Wenn Sie das Verhalten von Windows ändern möchten, indem Sie mehr Kontrolle über die Sicherheit übernehmen oder einige Dinge deaktivieren, die Microsoft auf Sie wirft, können Sie dies tun, indem Sie die Gruppenrichtlinieneinstellungen optimieren. Ja, Sie können dasselbe auch über den Registrierungseditor tun , aber die Gruppenrichtlinie hat einige weitere Vorteile wie die Gruppenrichtlinie, die sich nach einem Windows-Update im Gegensatz zur Registrierung nicht ändert. Am wichtigsten ist, dass Sie Gruppenrichtlinien entweder lokal auf Ihrem System konfigurieren oder das Active Directory so einrichten können, dass es auf mehrere Systeme in Ihrer Domäne angewendet wird. Dies ist also besonders nützlich für Büros und Schulen mit Windows-Computern.
Beste Gruppenrichtlinieneinstellungen
Bevor wir beginnen, lassen Sie uns verstehen, dass die Gruppenrichtlinie ein grafisches Tool ist, mit dem Sie native Betriebssystemeinstellungen, Kerneleinstellungen usw. bearbeiten können. Eine falsche Optimierung der Gruppenrichtlinie kann jedoch sogar zu einer Fehlfunktion Ihres Betriebssystems führen. Wenn Sie also Änderungen vornehmen möchten, stellen Sie sicher, dass Sie die Liste exportieren, bevor Sie Änderungen vornehmen.
So greifen Sie auf die Gruppenrichtlinie zu
Einer der größten Vorbehalte der Gruppenrichtlinie ist, dass sie nur auf Computern verfügbar ist, auf denen Windows Professional-, Education- oder Enterprise-Versionen ausgeführt werden. Obwohl Sie Windows Home ausführen, können Sie auf die Gruppenrichtlinie zugreifen, jedoch mit wenigen Problemumgehungen, die ich unten erläutern werde.
Um auf die Gruppenrichtlinie zuzugreifen, gibt es mehrere Möglichkeiten. Eine der einfachsten Möglichkeiten besteht darin , die Eingabeaufforderung zu öffnen> „gpedit.msc“ einzugeben und auf die Eingabetaste zu klicken.
Obwohl die Gruppenrichtlinie kein Teil der Windows Home-Editionen ist, gibt es dennoch eine Möglichkeit, darauf zuzugreifen. Sie müssen lediglich einen Gruppenrichtlinien-Editor eines Drittanbieters installieren, indem Sie diese Batch-Datei herunterladen . Öffnen Sie es als Administrator, es beginnt mit der Installation in der Eingabeaufforderung. Die Installation dauert etwa 2-3 Minuten. Sobald der Vorgang abgeschlossen ist, öffnen Sie die Eingabeaufforderung erneut und geben Sie gpedit.msc ein, um darauf zuzugreifen.
1. Deaktivieren Sie jegliche Softwareinstallation
Indem Sie Benutzern nicht erlauben, verschiedene Software zu installieren, können Sie den erforderlichen Wartungs- und Reinigungsaufwand verringern, wenn etwas Schlechtes installiert wird, da dies auch einer der möglichen Gründe für die Malware ist. Dies ist besonders in Schulen noch nützlicher, wo Sie möchten, dass die Schüler nur auf das zugreifen, was erforderlich ist.
Wenn Sie verhindern möchten, dass Benutzer Programme installieren oder ausführen, können Sie dies festlegen, indem Sie Gruppenrichtlinie > Navigieren Sie zu Computerkonfigurationen > Administrative Vorlagen > Windows-Komponenten > Windows Installer öffnen und auf die Option Windows Installer deaktivieren doppelklicken. Ändern Sie die Einstellung, um sie zu aktivieren, und vergewissern Sie sich, dass die Option „Nur für nicht verwaltete Anwendungen“ lautet, damit sie alle Apps installieren können, die vom Management zugelassen sind. Klicken Sie nun auf Übernehmen und starten Sie den Computer neu, damit die Änderungen wirksam werden.
Blockieren, um bestimmte Anwendungen auszuführen
Das Blockieren aller zu installierenden Apps ist in vielen Situationen übertrieben. Wenn Sie nur ein paar Apps blockieren möchten, können Sie diese Änderungen an der Gruppenrichtlinie vornehmen.
Öffnen Sie Gruppenrichtlinie > Benutzerkonfiguration > Administrative Vorlagen > System und doppelklicken Sie auf die Option Angegebene Windows-Anwendungen nicht ausführen . Ändern Sie die Einstellung auf „Aktivieren“ und klicken Sie auf die Schaltfläche „Anzeigen“. Jetzt können Sie die Liste der Apps eingeben, die Sie für die Benutzer blockieren möchten, und auf OK klicken. Klicken Sie nun auf Übernehmen und starten Sie das System neu, damit die Einstellungen übernommen werden.
2. Blockieren Sie den Zugriff auf die Systemsteuerung
Es ist vor allem in Geschäftsumgebungen wichtig, Grenzen für das Control Panel festzulegen, da es Ihnen die Kontrolle über das gesamte System gibt. Sie können entweder den gesamten Zugriff sperren oder den Zugriff einschränken.
