# Windows Server
Настройка различных серверных компонентов
# Установка ролей сервера терминалов (RDS)
Для развертывания служб удаленных рабочих столов необходимо установить две основные роли: `Узел сеансов удаленных рабочих столов (Remote Desktop Session Host)` и `Лицензирование удаленных рабочих столов (Remote Desktop Licensing)`. Это можно сделать через Диспетчер серверов или с помощью одной PowerShell команды.
##### Диспетчер серверов (GUI)
1. Откройте "Диспетчер серверов" (Server Manager) → "Управление" (Manage) → "Добавить роли и компоненты" (Add Roles and Features).
2. Выберите "Установка ролей или компонентов" (Role-based or feature-based installation).
3. Выберите свой сервер из пула.
4. В списке ролей отметьте "Службы удаленных рабочих столов" (Remote Desktop Services).
5. На шаге "Службы ролей" (Role Services) выберите "Лицензирование удаленных рабочих столов" (Remote Desktop Licensing) и "Узел сеансов удаленных рабочих столов" (Remote Desktop Session Host).
6. Подтвердите установку дополнительных компонентов и завершите мастер. Потребуется перезагрузка.
#### Настройка лицензирования
После установки ролей необходимо указать серверу терминалов, где находится сервер лицензирования, и выбрать режим лицензирования. Это делается через Редактор локальной групповой политики (`gpedit.msc`).
Путь к политикам (Path to policies): `Конфигурация компьютера (Computer Configuration) → Административные шаблоны (Administrative Templates) → Компоненты Windows (Windows Components) → Службы удаленных рабочих столов (Remote Desktop Services) → Узел сеансов удаленных рабочих столов (Remote Desktop Session Host) → Лицензирование (Licensing)`.
##### 1. Указание сервера лицензирования
Откройте политику "Использовать указанные серверы лицензирования удаленных рабочих столов" (Use the specified Remote Desktop license servers), установите ее в "Включено" (Enabled) и укажите имя или IP-адрес вашего сервера лицензирования (часто это тот же сервер).
##### 2. Выбор режима лицензирования
Откройте политику "Задать режим лицензирования удаленных рабочих столов" (Set the Remote Desktop licensing mode), установите ее в "Включено" (Enabled) и выберите один из режимов:
- **На пользователя (Per User):** Лицензия привязывается к учетной записи пользователя. Один пользователь может подключаться с любого количества устройств. Самый распространенный вариант.
- **На устройство (Per Device):** Лицензия привязывается к устройству. С этого устройства может подключаться любое количество пользователей.
После изменения политик выполните команду для немедленного применения:
```
gpupdate /force
```
#### Активация сервера и установка лицензий
Этот процесс выполняется через графический интерфейс и требует подключения к интернету.
1. **Откройте Диспетчер лицензирования:** "Диспетчер серверов" (Server Manager) → "Средства" (Tools) → "Remote Desktop Services" → "Диспетчер лицензирования удаленных рабочих столов" (Remote Desktop Licensing Manager).
2. **Активация сервера:** Нажмите ПКМ на имени вашего сервера и выберите "Активировать сервер" (Activate Server). Следуйте указаниям мастера, выбрав метод подключения "Авто" (Automatic) и заполнив информацию об организации.
3. **Установка лицензий:** Сразу после активации запустится мастер установки лицензий.
4. **Программа лицензирования:** Выберите "Соглашение Enterprise Agreement" (Enterprise Agreement).
5. **Номер соглашения:** Введите один из рабочих номеров. Это не пиратский ключ, а номер программы лицензирования, который был публично доступен. **Для производственного использования требуются легально приобретенные лицензии.**
```
6565792, 5296992, 3325596, 4965437, 4526017
```
6. **Завершение мастера:** Выберите версию продукта (например, Windows Server 2019/2022), тип лицензии (на пользователя/устройство, в соответствии с групповой политикой) и количество. Завершите установку.
#### Проверка конфигурации
Для проверки правильности настройки используется "Средство диагностики лицензирования удаленных рабочих столов" (RD Licensing Diagnoser).
- Путь (Path): "Диспетчер серверов" (Server Manager) → "Средства" (Tools) → "Remote Desktop Services" → "Средство диагностики лицензирования удаленных рабочих столов" (RD Licensing Diagnoser).
- Если все настроено правильно, в окне диагностики не будет сообщений об ошибках, и вы увидите количество доступных лицензий.
# Справочник по политикам Active Directory
---
#### 1. Безопасность учетных записей и паролей
##### 1. Политика паролей
*Password Policy*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политика паролей
>
> **EN:** Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Account Policies -> Password Policy
**Описание:**
Основа безопасности домена. Устанавливает минимальные требования к сложности, длине и сроку действия паролей пользователей.
**Настройка:**
- **Enforce password history:** Установить на `24` passwords remembered.
- **Maximum password age:** Установить на `60` days.
- **Minimum password length:** Установить на `12` characters или больше.
- **Password must meet complexity requirements:** `Enabled`. Требует наличия заглавных, строчных букв, цифр и спецсимволов.
**Обоснование:**
Предотвращает использование простых и легко подбираемых паролей, заставляет пользователей регулярно их менять, что значительно снижает риск несанкционированного доступа.
**Пример команды PowerShell:**
```
Set-ADDefaultDomainPasswordPolicy -ComplexityEnabled $true -MaxPasswordAge 60.00:00:00 -MinPasswordLength 12 -PasswordHistoryCount 24
```
---
##### 2. Политика блокировки учетных записей
*Account Lockout Policy*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политика блокировки учетных записей
>
> **EN:** Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Account Policies -> Account Lockout Policy
**Описание:**
Автоматически блокирует учетную запись после нескольких неудачных попыток входа.
**Настройка:**
- **Account lockout threshold:** `5` invalid logon attempts.
- **Account lockout duration:** `15` minutes.
- **Reset account lockout counter after:** `15` minutes.
