หากคุณต้องการเปลี่ยนวิธีการทำงานของ Windows โดยควบคุมความปลอดภัยให้มากขึ้นหรือปิดการใช้งานบางอย่างที่ Microsoft ส่งมาที่คุณคุณสามารถทำได้โดยปรับแต่งการตั้งค่านโยบายกลุ่ม ใช่คุณสามารถทำไฟล์ เดียวกันจาก Registry Editorแต่นโยบายกลุ่มมีข้อดีอีกเล็กน้อยเช่นนโยบายกลุ่มจะไม่เปลี่ยนแปลงหลังจากการอัปเดต Windows ซึ่งแตกต่างจาก Registry ที่สำคัญที่สุดคือคุณสามารถกำหนดค่านโยบายกลุ่มภายในระบบของคุณหรือสร้างไดเรกทอรีที่ใช้งานอยู่เพื่อใช้กับระบบต่างๆในโดเมนของคุณ ดังนั้นจึงมีประโยชน์อย่างยิ่งสำหรับสำนักงานและโรงเรียนที่ใช้คอมพิวเตอร์ Windows
การตั้งค่านโยบายกลุ่มที่ดีที่สุด
ก่อนที่เราจะเริ่มโปรดเข้าใจว่า Group Policy เป็นเครื่องมือกราฟิกที่ให้คุณแก้ไขการตั้งค่าระบบปฏิบัติการดั้งเดิมการตั้งค่าเคอร์เนล ฯลฯ อย่างไรก็ตามการปรับเปลี่ยนนโยบายกลุ่มในทางที่ผิดอาจทำให้ระบบปฏิบัติการของคุณทำงานผิดพลาดได้ ดังนั้นหากคุณจะทำการเปลี่ยนแปลงใด ๆ อย่าลืมส่งออกรายการก่อนทำการเปลี่ยนแปลงใด ๆ
วิธีการเข้าถึงนโยบายกลุ่ม
ข้อควรระวังที่ใหญ่ที่สุดอย่างหนึ่งของนโยบายกลุ่มคือมีให้เฉพาะในคอมพิวเตอร์ที่ใช้ Windows Professional, Education หรือ Enterprise Version แม้ว่าคุณจะใช้ Windows Home คุณสามารถเข้าถึงนโยบายกลุ่มได้ แต่มีวิธีแก้ปัญหาเล็กน้อยซึ่งฉันจะอธิบายด้านล่าง
ในการเข้าถึงนโยบายกลุ่มมีหลายวิธีวิธีหนึ่งที่ง่ายที่สุดคือ เปิด Command Prompt> พิมพ์“ gpedit.msc” แล้วคลิก Enter
แม้ว่านโยบายกลุ่มจะไม่ได้เป็นส่วนหนึ่งของรุ่น Windows Home แต่ก็ยังมีวิธีเข้าถึงได้ สิ่งที่คุณต้องทำคือติดตั้งตัวแก้ไขนโยบายกลุ่มของบุคคลที่สามโดยดาวน์โหลดไฟล์แบตช์นี้ เปิดในฐานะผู้ดูแลระบบจะเริ่มติดตั้งในพรอมต์คำสั่ง จะใช้เวลาประมาณ 2-3 นาทีในการติดตั้ง เมื่อกระบวนการเสร็จสิ้นให้เปิดพรอมต์คำสั่งอีกครั้งและพิมพ์ gpedit.msc เพื่อเข้าถึง
1. ปิดการใช้งานการติดตั้งซอฟต์แวร์ใด ๆ
การไม่อนุญาตให้ผู้ใช้ติดตั้งซอฟต์แวร์ต่างๆคุณสามารถลดจำนวนการบำรุงรักษาและการทำความสะอาดที่จำเป็นเมื่อมีการติดตั้งสิ่งที่ไม่ดีเนื่องจากอาจเป็นสาเหตุหนึ่งของมัลแวร์ สิ่งนี้มีประโยชน์มากยิ่งขึ้นโดยเฉพาะในโรงเรียนที่คุณต้องการให้นักเรียนเข้าถึงเฉพาะสิ่งที่จำเป็นเท่านั้น
