Совет недели по групповым политикам 9 – настройка удаления программ и компонентов Windows

Посетителей: 13003 | Просмотров: 17442 (сегодня 0) Шрифт:

Сейчас во многих организациях системные администраторы стараются полностью автоматизировать процесс установки и развертывания приложений на свои клиентские компьютеры. Автоматизировать развертывание приложений на клиентские компьютеры вы можете разными способами. Например, вы можете устанавливать некоторые программные продукты при помощи функционала групповых политик, продукта System Center Configuration Manager (SCCM) или использовать продукты от сторонних разработчиков. При создании инфраструктуры Active Directory у вас могут быть реализованы группы пользователей с расширенными правами, то есть пользователи, у которых есть права локальных администраторов. Соответственно, у таких пользователей могут быть права на удаление программ при помощи компонента «Программы и компоненты». В некоторых случаях такие разрешения для пользователей могут быть лишними и, возможно, именно из-за того, что вы дали пользователям много разрешений вам придется периодически повторно устанавливать приложения на компьютеры этих пользователей. При помощи функционала групповых политик у вас есть возможность оградить своих пользователей от выполнения таких задач как удаление программного обеспечения или добавление и отключение определенных компонентов операционной системы Windows. В совете этой недели вы узнаете о том, как можно скрыть от ваших пользователей компоненты системы, позволяющие управлять удалением программ и компонентов Windows. Итак, для того чтобы задать вашим пользователям такие ограничения, выполните следующие действия:

1. В том случае, если вы настраиваете групповые политики на локальном компьютере не входящем в домен, откройте оснастку «Редактор локальной групповой политики». Если же вам нужно настроить конкретную группу компьютеров, которые входят в домен Active Directory, на контроллере домена, откройте оснастку «Управление групповой политикой», в дереве консоли разверните узел «Лес: %имя леса%», узел «Домены», затем узел с названием вашего домена, после чего узел «Объекты групповой политики». В узле «Объекты групповой политики» создайте объект GPO, выберите его, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
2. В отобразившейся оснастке «Редактор управления групповыми политиками» в дереве консоли разверните узел Конфигурация пользователя\Политики\Административные шаблоны\Панель управления\Программы, как показано на следующей иллюстрации:

Рис. 1. Узел «Программы»

Как вы заметили, в этом узле можно найти 7 параметров политики. Первый параметр, который мы с вами рассмотрим, позволяет полностью скрыть страницу «Просмотр установленных обновлений», которую можно открыть в окне «Программы и компоненты» или непосредственно из группы «Программы» панели управления. Для этого откройте параметр политики «Скрыть страницу «Установленные обновления»» и в соответствующем диалоговом окне установите переключатель на опцию «Включить», как показано на следующей иллюстрации:

Рис. 2. Отключение страницы «Просмотр установленных обновлений»

Следующий параметр, который будет рассматриваться, позволяет вам запретить пользователям изменять и удалять установленные приложения из окна «Программы и компоненты», к которому можно получить доступ из группы «Программы» в панели управления. Для этого откройте параметр политики «Скрыть страницу «Программы и компоненты»» и в диалоговом окне свойств параметра установите переключатель на опцию «Включить»;

Для того чтобы пользователям запретить включать и отключать системные компоненты операционной системы, вам нужно открыть параметр политики «Скрыть «Компоненты Windows»» и установить переключатель на опцию «Включить», что и изображено на следующей иллюстрации:

Рис. 3. Отключение доступа к диалоговому окну «Компоненты Windows»

Если ваши пользователи любят изменять программы, которые вы установили по умолчанию, для вас окажется полезным использование текущего параметра групповой политики. Например, если в вашей организации, согласно корпоративной политике должен быть установлен по умолчанию браузер Internet Explorer, а пользователи пытаются задать по умолчанию браузер сторонних производителей, скажем, Mozilla FireFox, откройте параметр политики «Скрытие страницы доступа к программам и параметров по умолчанию» и в отобразившемся диалоговом окне свойств параметра политики установите переключатель на опцию Включить.

После того как вы настроили все необходимые параметры групповой политики, можно закрыть оснастку «Редактор управления групповой политики». Теперь осталось только связать созданный нами объект групповой политики с подразделением, содержащим учетные записи компьютеров, для которых должны применяться параметры текущего объекта групповой политики. В дереве консоли оснастки «Управление групповой политикой» выберите подразделение, содержащее учетные записи компьютеров ваших пользователей, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Связать существующий объект групповой политики». В отобразившемся диалоговом окне «Выбор объекта групповой политики» выберите данный объект групповой политики и нажмите на кнопку «ОК».

