Als u wilt veranderen hoe Windows zich gedraagt door meer controle te krijgen over de beveiliging of door enkele dingen uit te schakelen die Microsoft naar u toe gooit, kunt u dat doen door de instellingen van het Groepsbeleid aan te passen. Ja, u kunt ook de hetzelfde vanuit de Register-editor, maar Groepsbeleid heeft nog enkele voordelen, zoals Groepsbeleid zal niet veranderen na een Windows-update, in tegenstelling tot Register. Het belangrijkste is dat u Groepsbeleid lokaal op uw systeem kunt configureren of ervoor kunt zorgen dat de active directory van toepassing is op meerdere systemen in uw domein. Dit is dus vooral handig voor kantoren en scholen met Windows-computers.
Beste instellingen voor groepsbeleid
Voordat we beginnen, moeten we begrijpen dat Groepsbeleid een grafische tool is waarmee u systeemeigen OS-instellingen, Kernel-instellingen, enz. Kunt bewerken. Als u het Groepsbeleid echter op een verkeerde manier aanpast, kan dit er zelfs toe leiden dat uw besturingssysteem defect raakt. Dus als u wijzigingen gaat aanbrengen, zorg er dan voor dat u de lijst exporteert voordat u wijzigingen aanbrengt.
Toegang krijgen tot groepsbeleid
Een van de grootste kanttekeningen bij Groepsbeleid is dat het alleen beschikbaar is op computers met Windows Professional-, Education- of Enterprise-versies. Hoewel u Windows Home gebruikt, hebt u toegang tot Groepsbeleid, maar met enkele tijdelijke oplossingen, die ik hieronder zal uitleggen.
Er zijn meerdere manieren om toegang te krijgen tot Groepsbeleid, een van de gemakkelijkste is om open de opdrachtprompt> typ "gpedit.msc" en klik op enter.
Hoewel Groepsbeleid geen deel uitmaakt van Windows Home-edities, is er nog steeds een manier om er toegang toe te krijgen. Het enige dat u hoeft te doen, is een externe groepsbeleid-editor installeren door dit batchbestand te downloaden. Open het als beheerder, het zal beginnen met installeren in de opdrachtprompt. Het duurt ongeveer 2-3 minuten om te installeren. Zodra het proces is voltooid, opent u de opdrachtprompt opnieuw en typt u gpedit.msc om deze te openen.
1. Schakel alle software-installatie uit
Door gebruikers niet toe te staan verschillende software te installeren, kunt u de hoeveelheid onderhoud en reiniging verminderen die nodig is wanneer er iets slechts wordt geïnstalleerd, aangezien dit ook een van de mogelijke redenen voor de malware is. Dit is zelfs nog nuttiger, vooral op scholen, waar u wilt dat studenten alleen toegang hebben tot wat nodig is.
Als u wilt voorkomen dat gebruikers programma's installeren of uitvoeren, kunt u dat instellen door te openen Groepsbeleid> Navigeer naar Computerconfiguraties> Beheersjablonen> Windows-componenten> Windows Installer en dubbelklik op Schakel Windows Installer uit keuze. Verander de instelling om in te schakelen en zorg ervoor dat de optie zegt "Alleen voor niet-beheerde applicaties", zodat ze alle apps kunnen installeren die zijn toegestaan door het management. Klik nu op Toepassen en start de computer opnieuw op om wijzigingen door te voeren.
Blokkeren om specifieke applicaties uit te voeren
Het blokkeren van alle te installeren apps is in veel situaties overdreven. Als u slechts een paar apps wilt blokkeren, kunt u deze wijzigingen aanbrengen in het groepsbeleid.
Open Groepsbeleid> Gebruikersconfiguratie> Beheersjablonen> Systeem en dubbelklikVoer geen specifieke Windows-applicaties uitkeuze. Verander de instelling om in te schakelen en klik op de showknop. Nu kunt u de lijst met apps openen die u voor de gebruikers wilt blokkeren en op ok klikken. Klik nu op Toepassen en start het systeem opnieuw om de instellingen toe te passen.
2. Blokkeer de toegang tot het Configuratiescherm
Het is belangrijk om limieten in te stellen voor het bedieningspaneel, meestal in zakelijke omgevingen, omdat het u controle geeft over het hele systeem. U kunt de volledige toegang blokkeren of de toegang beperken.