หากคุณต้องการ จำกัด ผู้ใช้ไม่ให้ติดตั้งหรือเรียกใช้โปรแกรมคุณสามารถตั้งค่าได้โดยการเปิด นโยบายกลุ่ม> ไปที่การกำหนดค่าคอมพิวเตอร์> เทมเพลตการดูแลระบบ> ส่วนประกอบของ Windows> Windows Installer และดับเบิลคลิกที่ ปิด Windows Installer ตัวเลือก เปลี่ยนการตั้งค่าเพื่อเปิดใช้งานและตรวจสอบให้แน่ใจว่าตัวเลือกระบุว่า "สำหรับแอปพลิเคชันที่ไม่มีการจัดการเท่านั้น" เพื่อให้สามารถติดตั้งแอปทั้งหมดที่ฝ่ายจัดการอนุญาตได้ ตอนนี้คลิกที่ใช้และรีสตาร์ทคอมพิวเตอร์เพื่อให้เกิดการเปลี่ยนแปลง
การบล็อกเพื่อเรียกใช้แอปพลิเคชันเฉพาะ
การบล็อกแอปทั้งหมดเพื่อติดตั้งนั้นเกินความจำเป็นในหลาย ๆ สถานการณ์ หากสิ่งที่คุณต้องการคือการปิดกั้นแอพเพียงไม่กี่แอพคุณสามารถทำการเปลี่ยนแปลงเหล่านี้กับนโยบายกลุ่มได้
เปิด นโยบายกลุ่ม> การกำหนดค่าผู้ใช้> เทมเพลตการดูแลระบบ> ระบบ แล้วดับเบิลคลิกอย่าเรียกใช้แอปพลิเคชัน Windows ที่ระบุตัวเลือก เปลี่ยนการตั้งค่าเพื่อเปิดใช้งานและคลิกที่ปุ่มแสดง ตอนนี้คุณสามารถป้อนรายการแอพที่คุณต้องการให้บล็อกสำหรับผู้ใช้และคลิกตกลง ตอนนี้คลิกใช้และรีสตาร์ทระบบเพื่อใช้การตั้งค่า
2. บล็อกการเข้าถึงแผงควบคุม
สิ่งสำคัญคือต้องกำหนดขีด จำกัด สำหรับแผงควบคุมส่วนใหญ่ในสภาพแวดล้อมทางธุรกิจเนื่องจากช่วยให้คุณสามารถควบคุมระบบทั้งหมดได้ คุณสามารถบล็อกการเข้าถึงทั้งหมดหรือ จำกัด การเข้าถึงได้
หากต้องการบล็อกการเข้าถึงให้เปิดนโยบายกลุ่ม> การกำหนดค่าผู้ใช้> เทมเพลตการดูแลระบบ> แผงควบคุม> และดับเบิลคลิกที่ห้ามไม่ให้เข้าถึงแผงควบคุมและการตั้งค่าพีซี และคลิกที่เปิดใช้งานและนำไปใช้ และการเปลี่ยนแปลงจะถูกนำไปใช้ทันที
แสดงเฉพาะรายการแผงควบคุมเฉพาะ
กระบวนการข้างต้นบล็อกการเข้าถึงแผงควบคุมทั้งหมด แต่หากคุณต้องการ จำกัด การใช้งาน คุณสามารถทำได้โดยเปิดนโยบายกลุ่ม> การกำหนดค่าผู้ใช้> เทมเพลตการดูแลระบบ> แผงควบคุม> และดับเบิลคลิกที่ แสดงเฉพาะรายการแผงควบคุมที่ระบุและคลิกที่เปิดใช้งาน ตอนนี้คลิกที่ตัวเลือกการแสดงเพื่อระบุตัวเลือกแผงควบคุมแต่ละรายการที่จะแสดง หากไม่มีอยู่ในรายการนี้จะไม่แสดงให้ผู้ใช้เห็น
