Wenn Sie das Verhalten von Windows ändern möchten, indem Sie mehr Kontrolle über die Sicherheit übernehmen oder einige Dinge deaktivieren, die Microsoft auf Sie wirft, können Sie dies tun, indem Sie die Gruppenrichtlinieneinstellungen anpassen. Ja, das kannst du auch machen Gleiches gilt für den RegistrierungseditorDie Gruppenrichtlinie bietet jedoch nur wenige weitere Vorteile, da sich die Gruppenrichtlinie im Gegensatz zur Registrierung nach einem Windows-Update nicht ändert. Am wichtigsten ist, dass Sie Gruppenrichtlinien entweder lokal auf Ihrem System konfigurieren oder das Active Directory so festlegen können, dass es auf mehrere Systeme in Ihrer Domäne angewendet wird. Dies ist besonders nützlich für Büros und Schulen, in denen Windows-Computer ausgeführt werden.
Beste Gruppenrichtlinieneinstellungen
Bevor wir beginnen, sollten Sie verstehen, dass Gruppenrichtlinien ein grafisches Tool sind, mit dem Sie native Betriebssystemeinstellungen, Kerneleinstellungen usw. bearbeiten können. Eine falsche Anpassung der Gruppenrichtlinie kann jedoch sogar zu Fehlfunktionen Ihres Betriebssystems führen. Wenn Sie also Änderungen vornehmen möchten, müssen Sie die Liste exportieren, bevor Sie Änderungen vornehmen.
Zugriff auf Gruppenrichtlinien
Eine der größten Einschränkungen von Gruppenrichtlinien besteht darin, dass sie nur auf Computern verfügbar sind, auf denen Windows Professional-, Education- oder Enterprise-Versionen ausgeführt werden. Obwohl Sie Windows Home ausführen, können Sie auf Gruppenrichtlinien zugreifen, jedoch mit wenigen Problemumgehungen, die im Folgenden erläutert werden.
Um auf Gruppenrichtlinien zuzugreifen, gibt es mehrere Möglichkeiten. Eine der einfachsten Möglichkeiten ist dies Öffnen Sie die Eingabeaufforderung> geben Sie "gpedit.msc" ein und klicken Sie auf die Eingabetaste.
Obwohl Gruppenrichtlinien nicht Teil der Windows Home-Editionen sind, gibt es immer noch eine Möglichkeit, darauf zuzugreifen. Sie müssen lediglich einen Gruppenrichtlinien-Editor eines Drittanbieters installieren, indem Sie diese Batch-Datei herunterladen. Öffnen Sie es als Administrator und es wird an der Eingabeaufforderung installiert. Die Installation dauert ca. 2 bis 3 Minuten. Öffnen Sie nach Abschluss des Vorgangs die Eingabeaufforderung erneut und geben Sie gpedit.msc ein, um darauf zuzugreifen.
1. Deaktivieren Sie die Softwareinstallation
Indem Sie Benutzern nicht erlauben, verschiedene Software zu installieren, können Sie den Wartungs- und Reinigungsaufwand verringern, der erforderlich ist, wenn etwas Schlimmes installiert wird, da dies auch einer der möglichen Gründe für die Malware ist. Dies ist besonders in Schulen noch nützlicher, in denen die Schüler nur auf das zugreifen sollen, was erforderlich ist.
Wenn Sie Benutzer daran hindern möchten, Programme zu installieren oder auszuführen, können Sie dies durch Öffnen festlegen Gruppenrichtlinie> Navigieren Sie zu Computerkonfigurationen> Administrative Vorlagen> Windows-Komponenten> Windows Installer und doppelklicken Sie auf Deaktivieren Sie Windows Installer Möglichkeit. Ändern Sie die Einstellung, um sie zu aktivieren, und stellen Sie sicher, dass die Option "Nur für nicht verwaltete Anwendungen" lautet, damit alle von der Verwaltung zugelassenen Apps installiert werden können. Klicken Sie nun auf Übernehmen und starten Sie den Computer neu, damit Änderungen vorgenommen werden.
