Редактор локальной групповой политики Windows для начинающих

Редактор локальной групповой политикиВ этой статье поговорим о еще одном инструменте администрирования Windows — редакторе локальной групповой политики. С его помощью вы можете настроить и определить значительное количество параметров своего компьютера, установить ограничения пользователей, запретить запускать или устанавливать программы, включить или отключить функции ОС и многое другое.

Отмечу, что редактор локальной групповой политики недоступен в Windows 7 Домашняя и Windows 8 (8.1) SL, которые предустановлены на многие компьютеры и ноутбуки (однако, можно установить Редактор локальной групповой политики и в домашней версии Windows). Вам потребуется версия начиная с Профессиональной.

Дополнительно на тему администрирования Windows

Как запустить редактор локальной групповой политики

Первый и один из самых быстрых способов запуска редактора локальной групповой политики — нажать клавиши Win + R на клавиатуре и ввести gpedit.msc — этот способ будет работать в Windows 8.1 и в Windows 7.

Запуск редактора

Также можно воспользоваться поиском — на начальном экране Windows 8 или в меню пуск, если вы используете предыдущую версию ОС.

Где и что находится в редакторе

Интерфейс редактора локальной групповой политики напоминает другие инструменты администрирования — та же структура папок в левой панели и основная часть программы, в которой можно получить информацию по выбранному разделу.

Главное окно редактора групповой политики

Слева настройки разделены на две части: Конфигурация компьютера (те параметры, которые задаются для системы в целом, вне зависимости от того, под каким пользователем был совершен вход) и Конфигурация пользователя (настройки, относящиеся к конкретным пользователям ОС).

Каждая из этих частей содержит следующие три раздела:

  • Конфигурация программ — параметры, касающиеся приложений на компьютере.
  • Конфигурация Windows — настройки системы и безопасности, другие параметры Windows.
  • Административные шаблоны — содержит конфигурацию из реестра Windows, то есть эти же параметры вы можете изменить с помощью редактора реестра, но использование редактора локальной групповой политики может быть более удобным.

Примеры использования

Перейдем к использованию редактора локальной групповой политики. Я покажу несколько примеров, которые позволят увидеть, как именно производятся настройки.

Разрешение и запрет запуска программ

Ограничения пользователя

Если вы пройдете в раздел Конфигурация пользователя — Административные шаблоны — Система, то там вы обнаружите следующие интересные пункты:

  • Запретить доступ к средствам редактирования реестра
  • Запретить использование командной строки
  • Не запускать указанные приложения Windows
  • Выполнять только указанные приложения Windows

Два последних параметра могут быть полезными даже обычному пользователю, далекому от системного администрирования. Кликните дважды по одному из них.

Запрет выполнения программ

В появившемся окне установите «Включено» и нажмите по кнопке «Показать» около надписи «Список запрещенных приложений» или «Список разрешенных приложений», в зависимости от того, какой из параметров меняется.

Укажите в строчках имена исполняемых файлов программ, запуск которых нужно разрешить или запретить и примените настройки. Теперь, при запуске программы, которая не разрешена, пользователь будет видеть следующее сообщение об ошибке «Операция отменена из-за ограничений, действующих на этом компьютере».

Запуск программы запрещен

Изменение параметров контроля учетных записей UAC

В разделе Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности имеется несколько полезных настроек, одну из которых можно и рассмотреть.

Выберите параметр «Контроль учетных записей: поведение запроса на повышение прав для администратора» и дважды кликните по нему. Откроется окно с параметрами этой опции, где по умолчанию стоит «Запрос согласия для исполняемых файлов не из Windows» (Как раз поэтому, всякий раз, при запуске программы, которая хочет изменить что-то на компьютере, у вас запрашивают согласие).

Настройки параметров UAC

Вы можете вообще убрать подобные запросы, выбрав параметр «Повышение без запроса» (только этого лучше не делать, это опасно) или же, напротив, установить параметр «Запрос учетных данных на безопасном рабочем столе». В этом случае, при запуске программы, которая может внести изменения в системе (а также для установки программ) каждый раз потребуется вводить пароль учетной записи.

Сценарии загрузки, входа в систему и завершения работы

Еще одна вещь, которая может оказать полезной — скрипты загрузки и выключения, которые вы можете заставить выполняться с помощью редактора локальной групповой политики.

Это может пригодиться, например, для запуска раздачи Wi-Fi с ноутбука при включении компьютера (если вы реализовывали ее без сторонних программ, а создав Wi-Fi сеть Ad-Hoc) или выполнения операций резервного копирования при выключении компьютера.

