Обмеження користувачів комп'ютера за допомогою локальної групової політики (Облікові записи та паролі)

Друзі, в одній з недавніх статей сайту ми розглянули 5 способів обмеження можливостей користувачів комп'ютерів, що реалізуються за рахунок превалювання облікових записів адміністраторів над стандартними і використання функціоналу типу "Батьківський контроль". У цій статті продовжимо тему здійснення контролю користувачів, яким ми змушені іноді довіряти свої комп'ютери, проте не можемо бути впевненими в їх діях в силу неусвідомленість або недосвідченість. Розглянемо, які ще дії дітей і недосвідчених дорослих можна обмежити в середовищі Windows. І для цих цілей будемо використовувати штатний інструмент локальної групової політики, доступний в редакціях Windows, починаючи з Pro.

Обмеження користувачів комп'ютера за допомогою локальної групової політики

Групова політика для всіх користувачів комп'ютера

Групова політика - це інструмент, за допомогою якого можна гнучко налаштувати роботу Windows. Управління цим функціоналом здійснюється за допомогою редактора gpedit.msc. Для швидкого запуску його назву можна ввести в поле внутрісистемного пошуку або команди "Виконати". Редактор містить дві основних гілки параметрів: • "Конфігурація комп'ютера", де містяться параметри для всього комп'ютера, тобто для всіх його користувачів; • "Конфігурація користувача" - каталог, що містить параметри окремих користувачів комп'ютера.

Внесення змін безпосередньо у вікні редактора буде мати силу для всіх облікових записів. Якщо, наприклад, заблокувати запуск якихось програм, це блокування буде застосована і для адміністратора, і для стандартних користувачів. Якщо на комп'ютері проводиться робота з єдиною облікового запису адміністратора, можна відразу приступати до розгляду конкретних параметрів, які наводяться в останньому розділі статті. Але якщо у інших членів сім'ї є свої облікові записи, при цьому обмеження не повинні стосуватися адміністратора, потрібно ще дещо налаштувати.

Групова політика для окремих облікових записів

Як зробити так, щоб за допомогою локальної групової політики можна було вносити зміни тільки для окремих облікових записів? Можливість управління цим інструментом системи в частині застосування змін не для всіх, а лише для обраних користувачів комп'ютера, з'явиться, якщо редактор додати в якості оснащення консолі ММС. За допомогою внутрісистемного пошукача або команди "Виконати" запускаємо штатну утиліту mmc.exe. В меню "Файл" консолі вибираємо "Додати або видалити оснастку".

У правій колонці вибираємо "Редактор об'єктів групової політики", тиснемо посередині "Додати".

Тепер - "Огляд".

І додаємо користувачів. Вибираємо: • або "Чи не адміністратори", якщо потрібно, щоб настройки застосовувалися до всіх наявних в системі облікових записів типу "Стандартний користувач"; • або конкретного користувача.

Готово.

Тиснемо "Ок" в віконці додавання оснасток, потім в меню "Файл" вибираємо "Зберегти як".

Задаємо файлу консолі ім'я, вказуємо який-небудь зручний шлях збереження, скажімо, на робочому столі, і зберігаємо.

Отже, ми створили оснащення редактора групової політики для окремого користувача. Це, по суті, той же редактор, що і gpedit.msc, але обмежений наявністю лише єдиною гілки "Конфігурація користувача". У цій гілці і будемо працювати з параметрами групової політики.

Збережений файл консолі потрібно буде запускати кожен раз при необхідності змінити параметри групової політики для окремих облікових записів.

Обмеження за допомогою групової політики

Редактор групової політики містить масу параметрів, які ви, друзі, можете самостійно досліджувати і вирішити, які з них необхідно застосовувати в вашому конкретному випадку. Я ж зробив невелику підбірку заборон в середовищі Windows 10 на свій розсуд. Всі вони будуть стосуватися тільки підконтрольного користувача. І, відповідно, зміни будуть вноситися в гілку редактора "Конфігурація користувача".

Отже, якщо потрібно внести обмеження для всіх, хто користується комп'ютером, запускаємо редактор gpedit.msc. А якщо потрібно урізати можливості окремих людей, але щоб це не стосувалося адміністратора, запускаємо створений файл консолі і працюємо з редактором всередині неї.

