Ограничения пользователей компьютера с помощью локальной групповой политики

Ограничения пользователей компьютера с помощью локальной групповой политики

Ограничения пользователей компьютера с помощью локальной групповой политики

Категория: Учётные записи и пароли / Функционал Windows
Добавил:
access_timeОпубликовано: 6-10-2017
visibilityПросмотров: 135 653
chat_bubble_outlineКомментариев: 29

Друзья, в одной из недавних статей сайта мы рассмотрели 5 способов ограничения возможностей пользователей компьютеров, реализуемых за счёт превалирования учётных записей администраторов над стандартными и использования функционала типа «Родительский контроль». В этой статье продолжим тему осуществления контроля пользователей, которым мы вынуждены иногда доверять свои компьютеры, однако не можем быть уверенными в их действиях в силу неосознанности или неопытности. Рассмотрим, какие ещё действия детей и неопытных взрослых можно ограничить в среде Windows. И для этих целей будем использовать штатный инструмент локальной групповой политики, доступный в редакциях Windows, начиная с Pro.

Ограничения пользователей компьютера с помощью локальной групповой политики

Групповая политика для всех пользователей компьютера

{banner_google1}
Групповая политика – это инструмент, с помощью которого можно гибко настроить работу Windows. Управление этим функционалом осуществляется посредством редактора gpedit.msc. Для быстрого запуска его название можно ввести в поле внутрисистемного поиска или команды «Выполнить». Редактор содержит две основных ветки параметров:
• «Конфигурация компьютера», где содержатся параметры для всего компьютера, то есть для всех его пользователей;
• «Конфигурация пользователя» – каталог, содержащий параметры отдельных пользователей компьютера.

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325de75083

Внесение изменений непосредственно в окне редактора будет иметь силу для всех учётных записей. Если, например, заблокировать запуск каких-то программ, эта блокировка будет применена и для администратора, и для стандартных пользователей. Если на компьютере проводится работа с единственной учётной записи администратора, можно сразу приступать к рассмотрению конкретных параметров, которые приводятся в последнем разделе статьи. Но если у других членов семьи есть свои учётные записи, при этом ограничения не должны касаться администратора, потребуется ещё кое-что настроить.

Групповая политика для отдельных учётных записей

Как сделать так, чтобы с помощью локальной групповой политики можно было вносить изменения только для отдельных учётных записей? Возможность управления этим инструментом системы в части применения изменений не для всех, а лишь для выбранных пользователей компьютера, появится, если редактор добавить в качестве оснастки консоли ММС. С помощью внутрисистемного поисковика или команды «Выполнить» запускаем штатную утилиту mmc.exe. В меню «Файл» консоли выбираем «Добавить или удалить оснастку».

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325de97a89

В колонке справа выбираем «Редактор объектов групповой политики», жмём посередине «Добавить».

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325deb509b

Теперь – «Обзор».

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325ded51b7

И добавляем пользователей. Выбираем:
• либо «Не администраторы», если нужно, чтобы настройки применялись ко всем имеющимся в системе учётным записям типа «Стандартный пользователь»;
• либо конкретного пользователя.

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325def1283

Готово.

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325df13d53

Жмём «Ок» в окошке добавления оснасток, затем в меню «Файл» выбираем «Сохранить как».

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325df331a3

Задаём файлу консоли имя, указываем какой-нибудь удобный путь сохранения, скажем, на рабочем столе, и сохраняем.

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325df4c2ef

Итак, мы создали оснастку редактора групповой политики для отдельного пользователя. Это, по сути, тот же редактор, что и gpedit.msc, но ограниченный наличием только единственной ветки «Конфигурация пользователя». В этой ветке и будем работать с параметрами групповой политики.

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325df64bf0

Сохранённый файл консоли нужно будет запускать каждый раз при необходимости изменить параметры групповой политики для отдельных учётных записей.

Ограничения с помощью групповой политики

Редактор групповой политики содержит массу параметров, которые вы, друзья, можете самостоятельно исследовать и решить, какие из них необходимо применять в вашем конкретном случае. Я же сделал небольшую подборку запретов в среде Windows 10 на своё усмотрение. Все они будут касаться только подконтрольного пользователя. И, соответственно, изменения будут вноситься в ветку редактора «Конфигурация пользователя».

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325df64bf0

Итак, если нужно внести ограничения для всех, кто пользуется компьютером, запускаем редактор gpedit.msc. А если нужно урезать возможности отдельных людей, но чтобы это не касалось администратора, запускаем созданный файл консоли и работаем с редактором внутри неё.