После того как установленные вами ограничения будут применены на клиентские компьютеры, у ваших пользователей будут следующие ограничения:

• При попытке просмотреть установленные на компьютер системные обновления на странице «Установленные обновления», которую можно вызвать из группы «Программы» на панели управления или со страницы «Программы и компоненты», пользователи увидят текст с предупреждением «Системный администратор отключил компонент «Установленные обновления»»;
• При попытке удалить установленное программное обеспечение при помощи страницы «Программы и компоненты», пользователи также увидят предупреждение «Системный администратор отключил компонент «Программы и компоненты»»;
• При попытке открытия диалогового окна «Включение или отключение компонентов Windows» для ваших пользователей будет отображаться диалоговое окно с текстом «Системный администратор отключил компоненты Windows»;
• При попытке открытия окна управления доступом к некоторым программам и задания параметров по умолчанию, которое расположено в группе «Выбор программ, используемых по умолчанию», пользователь также увидит предупреждение о том, что такая возможность отключена.

Предупреждения, которые будут отображаться вашим пользователям, показаны на следующей иллюстрации:

Рис. 4. Предупреждающие сообщения, которые будут видеть ваши пользователи

Разумеется, вы можете запретить доступ ко всем компонентам, расположенным в группе «Программы» при помощи параметра политики «Скрыть панель управления «Программы»», но я считаю, что такие действия нужно выполнять только в крайних случаях.

Как отключить или включить
компоненты Windows

Windows является универсальной операционной системой, позволяющей решать самые разнообразные задачи. Достигается это за счет того, что в нее входит много разных программ и других компонентов.

В то же время, большинство людей использует только их часть. Остальные же инструменты Windows не используются и их можно отключить. В результате освободятся занимаемые ими ресурсы компьютера.

Бывают также и противоположные ситуации, когда на компьютере не оказывается необходимого компонента. В таком случае его можно включить (естественно, если версия Windows компьютера позволяет это сделать).

Включение и выключение компонентов осуществляется в панели «Компоненты Windows». Чтобы ее открыть, необходимо:

• зайти в Панель управления и в разделе «Программы» щелкнуть по пункту «Удаление программы»;

• в левой части открывшегося окна щелкнуть мышкой по пункту «Включение или отключение компонентов Windows».

Есть и другой способ открыть эту панель: на клавиатуре нажать комбинацию клавиш Win+R, в появившемся окошке напечатать или скопировать туда с этой страницы команду OptionalFeatures , после чего нажать клавишу Enter.

Панель «Компоненты Windows» представляет собой список, в котором установленные компоненты отмечены флажками, ну а возле отключенных флажки отсутствуют.

Чтобы отключить какой-то компонент, нужно при помощи мышки снять возле него флажок и внизу окна нажать кнопку «ОК».

Включение компонента осуществляется аналогичным образом — поставить возле него флажок и нажать кнопку «ОК».

Имейте в виду, что для включения и выключения некоторых компонентов требуется перезагрузка компьютера. Поэтому предварительно рекомендуется сохранить все открытые файлы.

В некоторых случаях может также потребоваться загрузка данных из сети Интернет или же наличие в дисководе компьютера установочного диска Windows.

Файл подкачки (swap-файл, своп-файл) — это специальный системный файл, который создается операционной системой на жестком диске компьютера с целью резервирования свободного пространства для дальнейшего его использования при необходимости.

Файл подкачки используется компьютером, как правило, для временного хранения информации, если в оперативной памяти заканчивается свободное пространство.

Частое обращение к своп-файлу снижает общее быстродействие компьютера, поскольку скорость работы жесткого диска в десятки раз ниже скорости оперативной памяти. С учетом указанного, настройка файла подкачки является одним из элементов оптимизации работы компьютера.

DirectX — это набор библиотек, входящих в операционную систему Windows, которые используются для создания трехмерной графики. Благодаря DirectX, разработка компьютерных игр стала значительно проще. По сути, DirectX сделал Windows единоличным лидером среди операционных систем для домашних игровых компьютеров.

DirectX, как и другое программное обеспечение, постоянно усовершенствуется. Появляются все новые и новые его версии. Если какая-то компьютерная игра была создана с использованием DirectX определенной версии, для ее полноценной работы необходимо, чтобы компьютер поддерживал эту же версию DirectX или более новую.

Поддержка компьютером той или иной версии DirectX зависит от установленной на нем Windows, а также от возможностей его видеокарты.

В Windows 7 в свойствах системы присутствует весьма удобный инструмент, позволяющий оценить индекс производительности основных устройств компьютера в баллах от 1,0 до 7,9.

В Windows 8 и Windows 10 этот инструмент из интерфейса убрали. Тем не менее, оценить производительность компьютера возможность сохранилась. Примечательно, что в этих версиях Windows диапазон оценки увеличился и измеряется по шкале от 1,0 до 9,9 баллов.

