איך להשתמש בעורך מדיניות קבוצתית מקומית של Windows

מדריכים

המדריך הזה מטרתו לעזור לך להבין כיצד לנווט ולהשתמש בעורך המדיניות המקומי של Windows (LGPE) כדי לשפר את אבטחת הסביבה של שולחן העבודה שלך, את הביצועים ואת השימושיות שלה.

מהו עורך המדיניות המקומי?

עורך המדיניות המקומי של Windows הוא תוסף של קונסולת ניהול של מיקרוסופט (MMC) המאפשר לך לנהל ולשנות אובייקטי מדיניות קבוצתית (GPO) במחשב המקומי. שינויים במדיניות משקפים שינויים במפתחות ספציפיים ברשומת Windows.

פרסומת

בעסקים בינוניים עד גדולים, הגדרות המדיניות הקבוצתית מנוהלות באמצעות שרתים דומיינים של Active Directory ודוחפות למכשירים. LGPE מציעה למשתמשים מתקדמים ולמקצועני IT אפשרות פתרון בעיות כדי לקבוע מדוע הגדרות ספציפיות אינן פועלות כפי שמצופה. בנוסף, עבור מחשבים שאינם מנוהלים מרכזית על ידי Active Directory (AD), LGPE מאפשרת למקצועני IT לבצע שינויים בקונפיגורציה במחשבי Windows.

כיצד לגשת לעורך המדיניות המקומי

ישנן מספר דרכים לפתוח את LGPE. הדרישה היחידה היא שהוא אינו מותקן או נתמך בגרסת Windows 10/11 Home.

הנה הדרכים הנפוצות ביותר להשקת הכלי.

  • על המקלדת שלך, לחץ על כפתור Start ואת המקש ‘R‘ כדי לפתוח את תיבת הדו-שיח ‘Run’. הקלד ‘gpedit.msc‘ ולחץ על Enter.
    • אתה יכול גם לפתוח את תיבת החיפוש ולהקליד ‘gpedit.msc‘.
Running ‘gpedit.msc’ from the Start Run dialog opens the Windows Local Group Policy Editor – (Image Credit: Michael Reinders/Petri.com)
  • לחץ על כפתור Start menu ב-Windows, הקלד ‘local group‘, ובחר ‘Edit group policy—Control Panel‘ בתפריט ההתחלה.
Open LGPE from the Windows Start menu (Image Credit: Michael Reinders/Petri.com)
    • PowerShell – הרץ את הפקודה הזו ב-Windows Terminal כדי להפעיל – ‘Start-Process gpedit.msc‘.
      • אתה יכול גם לפתוח את שורת הפקודה ולהפעיל gpedit.msc.

    פרסומת

    • כלי ניהול – לחץ על כפתור Start, לחץ על ‘All >‘ בפינה הימנית העליונה, גלול למטה ל-Windows Tools, פתח אותו, ואז לחץ פעמיים על ‘Group Policy Management.’
      • הערה מיוחדת – אם אתה מחובר למחשב שיש בו את כלי Remote Server Administration Tools (RSAT) של Active Directory מותקנים, זה יפתח את כלי ‘Group Policy Management‘ המרכזי שמנהל GPOs בארגון שלך, ולא את המדיניות המקומיות.
    Searching for the Group Policy Editor in the Start Menu – (Image Credit: Michael Reinders/Petri.com)

    ה- LGPE מחולקת לשני חלונות:

    1. בצד שמאל יש שני עצים ראשיים להגדרות (הגדרות המחשב והמשתמש).
    2. בצד ימין, מוצגות כל המדיניות. כאשר אתה נכנס לאחד מהעצים, תגלה את כל המדיניות השונות שניתן לשנות.
    The Local Group Policy Editor – (Image Credit: Michael Reinders/Petri.com)

    הגדרות המחשב

    ההגדרות של המחשב מכילות את כל ההגדרות של מדיניות המשפיעות על אובייקט המחשב, ללא קשר לכך אם משתמש מחובר או לא. שינויים בהגדרות אלו ישפיעו, בברירת מחדל, על כל משתמש שמתחבר למחשב זה. כללית, כאשר המחשב מתחיל ומטעין ל-Windows, המדיניות האלה יישמרו.

    הגדרות המשתמש

    במקטע ה- User Configuration, תמצא הגדרות שמשפיעות על משתמשים בצורה ספציפית. ההגדרות הללו רציניות בדרך כלל כאשר משתמש מתחבר למחשב. אם ברצונך שתרוץ סקריפט התחברות כאשר משתמש נכנס, זהו המקום שבו תגדיר את שינויי המדיניות.

    Viewing a specific policy in the LGPO – (Image Credit: Michael Reinders/Petri.com)

    גלישה ושינוי הגדרות מדיניות

    כאשר אתה חוקר את כל הקטגוריות השונות של מדיניות, בסופו של דבר תראה הגדרות. אלו הן המדיניות הפרטניות שאתה יכול לצפות בהן ולערוך אותן.

    פרסומת

    כשאתה לוחץ על אחת מההגדרות, ואם מצב התצוגה מוגדר ל-‘מורחב‘ בתחתית החלון, תוכל לראות את הדרישות ואת התיאור של ההגדרה בצד שמאל.