1. Запрет запуска отдельных программ

Если кого-то нужно ограничить в работе с отдельными программами или играми, следуем по пути:
Административные шаблоны — Система
Выбираем параметр «Не запускать указанные приложения Windows».

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325df8c04b

Включаем его, жмём «Применить».

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325dfb0d16

Появится список запрещённых приложений. Кликаем «Показать» и в графы появившегося окошка поочерёдно выписываем десктопные программы и игры, запуск которых будет заблокирован. Вписываем их полное имя с расширением по типу:
AnyDesk.exe

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325dfd5d93

После чего снова жмём «Применить» в окне параметра. Теперь подконтрольный пользователь вместо запуска программы или игры увидит только вот это.

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325dff4095

По такому же принципу можно сформировать перечень только разрешённых для запуска программ и игр, выбрав параметр в этой же ветке ниже «Выполнять только указанные приложения Windows». И тогда для пользователя будет блокироваться всё, что не разрешено этим перечнем. 

2. Ограничение размера профиля

Пыл любителей скачивать с Интернета что попало и захламлять раздел (C:) можно поубавить, если ограничить профиль таких пользователей в размере. Идём по пути:
Административные шаблоны – Система – Профили пользователей
Выбираем параметр «Ограничить размер профиля».

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325e02183f

Включаем, устанавливаем максимальный размер профиля в кБ, при желании можем отредактировать сообщение о превышении лимита пространства профиля и выставить свой интервал появления этого сообщения. Применяем.

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325e04b7e4

При достижении указанного лимита система будет выдавать соответствующее сообщение.

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325e079204

3. Отключение записи на съёмные носители

Отключение возможности записи на съёмные носители – это мера предосторожности скорее для серьёзных организаций, бдящих о сохранении коммерческой тайны. Таким образом на компьютерах сотрудников блокируется возможность переноса на флешки или прочие носители важных данных. Но в семьях бывают разные ситуации. Так что если потребуется, для отдельных людей можно отключить работу с подключаемыми носителями – и чтение, и запись. Делается это по пути:
Административные шаблоны – Система – Доступ к съёмным запоминающим устройствам.

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325e093901

Чтобы, например, кто-то из близких не перенёс на съёмный носитель (любого типа) хранящуюся на компьютере ценную информацию, выбираем параметр «Съёмные диски: Запретить запись». Включаем, применяем.

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325e0bad2f

4. Удаление файлов мимо корзины

При частом захламлении диска (C:) учётные записи активно участвующих в этом процессе пользователей можно настроить так, чтобы их файлы удалялись полностью, минуя корзину. Это делается по пути:
Административные шаблоны – Компоненты Windows – Проводник
Отрываем параметр «Не перемещать удаляемые файлы в корзину».

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325e0e25b9

Включаем, применяем.

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325e11747c

5. Запрет доступа к дискам компьютера

Ограничить доступ других пользователей к отдельным дискам компьютера можно разными методами. Например, путём установки запрета доступа в свойствах диска или посредством функционала шифрования, в частности, штатного BitLocker. Но есть и способ с помощью групповой политики. Правда, работает он только для штатного проводника. Идём по пути:
Административные шаблоны – Компоненты Windows – Проводник
Открываем параметр «Запретить доступ к дискам через «Мой компьютер».

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325e13ced3

Включаем, применяем. Появится окошко выбора дисков компьютера. Выбираем нужный вариант и применяем настройки.

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325e16055a

6. Запрет доступа к панели управления и приложению «Параметры»

Стандартные учётные записи в любом случае ограничены UAC, и с них невозможно без пароля администратора вносить какие-то серьёзные настройки в систему. Но при необходимости для стандартных пользователей можно и вовсе запретить запуск панели управления и приложения «Параметры». Чтобы не могли менять даже и то, на что не требуется разрешение администратора. Идём по пути:
Административные шаблоны – Компоненты Windows – Проводник
Запускаем параметр «Запретить доступ к панели управления и параметрам компьютера».

d0bed0b3d180d0b0d0bdd0b8d187d0b5d0bdd0b8d18f d0bfd0bed0bbd18cd0b7d0bed0b2d0b0d182d0b5d0bbd0b5d0b9 d0bad0bed0bcd0bfd18cd18ed182d0b5d180 65d325e190dd3

Включаем, применяем.
tagsКлючевые слова
     Рекомендуем другие статьи по данной теме
Ctrl
Enter
Заметили ошибку

Выделите и нажмите Ctrl+Enter

Учётные записи и пароли, Функционал Windows
Ограничения пользователей компьютера с помощью локальной групповой политики