每个管理员都应该知道的 8 个 Windows 组策略调整
Windows 组策略是配置 Windows 多个方面的强大工具。它必须提供的大部分调整都是针对 PC 管理员的,以监视和控制标准帐户。如果您在公司环境中管理 PC 或在家中管理多个帐户,那么您绝对应该利用 Windows 组策略来控制员工和家人的 PC 使用情况。
下面我们列出了8 个 Windows 组策略调整,这些调整肯定会使管理任务更容易。
注意:组策略编辑器在 Windows 的标准版和家庭版中不可用。您必须拥有专业版或企业版Windows 才能使用组策略。
另请阅读:
8 种自定义 Windows 10 的工具
如何访问 Windows 组策略编辑器
在进行以下任何调整之前,您必须访问组策略编辑器。虽然访问 Windows 组策略编辑器的方法有很多,但使用“运行”对话框是最快的,并且适用于所有版本的 Windows。
按Windows + R键打开“运行”对话框。在此处键入“gpedit.msc”并按Enter以打开组策略编辑器。
此外,请确保您在访问组策略之前已登录到管理员帐户。
不允许标准帐户访问组策略。
1.跟踪帐户登录
从组策略中,您可以强制 Windows记录从任何用户帐户到 PC 的所有成功和失败登录。您可以使用此类信息来跟踪谁在登录 PC 以及是否有未经授权的人尝试登录。
在组策略编辑器中,移动到下面提到的位置并双击“审核登录事件”。
计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 审核策略
在这里选中“成功”和“失败”选项旁边的复选框。单击“确定”后,Windows 将开始记录对 PC 的登录记录。
要查看这些日志,您必须访问另一个有用的 Windows 工具– Windows 事件查看器。再次打开“运行”对话框并在其中输入“ eventvwr ”以打开 Windows 事件查看器。
在这里展开“ Windows 日志”,然后从中选择“安全”选项。在中间面板中,您应该会看到所有最近发生的事件。不要被所有这些事件搞糊涂了,您只需要从此列表中找到成功和失败的登录事件。
成功的登录事件具有“事件 ID:4624 ”,失败的具有“事件 ID:4625 ”。只需查找这些事件 ID 即可找到登录并查看准确的登录日期和时间。
双击这些事件将显示更多详细信息以及登录用户帐户的确切名称。
2.禁止访问控制面板
控制面板是所有 Windows 设置的中心,包括安全性和可用性。但是,这些设置在错误的人手中可能真的很糟糕。如果新手用户将使用 PC,或者您怀疑有人会乱用这些敏感设置,那么您绝对应该禁止访问控制面板。
为此,请移至组策略编辑器中下面提到的位置,然后双击“禁止访问控制面板”。
用户配置 > 管理模板 > 控制面板
这里选择“启用”选项,禁止访问控制面板。现在控制面板选项将从开始菜单中删除,任何人都无法从任何地方访问它,包括“运行”对话框。
控制面板中的所有选项也被禁止,使用任何其他方法访问它们将显示错误。
3.阻止用户安装新软件
清理感染恶意软件的 PC 可能需要相当长的时间。为确保用户不会以任何方式安装任何受感染的软件,您应该在组策略中禁用 Windows 安装程序。
导航到下面提到的位置,然后双击“禁用 Windows Installer ”。
计算机配置 > 管理模板 > Windows 组件 > Windows 安装程序
在此处选择“启用”选项,然后从下方“选项”面板的下拉菜单中选择“始终”。现在用户将无法在 PC 中安装新程序。尽管他们仍然可以下载或在 PC 存储中移动它们。
4.禁用可移动存储设备
USB 和其他形式的可移动存储设备对 PC 来说可能非常危险。如果有人不小心(或故意)将感染病毒的存储设备连接到 PC,它可能会感染您的整个 PC,甚至可能使其无法运行。
