Windows 11 のグループ ポリシー エディターは、Windows 10 または Windows 7 の以前のバージョンと同様に機能します。システム管理者の場合、複数の組織メンバーが共有する「ホット デスク」を設定できます。教育現場や大規模オフィスではほぼ当たり前のことです。ただし、グループ ポリシーの基本的なベスト プラクティスに従わない場合、自分自身とユーザーの両方にとってプロセスが不必要に複雑になる可能性があります。
グループ ポリシー エディターのアクティブ ディレクトリには通常、デフォルト ドメイン ポリシーとデフォルト ドメイン コントローラー ポリシーという 2 つのデフォルト ファイルが含まれており、2 番目のファイルは専用フォルダーにあります。
最初のファイルは、パスワード ポリシー、ドメイン アカウント ロックアウト ポリシー、およびドメイン Kerberos ポリシーを設定するためにのみ使用してください。 2 つ目は、ユーザー権利の割り当てポリシーと監査ポリシーを設定します。
デフォルト ドメイン ポリシー ファイルは、そのレベルの「ルート」ドメインにあります。これは、管理者を含む、コンピュータとネットワークのすべてのユーザーに適用されることを意味します。そのレベルでデフォルトと矛盾する新しいポリシーを作成すると、システムに対してもアカウント全体のロックアウトが発生する危険があります。
ユーザーより上のレベルを作成する必要がある場合は、部門またはネットワークベースの構造を実装して、さまざまなポリシー要件を分離します。
ユーザーがデバイスで作業するために基本的な構成と設定にのみアクセスする必要がある場合は、他のすべてを無効にすることができます。これにより、処理時間がわずかに改善される可能性があります。
これを実装するには、グループ ポリシー管理コンソールのグループ ポリシー オブジェクトに移動し、変更するポリシーを右クリックして [GPO ステータス] を展開します。ユーザー構成設定を無効にするか、コンピューター構成設定を無効にするかを選択します。
コンピューターに既にインストールされているアプリケーションのみにユーザーがアクセスできるようにする場合は、新しいソフトウェアのインストールを無効にするのが合理的です。これにより、ユーザーがマルウェアをダウンロードしたり、設定と競合するサードパーティ ソフトウェアを使用したりする可能性を防ぐことができます。
これを行うには、セットアップを可能にするプログラムである Windows インストーラー設定に移動します。デフォルトのパスは次のとおりです: グループ ポリシー > [コンピュータの構成] > [コンピュータの構成] に移動します。管理用テンプレート > Windows コンポーネント > Windows インストーラー
その後、「Windows インストーラーをオフにする」を選択し、「オプション」パネルでラジオ ボタンを「有効」オプションと「管理対象外のアプリケーションのみ」に設定します。
ただし、ほとんどの場合、特にユーザーが特定のプログラムを必要とする場合、コンピューターによる他のソフトウェアのインストールを防ぐのは、少々やりすぎになる可能性があります。
これは、グループ ポリシーのシステム オプション ([グループ ポリシー] > [ユーザーの構成] > [管理用テンプレート] > [システム]) によって実行されます。 「指定された Windows アプリケーションを実行しない」オプションを使用します。
ダイアログボックスで、「表示」ボタンを使用して「許可されていないアプリケーションのリスト」を設定する必要があります。リストにアプリケーション名を正しく入力してください。
コントロール パネルは、グループ ポリシー設定で実装したユーザー制限に干渉することがあります。ユーザーがアクセスできるパネルの部分を制限するには、アプリケーションのコントロール パネル設定に移動します ([グループ ポリシー] > [ユーザーの構成] > [管理用テンプレート] > [コントロール パネル])。次に、「指定されたコントロール パネル項目のみを表示する」を選択し、左下のパネルの「表示」ボタンを使用して許可される項目のリストを入力します。
Microsoft の公式コントロール パネル項目リストを使用して、有効にする項目とオプションの正確な名前を取得できます。
コマンド プロンプトを使用すると、ユーザーは設定されたほとんどの制限を回避できます。したがって、オプションを削除すると、プライベート ファイルのセキュリティが向上する可能性があります。このオプションはシステム設定 (グループ ポリシー > ユーザーの構成 > 管理用テンプレート > システム) に含まれています。 「コマンド プロンプトへのアクセスを禁止する」を構成し、有効に設定して、変更を適用します。
ユーザーに 1 つのデバイスを共有させる予定の場合、コンピューターのシステム パーティションを非表示にすることで、危険な編集や改ざんを防ぐことができます。これにより、ユーザーは本来アクセスすべきファイルとアプリのみにアクセスできるようになります。
この設定は、Windows エクスプローラーのオプション (グループ ポリシー > ユーザーの構成 > 管理用テンプレート > Windows コンポーネント > Windows エクスプローラー) を通じて実装されます。 「マイ コンピュータ上で指定したドライブを非表示にする」に移動し、アプリのパネルで非表示にしたいドライブを選択します。
以上が管理者のための Windows 11 グループ ポリシーの 8 つのベスト プラクティスの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
