Политики описаны для Active Directory на основе Windows Server 2019
Добавление администратора домена в локальные администраторы
Для того, чтоб была возможность управлять компьютером от имени доменного администратора, его нужно добавить в группу локальных администраторов компьютера
Конфигурация компьютера Настройка Параметры панели управления Локальные пользователи и группы
Действие: Обновить Имя группы: Администраторы (встроенная учетная запись) ✓Удалить всех пользователей-членов этой группы ✓Удалить все группы-члены этой группы Члены группы: Workstation Admins
Включение возможности принудительного обновления групповой политики контроллером домена
Под принудительным обновлением понимается нажатие Обновление групповой политики в контекстном меню объекта управления (подразделения). Если не разрешить некоторые правила брандмауэра будет возникать ошибка с кодом 8007071a
Конфигурация компьютера Политики Конфигурация Windows Монитор брандмауэра Защитника Windows в режиме повышенной безопасности Монитор брандмауэра Защитника Windows в режиме повышенной безопасности Правила для входящих подключений
Доступ к сети COM+ Удаленное управление журналом событий Инструментарий управления Windows (WMI) Удаленное управление назначенными задачами
Включение сетевого обнаружения
Конфигурация компьютера Политики Конфигурация Windows Монитор брандмауэра Защитника Windows в режиме повышенной безопасности Монитор брандмауэра Защитника Windows в режиме повышенной безопасности Правила для входящих подключений
Обнаружение сети Общий доступ к файлам и принтерам
Конфигурация компьютера Политики Административные шаблоны Сеть Обнаружение топологии связи (Link-Layer)
Включает драйвер отображения ввода/вывода (LLTDIO) Включить драйвер "Ответчика" (RSPNDR)
Конфигурация компьютера Политики Административные шаблоны Сеть Рабочая станция Lanman
Включить небезопасные гостевые входы
Конфигурация компьютера Настройка Параметры панели управления Службы
Публикация ресурсов обнаружения функции (FDResPub) Обнаружение SSDP (SSDPSRV)У этих служб нужно указать параметры: Автозагрузка - автоматически, Действие - запуск службы
Выключение требования нажатия Ctrl+Alt+Del при входе
Конфигурация компьютера Политики Конфигурация Windows Параметры безопасности Локальные политики Параметры безопасности
Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL
Разрешение на доступ по RDP
Конфигурация компьютера Политики Административные шаблоны Компоненты Windows Службы удаленных рабочих столов Узел сеансов удаленных рабочих столов Подключения
Разрешить пользователям удаленное подключение с использованием служб удаленных рабочих столов
Конфигурация компьютера Политики Административные шаблоны Сеть Сетевые подключения Брандмауэр Защитника Windows Профиль домена
Брандмауэр Защитника Windows: Разрешает исключение для входящего общего доступа к файлам и принтерам Брандмауэр Защитника Windows: Разрешить входящее исключение удаленного администрирования Брандмауэр Защитника Windows: Разрешить входящие исключения удаленного рабочего стола
Разрешение на сохранение паролей для подключения по RDP
Конфигурация компьютера Политики Административные шаблоны Система Передача учетных данных
Разрешить передачу сохраненных учетных данных с проверкой подлинности сервера "только NTLM"
Конфигурация компьютера Политики Административные шаблоны Сеть Сетевые подключения Брандмауэр Защитника Windows Профиль домена
Брандмауэр Защитника Windows: Разрешает исключение для входящего общего доступа к файлам и принтерам Брандмауэр Защитника Windows: Разрешить входящее исключение удаленного администрирования Брандмауэр Защитника Windows: Разрешить входящие исключения удаленного рабочего стола
Настройки электропитания
Конфигурация компьютера Политики Административные шаблоны Система Управление электропитанием Параметры дисплея и видео
Отключить дисплей (питание от сети) Отключить дисплей (питание от батареи)