Blockieren, um bestimmte Anwendungen auszuführen
Das Blockieren aller zu installierenden Apps ist in vielen Situationen übertrieben. Wenn Sie nur einige Apps blockieren möchten, können Sie diese Änderungen an der Gruppenrichtlinie vornehmen.
Öffnen Gruppenrichtlinie> Benutzerkonfiguration> Administrative Vorlagen> System und doppelklickenFühren Sie keine bestimmten Windows-Anwendungen ausMöglichkeit. Ändern Sie die zu aktivierende Einstellung und klicken Sie auf die Schaltfläche Anzeigen. Jetzt können Sie die Liste der Apps eingeben, die für die Benutzer blockiert werden sollen, und auf OK klicken. Klicken Sie nun auf Übernehmen und starten Sie das System neu, damit die Einstellungen angewendet werden.
2. Blockieren Sie den Zugriff auf die Systemsteuerung
Es ist wichtig, Grenzwerte für das Control Panel festzulegen, vor allem in Geschäftsumgebungen, da Sie so die Kontrolle über das gesamte System haben. Sie können entweder den gesamten Zugriff blockieren oder den Zugriff einschränken.
Öffnen Sie Gruppenrichtlinien>, um den Zugriff zu blockieren Benutzerkonfiguration> Administrative Vorlagen> Systemsteuerung> und doppelklicken Sie aufVerbieten Sie den Zugriff auf die Systemsteuerung und die PC-Einstellungen und klicken Sie auf Aktivieren und anwenden. Und die Änderungen werden sofort übernommen.
Nur bestimmte Bedienfeldelemente anzeigen
Der obige Vorgang blockiert den Zugriff auf das gesamte Bedienfeld. Aber wenn Sie die Nutzung einschränken möchten. Sie können dies tun, indem Sie Gruppenrichtlinie> öffnen Benutzerkonfiguration> Administrative Vorlagen> Systemsteuerung> und doppelklicken Sie auf Nur angegebene Elemente der Systemsteuerung anzeigenund klicken Sie auf Aktivieren. Klicken Sie nun auf die Option show, um die einzelnen anzuzeigenden Control Panel-Optionen festzulegen. Wenn es nicht in dieser Liste enthalten ist, wird es dem Benutzer nicht angezeigt.
Dies bedeutet, dass Sie jedes Element der Systemsteuerung, das Sie einschließen möchten, sorgfältig auswählen und eingeben müssen. Die Namen aller Elemente der Systemsteuerung finden Sie auf der Microsoft-Website.
3. Deaktivieren Sie die Eingabeaufforderung
Die Eingabeaufforderung ist zweifellos so nützlich und gleichzeitig ein Albtraum, da sie den Benutzern die Möglichkeit bietet, die Befehle und Programme auszuführen, für die Sie nicht vorgesehen sind. Es kann auch ein gefährliches Werkzeug in den Händen von Unerfahrenen sein. Es gibt viele Gründe, die Eingabeaufforderung zu deaktivieren. Vielleicht haben Sie Kinder, die sich einen Familiencomputer teilen, oder Sie lassen Gäste Ihren Computer verwenden, wenn sie bei Ihnen bleiben. Oder Sie betreiben einen Geschäftscomputer, den Sie sperren müssen.
Zum Deaktivieren öffnen Gruppenrichtlinie> Benutzerkonfiguration> Administrative Vorlagen> System und doppelklicken Sie auf Verhindern Sie den Zugriff auf die Eingabeaufforderung Möglichkeit. Ändern Sie die Richtlinie, um sie zu aktivieren und anzuwenden. Jetzt müssen Sie neu starten, damit die Änderungen übernommen werden.
