Компютърни ограничения за потребители с помощта на местната групова политика (Профили и пароли)

Приятели, в една от последните статии на сайта разгледахме 5 начина за ограничаване на възможностите на компютърните потребители, реализирани от преобладаването на администраторските акаунти над стандартните и използването на функционалност като „Родителски контрол“. В тази статия продължаваме темата за контрола на потребителите, на която понякога се налага да се доверяваме на компютрите си, но не можем да сме сигурни в техните действия поради безсъзнание или неопитност. Нека помислим какви други действия на деца и неопитни възрастни могат да бъдат ограничени в Windows. И за тези цели ще използваме стандартния инструмент за местна групова политика, наличен в изданията на Windows, започвайки от Pro.

Компютърни ограничения за потребители с помощта на местната групова политика

Групова политика за всички компютърни потребители

Груповата политика е инструмент, с който можете гъвкаво да конфигурирате Windows. Тази функционалност се управлява чрез редактора gpedit.msc. За бърз старт името му може да бъде въведено в полето за търсене на вътрешната система или командата "Изпълнение". Редакторът съдържа два основни клона от параметри: • „Конфигурация на компютъра“, която съдържа параметри за целия компютър, тоест за всички негови потребители; • „Конфигурация на потребителя“ - директория, съдържаща параметрите на отделните потребители на компютър.

Правенето на промени директно в прозореца на редактора ще бъде валидно за всички акаунти. Ако например блокирате стартирането на някои програми, това блокиране ще бъде приложено както към администратора, така и към стандартните потребители. Ако работите на компютър с един администраторски акаунт, можете незабавно да започнете да разглеждате специфичните параметри, които са дадени в последния раздел на статията. Но ако другите членове на семейството имат свои акаунти, докато ограниченията не трябва да се отнасят за администратора, ще трябва да конфигурирате нещо друго.

Групова политика за индивидуални акаунти

Как да се уверя, че с помощта на местната групова политика можете да правите промени само за отделни акаунти? Възможността за управление на този системен инструмент по отношение на прилагането на промени не е за всички, а само за избрани компютърни потребители, ако добавите редактора като щракване към конзолата MMC. Използвайки интрасистемната търсачка или командата Run, стартираме стандартната помощна програма mmc.exe. В менюто на файла на конзолата изберете Добавяне или премахване на щракване..

В колоната вдясно изберете "Редактор на обекти за групови правила", кликнете в средата на "Добавяне".

Сега - преглед.

И добавете потребители. Ние избираме: • или „Не администратори“, ако искате настройките да се прилагат към всички акаунти в системата като „Стандартен потребител“; • или конкретен потребител.

Съставено.

Кликнете върху „OK“ в прозореца за добавяне на щраквания, след което в менюто „File“ изберете „Save As“.

Дайте име на конзолния файл, посочете някакъв удобен начин да го запишете, да речем, на работния плот, и запазете.

И така, ние създадохме редактор за групови правила за отделни потребители. Това всъщност е същият редактор като gpedit.msc, но ограничен от наличието само на един клон "Конфигурация на потребителя". В тази тема ще работим с настройките на груповата политика.

Запазеният файл на конзолата трябва да се стартира всеки път, ако е необходимо, за да промените настройките на груповата политика за отделни акаунти.

Ограничения за групови политики

Редакторът на груповите политики съдържа множество опции, които вашите приятели могат самостоятелно да проучат и да решат кои от тях трябва да бъдат приложени във вашия конкретен случай. Направих малък избор от забрани в средата на Windows 10 по моя преценка. Всички те ще засягат само потребителя под контрол. И съответно ще бъдат направени промени в клона на редактора "Конфигурация на потребителя".

Така че, ако трябва да направите ограничения за всички, които използват компютъра, стартирайте редактора gpedit.msc. И ако трябва да намалите възможностите на хората, но така че да не засяга администратора, стартираме създадения файл на конзолата и работим с редактора вътре в него.