1. Заборона запуску окремих програм

Якщо когось треба обмежити в роботі з окремими програмами або іграми, слідуємо шляхом: Адміністративні шаблони - Система Вибираємо параметр «Не запускати зазначені додатки Windows".

Включаємо його, тиснемо "Застосувати".

З'явиться список заборонених додатків. Кількома "Показати" і в графи з'явився віконця по черзі виписуємо десктопні програми та ігри, запуск яких буде заблокований. Вписуємо їх повне ім'я з розширенням за типом: AnyDesk.exe

Після чого знову тиснемо "Застосувати" у вікні параметра. Тепер підконтрольний користувач замість запуску програми або гри побачить тільки ось це.

За таким же принципом можна сформувати перелік тільки дозволених для запуску програм та ігор, вибравши параметр в цій же гілці нижче "Виконувати тільки зазначені додатки Windows". І тоді для користувача буде блокуватися все, що не дозволено цим переліком.

2. Обмеження розміру профілю

Запал любителів завантажувати з Інтернету що попало і захаращувати розділ (C: \) можна зменшити, якщо обмежити профіль таких користувачів в розмірі. Йдемо по шляху: Адміністративні шаблони - Система - Профілі користувачів Вибираємо параметр "Обмежити розмір профілю".

Включаємо, встановлюємо максимальний розмір профілю в кБ, при бажанні можемо відредагувати повідомлення про перевищення ліміту простору профілю і виставити свій інтервал появи цього повідомлення. застосовуємо.

При досягненні зазначеного ліміту система буде видавати відповідне повідомлення.

3. Відключення запису на знімні носії

Відключення можливості запису на знімні носії - це запобіжний захід скоріше для серйозних організацій, пильнує про збереження комерційної таємниці. Таким чином на комп'ютерах співробітників блокується можливість перенесення на флешки або інші носії важливих даних. Але в сім'ях бувають різні ситуації. Так що якщо буде потрібно, для окремих людей можна відключити роботу з підключаються носіями - і читання, і запис. Робиться це шляхом: Адміністративні шаблони - Система - Доступ до знімним запам'ятовуючим пристроям.

Щоб, наприклад, хтось із близьких не переніс на знімний носій (будь-якого типу) зберігається на комп'ютері цінну інформацію, вибираємо параметр "Знімні диски: Заборонити запис". Включаємо, застосовуємо.

4. Видалення файлів повз кошика

При частому захаращення диска (C: \) облікові записи активно беруть участь в цьому процесі користувачів можна налаштувати так, щоб їх файли віддалялися повністю, минаючи кошик. Це робиться шляхом: Адміністративні шаблони - Компоненти Windows - Провідник Відриваємо параметр «Не переміщати файли, що видаляються в кошик".

Включаємо, застосовуємо.

5. Заборона доступу до дисків комп'ютера

Обмежити доступ інших користувачів до окремих дисках комп'ютера можна різними методами. Наприклад, шляхом установки заборони доступу в властивості диска або за допомогою функціоналу шифрування, зокрема, штатного BitLocker. Але є і спосіб за допомогою групової політики. Правда, працює він тільки для штатного провідника. Йдемо по шляху: Адміністративні шаблони - Компоненти Windows - Провідник Відкриваємо параметр "Заборонити доступ до дисків через" Мій комп'ютер ".

Включаємо, застосовуємо. З'явиться віконце вибору дисків комп'ютера. Вибираємо потрібний варіант і застосовуємо налаштування.

6. Заборона доступу до панелі управління і з додатком "Параметри"

Стандартні облікові записи в будь-якому випадку обмежені UAC, і з них неможливо без пароля адміністратора вносити якісь серйозні настройки в систему. Але при необхідності для стандартних користувачів можна і зовсім заборонити запуск панелі управління і додатки "Параметри". Щоб не могли змінювати навіть і те, на що не потрібно дозвіл адміністратора. Йдемо по шляху: Адміністративні шаблони - Компоненти Windows - Провідник Запускаємо параметр "Заборонити доступ до панелі управління і параметрам комп'ютера".