Cách sử dụng Local Group Policy Editor tinh chỉnh máy tính

Bài viết này sẽ hướng dẫn các bạn cách sử dụng Local Group Policy Editor để thực hiện thay đổi máy tính.

Lưu ý: Group Policy Editor chỉ có trên phiên bản Pro của Windows 10. Người dùng Home hoặc Home Premium không có quyền truy cập vào nó.

Group Policy là một công cụ mạnh mẽ được dùng để thiết lập mạng doanh nghiệp, khóa máy tính để người dùng không thể thực hiện các thay đổi, ngăn họ chạy các phần mềm không được chấp thuận và nhiều cách sử dụng khác nữa.

Đối với máy tính gia đình, các cách sử dụng như giới hạn độ dài mật khẩu, khóa máy tính để chỉ chạy các file thực thi được phê duyệt không mấy khả dụng. Tuy nhiên công cụ này còn nhiều thứ khác bạn có thể định cấu hình như vô hiệu hóa các tính năng Windows không thích, chặn các ứng dụng nhất định hoặc tạo script chạy khi đăng xuất hoặc đăng nhập.

Giao diện Local Group Policy Editor

Giao diện Local Group Policy Editor

Giao diện của Local Group Policy Editor giống với các công cụ quản trị khác. Treeview bên trái cho phép người dùng tìm kiếm cài đặt theo cấu trúc thư mục phân cấp. Nó có một danh sách cài đặt, một khung xem trước để cung cấp thêm thông tin về cài đặt cụ thể.

Bạn cần quan tâm đến hai thư mục cấp cao nhất:

  • Computer Configuration: Chứa cài đặt máy tính cho tất cả người dùng đăng nhập.
  • User Configuration: Chứa cài đặt áp dụng cho tài khoản người dùng.

Trong mỗi một thư mục này có một số thư mục khác cung cấp một số cài đặt có sẵn:

  • Software Settings: Chứa cấu hình liên quan đến phần mềm và mặc định trống trên máy khách Windows.
  • Windows Settings: Chứa các cài đặt bảo mật và script cho đăng nhập/đăng xuất, khởi động/tắt máy.
  • Administrative Templates: Thư mục này chứa các cấu hình dựa trên registry để tinh chỉnh máy tính hoặc tài khoản người dùng một cách nhanh chóng.

Tùy chỉnh quy tắc bảo mật

Nếu click đúp vào mục Prevent access to the command prompt, một cửa sổ như hình bên dưới sẽ xuất hiện. Thực tế, hầu hết cài đặt trong Administrative Templates đều trông giống như vậy.

Cài đặt cụ thể này sẽ cho phép bạn chặn người dùng truy cập vào Command Prompt. Bạn cũng có thể định cấu hình cài đặt bên trong hộp thoại để chặn file batch.

Cửa sổ cài đặt Prevent access to the command prompt

Khi kích hoạt tùy chọn Run only specified Windows applications trong cùng thư mục với tùy chọn trên, bạn có thể cho phép ứng dụng Windows cụ thể được chạy trên hệ thống.

Kích hoạt tùy chọn Run only specified Windows applications

Trong trường hợp này, nếu chạy một ứng dụng không có trong danh sách, bạn sẽ nhận được thông báo lỗi như hình bên dưới.

Thông báo lỗi

Bạn nên cẩn thận thực hiện tinh chỉnh các quy tắc ở đây, nếu không máy tính của bạn sẽ bị khóa không thể sử dụng được.

Tinh chỉnh cài đặt UAC để bảo mật

Chọn Prompt for credentials on the secure desktop

Trong thư mục Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options, bạn sẽ tìm thấy một loạt các cài đặt thú vị để bảo mật máy tính.

Chúng ta sẽ xem xét tùy chọn đầu tiên trong thư mục này là User Account Control: Behavior of the elevation prompt for Administrators. Trong hộp thoại hiện ra, nếu chọn Prompt for credentials on the secure desktop, bạn hoặc người dùng khác phải nhập mật khẩu bất cứ khi nào chạy thứ gì đó trong chế độ quản trị.

Tùy chọn này khiến Windows hoạt động giống Linux hoặc Mac, yêu cầu mật khẩu bất cứ khi nào bạn thực hiện thay đổi.