В качестве скриптов можно использовать командные файлы .bat или же файлы сценариев PowerShell.

Сценарии загрузки

Сценарии загрузки и выключения находятся в Конфигурация компьютера — Конфигурация Windows — Сценарии.

Сценарии входа в систему и выхода — в аналогичном разделе в папке «Конфигурация пользователя».

Например, мне нужно создать сценарий, выполняемый при загрузке: я дважды кликаю по «Автозагрузка» в сценариях конфигурации компьютера, нажимаю «Добавить» и указываю имя файла .bat, который следует выполнить. Сам файл должен находится в папке C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup (этот путь можно увидеть по нажатию кнопки «Показать файлы»).

Добавление сценариев автозагрузки

В случае, если сценарий требует ввода каких-то данных пользователем, то на время его исполнения дальнейшая загрузка Windows будет приостановлена, до завершения работы скрипта.

В заключение

Это лишь несколько простых примеров использования редактора локальной групповой политики, для того, чтобы показать, что такое вообще присутствует на вашем компьютере. Если вдруг захочется разобраться подробнее — в сети есть масса документации на тему.

Комментарии (25) к Редактор локальной групповой политики Windows для начинающих

  • ibodjon

    привет всем! у меня вопрос. а что если включил Выполнять только указанные приложения Windows? как его отключить если не заходит в gpedit или mmc или подобные команды? можно как то из livecd запускать какие-нибудь программки и отключить? спасибо!

    Ответить

    • Dmitry

      Здравствуйте. Да, можно. С LiveCD вы можете открыть файлы реестра установленной на компьютере Windows и убрать ограничения в нем. Инструкция ищется в Google по запросу Run Only Specified Programs in Windows using registry (будет инструкция по включению ограничения, но из нее легко понять, как его выключить).

      Ответить

  • Arius

    А как использовать «Редактор локальной групповой политики » применимо к конкретному пользователю? К примеру, я не хочу, чтоб ребенок из своего профиля мог зайти в «Панель управления».

    Ответить

    • Dmitry

      Конфигурация пользователя — Административные шаблоны — Панель управления — Запретить доступ к панели управления (включено).
      Или HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ Current Version\ Policies\ Explorer, создаем значение DWORD32 с именем NoControlPanel и ставим значение 1.
      Это для текущего пользователя.
      Про gpedit для другого пользователя (на англ): goo.gl/QjDUkM

      Ответить

  • Сергей

    Здравствуйте. У меня такая проблема — винда русская, а все настройки локальной политики безопасности на английском, немного не удобно как для меня. Существует ли какой то русик или просто где то надо поменять значение в реестре?

    Ответить

    • Dmitry

      Здравствуйте. По описанию похоже, что у вас либо нелицензионная система, сделанная автором сборки «русской», либо отдельно установленный языковой пакет. В данной ситуации сделать локальные политики на русском языке не получится (во всяком случае, мне способ не известен).

      Ответить

  • Ps

    Не может найти gpedit.msc нет такого файла в Windows 8.1….

    Ответить

    • Dmitry

      Его нет в версии «Домашняя» и «Для одного языка».

      Ответить

  • Ильдар

    Здравствуйте!
    Есть ли такая возможность в вин7 проф.: с помощью административных шаблонов запретил запуск некоторых приложений виндовс. Есть ли возможность поставить пароль на изменение этих шаблонов? Чтоб другие не смогли снят запрет.

    Ответить

    • Dmitry

      Здравствуйте.
      Да: Конфигурация пользователя — Административные шаблоны — Система — Не запускать указанные приложения Windows. Там устанавливаем «включено» и указываем конкретные приложения.
      А пароль он по идее и так стоит — это пароль администратора. Т.е. если вам нужно, чтобы пользователь не менял, он не должен быть администратором (создать отдельного пользователя для работы).

      Ответить

  • Ярослав

    Такой вопрос: можно-ли с помощью Редактора локальной групповой политики ограничить видимость определенных файлов в локальной сети? Т.е. на фирме есть несколько компьютеров которые подключены по локальной сети. Есть мой ПК, назовем ПК Р, на моем ПК Р открыто доступ к некоторым папкам в которых много разных под папок с файлами разных расширений. Можно как-то или какой-то программой ограничить доступ к определенным типам файлов в этих папках?. Т. е. чтобы во всех папках, которые открыты для общего доступа, отображались только файлы с расширением *.jpeg и *.pdf ?

