Windows 11 的群組原則編輯器的運作方式與 Windows 10 或 Windows 7 中的早期版本類似。如果您是系統管理員,它將允許您設定由多個組織成員共享的“共享辦公桌”,這是實際上在教育環境和大型辦公室中都是如此。但是,如果您不遵循一些基本的群組原則最佳實踐,則可能會使您自己和使用者的流程變得不必要的複雜。
群組原則編輯器中的活動目錄通常包含兩個預設檔案:預設網域策略和預設網域控制器策略,第二個檔案位於其專用資料夾中。
第一個檔案只能用於設定密碼原則、網域帳號鎖定原則和網域 Kerberos 原則。第二個設定使用者權限分配策略和審核策略。
預設網域原則檔案位於該層級的「根」網域中,這表示它適用於電腦和網路的所有用戶,包括管理員。如果您在該層級制定了與預設值相矛盾的新策略,您將面臨建立帳戶範圍內的鎖定的風險,甚至是您的系統。
如果您確實需要建立高於使用者的級別,請實施基於部門或網路的結構來分隔各種策略要求。
如果您的使用者只需要存取基本配置和設定即可在裝置上工作,您可以停用所有其他配置和設定。這可以稍微縮短處理時間。
您可以透過前往群組原則管理控制台中的群組原則對象,然後右鍵按一下並展開要修改的策略的 GPO 狀態來實現此目的。在停用使用者配置設定或停用電腦配置設定之間進行選擇。
如果您打算讓使用者僅存取電腦上已安裝的應用程序,那麼停用安裝新軟體是有意義的。它可以防止用戶下載惡意軟體或使用與您的設定衝突的第三方軟體。
這是透過導航到 Windows Installer 設定來完成的,因為這是允許安裝的程式。這是預設路徑:群組原則>導覽至電腦設定 >管理範本> Windows 元件 > Windows 安裝程式。
之後,選擇“關閉 Windows Installer”,然後在“選項”面板中將單選按鈕設定為“啟用”選項和“僅適用於非主機應用程式”。
但是,在大多數情況下,阻止電腦安裝其他軟體可能有點矯枉過正,特別是當您的使用者需要某些特定程式時。
這是透過群組原則中的系統選項完成的(群組原則 > 使用者配置 > 管理範本 > 系統)。使用「不執行指定的 Windows 應用程式」選項。
在對話方塊中,您需要透過「顯示」按鈕設定「不允許的應用程式清單」。確保在清單中正確輸入應用程式名稱。
控制面板有時會幹擾您在群組原則設定中實施的使用者限制。若要限制使用者可以存取面板的哪些部分,請前往應用程式中的控制台設定(群組原則 > 使用者配置 > 管理範本 > 控制台)。然後,選擇“僅顯示指定的控制台項目”,並透過左下方面板中的“顯示”按鈕輸入允許的項目清單。
您可以使用微軟官方的控制面板項目清單來取得您想要啟用的項目和選項的確切名稱。
命令提示字元可以允許使用者繞過您設定的大多數限制。因此,刪除該選項可以提高您的私人檔案的安全性。此選項包含在系統設定中(群組原則 > 使用者配置 > 管理範本 > 系統)。配置“阻止訪問命令提示字元”,將其設定為啟用,然後套用變更。
如果您打算讓使用者共用一台設備,隱藏電腦的系統分割區可以防止危險的編輯和修補。這將確保用戶只能存取他們應該訪問的文件和應用程式。
此設定是透過 Windows 資源管理器選項實現的(群組原則 > 使用者設定 > 管理範本 > Windows 元件 > Windows 資源管理器)。轉到“隱藏我的電腦上的這些指定磁碟機”,然後選擇您想要在應用程式面板中隱藏的磁碟機。
以上是面向管理員的八項 Windows 11 群組策略最佳實踐的詳細內容。更多資訊請關注PHP中文網其他相關文章!