ซึ่งหมายความว่าคุณจะต้องเลือกและพิมพ์รายการแผงควบคุมแต่ละรายการที่คุณต้องการรวมไว้อย่างรอบคอบ คุณสามารถค้นหาชื่อของรายการแผงควบคุมทั้งหมดได้ในเว็บไซต์ของ Microsoft
3. ปิดใช้งานพรอมต์คำสั่ง
Command Prompt มีประโยชน์อย่างไม่ต้องสงสัยและยังเป็นฝันร้ายในเวลาเดียวกันเนื่องจากเปิดโอกาสให้ผู้ใช้เรียกใช้คำสั่งและโปรแกรมที่คุณไม่ได้ตั้งใจ นอกจากนี้ยังอาจเป็นเครื่องมืออันตรายที่อยู่ในมือของผู้ไม่มีประสบการณ์ มีเหตุผลหลายประการในการปิดใช้งานพรอมต์คำสั่งบางทีคุณอาจมีบุตรหลานที่ใช้คอมพิวเตอร์ร่วมกันกับครอบครัวหรือปล่อยให้แขกใช้คอมพิวเตอร์ของคุณเมื่ออยู่กับคุณ หรือบางทีคุณกำลังใช้คอมพิวเตอร์ธุรกิจก็ต้องล็อกไว้
หากต้องการปิดใช้งานให้เปิด นโยบายกลุ่ม> การกำหนดค่าผู้ใช้> เทมเพลตการดูแลระบบ> ระบบ และดับเบิลคลิกที่ ป้องกันการเข้าถึงพรอมต์คำสั่ง ตัวเลือก เปลี่ยนนโยบายเพื่อเปิดใช้งานและนำไปใช้ ตอนนี้คุณต้องรีสตาร์ทเพื่อให้การเปลี่ยนแปลงมีผล
4. ปิดการใช้งาน Windows Registry Editor
เช่นเดียวกับพรอมต์คำสั่งตัวแก้ไขรีจิสทรีสามารถทำลายสิ่งต่าง ๆ และข้ามข้อ จำกัด นโยบายกลุ่มเล็กน้อยได้ ดังนั้นเพื่อปกป้องนโยบายคุณสามารถเปิด นโยบายกลุ่ม> การกำหนดค่าผู้ใช้> เทมเพลตการดูแลระบบ> ระบบ และดับเบิลคลิกที่ ป้องกันการเข้าถึงเครื่องมือแก้ไขรีจิสทรี และเปิดใช้งาน ตอนนี้คลิกที่ใช้และรีสตาร์ทพีซีเพื่อใช้การเปลี่ยนแปลง
5. บล็อกไดรเวอร์สื่อแบบถอดได้
USB หรืออุปกรณ์สื่อแบบถอดได้ในรูปแบบอื่น ๆ อาจเป็นอันตรายสำหรับพีซี หากมีคนเชื่อมต่ออุปกรณ์จัดเก็บข้อมูลที่ติดไวรัสโดยบังเอิญหรือตั้งใจอาจส่งผลกระทบต่อพีซีหรือแม้แต่โดเมน เมื่อใช้คอมพิวเตอร์จำนวนมากการปล่อยให้ไดรเวอร์สื่อทำให้การจัดการพื้นที่จัดเก็บทำได้ยาก การบล็อกไดรเวอร์สื่อแบบถอดได้มักใช้ในโรงเรียนและวิทยาลัยหลายแห่ง
หากต้องการบล็อกไดรเวอร์สื่อให้เปิด นโยบายกลุ่ม> การกำหนดค่าผู้ใช้> เทมเพลตการดูแลระบบ> ระบบ> การเข้าถึงที่เก็บข้อมูลแบบถอดได้ และดับเบิลคลิกที่ไฟล์ ดิสก์แบบถอดได้: ปฏิเสธการเข้าถึงแบบอ่าน ตอนนี้คลิกที่ตัวเลือกเปิดใช้งานและใช้เพื่อหยุดพีซีเพื่ออ่านไดรเวอร์ภายนอก
ตัวเลือกการเขียนบล็อก