Open Groepsbeleid> om de toegang te blokkeren Gebruikersconfiguratie> Beheersjablonen> Configuratiescherm> en dubbelklik opVerbied toegang tot het Configuratiescherm en pc-instellingen en klik op inschakelen en toepassen. En de wijzigingen worden meteen toegepast.
Alleen specifieke items op het bedieningspaneel weergeven
Het bovenstaande proces blokkeert de toegang tot het hele bedieningspaneel. Maar als u het gebruik wilt beperken. u kunt dat doen door Groepsbeleid> te openen Gebruikersconfiguratie> Beheersjablonen> Configuratiescherm> en dubbelklik op Toon alleen gespecificeerde items in het Configuratieschermen klik op inschakelen. Klik nu op de showoptie om elke optie in het configuratiescherm te laten zien. Als het niet op deze lijst staat, wordt het niet aan de gebruiker getoond.
Dit betekent dat u zorgvuldig elk item in het configuratiescherm dat u wilt opnemen, moet kiezen en typen. U kunt de namen van alle items in het Configuratiescherm vinden op de website van Microsoft.
3. Schakel de opdrachtprompt uit
Command Prompt is ongetwijfeld zo handig en tegelijkertijd een nachtmerrie, omdat het de gebruikers de mogelijkheid geeft om de commando's en programma's uit te voeren waarvoor u niet bedoeld bent. Het kan ook een gevaarlijk hulpmiddel zijn in de handen van onervaren mensen. Er zijn veel redenen om de opdrachtprompt uit te schakelen. Misschien heeft u kinderen die een gezinscomputer delen of laat u gasten uw computer gebruiken wanneer ze bij u blijven. Of misschien heeft u een zakelijke computer die u moet vergrendelen.
Open om uit te schakelen Groepsbeleid> Gebruikersconfiguratie> Beheersjablonen> Systeem en dubbelklik op Voorkom toegang tot de opdrachtprompt keuze. Wijzig het beleid om het in te schakelen en toe te passen. Nu heb je een herstart nodig om de wijzigingen toe te passen.
4. Schakel de Windows Register-editor uit
Hetzelfde als de opdrachtprompt, kan de registereditor zelfs dingen breken en enkele beperkingen van het groepsbeleid omzeilen. Dus om het beleid te beschermen, kunt u openen Groepsbeleid> Gebruikersconfiguratie> Beheersjablonen> Systeem en dubbelklik op Voorkom toegang tot hulpprogramma's voor het bewerken van het register en schakel het in. Klik nu op Toepassen en start de pc opnieuw op om wijzigingen toe te passen.
5. Blokkeer stuurprogramma's voor verwisselbare media
USB-sticks of andere vormen van verwisselbare media-apparaten kunnen gevaarlijk zijn voor de pc. Als iemand per ongeluk of opzettelijk verbinding maakt met een met een virus geïnfecteerd opslagapparaat, kan dit gevolgen hebben voor de pc of zelfs het domein. Wanneer u veel computers gebruikt, maakt het toestaan van mediastuurprogramma's het moeilijk om de opslag te beheren. Het blokkeren van stuurprogramma's voor verwisselbare media wordt vaak gebruikt in veel scholen en hogescholen.
Open om mediastuurprogramma's te blokkeren Groepsbeleid> Gebruikersconfiguratie> Beheersjablonen> Systeem> Toegang tot verwijderbare opslag en dubbelklik op het Verwisselbare schijven: leestoegang weigeren. Klik nu op de inschakeloptie en solliciteer om de pc te stoppen om externe stuurprogramma's te lezen.
Schrijfoptie blokkeren
De bovenstaande optie zorgt ervoor dat de pc de bestanden op het externe apparaat niet leest. Maar u kunt de bestanden nog steeds naar het externe apparaat kopiëren. Als u de bestanden wilt beveiligen, moet u ook de schrijfoptie blokkeren. Dit wordt vaak geïmplementeerd in zakelijke omgevingen.
Open om schrijfopties te blokkeren Groepsbeleid> Gebruikersconfiguratie> Beheersjablonen> Systeem> Toegang tot verwijderbare opslag en dubbelklik op het Verwisselbare schijven: schrijftoegang weigeren. Schakel nu de optie in en selecteer Toepassen om de wijzigingen toe te passen.
Als alternatief kunt u Alle verwijderbare opslagklassen: alle toegang weigeren om zowel lees- als schrijfopties tegelijkertijd te blokkeren.