Um den Zugriff zu blockieren, öffnen Sie Gruppenrichtlinie > Benutzerkonfiguration > Administrative Vorlagen > Systemsteuerung > und doppelklicken Sie auf Zugriff auf Systemsteuerung und PC-Einstellungen verbieten und klicken Sie auf Aktivieren und anwenden. Und die Änderungen werden sofort angewendet.
Nur bestimmte Elemente der Systemsteuerung anzeigen
Der obige Prozess blockiert den Zugriff auf das gesamte Bedienfeld. Aber wenn Sie die Nutzung einschränken möchten. Sie können dies tun, indem Sie Gruppenrichtlinie > Benutzerkonfiguration > Administrative Vorlagen > Systemsteuerung > öffnen und auf Nur bestimmte Elemente der Systemsteuerung anzeigen doppelklicken und auf Aktivieren klicken. Klicken Sie nun auf die Anzeigeoption, um jede anzuzeigende Bedienfeldoption festzulegen. Wenn es sich nicht in dieser Liste befindet, wird es dem Benutzer nicht angezeigt.
Das bedeutet, dass Sie jedes Control Panel-Element, das Sie hinzufügen möchten, sorgfältig auswählen und eingeben müssen. Die Namen aller Elemente der Systemsteuerung finden Sie auf der Website von Microsoft .
3. Deaktivieren Sie die Eingabeaufforderung
Die Eingabeaufforderung ist zweifellos so nützlich und gleichzeitig ein Albtraum, da sie den Benutzern die Möglichkeit gibt, die Befehle und Programme auszuführen, die Sie nicht beabsichtigen. Es kann auch ein gefährliches Werkzeug in den Händen von Unerfahrenen sein. Es gibt viele Gründe, die Eingabeaufforderung zu deaktivieren. Vielleicht haben Sie Kinder, die sich einen Familiencomputer teilen, oder Sie lassen Gäste Ihren Computer benutzen, wenn sie bei Ihnen übernachten. Oder vielleicht betreiben Sie einen Geschäftscomputer, den Sie sperren müssen.
Öffnen Sie zum Deaktivieren Gruppenrichtlinie > Benutzerkonfiguration > Administrative Vorlagen > System und doppelklicken Sie auf die Option Zugriff auf die Eingabeaufforderung verhindern . Ändern Sie die Richtlinie, um sie zu aktivieren und anzuwenden. Jetzt ist ein Neustart erforderlich, damit die Änderungen wirksam werden.
4. Deaktivieren Sie den Windows-Registrierungseditor
Genau wie die Eingabeaufforderung kann der Registrierungseditor sogar Dinge beschädigen und einige Gruppenrichtlinieneinschränkungen umgehen. Um die Richtlinie zu schützen, können Sie also Gruppenrichtlinie > Benutzerkonfiguration > Administrative Vorlagen > System öffnen und auf Zugriff auf Registrierungsbearbeitungstools verhindern doppelklicken und aktivieren. Klicken Sie nun auf Übernehmen und starten Sie den PC neu, um die Änderungen zu übernehmen.
5. Blockieren Sie Treiber für Wechselmedien
USBs oder andere Formen von Wechseldatenträgern können für den PC gefährlich sein. Wenn jemand versehentlich oder absichtlich ein mit einem Virus infiziertes Speichergerät anschließt, kann dies Auswirkungen auf den PC oder sogar die Domäne haben. Wenn Sie viele Computer betreiben, erschwert das Zulassen von Medientreibern die Verwaltung des Speichers. Das Blockieren von Wechselmedientreibern wird häufig in vielen Schulen und Hochschulen verwendet.
Um Medientreiber zu blockieren, öffnen Sie Gruppenrichtlinie > Benutzerkonfiguration > Administrative Vorlagen > System > Wechselmedienzugriff und doppelklicken Sie auf Wechseldatenträger: Lesezugriff verweigern. Klicken Sie nun auf die Option Aktivieren und wenden Sie sich an, um den PC zu stoppen, um externe Treiber zu lesen.
Schreiboption blockieren
Die obige Option bewirkt nur, dass der PC die Dateien auf dem externen Gerät nicht liest. Sie können die Dateien jedoch weiterhin auf das externe Gerät kopieren. Wenn Sie die Dateien schützen möchten, müssen Sie auch die Schreiboption blockieren. Dies wird üblicherweise in Geschäftsumgebungen implementiert.
Um Schreiboptionen zu blockieren, öffnen Sie Gruppenrichtlinie > Benutzerkonfiguration > Administrative Vorlagen > System > Wechselmedienzugriff und doppelklicken Sie auf Wechseldatenträger: Schreibzugriff verweigern . Aktivieren Sie nun die Option und wählen Sie Übernehmen, um die Änderungen zu übernehmen.
Alternativ können Sie Alle Wechselmedienklassen: Alle Zugriffe verweigern verwenden , um sowohl Lese- als auch Schreiboptionen gleichzeitig zu blockieren.