Yêu cầu nhập mật khẩu

Một số tùy chọn hữu ích khác:

  • User Account Control: Only elevate executables that are signed and validated: Tùy chọn này ngăn các ứng dụng không được ký điện tử chạy với tư cách admin.
  • Recovery console, allow automatic administrative logon: Khi cần sử dụng bảng điều khiển khôi phục để thực hiện các tác vụ hệ thống, bạn cần cung cấp mật khẩu quản trị. Nếu quên mật khẩu, tùy chọn này cho phép bạn truy cập để thiết lại mật khẩu dễ dàng hơn. Tuy nhiên bởi vì bạn có thể dễ dàng xóa mật khẩu Windows, nên tùy chọn này thực sự kém an toàn.

Xem thêm: Hướng dẫn cách đăng nhập vào máy tính khi quên mật khẩu

Một điều đáng chú ý là nhiều chính sách trong danh sách không thực sự áp dụng cho mọi phiên bản Windows. Ví dụ, cài đặt Remove My Documents Icon chỉ có trên Windows XP và 2000. Các chính sách khác như At least Windows XP hoặc tương tự cũng sẽ không hoạt động trên mọi phiên bản.

Tùy chọn Remove My Documents Icon

Có rất nhiều cài đặt trong Group Policy Editor, bạn có thể dành thời gian để tìm hiểu chúng. Hầu hết các cài đặt ở đây cho phép bạn vô hiệu hóa các tính năng Windows mà bạn không thích, rất ít cài đặt cung cấp chức năng không có theo mặc định.

Thiết lập script để chạy khi đăng nhập, đăng xuất, khởi động hoặc tắt máy

Tạo script khởi động/tắt máy

Nếu muốn thiết lập script cho đăng xuất, đăng nhập để chạy mỗi lần boot máy tính, bạn chỉ có thể thực hiện điều này trên Group Policy Editor.

Điều này thực sự hữu ích khi dọn dẹp hệ thống hoặc thực hiện sao lưu nhanh một số file nhất định mỗi lần bạn tắt máy. Bạn có thể sử dụng file batch hoặc thậm chí PowerShell script. Một điều cần lưu ý là những script này phải được chạy một cách “lặng lẽ” nếu không nó sẽ khóa quá trình đăng xuất.

Có hai loại script bạn có thể sử dụng:

  • Startup / Shutdown Scripts: Bạn có thể tìm thấy những script này bên trong Computer Configuration > Windows Settings > Scripts và được chạy trong tài khoản Local System, do đó chúng có thể thao tác các file hệ thống nhưng không chạy như tài khoản người dùng.
  • Logon / Logoff Scripts: Script này được tìm thấy trong Configuration > Windows Settings > Scripts và được chạy trong tài khoản người dùng.

Lưu ý, script đăng xuất và đăng nhập sẽ không cho phép bạn chạy các tiện ích yêu cầu quyền truy cập quản trị trừ khi bạn vô hiệu hóa hoàn toàn UAC.

Ví dụ, chúng ta sẽ tạo một script đăng xuất bằng cách truy cập vào User Configuration > Windows Settings > Scripts và click đúp vào Logoff

Click đúp vào Logoff

Cửa sổ thuộc tính Logoff cho phép bạn thêm các script đăng xuất để chạy.

Thêm các cript đăng xuất

Ngoài ra, bạn cũng có thể cấu hình PowerShell script.

Cấu hình PowerShell script

Lưu ý, bạn cần để các script này trong một thư mục cụ thể để chúng có thể hoạt động chính xác.

Để script đăng xuất và đăng nhập trong thư mục dưới đây:

  • C:\Windows\System32\GroupPolicy\User\Scripts\Logoff
  • C:\Windows\System32\GroupPolicy\User\Scripts\Logon

Và để script khởi động và tắt máy trong thư mục:

  • C:\Windows\System32\GroupPolicy\Machine\Scripts\Shutdown
  • C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup

Sau khi cấu hình xong script đăng xuất, bạn có thể kiểm tra nó.

Kiểm tra script

Lưu ý, nếu script yêu cầu nhập dữ liệu người dùng, Windows sẽ bị treo trong quá trình tắt máy hoặc đăng xuất trong 10 phút trước khi tắt script và Windows có thể khởi động lại. Do đó bạn cần lưu ý điểm này trong khi tạo script.

Trong doanh nghiệp, nó là một trong những công cụ mạnh mẽ và quan trọng nhất. Tuy nhiên bài viết này chỉ nhằm giới thiệu cách sử dụng cơ bản của Group Policy cho người dùng không chuyên nên sẽ không đi sâu vào chi tiết.

Chủ Nhật, 21/07/2019 17:29
4,86 👨 1.303