要阻止用户使用可移动存储设备,请转到下面提到的位置并双击“可移动磁盘:拒绝读取访问”。
用户配置 > 管理模板 > 系统 > 可移动存储访问 > 可移动磁盘:拒绝读取访问
启用此选项,PC将不会读取外部存储设备中的任何类型的数据。此外,它下面有一个选项,上面写着“可移动磁盘:拒绝写访问”。如果您不想让任何人将数据写入(粘贴)到可移动存储设备,您可以启用它。
5.阻止特定应用程序运行
组策略还允许您创建应用程序列表以阻止它们运行。它非常适合确保用户不会将时间浪费在已知的浪费时间的应用程序上。移动到下面提到的位置并打开“不要运行指定的 Windows 应用程序”选项。
用户配置 > 管理模板 > 系统 > 不要运行指定的 Windows 应用程序
启用此选项并单击下面的“显示”按钮开始创建您要阻止的应用程序列表。
要创建列表,您必须输入应用程序的可执行文件名称才能阻止它;最后带有.exe 的那个,即CCleaner.exe、CleanMem.exe或大声笑。发射器.exe。查找应用程序的确切可执行文件名称的最佳方法是在 Windows 文件资源管理器中查找该应用程序的文件夹并复制确切的可执行文件名称(连同其扩展名“.exe” )。
在列表中输入此可执行文件名称,然后单击“确定”开始阻止它。
在它下面还有一个“只运行指定的Windows应用程序”的选项。如果您想禁用除少数重要应用程序之外的所有类型的应用程序,请使用此选项并创建您希望允许的应用程序列表。
如果您想创建一个非常严格的工作环境,这是一个很好的选择。
6. 禁用命令提示符和 Windows 注册表编辑器
控制面板在坏人手中很糟糕,但命令提示符和注册表编辑器更糟糕。这两种工具都可以轻松地使 Windows 无法运行,尤其是注册表编辑器,它可能会损坏 Windows 且无法修复。
如果您担心 PC 的安全(和健康),您应该同时禁用命令提示符和 Windows 注册表编辑器。
移动到下面给出的位置:
用户配置 > 管理模板 > 系统
此处同时禁用“阻止访问命令提示符”和“阻止访问注册表编辑工具”选项,以阻止用户访问命令提示符和注册表编辑器。
7. 从我的电脑隐藏分区驱动器
如果某个特定驱动器中包含敏感数据,那么您可以将其从“我的电脑”中隐藏,这样用户就无法找到它。这是一种让用户上当的好方法,但不应将其用作保护数据免遭窥探的方法。
转到下面提到的位置并启用选项“在我的电脑中隐藏这些指定的驱动器”。
用户配置 > 管理模板 > Windows 组件 > Windows 资源管理器 > 在我的电脑中隐藏这些指定的驱动器
启用后,单击“选项”面板中的下拉菜单并选择要隐藏的驱动器。当您单击“确定”时,驱动器将被隐藏。
8. 调整开始菜单和任务栏
组策略为“开始”菜单和任务栏提供了许多调整,可以根据需要自定义它们。这些调整非常适合希望自定义 Windows 开始菜单和任务栏的管理员和普通用户。转到组策略编辑器中下面提到的位置,您将找到所有调整以及它们所做的解释。
用户配置 > 管理模板 > 开始菜单和任务栏
这些调整真的很容易理解,所以我认为我不必一一解释。此外,Windows 已经为每个调整提供了详细说明。您可以做的一些事情包括,更改开始菜单电源按钮功能,防止用户将程序固定到任务栏,限制搜索选项的范围,隐藏通知区域,隐藏电池图标,防止更改任务栏和开始菜单设置,防止用户使用任何电源选项(关机、休眠等),从开始菜单中删除“运行”选项以及许多其他调整。
是时候证明谁是老大了
上述组策略调整应该可以帮助您控制 PC 并确保其他用户使用它时不会出现任何问题。组策略有数百个选项来控制不同的 Windows 功能,以上只是最方便的几个。所以你应该探索组策略编辑器,看看你是否找到任何隐藏的宝石。尽管请确保在进行任何更改之前创建系统还原点。
您喜欢这些 Windows 组策略调整中的哪一项?请在评论中与我们分享。