились ошибки в системе, или она стала работать некорректно, то необходимо выполнить откат всех выполненных настроек до значения по умолчанию:
Не стоит изменять настройки локальной политики безопасности в том случае, если вы не разбираетесь в этом или не имеете надежной инструкции, так как это может привести к тому, что вы вызовете появление разнообразных ошибок или полому системы. Если вы решитесь внести какие-либо изменения, то проверяйте результат своей работы после редактирования каждого параметра отдельно, чтобы вовремя заметить, что ваши действия вызвали нежелательный результат.
Администрирование компьютера – тонкое и гибкое дело, требующее взвешенного подхода и вдумчивости. Также, чтобы заниматься этим профессионально, понадобится масса знаний и умений. Да, если вы хотите обдуманного контроля над операционной системой, стоит всерьез поразмыслить над установкой серверной версии Windows (благо, в ней намного больше инструментов и средств для администрирования, чем в пользовательской и бизнес-версиях Windows 10).
Но даже в версии Professional можно найти достаточно много механизмов для полного контроля над работой системы, пользовательским доступом, сферой применения программ, поведением UAC и других функций, над которыми рядовой пользователь даже не задумывается (редакция Home не подойдет). Львиная доля этих механизмов сосредоточена в редакторе локальной групповой политики Windows 10.
Если копнуть глубже, здесь можно встретить практически каждый аспект поведения ОС, начиная от правил разрешения сертификатов и заканчивая шифрованием по алгоритму BitLocker. Понадобится недюжинное умение и довольно немало времени, чтобы разобраться во всех настройках и нюансах редактора. Однако я сэкономлю ваше время и расскажу об основных операциях, которые можно проделать с помощью редактора локальной групповой политики в «десятке».
Чтобы включить клиент групповой политики, используйте комбинацию Win+R и на возникшей форме введите название оснастки, — gpedit.msc . После этого редактор откроется. Альтернативный вариант – воспользоваться встроенным в систему поиском, нажав пиктограммку в форме лупы в левом нижнем углу панели задач.
Каждая из представленных категорий вмещает в себя параметры трех типов:
- административные шаблоны (настройки для кастомизации ключей из реестра Windows. По существу, те же самые операции можно выполнить и напрямую из реестра, но сделать это при использовании редактора локальной групповой политики гораздо удобнее);
- конфигурация Виндовс (параметры безопасности и системы, прочие настройки среды);
- конфигурация приложений (настройки, имеющие отношение к программам, установленным на ПК).
Рассмотрим несколько простых возможностей, доступных в редакторе. Откроем папку «Конфигурация пользователя», и в ней Административные шаблоны -> Система . Как видим, тут доступны такие занимательные опции, как «Запрет доступа к средствам правки реестра», «Запрет применения режима командной строки», «Запрет запуска заданных приложений Windows» и «Разрешение запуска лишь заданных приложений Windows».
Откроем параметр «Запрет запуска заданных приложений Виндовс». Как несложно догадаться, в этом поле можно указать программы, которые в вашей операционной среде запускаться не смогут. Эта настройка очень простая, и с ней смогут разобраться даже те, кто мало что понимает в средствах администрирования.
По умолчанию данный параметр отключен. Включим его. Для этого в левом верхнем углу выберем опцию «Включено», а рядом с полем «Список запрещенных приложений» нажмем кнопку «Показать».
Теперь перед вами окно, где в каждой из строчек можно задать имя исполняемого файла для приложения, которое вы желаете заблокировать. Впишем в это поле значение “mspaint.exe”, которое соответствует простому графическому редактору Paint, вшитому в базовую комплектацию Windows 10.
Подтвердим свой выбор. После заданных настроек программа Paint будет заблокирована для запуска, а при попытке запустить графический редактор напрямую, через проводник, на экране появится системное сообщение о невозможности выполнения данной операции.
Чтобы отключить групповую политику, выберите вариант «Не задано».
Рассмотрим еще одну функциональную возможность, а именно изменим уровень контроля UAC в качестве примера.
Откроем категорию «Конфигурация компьютера», и в ней папки Конфигурация Windows –> Параметры безопасности -> Локальные политики -> Параметры безопасности . В ней найдем пункт «Контроль над учетными записями: действие запроса, соответствующего повышению привилегий администратора» и выполним двойной щелчок на нем.