О так называемом Режиме бога в Windows (англ. God Mode) известно далеко не всем, хотя это и весьма удобная функция. Указанный режим предусматривает предоставление пользователю возможности быстрого доступа к абсолютному большинству настроек Windows (более 230).

В обычном режиме эти настройки «распиханы» по разделам Панели управления и другим частям интерфейса Windows, или же недоступны вообще.

В 2018 году стало известно о подверженности большинства современных процессоров уязвимостям Meltdown и Spectre, использующим для атак так называемое спекулятивное выполнение команд. Примечательно, что спекулятивное выполнение – это не какой-то инструмент взлома или хакерский прием, а механизм, который сами же производители активно внедряли в процессоры в целях повышения их быстродействия. Как выяснилось, используя его «побочные эффекты», злоумышленники могли получать несанкционированный доступ к обрабатываемой на компьютере информации.

В целях устранения проблемы были выпущены специальные программные «заплатки» и обязательные обновления для операционных систем, установка которых заметно снижала быстродействие компьютеров (в некоторых случаях до 30 %). При этом, степень падения производительности варьировалась в зависимости от архитектуры процессора и версии Windows. В группу наиболее «пострадавших» попали старые процессоры Intel до микроархитектуры Haswell включительно.

Однако, в 2019 году вышли обновления Windows 10, которые, по заявлению компании Microsoft, проблему с быстродействием устранили. Имея в своем распоряжении ноутбук на базе процессора Core i5-4300U (Haswell), мы решили проверить, так ли это (провести замеры с включенной / отключенной защитой и поделиться результатами с читателями).

Твердотелые накопители SSD получают все большее распространение, постепенно занимая место классических жестких дисков. По сравнению с последними, SSD обладают рядом преимуществ, обеспечивающих значительный прирост быстродействия компьютера.

В то же время, для эффективного использования SSD и максимальной длительности их службы компьютер необходимо соответствующим образом настроить. О том, какие именно изменения рекомендуется внести в настройки Windows, и пойдет речь.

ПОКАЗАТЬ ЕЩЕ

Восстановление системы отключено системным администратором

В момент создания точки восстановления системы вручную, некоторые пользователи сталкиваются с проблемой неактивных кнопок восстановить, настроить и создать, надписи напротив которых гласят: восстановление системы отключено системным администратором, конфигурация отключена администратором и создание точек восстановления отключено. Почему так получается и как в итоге решить данную проблему, разберемся в данной статье.

На самом деле, восстановление системы отключено ни потому что, якобы какой то системный администратор взял и отключил его, а связанно это с тем, что при установке некоторых программ, направленных на автоматическую настройку вашего компьютера, для более лучшей его работы, блокируется и функция создания точек восстановления. Но благо этот вопрос решается в несколько кликов. В статье описывается решение данного вопроса в windows 10, но данный метод подходит и для предыдущих версий операционных систем.

Восстановление системы отключено системным администратором

Итак, для решения проблемы нам понадобится перейти в редактор локальной групповой политики. Для перехода вызываем консоль выполнить, нажатием клавиш +R, где вводим команду gpedit,msc и жмем ОК.

В открывшемся окне, в левой колонке переходим во вкладку административные шаблоны -> система, теперь в правой колонке находим вкладку восстановление системы и открываем ее.

Здесь видим параметр под названием отключить восстановление системы, его то нам и требуется отключить, для этого открываем его двойным нажатием мыши.

В открывшемся окне, ставим маркер на пункт отключено и нажимаем кнопочку ОК. Теперь можно закрыть данный редактор и проверить заработала ли функция восстановления системы.

Переходим в дополнительные параметры системы в свойствах компьютера.

И как видим кнопка настроить теперь активна, в ней мы включаем функцию защиты системы, после чего можно приступить к созданию точки восстановления windows.

Включаем функцию восстановления системы и создания точек восстановления через редактор реестра

Проблема невозможности создания точек восстановления для восстановления системы, решается и другим способом, более быстрым, но придется воспользоваться редактором реестра windows. Для перехода в реестр, опять же переходим в консоль выполнить, нажатием клавиш +R и вводим команду regedit. В окне редактора реестра, переходим по пути HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore. Теперь в правой колонке находим параметр DisableSR, открываем его и меняем значение с 1 на 0, нажимаем ОК. Закрываем редактор и радуемся.

Помимо содания точки восстанволения вручную, вы можете настроить автоматическое создание, прочитав статью Автоматическое создание точек восстановления windows при входе в систему.

О ставляйте своё мнение о данной статье, ну и конечно же задавайте свои вопросы, если у вас что-то вдруг пошло не так.