6. Verberg de partitiestation van de computer
Als er gevoelige informatie in de systemen is, wilt u deze misschien verbergen voor specifieke gebruikers om er toegang toe te krijgen. U kunt dat doen via de instellingen van Groepsbeleid. Maar onthoud dat deze instelling het alleen verbergt voor de bestandsverkenner en enkele andere apps, maar mensen hebben er nog steeds toegang toe vanaf de opdrachtprompt.
U kunt het hoe dan ook verbergen door te openen Groepsbeleid> Gebruikersconfiguratie> Beheersjablonen> Windows-componenten> Windows Verkenner en dubbelklikken op Deze gespecificeerde schijven verbergen op Deze computer en selecteer de optie inschakelen. Eenmaal ingeschakeld, klikt u op het vervolgkeuzemenu in het paneel Opties en selecteert u welke stations u wilt verbergen. De schijven worden verborgen wanneer u op OK klikt.
7. Vergroot de minimale wachtwoordlengte
De standaard Windows-wachtwoordlengte is 8 en u moet ten minste één hoofdletter, kleine letter en cijfer of speciaal teken gebruiken. Het is eigenlijk goed beveiligd. Maar u kunt de beveiliging verbeteren door de wachtwoordlengte te vergroten. U kunt maximaal 14 instellen in combinatie met hoofdletters, kleine letters en cijfers of speciale tekens.
U kunt dat veranderen door te openen Groepsbeleid> Computerconfiguratie> Windows-instellingen> Beveiligingsinstellingen> Accountbeleid> Wachtwoordbeleid en dubbelklik Minimale wachtwoordlengte policy & Specificeer een waarde voor de lengte en klik op en pas toe.
8. Houd accountaanmeldingen bij
Met Groepsbeleid kunt u vensters dwingen om alle geslaagde en mislukte aanmeldingen op de pc bij te houden. U kunt het instellen op een specifieke computer of een specifieke gebruiker. Dit is hoe dan ook handig om de onbevoegde personen te volgen die proberen in te loggen. U kunt het inschakelen door te openen Groepsbeleid> Computerconfiguratie> Windows-instellingen> Beveiligingsinstellingen> Lokaal beleid> Controlebeleid en dubbeltik op Audit aanmeldingsgebeurtenissen.
Vink hier het selectievakje naast aan"Succes" en"Mislukking" opties. Wanneer u op ok klikt, zal Windows beginnen met het bijhouden van de aanmeldingen op de pc.
Om die aanmeldingen te bekijken, Open Uitvoeren en voer in eventvwr om Windows Event Viewer te openen. Vouw nu het Windows-logboeken en selecteer vervolgens het Veiligheid keuze. In het middelste paneel kun je alle inlogpogingen bekijken. U kunt het account bekijken dat u heeft geprobeerd in te loggen, de datum en ook de tijd. Maar succes en mislukte pogingen worden vermeld met code.
9. Schakel OneDrive uit
Misschien vind je OneDrive leuk of heb je er een hekel aan. Als u of uw organisatie geen gebruik maakt van OneDrive of als u deze gewoon van uw pc wilt verwijderen, kunt u dat doen met Groepsbeleid. Open Groepsbeleid> Computerconfiguratie> Beheersjablonen> Windows-componenten> OneDrive en dubbelklik Voorkom het gebruik van OneDrive voor bestandsopslag. Schakel het nu in en klik op Toepassen. U moet de pc opnieuw opstarten voor de wijzigingen.
10. Houd de wijzigingen in het groepsbeleid onder controle
Deze wijzigingen kunnen hoe dan ook worden teruggedraaid naar normaal door het groepsbeleid met dezelfde methode te gebruiken, maar ze weer in te stellen om uit te schakelen. U kunt de leiding houden over het groepsbeleid door gebruik te maken van groepsbeleidsobjectcontrole. Probeer Lepide Change Reporter om continu wijzigingen in groepsbeleidsobjecten bij te houden.
Afsluiten
Als u klaar bent met het aanpassen van de groepsbeleidinstellingen, moet u de instellingen verplaatsen naar de computergroep in Active Directory, waar u de directory voor elke pc in het domein kunt instellen. U kunt ook specifiek groepsbeleid instellen voor alleen individuele gebruikers of computers. Nu hoeft u alleen maar het groepsbeleid uit de Active Directory te downloaden om het toe te passen. Alle wijzigingen in de active directory worden automatisch toegepast op de individuele systemen.