今日のレッスンでは、 ローカルグループポリシーエディターの使用方法について説明します。これは、Windowsの隠れた非常に完全なセクションであり、PCに多くの変更を加えることができます。 グループポリシーエディターは、ProバージョンのWindowsでのみ使用でき、ホームバージョンおよびプレミアムバージョンにはありません。
ただし、gpedit.mscをWindows 10、7、および8 Homeにダウンロードしてインストールできます。
一般に、自宅のPCでこれらのグループポリシーに触れる理由はありませんが、変更が必要な場合に備えて、それらにアクセスする方法と準備ができないようにするためにできることを知ることが重要です。
たとえば、グループポリシーは、企業ネットワークのセキュリティを構成して、すべてのコンピューターで特定の変更をブロックしたり、ユーザーが承認されていないソフトウェアを実行できないようにするのに役立ちます。
Windowsでグループポリシーエディターを開くには、 Windows-Rキーを押して[ 実行]ウィンドウを開き、 gpedit.mscコマンドを記述して実行する必要があります。
開くウィンドウは他の管理ツールと同様であり、それぞれに多くの設定が含まれるフォルダーの階層ツリーがあります。
設定は本当にたくさんありますが、それでも詳細に説明されています。
主に2つのフォルダーがあります。すべてのユーザーのシステム動作に影響する設定を持つコンピューター構成と 、それを使用するユーザーに基づいてWindowsの動作を変更するためのユーザー構成です。
2つのメインフォルダーの下には3つのセクションがあります。
- ソフトウェア設定 、カスタマイズされた新しい構成を作成する場所。
-Windows設定は、セキュリティ設定と起動/停止スクリプトを含むフォルダーです。
- 管理モデル 。レジストリベースの構成は介入が容易な部分であり、多くのオプションが利用可能です。
セキュリティ設定 (いくつかの例)
ユーザーレベルでコンピューターのセキュリティを制限する方法の例を示すには、 [ユーザーの構成]-> [管理用テンプレート]-> [システム ]に移動し、[ コマンドプロンプトへのアクセスを禁止する ]設定をダブルクリックします。
開いたウィンドウからコントロールをアクティブにし、[適用]を押して、PCのすべてのユーザーのコマンドプロンプトへのアクセスをブロックできます。
同じフォルダ内の別のオプションを使用すると、コンピュータで開くことができるプログラムを選択して作成できます。
[ 指定されたWindowsアプリケーションのみを実行する ]をダブルクリックして有効にし、許可するプログラムを指定します。
他のものはすべてブロックされます。
[コンピューターの構成]-> [Windowsの設定]-> [セキュリティの設定]-> [ローカルポリシー]-> [セキュリティオプション]フォルダーには、必要に応じてコンピューターをもう少し安全にするための便利な設定が多数あります。
たとえば、管理者アカウントとゲストアカウントの名前を変更し、「 ユーザーアカウント制御:管理者の特権の昇格要求の動作 」に対する資格情報の要求をアクティブ化して、毎回パスワードの入力を求めることができます。管理者モードで何かをしようとしています。
このオプションを使用すると、Windowsはより安全になり、変更を行う必要があるたびにパスワードを入力するように求められるLinuxおよびMacと同様になります。
ユーザーアカウント制御では、署名および検証された実行可能ファイルのみを昇格し、デジタル署名されていないアプリケーションは管理者として実行できません。
回復コンソールを使用して、システム操作を実行するために回復コンソールを使用する場合、パスワードの要求がないように自動管理アクセスを許可します 。
お気づきのとおり、グループポリシーエディターには膨大な数の設定がありますので、好奇心から見て、時間をかけてそれらを確認する価値があります。
ほとんどの設定では、使用したくないWindows機能を無効にできます。
リストにあるポリシーの多くは、Windowsのすべてのバージョンに適用されるわけではないことに注意してください。
グループポリシーエディターを使用してのみ実行できることのもう1つの例は 、PCを再起動するたびに、ログオフ後またはシャットダウン後に実行するスクリプトを作成することです。
これは、コンピューターをオフにするたびにシステムをクリーンアップしたり、一部のファイルのクイックバックアップを作成したりするのに役立ちます。また、両方にバッチファイルまたはPowerShellスクリプトを使用することもできます。
唯一の注意点は、これらのスクリプトをバックグラウンドで実行する必要があることです。そうしないと、ログオフプロセスがブロックされます。
実行できるスクリプトには2種類あります。
[ コンピューターの構成]-> [Windowsの設定]-> [スクリプト]でスクリプトを開始/停止し、ローカルシステムアカウントで実行します。システムファイルを操作できますが、ユーザーアカウントとしては実行されません。
ユーザー設定-> Windows設定->スクリプトのログイン/ログアウトスクリプト 。
ログインおよびログアウトスクリプトでは、UACが完全に無効になっていない場合、管理者アクセスを必要とするコマンドを実行できません。
コントロールパネルの管理ツールの1つであるスケジューラで、同じ操作をより簡単にスケジュールできることに注意してください。
グループポリシーエディターは非常に豊富であるため、編集するのに最適な完全で包括的なガイドを見つけることは不可能です。
他の記事で、私は彼らを以下に関して疑問に思った:
-Windows 8.1でSkydriveを無効にする(または非表示にする)方法
-Windows 7でBitlockerをアクティブ化する
-Internet Explorer 11でエンタープライズモードを有効にする
-Windows 7および8でUACコントロールを無効にする
