Bruke den lokale gruppepolicyredigereren i Windows (gpedit.msc)

Lær hvordan du bruker Windows' redigeringsprogram for lokale gruppepolicyer (gpedit.msc) for å effektivt tilpasse systeminnstillinger og forbedre sikkerheten på PC-en din.

I dagens leksjon skal vi se på hvordan vi bruker redigeringsprogrammet for lokale gruppepolicyer, en skjult, men svært nyttig del av Windows, hvor man kan gjøre mange endringer på PC-en som ellers ville kreve kompliserte redigeringer av registernøkler. Redigeringsprogrammet for gruppepolicyer er tilgjengelig kun i Pro-versjonene av Windows 10, Windows 11, Windows 7 og 8.1, og det finnes ikke i Home og Premium-versjonene.

Det er likevel mulig å laste ned og installere gpedit.msc i Windows Home.

Generelt er det ikke noe særlig behov for å justere disse gruppepolicyene på en hjemme-PC, men det er viktig å vite hvordan man får tilgang til dem og hva man kan gjøre, slik at man er forberedt dersom det kreves en endring. For eksempel er gruppepolicyer nyttige for å konfigurere sikkerheten i et bedriftsnettverk, slik at man kan blokkere visse endringer på alle datamaskiner eller hindre brukere i å kjøre uautoriserte programmer.

Hva er redigeringsprogrammet for gruppepolicyer?

Redigeringsprogrammet for lokale gruppepolicyer lar deg endre regler som definerer oppførselen til Windows. Du kan for eksempel begrense tilgangen til visse funksjoner, forbedre sikkerheten eller automatisere enkelte oppgaver. Det er som å ha en nøkkel for å låse opp skjulte innstillinger.

Dette verktøyet fungerer som et kontrollpanel, men uten menyer, og kun med en liste av tekstalternativer som kan aktiveres eller deaktiveres. Noen ganger er alternativene enkle, mens andre ganger er de ikke lette å forstå, og derfor bør de ikke endres med mindre man er ekspert.

Åpne lokale gruppepolicyer

For å åpne redigeringsprogrammet for gruppepolicyer på Windows må du åpne et Kjør-vindu ved å trykke Windows-R og deretter skrive og kjøre kommandoen gpedit.msc.

Vinduet som åpnes, ligner på ethvert annet administrasjonsverktøy, med et hierarkisk tre av mapper som hver inneholder mange innstillinger. Det er virkelig mange innstillinger, men de er beskrevet på en detaljert måte.

De to hovedmappene er: Datamaskinkonfigurasjon, med innstillinger som påvirker systemoppførselen for alle brukere, og Brukerkonfigurasjon, for å endre oppførselen til Windows basert på brukeren som benytter den.

Under de to hovedmappene finner man tre seksjoner:

• Programvareinnstillinger, hvor man kan lage nye tilpassede konfigurasjoner.
• Windows-innstillinger er en mappe som inneholder sikkerhetsinnstillinger og oppstart/nedstengingsskript.
• Administrative maler, med konfigurasjoner basert på registeret, som er den delen det er enklest å endre, med mange tilgjengelige alternativer.

Hva kan man gjøre med redigeringsprogrammet?

Mulighetene er mange; det ville trengt en håndbok kun for dette, ettersom det i hovedsak inneholder alle konfigurasjonsalternativer for Windows-systemet. Vi kan likevel gi noen praktiske eksempler for å forstå hvordan man bruker det.

Tilpasse oppstarten av Windows

Ønsker du å akselerere oppstarten av PC-en? Du kan deaktivere unødvendige funksjoner. Gå til Datamaskinkonfigurasjon > Administrative maler > System. Her finner du alternativer for å håndtere oppstartsprosessen. For eksempel kan du redusere lastetidene for programmene.

Sikkerhetsinnstillinger

Du kan begrense sikkerheten til datamaskinen på brukernivå ved å gå til Brukerkonfigurasjon -> Administrative maler -> System og dobbeltklikke på innstillingen "Forbud tilgang til kommandoprogrammet".

I vinduet som åpnes kan du aktivere kontroll, og deretter trykke Bruk for å blokkere tilgangen til kommandoprogrammet for alle brukere av PC-en.

Et annet alternativ i samme mappe lar deg velge hvilke programmer som kan åpnes på datamaskinen. Dobbeltklikk på "Kjør bare bestemte Windows-applikasjoner", aktiver det, og spesifiser hvilke programmer som er tillatt. Alt annet blir nå blokkert.