6. Verstecken Sie das Partitionslaufwerk vor dem Computer
Wenn sich in den Systemen vertrauliche Informationen befinden, möchten Sie diese möglicherweise vor bestimmten Benutzern verbergen, um darauf zuzugreifen. Sie können dies über die Gruppenrichtlinieneinstellungen tun. Denken Sie jedoch daran, dass diese Einstellung sie nur vor dem Datei-Explorer und einigen anderen Apps verbirgt, aber Benutzer können weiterhin über die Eingabeaufforderung darauf zugreifen.
Sie können es jedoch ausblenden, indem Sie Gruppenrichtlinie > Benutzerkonfiguration > Administrative Vorlagen > Windows -Komponenten > Windows Explorer öffnen und auf Diese angegebenen Laufwerke auf dem Arbeitsplatz ausblenden doppelklicken und die Option Aktivieren auswählen. Klicken Sie nach der Aktivierung auf das Dropdown-Menü im Optionsfeld und wählen Sie die Laufwerke aus, die Sie ausblenden möchten. Die Laufwerke werden ausgeblendet, wenn Sie auf OK klicken.
7. Erhöhen Sie die Mindestkennwortlänge
Die Standardlänge des Windows-Passworts ist 8, und Sie müssen mindestens einen Großbuchstaben, einen Kleinbuchstaben und eine Zahl oder ein Sonderzeichen verwenden. Es ist eigentlich gut gesichert. Sie können die Sicherheit jedoch verbessern, indem Sie die Kennwortlänge erhöhen. Sie können es auf 14 einstellen und Großbuchstaben, Kleinbuchstaben und Zahlen oder Sonderzeichen verwenden.
Sie können dies ändern, indem Sie Gruppenrichtlinie > Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kennwortrichtlinie öffnen und auf Richtlinie für die Mindestkennwortlänge doppelklicken und einen Wert für die Länge angeben und auf klicken und anwenden.
8. Kontoanmeldungen verfolgen
Mit der Gruppenrichtlinie können Sie Windows dazu zwingen, alle erfolgreichen und fehlgeschlagenen Anmeldungen am PC zu verfolgen. Sie können es entweder auf einen bestimmten Computer oder einen bestimmten Benutzer festlegen. Auf jeden Fall ist dies nützlich, um die unbefugten Personen zu verfolgen, die versuchen, sich anzumelden. Sie können es aktivieren, indem Sie Gruppenrichtlinie > Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Überwachungsrichtlinie öffnen und doppelt auf Anmeldeereignisse überwachen tippen.
Aktivieren Sie hier das Kontrollkästchen neben den Optionen „Erfolg“ und „Fehler“ . Wenn Sie auf OK klicken, beginnt Windows mit der Aufzeichnung der Anmeldungen am PC.
Um diese Anmeldungen anzuzeigen, öffnen Sie Ausführen und geben Sie eventvwr ein, um die Windows-Ereignisanzeige zu öffnen. Erweitern Sie nun die Windows-Protokolle und wählen Sie dann die Option Sicherheit . Im mittleren Bereich können Sie sich alle Anmeldeversuche ansehen. Sie können sich das Konto ansehen, in dem versucht wurde, sich anzumelden, das Datum und auch die Uhrzeit. Aber Erfolg und Fehlversuche werden mit Code erwähnt.
9. Deaktivieren Sie OneDrive
Sie mögen OneDrive vielleicht oder hassen es total. Wenn Sie oder Ihre Organisation OneDrive nicht verwenden oder nur von Ihrem PC entfernen möchten, können Sie dies mit Gruppenrichtlinien tun. Öffnen Sie Gruppenrichtlinie > Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > OneDrive und doppelklicken Sie auf Verwendung von OneDrive für die Dateispeicherung verhindern . Aktivieren Sie es jetzt und klicken Sie auf Übernehmen. Für die Änderungen müssen Sie den PC neu starten.
10. Behalten Sie Änderungen an Gruppenrichtlinien unter Kontrolle
Auf jeden Fall können diese Änderungen wieder auf den Normalzustand zurückgesetzt werden, indem Sie die Gruppenrichtlinie mit derselben Methode verwenden, sie jedoch wieder auf „Deaktivieren“ setzen. Sie können die Verantwortung für die Gruppenrichtlinie behalten, indem Sie die Gruppenrichtlinienobjektüberwachung verwenden . Probieren Sie Lepide Change Reporter aus, um Änderungen an Gruppenrichtlinienobjekten kontinuierlich zu verfolgen .
Einpacken
Nachdem Sie die Gruppenrichtlinieneinstellungen angepasst haben, müssen Sie die Einstellungen in die Computergruppe in Active Directory verschieben , wo Sie das Verzeichnis für jeden PC in der Domäne festlegen können. Sie können auch bestimmte Gruppenrichtlinien nur für einzelne Benutzer oder Computer festlegen. Jetzt müssen Sie nur noch die Gruppenrichtlinie aus Active Directory herunterladen, um sie anzuwenden. Alle Änderungen am Active Directory gelten automatisch für die einzelnen Systeme.