1. Забрана за стартиране на отделни програми

Ако някой трябва да бъде ограничен в работата с отделни програми или игри, следваме пътя: Административни шаблони - система Изберете опцията „Не стартирайте определени приложения за Windows“.

Включете го, кликнете върху "Приложи".

Появява се списък със забранени приложения. Кликнете върху „Покажи“ и в графиките на прозореца, който се появява, последователно записваме програми и игри за настолни компютри, стартирането на които ще бъде блокирано. Въведете пълното им име с разширението на типа: AnyDesk.exe

След това отново кликнете върху "Приложи" в прозореца с параметри. Сега потребителят под контрол, вместо да стартира програма или игра, ще вижда само това.

Използвайки същия принцип, можете да създадете списък само на програми и игри, които са позволени да се стартират, като изберете опцията в същия клон по-долу „Пускане само на определени приложения за Windows“. И тогава за потребителя всичко, което не е разрешено от този списък, ще бъде блокирано.

2. Ограничение за размер на профила

Страстта на феновете да изтеглят от интернет какво ужасно и претрупва секцията (C: \) може да бъде намалена, ако ограничите профила на такива потребители по размер. Тръгваме по пътя: Административни шаблони - Система - Потребителски профили Изберете опцията "Ограничете размера на профила".

Включваме го, задаваме максималния размер на профила в KB, ако желаем, можем да редактираме съобщението за превишаването на ограничението на профилното пространство и да зададем нашия интервал за това съобщение. прилага.

След достигане на определения лимит, системата ще издаде съответно съобщение.

3. Деактивиране на записа на сменяеми носители

Деактивирането на възможността за запис на сменяеми носители е по-скоро предпазна мярка за сериозни организации, които са бдителни относно запазването на търговската тайна. По този начин възможността за прехвърляне на важни данни към флаш дискове или други носители за съхранение е блокирана на компютрите на служителите. Но в семействата има различни ситуации. Така че, ако е необходимо, за хората можете да изключите работата със свързани носители - както за четене, така и за писане. Това става по пътя: Административни шаблони - Система - Достъп до сменяеми устройства за съхранение.

Така че, например, някой близък до вас не прехвърля ценна информация, съхранявана на компютъра, на подвижен носител (от всякакъв тип), ние избираме опцията „Подвижни дискове: Отказ на запис“. Включете, кандидатствайте.

4. Изтриване на файлове след кошчето

При често затрупване на устройството (C: \) акаунтите на потребителите, които активно участват в този процес, могат да бъдат конфигурирани така, че техните файлове да бъдат изтрити напълно, заобикаляйки кошчето. Това става по пътя: Административни шаблони - Компоненти на Windows - Explorer. Откъсваме опцията „Не премествайте изтритите файлове в кошчето“.

Включете, кандидатствайте.

5. Лишаване от достъп до компютърни устройства

Има различни методи за ограничаване на достъпа на други потребители до отделни компютърни дискове. Например, чрез задаване на забрана за достъп в свойствата на диска или чрез функционалност за криптиране, по-специално, обикновен BitLocker. Но има начин да използвате груповата политика. Вярно е, че работи само за обикновен диригент. Тръгваме по пътя: Административни шаблони - Компоненти на Windows - Explorer Отворете опцията „Забраняване на достъп до дискове чрез„ Моят компютър “.

Включете, кандидатствайте. Ще се появи прозорец за избор на устройствата на компютъра. Изберете опцията, която ви е необходима, и приложете настройките..

6. Лишаване от достъп до контролния панел и приложението Настройки

Стандартните акаунти във всеки случай са ограничени от UAC и е невъзможно да се правят сериозни настройки в системата без администраторска парола. Но ако е необходимо, за стандартните потребители можете напълно да предотвратите стартирането на контролния панел и приложението Настройки. Така че те дори не биха могли да променят нещо, което не изисква разрешение от администратор. Тръгваме по пътя: Административни шаблони - Компоненти на Windows - Explorer Стартиране на опцията „Забраняване на достъпа до контролния панел и настройките на компютъра“.