4. Deaktivieren Sie den Windows-Registrierungseditor
Wie die Eingabeaufforderung kann der Registrierungseditor sogar Probleme verursachen und einige Gruppenrichtlinieneinschränkungen umgehen. Um die Richtlinie zu schützen, können Sie sie öffnen Gruppenrichtlinie> Benutzerkonfiguration> Administrative Vorlagen> System und doppelklicken Sie auf Verhindern Sie den Zugriff auf Tools zur Bearbeitung der Registrierung und aktivieren Sie es. Klicken Sie nun auf Übernehmen und starten Sie den PC neu, um die Änderungen zu übernehmen.
5. Blockieren Sie Wechselmedientreiber
USBs oder andere Arten von Wechselmedien können für den PC gefährlich sein. Wenn jemand versehentlich oder absichtlich ein mit Viren infiziertes Speichergerät verbindet, kann dies Auswirkungen auf den PC oder sogar die Domäne haben. Wenn Sie viele Computer ausführen, ist es schwierig, den Speicher zu verwalten, wenn Sie Medientreiber zulassen. Das Blockieren von Treibern für Wechselmedien wird häufig in vielen Schulen und Hochschulen verwendet.
Öffnen Sie, um Medientreiber zu blockieren Gruppenrichtlinie> Benutzerkonfiguration> Administrative Vorlagen> System> Wechselspeicherzugriff und doppelklicken Sie auf die Wechseldatenträger: Lesezugriff verweigern. Klicken Sie nun auf die Aktivierungsoption und wenden Sie an, um den PC anzuhalten und externe Treiber zu lesen.
Schreiboption blockieren
Die obige Option bewirkt nur, dass der PC die Dateien auf dem externen Gerät nicht liest. Sie können die Dateien jedoch weiterhin auf das externe Gerät kopieren. Wenn Sie die Dateien schützen möchten, müssen Sie auch die Schreiboption blockieren. Dies wird üblicherweise in Geschäftsumgebungen implementiert.
Öffnen Sie, um Schreiboptionen zu blockieren Gruppenrichtlinie> Benutzerkonfiguration> Administrative Vorlagen> System> Wechselspeicherzugriff und doppelklicken Sie auf die Wechseldatenträger: Schreibzugriff verweigern. Aktivieren Sie nun die Option und wählen Sie Übernehmen, um die Änderungen zu übernehmen.
Alternativ können Sie verwenden Alle Wechselspeicherklassen: Verweigern Sie jeglichen Zugriff um sowohl Lese- als auch Schreiboptionen gleichzeitig zu blockieren.
6. Verstecken Sie das Partitionslaufwerk vor dem Computer
Wenn sich in den Systemen vertrauliche Informationen befinden, möchten Sie diese möglicherweise vor den jeweiligen Benutzern verbergen, um darauf zugreifen zu können. Sie können dies über die Gruppenrichtlinieneinstellungen tun. Denken Sie jedoch daran, dass diese Einstellung sie nur vor dem Datei-Explorer und wenigen anderen Apps verbirgt, die Benutzer jedoch weiterhin über die Eingabeaufforderung darauf zugreifen können.
Wie auch immer, Sie können es durch Öffnen ausblenden Gruppenrichtlinie> Benutzerkonfiguration> Administrative Vorlagen> Windows-Komponenten> Windows Explorer und doppelklicken Sie auf Ausblenden dieser angegebenen Laufwerke auf dem Arbeitsplatz und wählen Sie die Aktivierungsoption. Klicken Sie nach der Aktivierung im Optionsfeld auf das Dropdown-Menü und wählen Sie aus, welche Laufwerke Sie ausblenden möchten. Die Laufwerke werden ausgeblendet, wenn Sie auf OK klicken.
7. Erhöhen Sie die minimale Kennwortlänge
Die Standardlänge des Windows-Kennworts beträgt 8, und Sie müssen mindestens einen Groß-, Klein- und Kleinbuchstaben oder ein Sonderzeichen verwenden. Es ist eigentlich gut gesichert. Sie können die Sicherheit jedoch verbessern, indem Sie die Kennwortlänge erhöhen. Sie können es zusammen mit Groß-, Klein- und Kleinbuchstaben oder Sonderzeichen auf 14 einstellen.