Under Datamaskinkonfigurasjon -> Windows-innstillinger -> Sikkerhetsinnstillinger -> Lokale retningslinjer -> mappen Sikkerhetsalternativer finner man mange nyttige innstillinger for å gjøre datamaskinen litt mer beskyttet mot ytre inntrengere, hvis man ønsker det.

For eksempel kan man omdøpe Administratorkontoen og Gjestekontoen.

Velg å aktivere forespørselen om legitimasjon i "Brukerkontroll: oppførsel for forespørsel om hevet privilegium for administratorer" for å be om å skrive inn passordet hver gang du prøver å utføre noe i administratormodus. Med dette alternativet blir Windows sikrere og mer likt Linux og Mac, hvor man blir bedt om å oppgi passordet hver gang man må gjøre en endring.

Med brukerkontroll: heve kun signerte og validerte kjørebare filer forbyr du applikasjoner som ikke er digitalt signert å kjøre som administrator.

Gjenopprettingskonsoll, tillat automatisk administrativ tilgang for å unngå passordforespørsel når du bruker gjenopprettingskonsollen for å utføre systemoperasjoner.

Begrense automatiske oppdateringer

Windows oppdaterer noen ganger når du ikke ønsker det. For å kontrollere dette, gå til Datamaskinkonfigurasjon > Administrative maler > Windows-komponenter > Windows Update. Du kan bestemme når og hvordan oppdateringer skal installeres.

Oppretting av skript for automatiske handlinger

Igjen et eksempel på hva du kan gjøre ved å bruke gruppepolicyredigereren er opprettelse av et skript som kjøres etter en utlogging eller etter en nedstengning, hver gang PC-en startes på nytt.

Dette kan være nyttig for å rydde opp i systemet eller ta en rask sikkerhetskopi av enkelte filer hver gang datamaskinen slås av, og du kan bruke batch-filer eller til og med PowerShell-skript for begge deler.

Den eneste advarselen er at disse skriptene må kjøres i bakgrunnen, ellers vil prosessen for utlogging bli blokkert.

Det finnes to forskjellige typer skript som du kan kjøre.

Oppstart/nedstegning skript i Datamaskinkonfigurasjon -> Windows-innstillinger -> Skript og det vil bli kjørt med den lokale systemkontoen, slik at de kan manipulere systemfiler, men vil ikke kjøre som brukerkonto.

Pålogging/utlogging skript i Brukerkonfigurasjon -> Windows-innstillinger -> Skript.

Pålogging- og utloggingsskriptene tillater ikke å kjøre kommandoer som krever tilgang som administrator med mindre UAC er helt deaktivert.

Det er verdt å merke seg at de samme oppgavene kan planlegges i oppgaveplanleggeren, et av administrasjonsverktøyene i Kontrollpanelet, som er mye enklere å bruke.

I hovedsak

Som du vil merke, er det et enormt antall innstillinger i gruppepoliassingredigeren, de fleste representerer modifiserbare alternativer i andre systemverktøy (som Innstillinger eller Kontrollpanel), mens andre er skjulte alternativer for systemadministratorer, mens de mest nyttige er de for å deaktivere Windows-funksjoner som man ikke ønsker å bruke.

Gruppolicyredigereren er så rik på innhold at det vil være umulig å finne en fullstendig og uttømmende veiledning om hva som er best å endre; det viktigste er å vite hvor du skal gå når du finner en veiledning som krever en endring.

Vanlige spørsmål fra våre lesere

Hva er en group policy client?

En Group Policy Client (GPC) er en komponent i Windows-operativsystemet som håndterer og anvender Group Policy Object (GPO). GPO-er gjør det mulig å endre systemkonfigurasjoner og administrere innstillinger på tvers av brukere og datamaskiner i et Windows-nettverk. Hovedpunkter om GPC og GPO:

• -

Formål

: Administrerer gruppe policyer for hele nettverket.
• Funksjon: Eier og anvender innstillingene fra GPO-er, som kan omfatte sikkerhetsinnstillinger, programinstallasjoner og brukergrensesnittpreferanser.
• Filer: GPO-er lagres i et binærformat med spesifikke filutvidelser. GPC er essensiell for sentralisert administrasjon og sikkerhet i Windows-baserte miljøer.

Hvis du vil lese flere artikler som Bruke den lokale gruppepolicyredigereren i Windows (gpedit.msc), kan du besøke kategorien Windows.