**Обоснование:**
Эффективная защита от атак методом подбора пароля (brute-force). Злоумышленник не сможет бесконечно перебирать пароли.
**Пример команды PowerShell:**
```
Set-ADDefaultDomainPasswordPolicy -LockoutDuration "0.00:15:00" -LockoutObservationWindow "0.00:15:00" -LockoutThreshold 5
```
---
##### 3. Минимальный возраст пароля
*Minimum password age*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политика паролей
>
> **EN:** Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Account Policies -> Password Policy
**Описание:**
Устанавливает, сколько дней пользователь должен использовать пароль, прежде чем сможет его снова сменить.
**Настройка:**
Установить значение `1` day.
**Обоснование:**
Предотвращает ситуацию, когда пользователь, которого заставляют сменить пароль, меняет его и тут же меняет обратно на старый, обходя политику истории паролей.
**Пример команды PowerShell:**
```
Set-ADDefaultDomainPasswordPolicy -MinPasswordAge 1.00:00:00
```
---
##### 4. Уровень проверки подлинности LAN Manager
*LAN Manager authentication level*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности
>
> **EN:** Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options
**Описание:**
Определяет, какой протокол аутентификации будет использоваться для сетевого входа.
**Настройка:**
Настроить политику `Network security: LAN Manager authentication level`, выбрав `Send NTLMv2 response only. Refuse LM & NTLM`.
**Обоснование:**
Устаревшие протоколы LM и NTLM уязвимы для атак. Принудительное использование NTLMv2 значительно повышает безопасность аутентификации в домене.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Control\\Lsa" -Name "LmCompatibilityLevel" -Value 5
```
---
##### 5. Запрет хранения хешей LAN Manager
*Do not store LAN Manager hash*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности
>
> **EN:** Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options
**Описание:**
Запрещает системе хранить слабые, легко взламываемые LM-хеши паролей.
**Настройка:**
Включить (Enable) политику `Network security: Do not store LAN Manager hash value on next password change`.
**Обоснование:**
Критически важная политика безопасности. Даже если злоумышленник получит доступ к базе SAM или NTDS.dit, он не сможет извлечь из нее слабые LM-хеши для последующего взлома паролей.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Control\\Lsa" -Name "NoLMHash" -Value 1
```
---
##### 6. Не показывать имя последнего вошедшего пользователя
*Do not display last signed-in*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности
>
> **EN:** Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options
**Описание:**
Скрывает имя пользователя, который последним входил в систему, на экране входа.
**Настройка:**
Включить (Enable) политику `Interactive logon: Do not display last signed-in`.
**Обоснование:**
Повышает безопасность, так как потенциальному злоумышленнику потребуется знать не только пароль, но и имя пользователя для входа в систему.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKLM:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System" -Name "DontDisplayLastUserName" -Value 1
```
---
##### 7. Настроить поведение при удалении смарт-карты
*Smart card removal behavior*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности
>
> **EN:** Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options
**Описание:**
Определяет, что произойдет, когда пользователь извлекает смарт-карту из считывателя.
**Настройка:**
Настроить политику `Interactive logon: Smart card removal behavior`, выбрав `Lock Workstation`.
**Обоснование:**
Критически важная политика для сред с двухфакторной аутентификацией. Гарантирует, что рабочая станция будет немедленно заблокирована, как только физический токен (смарт-карта) будет удален.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKLM:\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" -Name "scremoveoption" -Value "1"
```
---
##### 8. Отключить кеширование учетных данных
*Number of previous logons to cache*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности
>
> **EN:** Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options
**Описание:**
Запрещает системе кешировать учетные данные для входа в домен. Вход будет возможен только при доступности контроллера домена.
**Настройка:**
Настроить политику `Interactive logon: Number of previous logons to cache (in case domain controller is not available)`, установив значение `0`.
**Обоснование:**
Максимальный уровень безопасности для стационарных рабочих станций. Предотвращает возможность входа в систему с использованием старого (потенциально скомпрометированного) пароля, если компьютер отключен от сети.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKLM:\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" -Name "CachedLogonsCount" -Value 0
```
---
##### 9. Включение защиты LSA
*Enable LSA Protection*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> Local Security Authority
>
> **EN:** Computer Configuration -> Policies -> Administrative Templates -> System -> Local Security Authority
**Описание:**
Защищает процесс Local Security Authority (LSA) от внедрения кода, что усложняет кражу учетных данных из памяти.
**Настройка:**
Включить (Enable) политику `Configure LSASS to run as a protected process` и установить значение `Enabled with UEFI Lock`.
**Обоснование:**
Значительно повышает устойчивость системы к современным атакам, таким как Mimikatz, которые нацелены на извлечение паролей и хэшей из памяти процесса LSASS.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Control\\Lsa" -Name "RunAsPPL" -Value 1
```
---
#### 2. Ограничение системы и приложений
##### 10. Запрет доступа к Панели управления и Параметрам
*Prohibit access to Control Panel and PC settings*
**Путь в редакторе GPO:**
> **RU:** Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления
>
> **EN:** User Configuration -> Policies -> Administrative Templates -> Control Panel
**Описание:**
Полностью блокирует доступ пользователей к классической Панели управления и современному приложению "Параметры".
**Настройка:**
Найти и включить (Enable) политику `Prohibit access to Control Panel and PC settings`.
**Обоснование:**
Критически важная политика для ограничения прав пользователей. Предотвращает несанкционированные изменения в конфигурации системы, установку/удаление программ и изменение сетевых настроек.
**Пример команды PowerShell:**
```
# This is a user policy, applied on logon.
# To set via registry for the current user:
Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer" -Name "NoControlPanel" -Value 1
```
---
##### 11. Запрет на использование съемных носителей
*Restrict Removable Storage Access*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> Доступ к съемным запоминающим устройствам
>
> **EN:** Computer Configuration -> Policies -> Administrative Templates -> System -> Removable Storage Access
**Описание:**
Контролирует доступ к USB-накопителям, внешним дискам, CD/DVD и другим съемным устройствам.