ตัวเลือกข้างต้นจะทำให้พีซีไม่อ่านไฟล์ในอุปกรณ์ภายนอกเท่านั้น แต่คุณยังสามารถคัดลอกไฟล์ไปยังอุปกรณ์ภายนอกได้ หากคุณต้องการป้องกันไฟล์คุณต้องบล็อกตัวเลือกการเขียนด้วย สิ่งนี้มักใช้ในสภาพแวดล้อมทางธุรกิจ
หากต้องการบล็อกตัวเลือกการเขียนให้เปิด นโยบายกลุ่ม> การกำหนดค่าผู้ใช้> เทมเพลตการดูแลระบบ> ระบบ> การเข้าถึงที่เก็บข้อมูลแบบถอดได้ และดับเบิลคลิกที่ไฟล์ ดิสก์แบบถอดได้: ปฏิเสธการเข้าถึงการเขียน. ตอนนี้เปิดใช้งานตัวเลือกและเลือกใช้เพื่อใช้การเปลี่ยนแปลง
หรือคุณสามารถใช้ไฟล์ คลาสที่เก็บข้อมูลแบบถอดได้ทั้งหมด: ปฏิเสธการเข้าถึงทั้งหมด เพื่อบล็อกทั้งตัวเลือกการอ่านและเขียนในเวลาเดียวกัน
6. ซ่อนพาร์ติชั่นไดรฟ์จากคอมพิวเตอร์
หากมีข้อมูลที่ละเอียดอ่อนในระบบคุณอาจต้องการซ่อนข้อมูลไม่ให้ผู้ใช้บางรายเข้าถึงได้ คุณสามารถทำได้จากการตั้งค่านโยบายกลุ่ม แต่อย่าลืมว่าการตั้งค่านี้จะซ่อนจาก file explorer และแอพอื่น ๆ เพียงไม่กี่แอพเท่านั้น แต่ผู้คนยังสามารถเข้าถึงได้จากพรอมต์คำสั่ง
อย่างไรก็ตามคุณสามารถซ่อนได้โดยการเปิด นโยบายกลุ่ม> การกำหนดค่าผู้ใช้> เทมเพลตการดูแลระบบ> ส่วนประกอบของ Windows> Windows Explorer และดับเบิลคลิกที่ การซ่อนไดรฟ์ที่ระบุเหล่านี้บนคอมพิวเตอร์ของฉัน และเลือกตัวเลือกเปิดใช้งาน เมื่อเปิดใช้งานแล้วให้คลิกที่เมนูแบบเลื่อนลงในแผงตัวเลือกและเลือกไดรฟ์ที่คุณต้องการซ่อน ไดรฟ์จะถูกซ่อนเมื่อคุณคลิกตกลง
7. เพิ่มความยาวรหัสผ่านขั้นต่ำ
ความยาวรหัสผ่าน Windows เริ่มต้นคือ 8 และคุณต้องใช้ตัวพิมพ์ใหญ่ตัวพิมพ์เล็กและตัวเลขหรืออักขระพิเศษอย่างน้อยหนึ่งตัว มันปลอดภัยดีจริง แต่คุณสามารถปรับปรุงความปลอดภัยได้โดยการเพิ่มความยาวของรหัสผ่าน คุณสามารถตั้งค่าได้สูงสุด 14 พร้อมกับการใช้ตัวพิมพ์ใหญ่ตัวพิมพ์เล็กและตัวเลขหรืออักขระพิเศษ
คุณสามารถเปลี่ยนแปลงได้โดยการเปิด นโยบายกลุ่ม> การกำหนดค่าคอมพิวเตอร์> การตั้งค่า Windows> การตั้งค่าความปลอดภัย> นโยบายบัญชี> นโยบายรหัสผ่าน แล้วดับเบิลคลิก ความยาวรหัสผ่านขั้นต่ำ นโยบาย & ระบุค่าสำหรับความยาวและคลิกและนำไปใช้
8. ติดตามการเข้าสู่ระบบบัญชี