    Ответить

    • Dmitry

      Здравствуйте.
      Мне неизвестен такой способ. Гугл тоже как-то ничего не подсказывает.

      Ответить

  • Дмитрий

    Здравствуйте. Скажите пожалуйста, знаете ли вы как найти ключ реестра конкретной групповой политики? Да, можно гуглить его, но это далеко не всегда помогает. Нужно через powershell применить некоторую гпо, а ее путь в реестре неизвестен. Буду безумно благодарен за ответ, спасибо.

    Ответить

    • Dmitry

      Здравствуйте.
      На сайте Майкрософта есть xls файлик со всеми политиками — microsoft.com/en-us/download/details.aspx?id=25250
      Проблема только в том, что названия политик на английском. И, когда будете пользоваться, фильтруйте колонку Policy Path, чтобы политики только из нужного расположения gpedit показывались.

      Ответить

  • Вадим

    Здравствуйте.
    Windows 10 Pro x64.
    При запуске редактора групповых политик (Выполнить: services.msc) сначала появляется Консоль ММС с выбором в какой разрядности открывать, в х64 или х32. Не знаю когда стало оно появляться (давно не запускал), но раньше services.msc запускался сразу.
    Как избавиться от этого окна с выбором разрядности?

    Ответить

    • Dmitry

      Здравствуйте.
      Такое случается после использования скриптов для включения редактора локальной групповой политики (не services.msc, а gpedit.msc) в домашней версии Windows — в некоторых скриптах регистрируются и 32 и 64-бит версии библиотек, отсюда — выбор. Почему в вашем случае (Pro) такое происходит, не знаю.
      Варианты решения:
      1. Запускать так: mmc /64 gpedit.msc
      2. Не моё, найдено в интернатах. Попробовать выполнить команды от администратора (не ручаюсь):

      regsvr32 /u %WinDir%\SysWOW64\gpedit.dll
      regsvr32 /u %WinDir%\SysWOW64\fde.dll
      regsvr32 /u %WinDir%\SysWOW64\gptext.dll
      regsvr32 /u %WinDir%\SysWOW64\appmgr.dll
      regsvr32 /u %WinDir%\SysWOW64\fdeploy.dll

      и посмотреть, изменит ли это ситуацию.

      Ответить

  • Дмитрий

    Здравствуйте. Есть задача насколько возможно обезопасить домашний ПК от зловредов установленных самим же, с какой нибуть сборкой программы, тем же фотошопом или взломанной кем-то игрой. При установке все эти приложения требуют прав администратора, можно ли пойти путем создания второго админа с урезанными через политики правами, и через него запускать установку программ? даст это чтото? какие политики включить для безопасности, как позволить учетке лезть в реестр для установки программы, но не дать через него отменить ограничивающие политики? или возможно создать простого пользователя и ему дать права на допуск в директории распространённые для установки программ?

    Ответить

    • Dmitry

      Здравствуйте.
      К сожалению, таких способов предложить вам не могу и не думаю, что идея ваша в принципе реализуема для тех программ, которым при установке нужен реестр, системные папки и прочее.
      Из того, что возможно (но не очень удобно, если вам нужно надолго ставить то, что вы ставите):
      Песочницы — Sandboxie и другие.
      Утилиты наподобие Shadow Defender или Deep Freeze.

      Ответить

      • Дмитрий

        Sandboxie использую, но не всегда работает как надо, и не так удобно. ограничиваю выход в сеть файрволом, всему кроме белого списка программ и системных процессов, чтобы через время подозрительный софт не подкачал вирусную нагрузку. Конечно шифрование, секуюрити бут и все что предлагают майкрософт в части дефендера включено.
        Возможно посоветуете как еще немного обезопасить себя от не лицензионных программ:)

        Ответить

        • Dmitry

          Ну разве что работать с ними в виртуальной машине) Больше ничего особо предложить не могу.

          Ответить

  • rusknorth

    Зачем на домашней версии Win10 служба «Клиент групповой политики» (стоит изначально на авто режиме запуска в системе) если её все равно изначально нет (при вводе gpedit.msc вылазит ошибка, что не удается найти)? Стоит ли ее вырубать наглухо? Или может ручной режим ставить? Народ молвит, что если её вырубить то нельзя будет уже войти в профиль пользователя, но у меня не Pro версия…

    Ответить

    • Dmitry

      Здравствуйте.
      У вас нет редактора локальной групповой политики, но сами политики есть и служба нужна)

      Ответить

Оставить комментарий

Интересное
Список инструкций Windows 11 Windows 10 Подписаться