**Настройка:**
Включить (Enable) политику `All Removable Storage classes: Deny all access` для полной блокировки. Можно настроить более гранулярно, например, разрешить только чтение.
**Обоснование:**
Ключевой элемент предотвращения утечек данных (DLP) и защиты от вредоносного ПО, распространяемого через USB-флешки.
**Пример команды PowerShell:**
```
# This policy controls multiple registry keys.
# Example to deny write access to USB storage:
Set-ItemProperty -Path "HKLM:\\Software\\Policies\\Microsoft\\Windows\\RemovableStorageDevices\\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}" -Name "Deny_Write" -Value 1
```
---
##### 12. AppLocker / Политики ограниченного использования программ
*AppLocker / Software Restriction Policies*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики управления приложениями -> AppLocker
>
> **EN:** Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Application Control Policies -> AppLocker
**Описание:**
Позволяет создать "белый список" приложений, разрешенных к запуску. Все остальное будет заблокировано.
**Настройка:**
Сначала необходимо создать правила по умолчанию (ПКМ → Create Default Rules). Затем можно создавать свои правила для исполняемых файлов (Executable Rules) на основе пути, хэша файла или издателя.
Не забудьте запустить службу `Application Identity` (`gpsvc`) на клиентских машинах для применения политик.
**Обоснование:**
Одна из самых надежных защит от вирусов и программ-шифровальщиков. Даже если пользователь скачает вредоносный файл, он просто не сможет его запустить.
**Пример команды PowerShell:**
```
# AppLocker policies are complex XML files. Managing them via PowerShell is advanced.
# Example to get the current policy:
Get-AppLockerPolicy -Local | Export-Clixml -Path C:\\AppLocker.xml
```
---
##### 13. Запрет доступа к командной строке
*Prevent access to the command prompt*
**Путь в редакторе GPO:**
> **RU:** Конфигурация пользователя -> Политики -> Административные шаблоны -> Система
>
> **EN:** User Configuration -> Policies -> Administrative Templates -> System
**Описание:**
Отключает доступ к командной строке (cmd.exe) для пользователей.
**Настройка:**
Найти и включить (Enable) политику `Prevent access to the command prompt`. Можно также запретить выполнение скриптов.
**Обоснование:**
Сильная мера безопасности для сред с повышенными требованиями, где пользователям не должно быть разрешено выполнять системные команды.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKCU:\\Software\\Policies\\Microsoft\\Windows\\System" -Name "DisableCMD" -Value 1
```
---
##### 14. Отключение "потребительского опыта"
*Turn off Microsoft consumer experiences*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Содержимое из облака
>
> **EN:** Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Cloud Content
**Описание:**
Отключает загрузку и установку рекламируемых приложений (Candy Crush, Spotify и т.п.) в Windows 10/11 Pro.
**Настройка:**
Найти и включить (Enable) политику `Turn off Microsoft consumer experiences`.
**Обоснование:**
Убирает ненужное ПО с корпоративных рабочих мест, сохраняя "чистоту" системы и экономя место на диске.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKLM:\\Software\\Policies\\Microsoft\\Windows\\CloudContent" -Name "DisableWindowsConsumerFeatures" -Value 1
```
---
##### 15. Отключить автозапуск для всех дисков
*Turn off Autoplay*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Политики автозапуска
>
> **EN:** Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> AutoPlay Policies
**Описание:**
Полностью отключает функцию автозапуска/автовоспроизведения для всех типов дисков.
**Настройка:**
Включить (Enable) политику `Turn off Autoplay` и выбрать опцию `All drives`.
**Обоснование:**
Исторически, автозапуск был одним из главных векторов распространения вирусов через USB-накопители. Отключение этой функции является важным шагом для повышения безопасности рабочих станций.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKLM:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer" -Name "NoDriveTypeAutoRun" -Value 255
```
---
##### 16. Запретить доступ к реестру
*Prevent access to registry editing tools*
**Путь в редакторе GPO:**
> **RU:** Конфигурация пользователя -> Политики -> Административные шаблоны -> Система
>
> **EN:** User Configuration -> Policies -> Administrative Templates -> System
**Описание:**
Блокирует запуск редактора реестра (`regedit.exe`).
**Настройка:**
Включить (Enable) политику `Prevent access to registry editing tools`.
**Обоснование:**
Предотвращает ручное изменение критически важных системных настроек пользователями, что может привести к нестабильной работе или полному отказу системы.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System" -Name "DisableRegistryTools" -Value 1
```
---
##### 17. Запретить запуск указанных приложений
*Don't run specified Windows applications*
**Путь в редакторе GPO:**
> **RU:** Конфигурация пользователя -> Политики -> Административные шаблоны -> Система
>
> **EN:** User Configuration -> Policies -> Administrative Templates -> System
**Описание:**
Создает "черный список" приложений, которые пользователям запрещено запускать.
**Настройка:**
Включить (Enable) политику, нажать `Show...` и добавить имена исполняемых файлов (например, `bittorrent.exe`).
**Обоснование:**
Более простой способ блокировки приложений по сравнению с AppLocker. Подходит для быстрого запрета нежелательного ПО (торрент-клиенты, игры и т.д.).
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\DisallowRun" -Name "1" -Value "bittorrent.exe"
```
---
##### 18. Настройка поведения UAC
*Configure User Account Control (UAC)*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности
>
> **EN:** Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options
**Описание:**
Управляет поведением контроля учетных записей (UAC).
**Настройка:**
Найти и настроить политику `User Account Control: Behavior of the elevation prompt for administrators...`. Например, установить `Prompt for consent for non-Windows binaries`.