По дефолту тут выставлено значение «Запрос на согласие запуска файлов, не соответствующих стандартной поставке Windows» (если выбран этот вариант, при каждом запуске программы, пытающейся внести некие изменения в настройки или параметры ОС, у пользователя каждый раз будут спрашивать согласия).
Рассмотрим другие значения. Первый вариант «Повышение прав без запроса» является наиболее уязвимым, поскольку полностью отключает UAC, позволяя запускать какие-угодно приложения в операционке без каких-либо запросов. Это не вполне безопасно, поэтому данный вариант стоит рассматривать в самую последнюю очередь.
Следующая опция – «Запрос учетных данных на безопасном рабочем столе» . Если используется это значение, при каждой попытке запустить на исполнение (или инсталлировать) программу, вносящую изменения в настройки среды, у пользователя будут спрашивать логин и пароль текущей учетной записи. Один из наиболее безопасных режимов, если вы хотите обеспечить максимум контроля над ОС, если за вашим компьютером работает кто-то еще.
Еще один вариант – «Запрос согласия на безопасном рабочем столе» . Значение, схожее с предыдущим, с той лишь разницей, что вместо данных для аутентификации перед пользователем будут возникать запросы на подтверждение операции с файлом.
Следующие два значения ведут себя схожим образом, с той лишь разницей, что область применения указанной настройки не распространяется лишь на зону рабочего стола.
Если присмотреться к настройке UAC с помощью редактора, то здесь вариативность и возможности кастомизации гораздо шире, чем с помощью дефолтного метода, из панели управления. Там таких возможностей нет и в помине, а в совокупности с другими модулями клиента локальной групповой политики перед вами открываются огромнейшие горизонты для тонкого управления поведением своей основной рабочей среды.
Напоследок я расскажу, как с помощью групповых политик включить защитника Windows 10.
Перейдем в раздел «Конфигурация компьютера», и в нем откроем каталог «Административные шаблоны» -> «Компоненты Windows» -> «Endpoint Protection» .
Если в качестве значения параметра «Выключить Endpoint Protecton» указана опция «Включено», выполните двойной щелчок на ней и установите значение «Отключено» или «Не задано».
Возможностей для изменения групповых политик в редакторе действительно предостаточно. Если вы хотите поближе познакомиться с навыками администрирования ОС Windows при помощи данной оснастки, в сети можно найти достаточно много справочных руководств на эту тематику. В этой статье я лишь описал некоторые из основных приемов.
Друзья, в одной из недавних статей сайта мы рассмотрели , реализуемых за счёт превалирования учётных записей администраторов над стандартными и использования функционала типа «Родительский контроль». В этой статье продолжим тему осуществления контроля пользователей, которым мы вынуждены иногда доверять свои компьютеры, однако не можем быть уверенными в их действиях в силу неосознанности или неопытности. Рассмотрим, какие ещё действия детей и неопытных взрослых можно ограничить в среде Windows. И для этих целей будем использовать штатный инструмент локальной групповой политики, доступный в редакциях Windows, начиная с Pro.
Групповая политика для всех пользователей компьютера
Групповая политика – это инструмент, с помощью которого можно гибко настроить работу Windows. Управление этим функционалом осуществляется посредством редактора gpedit.msc. Для быстрого запуска его название можно ввести в поле внутрисистемного поиска или команды «Выполнить». Редактор содержит две основных ветки параметров:
«Конфигурация компьютера», где содержатся параметры для всего компьютера, то есть для всех его пользователей;
«Конфигурация пользователя» – каталог, содержащий параметры отдельных пользователей компьютера.
Внесение изменений непосредственно в окне редактора будет иметь силу для всех учётных записей. Если, например, заблокировать запуск каких-то программ, эта блокировка будет применена и для администратора, и для стандартных пользователей. Если на компьютере проводится работа с единственной учётной записи администратора, можно сразу приступать к рассмотрению конкретных параметров, которые приводятся в последнем разделе статьи. Но если у других членов семьи есть свои учётные записи, при этом ограничения не должны касаться администратора, потребуется ещё кое-что настроить.
