Политики описаны для Active Directory на основе Windows Server 2019
Добавление администратора домена в локальные администраторы
Для того, чтоб была возможность управлять компьютером от имени доменного администратора, его нужно добавить в группу локальных администраторов компьютера
В оснастке Active Directory - пользователи и компьютеры создадим группу безопасности с именем, например Workstation Admins и занесем в нее пользователей, которые должны стать локальными администраторами, затем по пути
Конфигурация компьютера
Настройка
Параметры панели управления
Локальные пользователи и группыСоздадим локальную группу со свойствами
Действие: Обновить Имя группы: Администраторы (встроенная учетная запись) ✓Удалить всех пользователей-членов этой группы ✓Удалить все группы-члены этой группы Члены группы: Workstation Admins
Включение возможности принудительного обновления групповой политики контроллером домена
Под принудительным обновлением понимается нажатие Обновление групповой политики в контекстном меню объекта управления (подразделения). Если не разрешить некоторые правила брандмауэра будет возникать ошибка с кодом 8007071a
По пути
Конфигурация компьютера
Политики
Конфигурация Windows
Монитор брандмауэра Защитника Windows в режиме повышенной безопасности
Монитор брандмауэра Защитника Windows в режиме повышенной безопасности
Правила для входящих подключенийСоздадим предопределенные правила
Доступ к сети COM+ Удаленное управление журналом событий Инструментарий управления Windows (WMI) Удаленное управление назначенными задачами
Включение сетевого обнаружения
По пути
Конфигурация компьютера
Политики
Конфигурация Windows
Монитор брандмауэра Защитника Windows в режиме повышенной безопасности
Монитор брандмауэра Защитника Windows в режиме повышенной безопасности
Правила для входящих подключенийСоздадим два предопределенных правила
Обнаружение сети Общий доступ к файлам и принтерам
По пути
Конфигурация компьютера
Политики
Административные шаблоны
Сеть
Обнаружение топологии связи (Link-Layer)Включить правила и поставить необходимые галочки в первом
Включает драйвер отображения ввода/вывода (LLTDIO) Включить драйвер "Ответчика" (RSPNDR)
И по пути
Конфигурация компьютера
Политики
Административные шаблоны
Сеть
Рабочая станция LanmanВключить правило
Включить небезопасные гостевые входы
По умолчанию в домене службы, отвечающие за отображение компьютеров в сетевом окружении отключены, можно их включить, для этого по пути
Конфигурация компьютера
Настройка
Параметры панели управления
СлужбыСоздадим две службы
Публикация ресурсов обнаружения функции (FDResPub) Обнаружение SSDP (SSDPSRV)У этих служб нужно указать параметры: Автозагрузка - автоматически, Действие - запуск службы
Выключение требования нажатия Ctrl+Alt+Del при входе
По пути
Конфигурация компьютера
Политики
Конфигурация Windows
Параметры безопасности
Локальные политики
Параметры безопасностиВключить правило
Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL
Разрешение на доступ по RDP
По пути
Конфигурация компьютера
Политики
Административные шаблоны
Компоненты Windows
Службы удаленных рабочих столов
Узел сеансов удаленных рабочих столов
ПодключенияВключить правило
Разрешить пользователям удаленное подключение с использованием служб удаленных рабочих столов
И по пути
Конфигурация компьютера
Политики
Административные шаблоны
Сеть
Сетевые подключения
Брандмауэр Защитника Windows
Профиль доменаВключить правила и указать разрешенные ip-адреса, если нужно
Брандмауэр Защитника Windows: Разрешает исключение для входящего общего доступа к файлам и принтерам Брандмауэр Защитника Windows: Разрешить входящее исключение удаленного администрирования Брандмауэр Защитника Windows: Разрешить входящие исключения удаленного рабочего стола
Разрешение на сохранение паролей для подключения по RDP
По пути
Конфигурация компьютера
Политики
Административные шаблоны
Система
Передача учетных данныхВключить правило
Разрешить передачу сохраненных учетных данных с проверкой подлинности сервера "только NTLM"
И по пути
Конфигурация компьютера
Политики
Административные шаблоны
Сеть
Сетевые подключения
Брандмауэр Защитника Windows
Профиль доменаВключить правила и указать разрешенные ip-адреса, если нужно
Брандмауэр Защитника Windows: Разрешает исключение для входящего общего доступа к файлам и принтерам Брандмауэр Защитника Windows: Разрешить входящее исключение удаленного администрирования Брандмауэр Защитника Windows: Разрешить входящие исключения удаленного рабочего стола
Настройки электропитания
Время отключения дисплея настраивается по пути
Конфигурация компьютера
Политики
Административные шаблоны
Система
Управление электропитанием
Параметры дисплея и видеоВключить правило и указать время в секундах (15 минут = 900, 30 минут = 1800)
Отключить дисплей (питание от сети) Отключить дисплей (питание от батареи)
Время отключения жесткого диска настраивается по пути
Конфигурация компьютера
Политики
Административные шаблоны
Система
Управление электропитанием
Параметры жесткого дискаВключить правило и указать время в секундах, лучше всего указать 0, чтобы жесткий диск совсем не отключался