**Обоснование:**
Позволяет найти баланс между безопасностью и удобством, настраивая, как часто и для каких действий система будет запрашивать подтверждение с повышенными привилегиями.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKLM:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System" -Name "ConsentPromptBehaviorAdmin" -Value 5
```
---
#### 3. Рабочий стол и среда пользователя
##### 19. Назначение сетевых дисков
*Map Network Drives*
**Путь в редакторе GPO:**
> **RU:** Конфигурация пользователя -> Настройка -> Конфигурация Windows -> Сопоставления дисков
>
> **EN:** User Configuration -> Preferences -> Windows Settings -> Drive Maps
**Описание:**
Автоматически подключает сетевые папки в качестве дисков при входе пользователя в систему.
**Настройка:**
Внутри GPO, в указанном пути:
1. ПКМ → New → Mapped Drive.
2. **Action:** `Update` (создает или обновляет диск).
3. **Location:** `\\\\server\\share\\folder` (путь к сетевой папке).
4. **Reconnect:** Отметить галочкой.
5. **Label as:** Понятное имя диска (например, "Общие документы").
6. **Drive Letter:** Выбрать букву диска.
**Обоснование:**
Стандартизирует рабочее окружение, обеспечивает легкий и единообразный доступ к общим ресурсам, избавляя пользователей от необходимости подключать диски вручную.
**Пример команды PowerShell:**
```
# Drive Maps через GPO Preferences не имеют прямого командлета.
# Пример подключения диска для текущего сеанса:
New-PSDrive -Name "S" -PSProvider "FileSystem" -Root "\\\\server\\share" -Persist
```
---
##### 20. Установка обоев рабочего стола
*Desktop Wallpaper*
**Путь в редакторе GPO:**
> **RU:** Конфигурация пользователя -> Политики -> Административные шаблоны -> Рабочий стол -> Рабочий стол
>
> **EN:** User Configuration -> Policies -> Administrative Templates -> Desktop -> Desktop
**Описание:**
Принудительно устанавливает единые обои рабочего стола для всех пользователей.
**Настройка:**
Включить (Enable) политику **Desktop Wallpaper** и указать UNC-путь к файлу изображения в поле `Wallpaper Name`. Например: `\\\\server\\share\\wallpapers\\corporate.jpg`.
Убедитесь, что у всех пользователей есть права на чтение этого файла.
**Обоснование:**
Обеспечивает корпоративный брендинг, поддерживает профессиональный вид рабочих станций и предотвращает установку неуместных или отвлекающих изображений.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System" -Name "Wallpaper" -Value "\\\\server\\share\\wallpapers\\corporate.jpg"
```
---
##### 21. Запрет на изменение рабочего стола
*Prevent changing desktop background*
**Путь в редакторе GPO:**
> **RU:** Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация
>
> **EN:** User Configuration -> Policies -> Administrative Templates -> Control Panel -> Personalization
**Описание:**
Запрещает пользователям изменять обои рабочего стола.
**Настройка:**
Включить (Enable) политику `Prevent changing desktop background`. Работает в паре с политикой принудительной установки обоев.
**Обоснование:**
Поддерживает корпоративный стандарт и предотвращает установку неуместных или отвлекающих изображений, дополняя политику принудительной установки обоев.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\ActiveDesktop" -Name "NoChangingWallPaper" -Value 1
```
---
##### 22. Перенаправление папок
*Folder Redirection*
**Путь в редакторе GPO:**
> **RU:** Конфигурация пользователя -> Политики -> Конфигурация Windows -> Перенаправление папок
>
> **EN:** User Configuration -> Policies -> Windows Settings -> Folder Redirection
**Описание:**
Перенаправляет стандартные папки пользователя (Документы, Рабочий стол и т.д.) на сетевой ресурс.
**Настройка:**
ПКМ на папке (например, `Documents`) → Properties.
- **Setting:** `Basic - Redirect everyone's folder to the same location`.
- **Target folder location:** `Create a folder for each user under the root path`.
- **Root Path:** `\\\\server\\profiles\\%USERNAME%\\Documents`.
**Обоснование:**
Централизует хранение пользовательских данных, что упрощает их резервное копирование. Также обеспечивает "бесшовный" переход пользователя между разными компьютерами в домене — его файлы всегда с ним.
**Пример команды PowerShell:**
```
# Folder Redirection не имеет прямого командлета и настраивается через GUI.
```
---
##### 23. Запуск сценариев входа/выхода
*Logon/Logoff Scripts*
**Путь в редакторе GPO:**
> **RU:** Конфигурация пользователя -> Политики -> Конфигурация Windows -> Сценарии (вход/выход из системы)
>
> **EN:** User Configuration -> Policies -> Windows Settings -> Scripts (Logon/Logoff)
**Описание:**
Выполняет скрипты (.bat, .vbs, .ps1) при входе пользователя в систему или выходе из нее.
**Настройка:**
Двойной клик по `Logon`, на вкладке `PowerShell Scripts` нажать `Add...` и указать путь к скрипту. Скрипты должны храниться в папке политики на контроллере домена (Sysvol).
**Обоснование:**
Мощный инструмент автоматизации для задач, которые нужно выполнять для каждого пользователя: подключение принтеров, создание ярлыков, очистка временных файлов.
**Пример команды PowerShell:**
```
Set-GPRegistryValue -Name "MyGPO" -Key "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Group Policy\\Scripts\\Logon\\0" -ValueName "Script" -Value "\\\\domain.com\\SysVol\\...\\MyScript.ps1" -Type String
```
---
##### 24. Сообщение при входе в систему
*Interactive logon message*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности
>
> **EN:** Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options
**Описание:**
Отображает юридическое или информационное сообщение перед входом пользователя в систему.
**Настройка:**
Настроить две политики:
- **Interactive logon: Message text for users...** (Текст сообщения, например, "Этот компьютер является собственностью компании...").
- **Interactive logon: Message title for users...** (Заголовок окна сообщения, например, "ПРЕДУПРЕЖДЕНИЕ").