    Seeing the Requirements and Description of a selected policy – (Image Credit: Michael Reinders/Petri.com)

    מעל לחצתי על ה-‘הסר מאפיינים מתפריט ההקשר של סל המחזור.’ הדרישות מראות שההגדרה הזו תשפיע רק על Windows Server 2003 ו-Windows XP או גרסה חדשה יותר. לכן, כל גרסה נתמכת של Windows לקוח ושרת כיום. 🙂 התיאור מציין את הבסיסים של מה שההגדרה תשפיע עליו.

    איך לערוך מדיניות באמצעות עורך מדיניות קבוצתית מקומית

    כדי לבצע שינויים בהגדרה, תוכל ללחוץ על הקישור ‘ערוך הגדרת מדיניות‘ בפאנל המורחב שהזכרתי זה עתה. עם זאת, כנראה שהכי קל פשוט ללחוץ פעמיים על שם ההגדרה.

    Enabling the ‘Remove Properties from the Recycle Bin context menu’ setting – (Image Credit: Michael Reinders/Petri.com)

    כל המידע שאתה צריך לדעת כדי לבצע שינוי מושכל כאן. עבור רוב ההגדרות, אתה בוחר ‘לא מוגדר‘, ‘מאופשר‘, או ‘מושבת.’ בדוגמה הזו, אם אני לוחץ מאופשר ולוחץ אישור, השינוי יתרחש מיד. תן לי להראות לך.

    פרסומת

    After setting this policy, I clicked Properties on the Recycle Bin – that’s an error -Image Credit: Michael Reinders/Petri.com

    מכיוון שלא התנתקתי והתחברתי שוב, הקישור למאפיינים היה עדיין גלוי, אבל כפי שאתה רואה, הוא אינו זמין.

    הבנת מדיניות קבוצתית מקומית מול דומיין

    ציינתי למעלה שיש הבדל בין השימוש בעורך מדיניות קבוצת מקומית כדי לשנות את הגדרת המחשב המקומי לבין השימוש בניהול מדיניות קבוצתית כדי לנהל את אובייקטי מדיניות הקבוצה (GPOs) של הארגון שלך.

    תשתמש באותו סוג כלי עבור שניהם, אבל כיצד המדיניות מוצגת שונה. כלי ניהול המדיניות הקבוצתית יראה את יער AD שלך ואת הדומיינים וירשום את כל מבנה ה יחידת הארגון (OU) – כך הם מיושמים.

    The Group Policy Management (console) is NOT the same tool – (Image Credit: Michael Reinders/Petri.com)

    תבניות ניהול מדיניות קבוצתית

    קבצי תבנית ניהול (קבצי ADML ו-ADMX) קובעים את ההגדרות והמדיניות המוצגות. תבניות ניהול משוחררות ומעודכנות באופן תקופתי על ידי מיקרוסופט כאשר תכונות חדשות משתחררות וגרסאות חדשות של Windows (עדכוני תכונה) זמינות לציבור.

    פרסומת

    Viewing the location of the ADMX (and ADML) files on the local filesystem – (Image Credit: Michael Reinders/Petri.com)

    קבצי ADMX מאחסנים את הגדרות ההגדרה, וקבצי ADML 'en-US' (או שפות אחרות) מכילים את התיאורים הספציפיים של המדיניות בשפה. תבניות ניהול ניתן להוריד ממיקרוסופט ממגוון מקומות.

    מדיניות אבטחה נפוצה

    כמה הגדרות אבטחה מועילות ושגרתיות יכולות להיות מוגדרות במהירות באמצעות כלי זה. הנה כמה דוגמאות:

    • מדיניות סיסמאות – עיין בהגדרות המחשב -> הגדרות Windows -> הגדרות אבטחה -> מדיניות חשבון -> מדיניות סיסמה.
      • תמצא הגדרות כמו תוקפות סיסמה מרביות, אורך סיסמה מינימלי והסיסמה חייבת לעמוד בדרישות מורכבות.
    • מדיניות נעילת חשבון – עיין באותו המקום – תמצא 'מדיניות נעילת חשבון' ממש מתחת לתיקיית מדיניות הסיסמה.
      • זהו המקום בו תמצא את משך נעילת החשבון, את סף נעילת החשבון וכמה זמן לאפס את מונה נעילת החשבון לאחר מכן.
    • מדיניות מקומית – ישירות מתחת לתיקייה האחרונה, תמצא מדיניות מקומית. מתחת לזה, תוכל ללחוץ על הרשאות משתמש.
      • הרבה הגדרות אבטחה נמצאות כאן – אפשר להתחבר מקומית, אסור להתחבר כשירות ולהוסיף תחנות עבודה לדומיין.

    ייצוא ויבוא של הגדרות LGPO

    מקור מסותם באחסון הכלים לפיקוח על אבטחת מיקרוסופט 1.0, כלי LGPO מאפשר לך לייצא את הגדרות עורך מדיניות קבוצה מקומית ולייבא אותן למכונה אחרת.

    • הורידו את הכלי LGPO Utility והפעילו את הפקודה הזו מחלון מנהל במקום ב-Terminal של Windows כדי לייצא את ההגדרות המקומיות שלכם.
    LGPO.exe /b c:\Path\To\Backup\To

    ניתן להפעיל את הפקודה הזו על מכונה חדשה כדי לייבא את ההגדרות הקודמות.

    פרסום

    LGPO.exe /g c:\Your\New\Path

    תודה על קריאת הפוסט שלי על שימוש בעורך מדיניות קבוצתית מקומי. אנא השאירו תגובה או שאלה למטה.

    Source:
    https://petri.com/windows-local-group-policy-editor/