Как использовать редактор локальной групповой политики Windows

Этот гид предназначен для того, чтобы помочь вам понять, как использовать Редактор локальной групповой политики Windows (LGPE) для повышения безопасности, производительности и удобства использования вашей рабочей среды Windows.

Что такое Редактор локальной групповой политики?

Редактор локальной групповой политики Windows — это оснастка консоли управления Microsoft (MMC), которая позволяет вам управлять и изменять объекты групповой политики (GPO) на локальном компьютере. Изменения политики отражают изменения в конкретных ключах реестра Windows.

В средних и крупных предприятиях настройки групповой политики управляются через контроллеры домена Active Directory и передаются конечным устройствам. LGPE предлагает продвинутым пользователям и ИТ-специалистам вариант устранения неполадок, чтобы определить, почему конкретные настройки не работают так, как ожидается. Кроме того, для компьютеров, которые не управляются централизованно через Active Directory (AD), LGPE позволяет ИТ-специалистам вносить изменения в конфигурацию ПК под управлением Windows.

Как получить доступ к Редактору локальной групповой политики

Существует несколько способов открытия LGPE. Единственное требование заключается в том, что он не установлен и не поддерживается в версиях Windows 10/11 Home.

Вот наиболее распространенные способы запуска инструмента.

• На клавиатуре нажмите кнопку Start и клавишу «R», чтобы открыть диалоговое окно «Выполнить». Введите «gpedit.msc» и нажмите Enter.
  • Вы также можете открыть поле поиска и ввести «gpedit.msc».

• Нажмите кнопку меню Start в Windows, введите «локальная группа» и выберите «Изменить параметры группы — Панель управления» в меню «Пуск».

• PowerShell – Запустите эту команду в Windows Terminal, чтобы запустить – «Start-Process gpedit.msc».
  • Вы также можете открыть командную строку и выполнить gpedit.msc.

• Административные инструменты – Нажмите кнопку Start, Нажмите «Все >» в правом верхнем углу, прокрутите вниз до Инструменты Windows, откройте их, затем дважды щелкните «Управление групповой политикой».
  • Специальное примечание – Если вы вошли в систему на компьютере, на котором установлены инструменты Удаленного управления сервером Active Directory (RSAT), это откроет центральный инструмент «Управление групповой политикой», управляющий GPO в вашем предприятии, а не локальные политики.

Навигация по интерфейсу пользователя LGPE

LGPE разделена на две панели:

1. Слева находятся два основных дерева конфигурации (Конфигурация компьютера и Конфигурация пользователя).
2. Справа отображаются все политики. При просмотре одного из деревьев вы обнаружите все различные политики, которые можно изменить.

Конфигурация компьютера

Конфигурация компьютера содержит все настройки политик, которые влияют на объект компьютера, независимо от того, вошел ли пользователь в систему или нет. Изменение этих настроек по умолчанию повлияет на каждого пользователя, который войдет в систему на этот компьютер. Обычно эти политики применяются при запуске компьютера и загрузке в Windows.

Конфигурация пользователя

В разделе Конфигурации пользователя вы найдете настройки, которые влияют на пользователей специально. Эти настройки обычно применяются при входе пользователя в систему. Если вы хотите, чтобы сценарий входа в систему запускался при входе пользователя, здесь вы настроите изменения политики.

Просмотр и изменение настроек политик

Когда вы углубляетесь во все различные разделы политик, вы в конечном итоге увидите Настройки. Это индивидуальные политики, которые вы можете просмотреть и отредактировать.

Когда вы нажимаете на одну из настроек, и режим просмотра установлен на «Расширенный» внизу окна, вы увидите Требования и Описание настройки слева.

Выше я нажал на «Удалить свойства из контекстного меню Корзины». Требования показывают, что эта настройка повлияет только на Windows Server 2003 и Windows XP или новее. Таким образом, это касается любой поддерживаемой версии клиента и сервера Windows на сегодняшний день. 🙂 Описание показывает основы того, на что повлияет настройка.

Как редактировать политики с помощью Редактора локальной групповой политики

Чтобы внести изменения в настройку, вы можете нажать на ссылку «Редактировать настройку политики» в расширенной панели, о которой я только что упомянул. Однако, вероятно, проще всего просто дважды щелкнуть по имени настройки.

Вся информация, которая вам нужна для того, чтобы внести обоснованные изменения, находится здесь. Для большинства настроек вы выбираете «Не настроено», «Включено» или «Отключено». В этом примере, если я нажму Включено и нажму ОК, это изменение произойдет сразу. Позвольте мне показать вам.

Поскольку я не вышел и не вошел снова, ссылка Свойства все еще была видна, но, как вы можете видеть, она недоступна.

Понимание локальной и доменной групповой политики

Я упомянул выше, что есть разница между использованием редактора локальной групповой политики для изменения конфигурации локального компьютера и использованием Управления групповой политикой для управления объектами групповой политики предприятия (GPO).

Вы будете использовать один и тот же тип инструмента для обоих случаев, но способ отображения политик отличается. Инструмент Управления групповой политикой покажет ваш лес AD и домены и перечислит всю структуру домена Организационных единиц (OU) – так они применяются.

Административные шаблоны групповой политики

Файлы административных шаблонов (файлы ADML и ADMX) определяют отображаемые настройки и политики. Административные шаблоны выпускаются и обновляются периодически компанией Microsoft при выпуске новых функций и новых версий Windows (Обновлений функций).

Файлы ADMX хранят определения настроек, а файлы ADML ‘en-US’ (или другие языки) содержат описания конкретной языковой политики. Административные шаблоны могут быть загружены с сайта Microsoft с различных источников.

Общие политики безопасности

Некоторые полезные и рутинные настройки безопасности могут быть быстро установлены с помощью этого инструмента. Вот некоторые примеры:

• Политики паролей – Перейдите в Конфигурация компьютера -> Настройки Windows -> Настройки безопасности -> Политики учетных записей -> Политика паролей.
  • Вы найдете настройки, такие как Максимальный срок действия пароля, Минимальная длина пароля и Пароль должен соответствовать требованиям по сложности.
• Политика блокировки учетной записи – Перейдите в то же место – вы найдете «Политику блокировки учетной записи» прямо под папкой Политики паролей.
  • Здесь вы найдете Длительность блокировки учетной записи, Порог блокировки учетной записи и время сброса счетчика блокировки учетной записи.
• Локальные политики – Прямо под последней папкой вы найдете Локальные политики. Под этим вы можете нажать Назначение прав пользователей.
  • Здесь находится множество настроек безопасности – Разрешить локальный вход, Запретить вход как служба и Добавить рабочие станции в домен.

Экспорт и импорт настроек LGPO

Некоторые из них немного скрыты в Microsoft Security Compliance Toolkit 1.0, утилита LGPO позволяет экспортировать настройки вашего редактора локальной групповой политики и импортировать их на другой компьютер.

• Скачайте LGPO Utility и выполните эту команду из административного окна в Windows Terminal, чтобы экспортировать вашу локальную конфигурацию.

LGPO.exe /b c:\Path\To\Backup\To

Вы можете затем выполнить эту команду на новом компьютере, чтобы импортировать предыдущую конфигурацию.

LGPO.exe /g c:\Your\New\Path

Спасибо за то, что прочитали мой пост о использовании редактора локальной групповой политики. Пожалуйста, оставьте комментарий или вопрос ниже.