**Обоснование:**
Используется для юридических уведомлений об ответственности за использование корпоративных ресурсов и для информирования пользователей о плановых работах.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKLM:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System" -Name "legalnoticecaption" -Value "ПРЕДУПРЕЖДЕНИЕ"
Set-ItemProperty -Path "HKLM:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System" -Name "legalnoticetext" -Value "Этот компьютер является собственностью компании."
```
---
##### 25. Включение блокировки экрана с паролем
*Enable Screen Saver Password Protection*
**Путь в редакторе GPO:**
> **RU:** Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация
>
> **EN:** User Configuration -> Policies -> Administrative Templates -> Control Panel -> Personalization
**Описание:**
Принудительно включает заставку и требует ввод пароля для разблокировки компьютера.
**Настройка:**
- Включить **Password protect the screen saver**.
- Включить **Screen saver timeout** и установить время в секундах (например, `600` для 10 минут).
- Включить **Force specific screen saver** и указать путь к файлу (например, `scrnsave.scr`).
**Обоснование:**
Обеспечивает безопасность рабочих станций, оставленных без присмотра. Если пользователь отошел, компьютер автоматически заблокируется.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKCU:\\Software\\Policies\\Microsoft\\Windows\\Control Panel\\Desktop" -Name "ScreenSaveActive" -Value "1"
Set-ItemProperty -Path "HKCU:\\Software\\Policies\\Microsoft\\Windows\\Control Panel\\Desktop" -Name "ScreenSaverIsSecure" -Value "1"
Set-ItemProperty -Path "HKCU:\\Software\\Policies\\Microsoft\\Windows\\Control Panel\\Desktop" -Name "ScreenSaveTimeOut" -Value "600"
```
---
##### 26. Скрыть указанные диски
*Hide these specified drives in My Computer*
**Путь в редакторе GPO:**
> **RU:** Конфигурация пользователя -> Политики -> Административные шаблоны -> Компоненты Windows -> Проводник
>
> **EN:** User Configuration -> Policies -> Administrative Templates -> Windows Components -> File Explorer
**Описание:**
Скрывает определенные диски (например, системный диск C:) из окна "Этот компьютер".
**Настройка:**
Включить (Enable) политику и выбрать из выпадающего списка комбинацию дисков, которые нужно скрыть.
**Обоснование:**
Используется для упрощения интерфейса для пользователя, скрывая системные разделы, которые ему не нужно трогать, и оставляя только диски с данными.
**Пример команды PowerShell:**
```
# Hides drive C. The value is a bitmask. 4 corresponds to C.
Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer" -Name "NoDrives" -Value 4
```
---
##### 27. Запрет автоматического сопоставления сетевых папок
*Remove "Map Network Drive" and "Disconnect Network Drive"*
**Путь в редакторе GPO:**
> **RU:** Конфигурация пользователя -> Политики -> Административные шаблоны -> Компоненты Windows -> Проводник
>
> **EN:** User Configuration -> Policies -> Administrative Templates -> Windows Components -> File Explorer
**Описание:**
Убирает из интерфейса Проводника пункты "Подключить сетевой диск" и "Отключить сетевой диск".
**Настройка:**
Включить (Enable) политику `Remove "Map Network Drive" and "Disconnect Network Drive"`.
**Обоснование:**
Позволяет полностью контролировать подключение сетевых дисков через GPO, запрещая пользователям самостоятельно подключать или отключать другие сетевые ресурсы.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer" -Name "NoNetConnectDisconnect" -Value 1
```
---
##### 28. Запретить доступ к свойствам этого компьютера
*Removes the "Properties" item from the This PC context menu*
**Путь в редакторе GPO:**
> **RU:** Конфигурация пользователя -> Политики -> Административные шаблоны -> Компоненты Windows -> Проводник
>
> **EN:** User Configuration -> Policies -> Administrative Templates -> Windows Components -> File Explorer
**Описание:**
Удаляет пункт "Свойства" из контекстного меню значка "Этот компьютер".
**Настройка:**
Включить (Enable) политику `Removes the "Properties" item from the This PC context menu`.
**Обоснование:**
Ограничивает возможность пользователя просматривать основную информацию о системе, изменять имя компьютера, рабочую группу или домен, что является частью общей стратегии по ограничению прав.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer" -Name "NoPropertiesMyComputer" -Value 1
```
---
##### 29. Не сохранять недавние документы
*Do not keep history of recently opened documents*
**Путь в редакторе GPO:**
> **RU:** Конфигурация пользователя -> Политики -> Административные шаблоны -> Компоненты Windows -> Проводник
>
> **EN:** User Configuration -> Policies -> Administrative Templates -> Windows Components -> File Explorer
**Описание:**
Отключает ведение истории недавно открытых файлов.
**Настройка:**
Включить (Enable) политику `Do not keep history of recently opened documents`.
**Обоснование:**
Повышает конфиденциальность, особенно на компьютерах с общим доступом, так как другие пользователи не смогут увидеть, какие документы открывались ранее.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer" -Name "NoRecentDocsHistory" -Value 1
```
---
#### 4. Безопасность удаленного доступа (RDP)
##### 30. Разрешить удаленное подключение по RDP
*Allow users to connect remotely by using Remote Desktop Services*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Подключения
>
> **EN:** Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Connections
**Описание:**
Главный переключатель, разрешающий или запрещающий RDP-подключения к серверу.
**Настройка:**
Включить (Enable) политику. Чтобы запретить RDP, установите в "Отключено" (Disabled).
**Обоснование:**
Позволяет централизованно управлять доступностью RDP на множестве компьютеров. Является основой для всех остальных настроек RDP.