Групповая политика для отдельных учётных записей
Как сделать так, чтобы с помощью локальной групповой политики можно было вносить изменения только для отдельных учётных записей? Возможность управления этим инструментом системы в части применения изменений не для всех, а лишь для выбранных пользователей компьютера, появится, если редактор добавить в качестве оснастки консоли ММС. С помощью внутрисистемного поисковика или команды «Выполнить» запускаем штатную утилиту mmc.exe. В меню «Файл» консоли выбираем «Добавить или удалить оснастку».
В колонке справа выбираем «Редактор объектов групповой политики», жмём посередине «Добавить».
Теперь – «Обзор».
И добавляем пользователей. Выбираем:
Либо «Не администраторы», если нужно, чтобы настройки применялись ко всем имеющимся в системе учётным записям типа «Стандартный пользователь»;
Либо конкретного пользователя.
Жмём «Ок» в окошке добавления оснасток, затем в меню «Файл» выбираем «Сохранить как».
Задаём файлу консоли имя, указываем какой-нибудь удобный путь сохранения, скажем, на рабочем столе, и сохраняем.
Итак, мы создали оснастку редактора групповой политики для отдельного пользователя. Это, по сути, тот же редактор, что и gpedit.msc, но ограниченный наличием только единственной ветки «Конфигурация пользователя». В этой ветке и будем работать с параметрами групповой политики.
Сохранённый файл консоли нужно будет запускать каждый раз при необходимости изменить параметры групповой политики для отдельных учётных записей.
Ограничения с помощью групповой политики
Редактор групповой политики содержит массу параметров, которые вы, друзья, можете самостоятельно исследовать и решить, какие из них необходимо применять в вашем конкретном случае. Я же сделал небольшую подборку запретов в среде Windows 10 на своё усмотрение. Все они будут касаться только подконтрольного пользователя. И, соответственно, изменения будут вноситься в ветку редактора «Конфигурация пользователя».
Итак, если нужно внести ограничения для всех, кто пользуется компьютером, запускаем редактор gpedit.msc. А если нужно урезать возможности отдельных людей, но чтобы это не касалось администратора, запускаем созданный файл консоли и работаем с редактором внутри неё.
1. Запрет запуска отдельных программ
Если кого-то нужно ограничить в работе с отдельными программами или играми, следуем по пути:
Административные шаблоны - Система
Выбираем параметр «Не запускать указанные приложения Windows».
Включаем его, жмём «Применить».
Появится список запрещённых приложений. Кликаем «Показать» и в графы появившегося окошка поочерёдно выписываем десктопные программы и игры, запуск которых будет заблокирован. Вписываем их полное имя с расширением по типу:
После чего снова жмём «Применить» в окне параметра. Теперь подконтрольный пользователь вместо запуска программы или игры увидит только вот это.
По такому же принципу можно сформировать перечень только разрешённых для запуска программ и игр, выбрав параметр в этой же ветке ниже «Выполнять только указанные приложения Windows». И тогда для пользователя будет блокироваться всё, что не разрешено этим перечнем.
2. Ограничение размера профиля
Пыл любителей скачивать с Интернета что попало и захламлять раздел (C:\) можно поубавить, если ограничить профиль таких пользователей в размере. Идём по пути:
Административные шаблоны – Система – Профили пользователей
Выбираем параметр «Ограничить размер профиля».
Включаем, устанавливаем максимальный размер профиля в кБ, при желании можем отредактировать сообщение о превышении лимита пространства профиля и выставить свой интервал появления этого сообщения. Применяем.
При достижении указанного лимита система будет выдавать соответствующее сообщение.
3. Отключение записи на съёмные носители
Отключение возможности записи на съёмные носители – это мера предосторожности скорее для серьёзных организаций, бдящих о сохранении коммерческой тайны. Таким образом на компьютерах сотрудников блокируется возможность переноса на флешки или прочие носители важных данных. Но в семьях бывают разные ситуации. Так что если потребуется, для отдельных людей можно отключить работу с подключаемыми носителями – и чтение, и запись. Делается это по пути:
Административные шаблоны – Система – Доступ к съёмным запоминающим устройствам.