Конфигурация компьютера Политики Административные шаблоны Система Управление электропитанием Параметры жесткого диска
Отключить жесткий диск (питание от сети) Отключить жесткий диск (питание от батареи)
Конфигурация компьютера Политики Административные шаблоны Система Управление электропитанием Параметры спящего режима
Указать время ожидания автоматического перехода в спящий режим (питание от сети) Указать время ожидания автоматического перехода в спящий режим (питание от батареи)
Требовать пароль при выходе из спящего режима (питание от сети) Требовать пароль при выходе из спящего режима (питание от батареи)
Конфигурация пользователя Политики Административные шаблоны Панель управления Персонализация
Защита заставки с помощью пароля
Подключение сетевого диска
Конфигурация пользователя Настройка Конфигурация Windows Сопоставления дисков
Действие: Обновить Размещение: Указать путь к сетевому диску Буква диска: Указать букву для сетевого диска
Настройка контроллера домена в качестве NTP сервера и настройка клиентов NTP
Select * from Win32_ComputerSystem where DomainRole = 5
Связать фильтр с правилом, выбрав правило и на вкладке Область внизу в разделе Фильтр WMI выбрать созданный фильтр
В правиле для сервера, по пути
Конфигурация пользователя Политики Административные шаблоны Система Служба времени Windows Поставщики времени
Настроить NTP-клиент Windows
0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
Конфигурация пользователя Политики Административные шаблоны Система Служба времени Windows Поставщики времени
Настроить NTP-клиент Windows
Выбрать Type - NT5DS и в поле NtpServer указать ip-адрес контроллера домена
Настройка прав на диск/папку/файл
Конфигурация компьютера Политики Конфигурация Windows Параметры безопасности Файловая система
ПКМ ⇒ Добавить файл. После выбора объекта можно будет указать для него параметры безопасности, нажав на кнопку Изменить параметры
Запрет компьютерам домена становится MasterBrowser`ом
Конфигурация компьютера Настройка Конфигурация Windows Реестр
Действие - Обновить Куст - HKEY_LOCAL_MACHINE Путь раздела - SYSTEM\CurrentControlSet\Services\Browser\Parameters Имя параметра - MaintainServerList Тип параметра - REG_SZ Значение - No
Всегда ждать запуска сети при запуске и входе в систему
Конфигурация компьютера Политики Административные шаблоны Система Вход в систему
Всегда ждать сеть при запуске и входе в систему
Задать адрес прокси сервера
Конфигурация пользователя Настройка Параметры панели управления Параметры обозревателя
Создать параметры для нужных версий IE, можно для всех сразу.
Для всех версий настройка осуществляется одинаково на вкладке Подключения, кнопка Настройка сети.
В открывшемся окне указать ip-адрес и порт прокси сервера.
Если строки подчеркнуты красным параметры не применятся, строки должны быть подчеркнуты зеленым, для этого нужно нажать F5
Создание файлов на компьютерах
Конфигурация пользователя Настройка Конфигурация Windows Файлы
В параметрах укажем
Исходные файлы: файл, который должен лежать на сетевом диске с доступам для всех, например \\SRV-SHARE\data\123.txt Конечный файл: путь и название файла на конечном компьютере, например %userprofile%\AppData\Roaming\test.txt
Разрешение на подключение гостя к компьютеру домена
Конфигурация компьютера Политики Конфигурация Windows Параметры безопасности Назначение прав пользователя
Отказать в доступе к этому компьютеру из сетии удалить из нее пользователя Гость
Установка программы
C:\Windows\SYSVOL\domain\scriptsКоторая доступна по сетевому пути
\\<Имя сервера>\netlogonИ указать сетевой путь для установки, тогда дистрибутив будет доступен всем компьютерам домена
Конфигурация компьютера Политики Конфигурация программ Установка программ
Указать установочный файл msi, для этого нужно нажать ПКМ ⇒ Создать ⇒ Пакет
Конфигурация пользователя Политики Конфигурация Windows Сценарии Вход в систему
Зайти в свойства и указать путь к bat файлу, он должен лежать на сетевом диске, например \\SRV-SHARE\data\123.bat