Обмеження користувачів комп’ютера за допомогою локальної групової політики

0
665
Обмеження користувачів комп'ютера за допомогою локальної групової політики

Друзі, в одній із недавніх статей сайту ми розглянули 5 способів обмеження можливостей користувачів комп’ютерів, які реалізуються за рахунок превалювання облікових записів адміністраторів над стандартними і використання функціоналу типу «Батьківський контроль». У цій статті продовжимо тему здійснення контролю користувачів, яким ми змушені іноді довіряти свої комп’ютери, проте не можемо бути впевненими в їх діях чинності несвідомості чи недосвідченість. Розглянемо, які ще дії дітей і недосвідчених дорослих можна обмежити в середовищі Windows. І для цих цілей будемо використовувати штатний інструмент локальної групової політики, доступний в редакціях Windows, починаючи з Pro.

Обмеження користувачів комп’ютера за допомогою локальної групової політики

Групова політика для всіх користувачів комп’ютера

Групова політика – це інструмент, за допомогою якого можна гнучко налаштувати роботу Windows. Управління цим функціоналом здійснюється за допомогою редактора gpedit.msc. Для швидкого запуску його назву можна ввести в полі внутрішньосистемного пошуку або команди «Виконати». Редактор містить дві основні гілки параметрів:
• «Конфігурація комп’ютера», де містяться параметри для всього комп’ютера, тобто для всіх його користувачів;
• «Конфігурація користувача» – каталог, що містить параметри окремих користувачів комп’ютера.

Внесення змін безпосередньо у вікні редактора буде мати силу для всіх облікових записів. Якщо, наприклад, заблокувати запуск будь-яких програм, що ця блокування буде застосована і для адміністратора, і для звичайних користувачів. Якщо на комп’ютері проводиться робота з єдиною облікового запису адміністратора, можна відразу приступати до розгляду конкретних параметрів, які наводяться в останньому розділі статті. Але якщо в інших членів сім’ї є свої облікові записи, при цьому обмеження не повинні стосуватися адміністратора, потрібно ще дещо налаштувати.

Групова політика для окремих облікових записів

Як зробити так, щоб з допомогою локальної групової політики можна було вносити зміни окремих облікових записів? Можливість управління цим інструментом системи в частині застосування змін не для всіх, а лише для обраних користувачів комп’ютера, з’явиться, якщо редактор додати в якості оснастки консолі ММС. З допомогою внутрішньосистемного пошукача або команди «Виконати» запускаємо утиліту штатну mmc.exe. В меню «Файл» консолі вибираємо «Додати або видалити оснастку».

У колонці праворуч вибираємо «Редактор об’єктів групової політики», тиснемо посередині «Додати».

Тепер – «Огляд».

І додаємо користувачів. Вибираємо:
• або «Не адміністратори», якщо потрібно, щоб налаштування застосовувалися до всіх наявних в системі облікових записів типу «Стандартний користувач»;
• або конкретного користувача.

Готове.

Тиснемо «Ок» у вікні додавання оснащень, потім в меню «Файл» вибираємо «Зберегти як».

Задаємо файлу консолі ім’я, вказуємо який-небудь зручний шлях збереження, скажімо, на робочому столі, і зберігаємо.

Отже, ми створили оснастку редактора групової політики для окремого користувача. Це, по суті, той же редактор, що і gpedit.msc, але обмежений наявністю єдиної гілки «Конфігурація користувача». В цій гілці і будемо працювати з параметрами груповий політики.

Збережений файл консолі потрібно буде запускати кожен раз при необхідності змінити параметри групової політики для окремих облікових записів.

Обмеження за допомогою групової політики

Редактор групової політики містить масу параметрів, які ви, друзі, можете самостійно дослідити і вирішити, які з них необхідно застосовувати у вашому конкретному випадку. Я ж зробив невелику підбірку заборон в середовищі Windows 10 на свій розсуд. Всі вони будуть стосуватися тільки підконтрольного користувача. І, відповідно, зміни будуть вноситися в гілку редактора «Конфігурація користувача».

Отже, якщо потрібно внести обмеження для всіх, хто користується комп’ютером, запускаємо редактор gpedit.msc. А якщо потрібно урізати можливості окремих людей, але щоб це не стосувалося адміністратора, запускаємо файл консолі і працюємо з редактором всередині неї.