Отключить жесткий диск (питание от сети) Отключить жесткий диск (питание от батареи)
Регулировка спящего режима настраивается по пути
Конфигурация компьютера
Политики
Административные шаблоны
Система
Управление электропитанием
Параметры спящего режимаВключить правило и указать время в секундах, при 0, компьютер не будет уходить в спящий режим
Указать время ожидания автоматического перехода в спящий режим (питание от сети) Указать время ожидания автоматического перехода в спящий режим (питание от батареи)
Так же можно включить или выключить правило для запроса пароля после выхода из спящего режима
Требовать пароль при выходе из спящего режима (питание от сети) Требовать пароль при выходе из спящего режима (питание от батареи)
Ввод пароля после вывода заставки настраивается по пути
Конфигурация пользователя
Политики
Административные шаблоны
Панель управления
ПерсонализацияМожно включить или выключить правило для запроса пароля после заставки
Защита заставки с помощью пароля
Подключение сетевого диска
По пути
Конфигурация пользователя
Настройка
Конфигурация Windows
Сопоставления дисковСоздадим сопоставленный диск со свойствами
Действие: Обновить Размещение: Указать путь к сетевому диску Буква диска: Указать букву для сетевого диска
Настройка контроллера домена в качестве NTP сервера и настройка клиентов NTP
В папке Фильтры WMI создать фильтр, добавить запрос с пространством имен root\CIMv2 и запросом
Select * from Win32_ComputerSystem where DomainRole = 5
Создать правило для сервера NTP в папке Domain Controllers
Связать фильтр с правилом, выбрав правило и на вкладке Область внизу в разделе Фильтр WMI выбрать созданный фильтр
В правиле для сервера, по пути
Связать фильтр с правилом, выбрав правило и на вкладке Область внизу в разделе Фильтр WMI выбрать созданный фильтр
В правиле для сервера, по пути
Конфигурация пользователя
Политики
Административные шаблоны
Система
Служба времени Windows
Поставщики времениВключить правило
Настроить NTP-клиент Windows
Выбрать Type - NTP и в поле NtpServer указать
0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
В правиле для клиентов, по пути
Конфигурация пользователя
Политики
Административные шаблоны
Система
Служба времени Windows
Поставщики времениВключить правило
Настроить NTP-клиент Windows
Выбрать Type - NT5DS и в поле NtpServer указать ip-адрес контроллера домена
Настройка прав на диск/папку/файл
По пути
Конфигурация компьютера
Политики
Конфигурация Windows
Параметры безопасности
Файловая системаПКМ ⇒ Добавить файл. После выбора объекта можно будет указать для него параметры безопасности, нажав на кнопку Изменить параметры
Запрет компьютерам домена становится MasterBrowser`ом
По пути
Конфигурация компьютера
Настройка
Конфигурация Windows
РеестрСоздать Элемент реестра, в нем указать:
Действие - Обновить Куст - HKEY_LOCAL_MACHINE Путь раздела - SYSTEM\CurrentControlSet\Services\Browser\Parameters Имя параметра - MaintainServerList Тип параметра - REG_SZ Значение - No
Всегда ждать запуска сети при запуске и входе в систему
По пути
Конфигурация компьютера
Политики
Административные шаблоны
Система
Вход в системуВключить правило
Всегда ждать сеть при запуске и входе в систему
Задать адрес прокси сервера
По пути
Конфигурация пользователя
Настройка
Параметры панели управления
Параметры обозревателяСоздать параметры для нужных версий IE, можно для всех сразу.
Для всех версий настройка осуществляется одинаково на вкладке Подключения, кнопка Настройка сети.
В открывшемся окне указать ip-адрес и порт прокси сервера.
Если строки подчеркнуты красным параметры не применятся, строки должны быть подчеркнуты зеленым, для этого нужно нажать F5
Создание файлов на компьютерах
По пути
Конфигурация пользователя
Настройка
Конфигурация Windows
ФайлыСоздать файл, для этого нужно нажать ПКМ ⇒ Создать ⇒ Файл
В параметрах укажем
В параметрах укажем
Исходные файлы: файл, который должен лежать на сетевом диске с доступам для всех, например \\SRV-SHARE\data\123.txt Конечный файл: путь и название файла на конечном компьютере, например %userprofile%\AppData\Roaming\test.txt
Разрешение на подключение гостя к компьютеру домена
По пути
Конфигурация компьютера
Политики
Конфигурация Windows
Параметры безопасности
Назначение прав пользователяОткрыть политику
Отказать в доступе к этому компьютеру из сетии удалить из нее пользователя Гость
Установка программы
Дистрибутив программы можно положить в общую папку на контроллере домена
C:\Windows\SYSVOL\domain\scriptsКоторая доступна по сетевому пути
\\<Имя сервера>\netlogonИ указать сетевой путь для установки, тогда дистрибутив будет доступен всем компьютерам домена
По пути
Конфигурация компьютера
Политики
Конфигурация программ
Установка программУказать установочный файл msi, для этого нужно нажать ПКМ ⇒ Создать ⇒ Пакет
Можно установить программу с помощью сценария в bat файле, путь к которому указывается в политике
Конфигурация пользователя
Политики
Конфигурация Windows
Сценарии
Вход в системуЗайти в свойства и указать путь к bat файлу, он должен лежать на сетевом диске, например \\SRV-SHARE\data\123.bat