**Пример команды PowerShell:**
```
# To enable RDP:
Set-ItemProperty -Path 'HKLM:\\System\\CurrentControlSet\\Control\\Terminal Server' -name "fDenyTSConnections" -value 0
#To disable RDP:
Set-ItemProperty -Path 'HKLM:\\System\\CurrentControlSet\\Control\\Terminal Server' -name "fDenyTSConnections" -value 1
```
---
##### 31. Добавление пользователей в группу "Пользователи удаленного рабочего стола"
*Allow log on through Remote Desktop Services*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя
>
> **EN:** Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment
**Описание:**
Определяет, какие пользователи или группы могут подключаться к компьютеру по RDP.
**Настройка:**
Открыть политику, нажать "Добавить пользователя или группу..." и указать доменную группу, членам которой будет разрешен RDP-доступ (например, `DOMAIN\\RemoteUsers`).
**Обоснование:**
Правильный способ управления доступом по RDP. Вместо добавления пользователей в локальную группу "Пользователи удаленного рабочего стола" вручную, вы централизованно управляете членством в доменной группе.
**Пример команды PowerShell:**
```
# This policy configures a security identifier (SID) and is best managed via the GPO GUI.
```
---
##### 32. Требовать проверку подлинности на уровне сети (NLA)
*Require user authentication for remote connections by using Network Level Authentication*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Безопасность
>
> **EN:** Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security
**Описание:**
Требует, чтобы пользователь прошел аутентификацию до установления полноценного сеанса RDP.
**Настройка:**
Включить (Enable) политику.
**Обоснование:**
Ключевая мера безопасности RDP. Защищает от DoS-атак и использования уязвимостей в протоколе до аутентификации (например, BlueKeep). Сессия не будет создана, пока пользователь не подтвердит свою личность.
**Пример команды PowerShell:**
```
(Get-WmiObject -Class "Win32_TSGeneralSetting" -Namespace root\\cimv2\\terminalservices).SetUserAuthenticationRequired(1)
```
---
##### 33. Установить уровень шифрования клиентского подключения
*Set client connection encryption level*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Безопасность
>
> **EN:** Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security
**Описание:**
Задает минимальный уровень шифрования для RDP-сеансов.
**Настройка:**
Включить (Enable) политику и в выпадающем списке выбрать `High Level`.
**Обоснование:**
Гарантирует, что для всех RDP-соединений используется надежное 128-битное шифрование, защищая передаваемый трафик от перехвата и анализа.
**Пример команды PowerShell:**
```
(Get-WmiObject -Class "Win32_TSGeneralSetting" -Namespace root\\cimv2\\terminalservices).MinEncryptionLevel = 3
```
---
##### 34. Запретить сохранение паролей RDP
*Do not allow passwords to be saved*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Клиент подключения к удаленному рабочему столу
>
> **EN:** Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Connection Client
**Описание:**
Отключает на клиентских машинах возможность сохранения паролей в RDP-клиенте (деактивирует галочку "Запомнить меня").
**Настройка:**
Включить (Enable) политику. Эта политика применяется к компьютерам, с которых производятся подключения.
**Обоснование:**
Предотвращает хранение паролей на рабочих станциях, что является критически важным для безопасности, особенно на компьютерах с общим доступом, и снижает риск компрометации учетных данных.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKLM:\\Software\\Policies\\Microsoft\\Windows NT\\Terminal Services" -Name "DisablePasswordSaving" -Value 1
```
---
##### 35. Всегда запрашивать пароль при подключении
*Prompt for credentials on the client computer*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Клиент подключения к удаленному рабочему столу
>
> **EN:** Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Connection Client
**Описание:**
Заставляет RDP-клиент всегда запрашивать пароль, даже если он был сохранен ранее.
**Настройка:**
Включить (Enable) политику. Эта политика также применяется к клиентским машинам.
**Обоснование:**
Повышает безопасность, требуя от пользователя активного ввода пароля при каждом подключении, что снижает риск использования скомпрометированных сохраненных учетных данных.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKLM:\\Software\\Policies\\Microsoft\\Windows NT\\Terminal Services" -Name "PromptForCredentials" -Value 1
```
---
##### 36. Время ожидания перед блокировкой сеанса RDP
*Set time limit for active but idle Remote Desktop Services sessions*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Ограничения по времени для сеансов
>
> **EN:** Computer Configuration -> ... -> Remote Desktop Services -> Remote Desktop Session Host -> Session Time Limits
**Описание:**
Автоматически отключает неактивные (простаивающие) сеансы на сервере терминалов.
**Настройка:**
Включить (Enable) политику и установить лимит, например, `1 hour`.
**Обоснование:**
Освобождает лицензии и системные ресурсы на RDS-ферме от пользователей, которые подключились и забыли выйти, повышая эффективность использования сервера.
**Пример команды PowerShell:**
```
# This policy corresponds to a registry key. 3600000 milliseconds = 1 hour.
Set-ItemProperty -Path "HKLM:\\Software\\Policies\\Microsoft\\Windows NT\\Terminal Services" -Name "MaxIdleTime" -Value 3600000
```
---
##### 37. Удалить меню "Завершение работы" из сеанса RDP
*Remove and prevent access to the Shut Down command*
**Путь в редакторе GPO:**
> **RU:** Конфигурация пользователя -> Политики -> Административные шаблоны -> Меню "Пуск" и панель задач
>
> **EN:** User Configuration -> Policies -> Administrative Templates -> Start Menu and Taskbar
**Описание:**
Убирает из меню "Пуск" кнопки выключения, перезагрузки и сна. Особенно полезно для серверов терминалов.
**Настройка:**
Включить (Enable) политику `Remove and prevent access to the Shut Down, Restart, Sleep, and Hibernate commands`.
**Обоснование:**
Предотвращает случайное или намеренное выключение или перезагрузку критически важных серверов (например, RDS-ферм) обычными пользователями.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer" -Name "NoClose" -Value 1
```
---
#### 5. Аудит и логирование безопасности
##### 38. Аудит событий входа в систему
*Audit logon events*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита
>
> **EN:** Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy
**Описание:**
Включает запись в журнал безопасности событий успешного и неуспешного входа в систему.
