In de les van vandaag gaan we kijken hoe we de Editor voor lokaal groepsbeleid kunnen gebruiken, een verborgen en zeer volledig deel van Windows van waaruit het mogelijk is om veel wijzigingen aan de pc aan te brengen die anders alleen mogelijk zouden zijn door de meer gecompliceerde registersleutels te wijzigen. De Groepsbeleid-editor is alleen beschikbaar in de Pro-versies van Windows en is afwezig in de Home- en Premium-versies.
U kunt gpedit.msc echter downloaden en installeren op Windows 10, 7 en 8 Home.
Over het algemeen is er geen reden om dit groepsbeleid op een pc thuis aan te raken, maar het is nog steeds belangrijk om te weten hoe u ze kunt openen en wat u kunt doen om niet onvoorbereid te zijn in het geval dat er een wijziging nodig is.
Groepsbeleid is bijvoorbeeld handig voor het configureren van beveiliging op een bedrijfsnetwerk om bepaalde wijzigingen op alle computers te blokkeren of om te voorkomen dat gebruikers niet-goedgekeurde software gebruiken.
Om de groepsbeleid-editor op Windows te openen, moet u een venster Uitvoeren openen door op de Windows-R- toetsen te drukken en vervolgens de opdracht gpedit.msc te schrijven en uit te voeren.
Het geopende venster is vergelijkbaar met elk ander beheerprogramma, met een hiërarchische mappenstructuur die elk veel instellingen bevatten.
De instellingen zijn echt talrijk, maar worden nog steeds in detail beschreven.
Er zijn twee hoofdmappen: Computerconfiguratie, met instellingen die het systeemgedrag voor alle gebruikers beïnvloeden en Gebruikersconfiguratie, om het gedrag van Windows te wijzigen op basis van de gebruiker die het gebruikt.
Onder de twee hoofdmappen staan drie secties:
- Software-instellingen, waar u nieuwe aangepaste configuraties kunt maken.
- Windows-instellingen is een map met beveiligingsinstellingen en een start / stop-script.
- Administratieve modellen, met op het register gebaseerde configuraties, wat het deel is waarop het gemakkelijker is om in te grijpen, met veel beschikbare opties.
Beveiligingsinstellingen (enkele voorbeelden)
Om een voorbeeld te geven van wat er kan worden gedaan om de computerbeveiliging op gebruikersniveau te beperken, ga naar Gebruikersconfiguratie -> Beheersjablonen -> Systeem en dubbelklik op de instelling " Toegang tot opdrachtprompt voorkomen ".
Vanuit het geopende venster kunt u de besturing activeren en vervolgens op Toepassen drukken om de toegang tot de opdrachtprompt voor alle gebruikers van de pc te blokkeren.
Met een andere optie in dezelfde map kunt u kiezen welke programma's op uw computer kunnen worden geopend.
Dubbelklik op " Alleen gespecificeerde Windows-toepassingen uitvoeren ", schakel in en geef aan welke programma's moeten worden toegestaan.
Al het andere is nu geblokkeerd.
Onder Computerconfiguratie -> Windows-instellingen -> Beveiligingsinstellingen -> Lokaal beleid -> Beveiligingsopties map vindt u veel nuttige instellingen om uw computer een beetje veiliger te maken als u dat wilt.
U kunt bijvoorbeeld de beheerdersaccount en de gastaccount hernoemen en u kunt ervoor kiezen om de aanmeldingsaanvraag te activeren voor het " Gebruikersaccountbeheer: gedrag van de aanvraag voor verhoging van bevoegdheden voor beheerders " om telkens te vragen om het wachtwoord in te voeren u probeert iets te doen in de beheerdersmodus.
Met deze optie wordt Windows veiliger en vergelijkbaar met Linux en Mac, waarbij u elke keer dat u een wijziging moet aanbrengen, wordt gevraagd om uw wachtwoord.
Met gebruikersaccountbeheer: verhoogt alleen ondertekende en gevalideerde uitvoerbare bestanden, toepassingen die niet digitaal zijn ondertekend, worden als administrator uitgevoerd.
Herstelconsole, geef automatische beheerderstoegang geen wachtwoordverzoeken wanneer u de herstelconsole gebruikt om systeembewerkingen uit te voeren.
Zoals je zult merken, zijn er een groot aantal instellingen in de Groepsbeleid-editor, dus uit nieuwsgierigheid is het zeker de moeite waard om er wat tijd aan te besteden.
Met de meeste instellingen kunt u Windows-functies uitschakelen die u niet wilt gebruiken.
Het is vermeldenswaard dat veel van de beleidsregels op de lijst niet van toepassing zijn op alle versies van Windows.
Nog een ander voorbeeld van wat alleen kan worden gedaan met de Groepsbeleid-editor, is het maken van een script dat wordt uitgevoerd na afmelden of na afsluiten, elke keer dat u uw pc opnieuw opstart.
Dit kan handig zijn voor het opschonen van uw systeem of het maken van een snelle back-up van sommige bestanden telkens wanneer u uw computer uitschakelt, en u kunt voor beide batchbestanden of zelfs PowerShell-scripts gebruiken.
Het enige voorbehoud is dat deze scripts op de achtergrond moeten worden uitgevoerd, anders wordt het afmeldingsproces geblokkeerd.
Er zijn twee verschillende soorten scripts die kunnen worden uitgevoerd.
Start / stop script in Computerconfiguratie -> Windows-instellingen -> Script en wordt uitgevoerd onder het lokale systeemaccount, zodat ze systeembestanden kunnen manipuleren, maar niet worden uitgevoerd als gebruikersaccount.
Login / Logout Script in gebruikersconfiguratie -> Windows-instellingen -> Script .
Aan- en afmeldingsscripts staan niet toe dat u opdrachten uitvoert die beheerderstoegang vereisen als er geen UAC volledig is uitgeschakeld.
Het is vermeldenswaard dat dezelfde bewerkingen kunnen worden gepland in de planner, een van de beheertools in het Configuratiescherm, veel gemakkelijker te gebruiken.
De Groepsbeleid-editor is zo rijk dat het onmogelijk zal zijn om een complete en uitgebreide gids te vinden over wat het beste kan worden bewerkt.
In andere artikelen heb ik ze in twijfel getrokken over:
- Hoe Skydrive in Windows 8.1 uit te schakelen (of te verbergen)
- Activeer Bitlocker op Windows 7
- Activeer Enterprise-modus in Internet Explorer 11
- Schakel UAC-controle uit in Windows 7 en 8