Sie können dies durch Öffnen ändern Gruppenrichtlinie> Computerkonfiguration> Windows-Einstellungen> Sicherheitseinstellungen> Kontorichtlinien> Kennwortrichtlinie und doppelklicken Sie Minimale Passwortlänge policy & Geben Sie einen Wert für die Länge an und klicken Sie auf und wenden Sie ihn an.
8. Verfolgen Sie Kontoanmeldungen
Mit Gruppenrichtlinien können Sie Windows zwingen, alle erfolgreichen und fehlgeschlagenen Anmeldungen am PC zu verfolgen. Sie können es entweder auf einen bestimmten Computer oder einen bestimmten Benutzer einstellen. Auf jeden Fall ist dies nützlich, um die nicht autorisierten Personen zu verfolgen, die versuchen, sich anzumelden. Sie können es durch Öffnen aktivieren Gruppenrichtlinie> Computerkonfiguration> Windows-Einstellungen> Sicherheitseinstellungen> Lokale Richtlinien> Überwachungsrichtlinie und zweimal auf tippen Anmeldeereignisse überwachen.
Aktivieren Sie hier das Kontrollkästchen neben"Erfolg" und"Fehler" Optionen. Wenn Sie auf OK klicken, zeichnet Windows die am PC vorgenommenen Anmeldungen auf.
Um diese Anmeldungen anzuzeigen, öffnen Sie Ausführen und geben Sie ein eventvwr um die Windows-Ereignisanzeige zu öffnen. Erweitern Sie nun die Windows-Protokolle und wählen Sie dann die Sicherheit Möglichkeit. Im mittleren Bereich können Sie alle Anmeldeversuche anzeigen. Sie können sich das Konto ansehen, bei dem versucht wurde, sich anzumelden, das Datum und auch die Uhrzeit. Erfolg und fehlgeschlagene Versuche werden jedoch mit Code erwähnt.
9. Deaktivieren Sie OneDrive
Vielleicht magst du OneDrive oder hasst es total. Wenn Sie oder Ihre Organisation OneDrive nicht verwenden oder nur von Ihrem PC entfernen möchten, können Sie Gruppenrichtlinien verwenden. Öffnen Gruppenrichtlinie> Computerkonfiguration> Administrative Vorlagen> Windows-Komponenten> OneDrive und doppelklicken Verhindern Sie die Verwendung von OneDrive zur Dateispeicherung. Aktivieren Sie es jetzt und klicken Sie auf Übernehmen. Sie müssen den PC für die Änderungen neu starten.
10. Behalten Sie die Kontrolle über Gruppenrichtlinienänderungen
Auf jeden Fall können diese Änderungen auf den Normalzustand zurückgesetzt werden, indem die Gruppenrichtlinie mit derselben Methode verwendet wird, sie jedoch wieder deaktiviert werden. Mithilfe der Gruppenrichtlinienobjektüberwachung können Sie weiterhin für Gruppenrichtlinien verantwortlich sein. Versuchen Sie Lepide Change Reporter, um Änderungen an Gruppenrichtlinienobjekten kontinuierlich zu verfolgen.
Einpacken
Nachdem Sie die Gruppenrichtlinieneinstellungen angepasst haben, müssen Sie die Einstellungen in die Computergruppe in Active Directory verschieben, in der Sie das Verzeichnis für jeden PC in der Domäne festlegen können. Sie können auch bestimmte Gruppenrichtlinien nur für einzelne Benutzer oder Computer festlegen. Jetzt müssen Sie nur noch die Gruppenrichtlinie aus Active Directory herunterladen, um sie anzuwenden. Alle Änderungen am Active Directory gelten automatisch für die einzelnen Systeme.