1. Заборона запуску окремих програм

Якщо когось потрібно обмежити в роботі з окремими програмами або іграми, йдемо по шляху:
Адміністративні шаблони – Система
Вибираємо параметр «Не запускати зазначені додатки Windows».

Включаємо його, тиснемо «Застосувати».

З’явиться список заборонених додатків. Натискаємо «Показати» і графи з’явився віконця по черзі виписуємо десктопні програми та ігри, запуск яких буде заблокований. Вписуємо їх повне ім’я з розширенням за типом:
AnyDesk.exe

Після чого знову тиснемо «Застосувати» у вікні параметра. Тепер підконтрольний користувач замість запуску програми або гри побачить тільки ось це.

За таким же принципом можна сформувати перелік тільки дозволених для запуску програм і ігор, вибравши параметр в цій же гілці нижче «Виконувати тільки зазначені додатки Windows». І тоді для користувача буде блокуватися все, що не дозволено цим переліком.

2. Обмеження розміру профілю

Запал любителів скачувати з Інтернету що попало і захаращувати розділ (C:) можна зменшити, якщо обмежити профіль таких користувачів в розмірі. Йдемо по шляху:
Адміністративні шаблони – Система – Профілі користувачів
Вибираємо параметр «Обмежити розмір профілю».

Включаємо, встановлюємо максимальний розмір профілю в кБ, при бажанні можемо відредагувати повідомлення про перевищення ліміту простору профілю і виставити свій інтервал появи цього повідомлення. Застосовуємо.

При досягненні зазначеного ліміту система буде видавати відповідне повідомлення.

3. Відключення запису на знімні носії

Відключення можливості запису на знімні носії – це запобіжний захід скоріше для серйозних організацій, бдящіх про збереження комерційної таємниці. Таким чином на комп’ютерах співробітників блокується можливість перенесення на флешку або інші носії важливих даних. Але в сім’ях бувають різні ситуації. Так що якщо буде потрібно, для окремих людей можна відключити роботу з підключаються носіями – і читання, і запис. Робиться це шляхом:
Адміністративні шаблони – Система – Доступ до знімних запам’ятовуючим пристроям.

Щоб, наприклад, хтось з близьких не переніс на знімний носій (будь-якого типу) зберігається на комп’ютері цінну інформацію, вибираємо пункт «Знімні диски: Заборонити запис». Включаємо, застосовуємо.

 4. Видалення файлів повз кошика

При частому захламлении диска (C:) облікові записи активно беруть участь в цьому процесі користувачів можна налаштувати так, щоб їх файли видалялися повністю, минаючи кошик. Це робиться шляхом:
Адміністративні шаблони – Компоненти Windows – Провідник
Відриваємо параметр «Не переміщати видаляються файли в кошик».

Включаємо, застосовуємо.

 5. Заборона доступу до дисків комп’ютера

Обмежити доступ інших користувачів до окремих дисків комп’ютера можна різними методами. Наприклад, шляхом встановлення заборони доступу властивості диска або за допомогою функціоналу шифрування, зокрема, штатного BitLocker. Але є і спосіб, за допомогою групової політики. Правда, працює він тільки для штатного провідника. Йдемо по шляху:
Адміністративні шаблони – Компоненти Windows – Провідник
Відкриваємо параметр «Заборонити доступ до дисків через «Мій комп’ютер».

Включаємо, застосовуємо. З’явиться віконце вибору дисків комп’ютера. Вибираємо потрібний варіант і застосовуємо налаштування.

 6. Заборона доступу до панелі управління і додатком «Параметри»

Стандартні облікові записи в будь-якому випадку обмежені UAC, і з них неможливо без пароля адміністратора вносити якісь серйозні установки в систему. Але при необхідності для звичайних користувачів можна і зовсім заборонити запуск на панелі керування програми «Параметри». Щоб не могли змінювати навіть і те, на що не потрібен дозвіл адміністратора. Йдемо по шляху:
Адміністративні шаблони – Компоненти Windows – Провідник
Запускаємо параметр «Заборонити доступ до панелі управління і настройок комп’ютера».

Включаємо, застосовуємо.

Оцініть статтю

НАПИСАТИ ВІДПОВІДЬ

Please enter your comment!
Please enter your name here