**Настройка:**
Найти политику `Audit logon events` и включить аудит для `Success` и `Failure`.
**Обоснование:**
Критически важно для расследования инцидентов безопасности. Позволяет отслеживать, кто, когда и с какого компьютера пытался войти в систему.
**Пример команды PowerShell:**
```
auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable
```
---
##### 39. Аудит доступа к объектам
*Audit object access*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита
>
> **EN:** Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy
**Описание:**
Включает аудит доступа к файлам, папкам и объектам реестра.
**Настройка:**
Включить политику `Audit object access` для `Success` и `Failure`. После этого необходимо настроить аудит на конкретных папках (вкладка "Безопасность" → "Дополнительно" → "Аудит").
**Обоснование:**
Позволяет отслеживать, кто и когда получал доступ к критически важным файлам, изменял или удалял их. Необходимо для расследования инцидентов и соответствия стандартам безопасности.
**Пример команды PowerShell:**
```
auditpol /set /category:"Object Access" /success:enable /failure:enable
```
---
##### 40. Настроить ведение журнала сценариев PowerShell
*Turn on PowerShell Script Block Logging*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Windows PowerShell
>
> **EN:** Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows PowerShell
**Описание:**
Включает детальное логирование всех блоков кода PowerShell, которые выполняются в системе.
**Настройка:**
Включить (Enable) политику `Turn on PowerShell Script Block Logging`. События будут записываться в журнал `Microsoft-Windows-PowerShell/Operational`.
**Обоснование:**
Критически важный инструмент для обнаружения вредоносной активности. Так как многие современные атаки используют PowerShell, эта политика позволяет видеть точные команды, которые выполнял злоумышленник.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKLM:\\Software\\Policies\\Microsoft\\Windows\\PowerShell\\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1
```
---
##### 41. Включить транскрипцию PowerShell
*Turn on PowerShell Transcription*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Windows PowerShell
>
> **EN:** Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows PowerShell
**Описание:**
Записывает весь ввод и вывод из консоли PowerShell в текстовые файлы.
**Настройка:**
Включить (Enable) политику и указать сетевую папку (UNC-путь), куда будут сохраняться логи. Это дополняет политику ведения журнала блоков.
**Обоснование:**
Создает полный, человеко-читаемый протокол всего, что происходило в сессиях PowerShell. Бесценно для анализа сложных атак и действий администраторов.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKLM:\\Software\\Policies\\Microsoft\\Windows\\PowerShell\\Transcription" -Name "EnableTranscripting" -Value 1
Set-ItemProperty -Path "HKLM:\\Software\\Policies\\Microsoft\\Windows\\PowerShell\\Transcription" -Name "OutputDirectory" -Value "\\\\server\\share\\PSTranscripts"
```
---
##### 42. Аудит изменения политики
*Audit policy change*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита
>
> **EN:** Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy
**Описание:**
Включает аудит изменений в политиках назначения прав, аудита и доверительных отношений.
**Настройка:**
Включить политику `Audit policy change` для `Success` и `Failure`.
**Обоснование:**
Помогает отслеживать, не пытается ли злоумышленник или недобросовестный администратор изменить политики безопасности, чтобы скрыть свои следы или получить несанкционированные привилегии.
**Пример команды PowerShell:**
```
auditpol /set /category:"Policy Change" /success:enable /failure:enable
```
---
##### 43. Включить расширенный аудит
*Force audit policy subcategory settings*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности
>
> **EN:** Computer Configuration -> Policies -> Windows Settings -> Local Policies -> Security Options
**Описание:**
Принудительно использует новые, более гранулярные настройки расширенного аудита, игнорируя старые базовые политики.
**Настройка:**
Включить (Enable) политику `Audit: Force audit policy subcategory settings...`. Это позволяет тонко настраивать аудит в разделе `Advanced Audit Policy Configuration`.
**Обоснование:**
Современный подход к аудиту. Вместо одной общей политики "Audit object access" можно включить аудит отдельно для файловой системы, реестра, SAM и т.д., что уменьшает "шум" в журналах безопасности.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Control\\Lsa" -Name "SCENoApplyLegacyAuditPolicy" -Value 1
```
---
#### 6. Конфигурация и управление системой
##### 44. Установка ПО через GPO
*Software Installation via GPO*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Конфигурация программ -> Установка программ
>
> **EN:** Computer Configuration -> Policies -> Software Settings -> Software installation
**Описание:**
Автоматически развертывает программное обеспечение в формате MSI на компьютеры домена.
**Настройка:**
ПКМ на `Software installation` → New → Package...
1. Выберите MSI-пакет из сетевой папки. Важно, чтобы у группы `Domain Computers` были права на чтение из этой папки.
2. Выберите метод развертывания **Assigned**. Программа будет установлена автоматически при следующей перезагрузке компьютера.
**Обоснование:**
Позволяет централизованно и автоматически устанавливать необходимое ПО на все компьютеры организации без участия пользователя.
**Пример команды PowerShell:**
```
# This requires the GPO cmdlets from RSAT.
$gpo = Get-GPO -Name "My Software GPO"
$msi = Get-MSIPackageInfo -Path "\\\\server\\share\\app.msi"
#(Advanced usage, typically done via GUI)
```
---
##### 45. Настройка службы Windows Update (WSUS)
*Configure Windows Update (WSUS)*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows
>
> **EN:** Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows Update
**Описание:**
Управляет процессом обновления Windows, позволяя направлять клиенты на внутренний сервер WSUS.
**Настройка:**
- Включить **Configure Automatic Updates**, выбрав опцию `4 - Auto download and schedule the install`.
- Включить **Specify intranet Microsoft update service location** и указать адрес вашего WSUS-сервера в обоих полях (например, `http://wsus.domain.local:8530`).
