L'éditeur de stratégie de groupe pour Windows 11 fonctionne de la même manière que ses versions précédentes dans Windows 10 ou Windows 7. Si vous êtes un administrateur système, il vous permettra de configurer des « hot desks » partagés par plusieurs membres de l'organisation, ce qui est pratiquement une évidence dans les établissements d’enseignement et les grands bureaux. Cependant, si vous ne suivez pas certaines bonnes pratiques de base en matière de politique de groupe, vous pouvez rendre le processus inutilement complexe, tant pour vous-même que pour les utilisateurs.
Le répertoire actif dans l'éditeur de stratégie de groupe contient généralement deux fichiers par défaut : la stratégie de domaine par défaut et la stratégie de contrôleur de domaine par défaut, le second étant situé dans son dossier dédié.
Le premier fichier ne doit être utilisé que pour définir la politique de mot de passe, la politique de verrouillage du compte de domaine et la politique Kerberos du domaine. La seconde définit la politique d'attribution des droits des utilisateurs et la politique d'audit.
Le fichier de stratégie de domaine par défaut se trouve dans le domaine « racine » du niveau, ce qui signifie qu'il s'applique à tous les utilisateurs de l'ordinateur et du réseau, y compris l'administrateur. Si vous élaborez une nouvelle politique à ce niveau qui contredit la politique par défaut, vous risquez de créer des verrouillages à l'échelle du compte, même sur votre système.
Si vous devez créer un niveau supérieur à l'utilisateur, mettez en œuvre une structure basée sur un département ou un réseau pour séparer les différentes exigences politiques.
Si vos utilisateurs ont uniquement besoin d'accéder aux configurations et paramètres de base pour travailler sur l'appareil, vous pouvez désactiver tous les autres. Cela peut légèrement améliorer le temps de traitement.
Vous pouvez implémenter cela en accédant aux objets de stratégie de groupe dans la console de gestion des stratégies de groupe, puis en cliquant avec le bouton droit et en développant l'état du GPO pour une stratégie que vous souhaitez modifier. Choisissez entre Paramètres de configuration utilisateur désactivés ou Paramètres de configuration ordinateur désactivés.
Si vous envisagez de permettre à vos utilisateurs d'accéder uniquement aux applications déjà installées sur l'ordinateur, il est alors logique de désactiver l'installation de nouveaux logiciels. Cela peut empêcher les utilisateurs de télécharger des logiciels malveillants ou d'utiliser des logiciels tiers entrant en conflit avec vos paramètres.
Cela se fait en accédant aux paramètres de Windows Installer, car c'est le programme qui permet les configurations. Voici le chemin par défaut : Stratégie de groupe > Accédez à Configurations de l'ordinateur > Modèles d'administration > Composants Windows > Programme d'installation Windows.
Après cela, choisissez « Désactiver Windows Installer », puis définissez les boutons radio sur l'option « Activer » et « Pour les applications non gérées uniquement » dans le panneau « Options ».
Dans la plupart des cas, cependant, empêcher un ordinateur d'installer d'autres logiciels peut être un peu exagéré, surtout si vos utilisateurs ont besoin de programmes spécifiques.
Cela se fait via les options Système dans la stratégie de groupe (Stratégie de groupe > Configuration utilisateur > Modèles d'administration > Système). Utilisez l'option « Ne pas exécuter les applications Windows spécifiées ».
Dans la boîte de dialogue, vous devez définir la « Liste des applications non autorisées » via le bouton « Afficher ». Assurez-vous de saisir correctement les noms des applications dans la liste.
Le panneau de configuration peut parfois interférer avec les limitations utilisateur que vous avez mises en œuvre dans les paramètres de stratégie de groupe. Pour restreindre les utilisateurs aux parties du panneau auxquelles ils peuvent accéder, accédez aux paramètres du panneau de configuration dans l'application (Stratégie de groupe > Configuration utilisateur > Modèles d'administration > Panneau de configuration). Ensuite, sélectionnez « Afficher uniquement les éléments spécifiés du panneau de configuration » et entrez une liste des éléments autorisés via le bouton « Afficher » dans le panneau inférieur gauche.
Vous pouvez utiliser la liste officielle des éléments du panneau de configuration de Microsoft pour obtenir les noms exacts des éléments et des options que vous souhaitez activer.
L'invite de commande peut permettre à l'utilisateur de contourner la plupart des restrictions que vous avez mises en place. Par conséquent, la suppression de l’option peut améliorer la sécurité de vos fichiers privés. L'option est contenue dans les paramètres système (Stratégie de groupe > Configuration utilisateur > Modèles d'administration > Système). Configurez l'option « Empêcher l'accès à l'invite de commande », définissez-la sur activé et appliquez les modifications.
Si vous prévoyez que les utilisateurs partagent un seul appareil, masquer la partition système de l'ordinateur peut empêcher des modifications et des bricolages dangereux. Cela garantira que les utilisateurs n’auront accès qu’aux fichiers et applications auxquels ils sont censés accéder.
Le paramètre est implémenté via les options de l'Explorateur Windows (Stratégie de groupe > Configuration utilisateur > Modèles d'administration > Composants Windows > Explorateur Windows). Accédez à « Masquer ces lecteurs spécifiés sur mon ordinateur » et sélectionnez le lecteur que vous souhaitez masquer dans le panneau de l'application.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