ด้วยนโยบายกลุ่มคุณสามารถบังคับให้ windows ติดตามการเข้าสู่ระบบพีซีที่ประสบความสำเร็จและล้มเหลวทั้งหมด คุณสามารถตั้งค่าเป็นคอมพิวเตอร์เฉพาะหรือผู้ใช้เฉพาะก็ได้ อย่างไรก็ตามสิ่งนี้จะเป็นประโยชน์ในการติดตามบุคคลที่ไม่ได้รับอนุญาตที่พยายามเข้าสู่ระบบ คุณสามารถเปิดใช้งานได้โดยการเปิด นโยบายกลุ่ม> การกำหนดค่าคอมพิวเตอร์> การตั้งค่า Windows> การตั้งค่าความปลอดภัย> นโยบายท้องถิ่น> นโยบายการตรวจสอบ แล้วแตะสองครั้ง เหตุการณ์การเข้าสู่ระบบการตรวจสอบ
ที่นี่ทำเครื่องหมายในช่องถัดจาก“ ความสำเร็จ” และ“ ความล้มเหลว” ตัวเลือก. เมื่อคุณคลิกตกลง Windows จะเริ่มเก็บบันทึกการเข้าสู่ระบบบนพีซี
หากต้องการดูการเข้าสู่ระบบเหล่านั้นให้เปิดเรียกใช้และป้อน เหตุการณ์ เพื่อเปิด Windows Event Viewer ตอนนี้ขยายไฟล์ บันทึกของ Windows จากนั้นเลือกไฟล์ ความปลอดภัย ตัวเลือก ในแผงตรงกลางคุณสามารถดูการพยายามเข้าสู่ระบบทั้งหมด คุณสามารถดูบัญชีที่พยายามเข้าสู่ระบบวันที่และเวลา แต่ความสำเร็จและความพยายามที่ล้มเหลวนั้นกล่าวถึงด้วยรหัส
9. ปิดการใช้งาน OneDrive
คุณอาจชอบ OneDrive หรือเกลียดมันโดยสิ้นเชิง ถ้าคุณหรือองค์กรของคุณไม่ได้ใช้ OneDrive หรือคุณแค่ต้องการลบออกจากพีซีของคุณคุณสามารถทำได้ด้วยนโยบายกลุ่ม เปิด นโยบายกลุ่ม> การกำหนดค่าคอมพิวเตอร์> เทมเพลตการดูแลระบบ> ส่วนประกอบของ Windows> OneDrive แล้วดับเบิลคลิก ป้องกันการใช้ OneDrive สำหรับการจัดเก็บไฟล์. ตอนนี้เปิดใช้งานและคลิกใช้ คุณต้องรีสตาร์ทพีซีสำหรับการเปลี่ยนแปลง
10. ควบคุมการเปลี่ยนแปลงนโยบายกลุ่ม
อย่างไรก็ตามการเปลี่ยนแปลงเหล่านี้สามารถเปลี่ยนกลับเป็นปกติได้โดยใช้นโยบายกลุ่มด้วยวิธีการเดียวกัน แต่ตั้งค่ากลับเป็นปิดใช้งาน คุณสามารถดูแลนโยบายกลุ่มได้โดยใช้การตรวจสอบวัตถุของนโยบายกลุ่ม ในการติดตามการเปลี่ยนแปลงที่เกิดขึ้นใน Group Policy Objects อย่างต่อเนื่องให้ลองใช้ Lepide Change Reporter
ห่อ
เมื่อปรับการตั้งค่านโยบายกลุ่มเสร็จแล้วคุณต้องย้ายการตั้งค่าไปยังกลุ่มคอมพิวเตอร์ใน Active Directory ซึ่งคุณสามารถตั้งค่าไดเรกทอรีสำหรับพีซีทุกเครื่องในโดเมนได้ คุณยังสามารถกำหนดนโยบายกลุ่มเฉพาะสำหรับผู้ใช้หรือคอมพิวเตอร์แต่ละเครื่องได้ ตอนนี้สิ่งที่คุณต้องทำคือดาวน์โหลดนโยบายกลุ่มจากไดเรกทอรีที่ใช้งานอยู่เพื่อนำไปใช้ การเปลี่ยนแปลงใด ๆ ในไดเรกทอรีที่ใช้งานอยู่จะนำไปใช้กับแต่ละระบบโดยอัตโนมัติ
