Der Gruppenrichtlinien-Editor für Windows 11 funktioniert ähnlich wie seine Vorgängerversionen in Windows 10 oder Windows 7. Wenn Sie ein Systemadministrator sind, können Sie damit „Hot Desks“ einrichten, die von mehreren Organisationsmitgliedern gemeinsam genutzt werden in Bildungseinrichtungen und großen Büros praktisch eine Selbstverständlichkeit. Wenn Sie jedoch einige grundlegende Best Practices für Gruppenrichtlinien nicht befolgen, können Sie den Prozess sowohl für Sie selbst als auch für die Benutzer unnötig komplex machen.
Das aktive Verzeichnis im Gruppenrichtlinien-Editor enthält normalerweise zwei Standarddateien: die Standarddomänenrichtlinie und die Standarddomänencontrollerrichtlinie, wobei sich die zweite in ihrem speziellen Ordner befindet.
Die erste Datei sollte nur zum Festlegen der Passwortrichtlinie, der Domänenkontosperrungsrichtlinie und der Domänen-Kerberos-Richtlinie verwendet werden. Die zweite legt die Richtlinie zur Zuweisung von Benutzerrechten und die Überwachungsrichtlinie fest.
Die Standarddomänenrichtliniendatei befindet sich in der „Root“-Domäne der Ebene, was bedeutet, dass sie für alle Benutzer des Computers und des Netzwerks gilt, einschließlich des Administrators. Wenn Sie auf dieser Ebene eine neue Richtlinie erstellen, die der Standardeinstellung widerspricht, riskieren Sie, kontoweite Sperren zu verursachen, sogar für Ihr System.
Wenn Sie eine Ebene über dem Benutzer erstellen müssen, implementieren Sie eine abteilungs- oder netzwerkbasierte Struktur, um verschiedene Richtlinienanforderungen zu trennen.
Wenn Ihre Benutzer nur auf die grundlegenden Konfigurationen und Einstellungen zugreifen müssen, um auf dem Gerät zu arbeiten, können Sie alle anderen deaktivieren. Dies kann die Bearbeitungszeit leicht verkürzen.
Sie können dies implementieren, indem Sie in der Gruppenrichtlinien-Verwaltungskonsole zu den Gruppenrichtlinienobjekten gehen, dann mit der rechten Maustaste klicken und den GPO-Status für eine Richtlinie erweitern, die Sie ändern möchten. Wählen Sie zwischen Benutzerkonfigurationseinstellungen deaktiviert oder Computerkonfigurationseinstellungen deaktiviert.
Wenn Sie vorhaben, Ihren Benutzern nur den Zugriff auf die bereits auf dem Computer installierten Anwendungen zu ermöglichen, ist es sinnvoll, die Installation neuer Software zu deaktivieren. Es kann verhindern, dass Benutzer möglicherweise Malware herunterladen oder Software von Drittanbietern verwenden, die mit Ihren Einstellungen in Konflikt steht.
Dies geschieht durch Navigieren zu den Windows Installer-Einstellungen, da dies das Programm ist, das Setups ermöglicht. Hier ist der Standardpfad: Gruppenrichtlinie > Navigieren Sie zu Computerkonfigurationen > Administrative Vorlagen > Windows-Komponenten > Windows Installer.
Danach wählen Sie „Windows Installer deaktivieren“ und stellen dann im Bereich „Optionen“ die Optionsfelder auf die Option „Aktivieren“ und „Nur für nicht verwaltete Anwendungen“ ein.
In den meisten Fällen kann es jedoch etwas übertrieben sein, einen Computer daran zu hindern, andere Software zu installieren, insbesondere wenn Ihre Benutzer bestimmte Programme benötigen.
Dies erfolgt über die Systemoptionen in der Gruppenrichtlinie (Gruppenrichtlinie > Benutzerkonfiguration > Administrative Vorlagen > System). Verwenden Sie die Option „Bestimmte Windows-Anwendungen nicht ausführen“.
Im Dialogfeld müssen Sie über die Schaltfläche „Anzeigen“ die „Liste der nicht zugelassenen Anwendungen“ festlegen. Stellen Sie sicher, dass Sie die Anwendungsnamen korrekt in die Liste eingeben.
Das Kontrollfeld kann manchmal Benutzereinschränkungen beeinträchtigen, die Sie in den Gruppenrichtlinieneinstellungen implementiert haben. Um Benutzer auf die Teile des Panels zu beschränken, auf die sie zugreifen können, gehen Sie zu den Systemsteuerungseinstellungen in der Anwendung (Gruppenrichtlinie > Benutzerkonfiguration > Administrative Vorlagen > Systemsteuerung). Wählen Sie dann „Nur bestimmte Elemente der Systemsteuerung anzeigen“ und geben Sie über die Schaltfläche „Anzeigen“ im unteren linken Bereich eine Liste der zulässigen Elemente ein.
Sie können die offizielle Elementliste der Systemsteuerung von Microsoft verwenden, um die genauen Namen der Elemente und Optionen zu erhalten, die Sie aktivieren möchten.
Mit der Eingabeaufforderung kann der Benutzer die meisten von Ihnen eingerichteten Einschränkungen umgehen. Daher kann das Entfernen der Option die Sicherheit Ihrer privaten Dateien verbessern. Die Option ist in den Systemeinstellungen enthalten (Gruppenrichtlinie > Benutzerkonfiguration > Administrative Vorlagen > System). Konfigurieren Sie „Zugriff auf die Eingabeaufforderung verhindern“, setzen Sie es auf „Aktiviert“ und übernehmen Sie die Änderungen.
Wenn Sie vorhaben, dass Benutzer ein einzelnes Gerät gemeinsam nutzen, kann das Ausblenden der Systempartition des Computers gefährliche Bearbeitungs- und Bastelarbeiten verhindern. Dadurch wird sichergestellt, dass Benutzer nur Zugriff auf die Dateien und Apps haben, auf die sie Zugriff haben sollen.
Die Einstellung wird über die Windows Explorer-Optionen implementiert (Gruppenrichtlinie > Benutzerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Explorer). Gehen Sie zu „Diese angegebenen Laufwerke auf meinem Computer ausblenden“ und wählen Sie im Bedienfeld der App das Laufwerk aus, das Sie ausblenden möchten.
Das obige ist der detaillierte Inhalt vonAcht Best Practices für Windows 11-Gruppenrichtlinien für Administratoren. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
Wie man unter Linux mit verstümmelten chinesischen Schriftzeichen umgeht
Was bedeutet WLAN deaktiviert?
Was ist der Befehl zum Löschen einer Spalte in SQL?
Was bedeutet Handy-HD?
Was bedeutet es, einen Drucker offline zu verwenden?
Ripple-Kaufprozess
So öffnen Sie das TIF-Format in Windows
Was sind die Java-Workflow-Engines?
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