**Обоснование:**
Дает полный контроль над процессом обновлений, экономит интернет-трафик и позволяет тестировать обновления перед их развертыванием на все машины.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKLM:\\Software\\Policies\\Microsoft\\Windows\\WindowsUpdate" -Name "WUServer" -Value "http://wsus.domain.local:8530"
Set-ItemProperty -Path "HKLM:\\Software\\Policies\\Microsoft\\Windows\\WindowsUpdate" -Name "WUStatusServer" -Value "http://wsus.domain.local:8530"
```
---
##### 46. Настройка Брандмауэра Windows
*Configure Windows Defender Firewall*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Брандмауэр Защитника Windows в режиме повышенной безопасности
>
> **EN:** Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Windows Defender Firewall with Advanced Security
**Описание:**
Централизованно управляет правилами и состоянием брандмауэра на всех компьютерах.
**Настройка:**
Здесь можно настроить свойства для каждого профиля (Domain, Private, Public), например, включить брандмауэр и блокировать все входящие по умолчанию.
Для создания правил, ПКМ на `Inbound Rules` → New Rule... Например, можно создать правило, разрешающее ICMP (ping) для диагностики сети.
**Обоснование:**
Обеспечивает единый стандарт сетевой безопасности в организации, предотвращая отключение брандмауэра пользователями и блокируя нежелательный трафик.
**Пример команды PowerShell:**
```
New-NetFirewallRule -DisplayName "Allow Ping In" -Direction Inbound -Protocol ICMPv4 -Action Allow
```
---
##### 47. Добавление группы в локальные администраторы
*Add group to local administrators*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Настройка -> Параметры панели управления -> Локальные пользователи и группы
>
> **EN:** Computer Configuration -> Preferences -> Control Panel Settings -> Local Users and Groups
**Описание:**
Централизованно добавляет доменную группу в локальную группу "Администраторы" на всех компьютерах.
**Настройка:**
ПКМ → New → Local Group.
- **Action:** `Update`.
- **Group name:** `Administrators` (built-in).
- Нажать **Add...** и добавить доменную группу (например, `DOMAIN\\IT-Support`).
- Отметить **Delete all member users** и **Delete all member groups**, если нужно, чтобы в локальных администраторах были ТОЛЬКО указанные вами группы.
**Обоснование:**
Правильный способ предоставления административных прав. Вместо добавления отдельных пользователей на каждой машине, вы управляете членством в одной доменной группе.
**Пример команды PowerShell:**
```
# This is a preference item, no direct cmdlet.
#To do this locally on one machine:
Add-LocalGroupMember -Group "Administrators" -Member "DOMAIN\\IT-Support"
```
---
##### 48. Синхронизация времени с контроллером домена
*Configure Windows NTP Client*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> Служба времени Windows -> Поставщики времени
>
> **EN:** Computer Configuration -> Policies -> Administrative Templates -> System -> Windows Time Service -> Time Providers
**Описание:**
Обеспечивает, чтобы все компьютеры в домене синхронизировали время с контроллера домена.
**Настройка:**
Включить (Enable) политику `Configure Windows NTP Client`. В поле `NtpServer` указать DNS-имя вашего КД с флагом `,0x9` (например, `dc1.domain.local,0x9`). Установить `Type` в `NTP`.
**Обоснование:**
Критически важно для корректной работы аутентификации Kerberos, которая чувствительна к расхождению времени между клиентом и сервером.
**Пример команды PowerShell:**
```
w32tm /config /manualpeerlist:"dc1.domain.local,0x9" /syncfromflags:manual /reliable:yes /update
```
---
##### 49. Включить WinRM
*Enable Windows Remote Management (WinRM)*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Удаленное управление Windows (WinRM) -> Служба WinRM
>
> **EN:** Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows Remote Management (WinRM) -> WinRM Service
**Описание:**
Разрешает удаленное управление компьютерами с помощью PowerShell.
**Настройка:**
Включить (Enable) политику `Allow remote server management through WinRM` и указать диапазон IP-адресов для фильтра (например, `192.168.1.0/24` или `\*` для всех).
**Обоснование:**
Основа для современной автоматизации и удаленного администрирования Windows. Позволяет выполнять PowerShell скрипты на множестве машин с одной консоли.
**Пример команды PowerShell:**
```
# Command to enable WinRM locally. GPO sets this remotely.
Enable-PSRemoting -Force
```
---
##### 50. Настройка политики выполнения PowerShell
*Turn on Script Execution*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Windows PowerShell
>
> **EN:** Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows PowerShell
**Описание:**
Устанавливает политику выполнения скриптов PowerShell для всей организации.
**Настройка:**
Включить (Enable) политику и выбрать одну из опций. Рекомендуется `RemoteSigned` - разрешает выполнение локальных скриптов, а скачанные из интернета должны быть подписаны.
**Обоснование:**
Базовый механизм безопасности PowerShell, который предотвращает случайный запуск вредоносных скриптов. Централизованная настройка через GPO обеспечивает единый стандарт безопасности.
**Пример команды PowerShell:**
```
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope LocalMachine
```
---
##### 51. Запретить доступ к папке %windir%\\\\system32\\\\drivers\\\\etc
*Restrict access to drivers folder*
**Путь в редакторе GPO:**
> **RU:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Файловая система
>
> **EN:** Computer Configuration -> Policies -> Windows Settings -> Security Settings -> File System
**Описание:**
Устанавливает права доступа на уровне файловой системы, чтобы запретить пользователям изменять файл hosts.
**Настройка:**
ПКМ → Add File... → указать путь `%windir%\\system32\\drivers\\etc`. В настройках безопасности удалить права на запись для группы "Пользователи" (Users).
**Обоснование:**
Защищает от атак, при которых вредоносное ПО изменяет файл `hosts`, чтобы перенаправить пользователя с легитимного сайта (например, банка) на фишинговый.
**Пример команды PowerShell:**
```
# This is a file system ACL change, no direct cmdlet.
#Example to view ACL for the hosts file:
Get-Acl C:\\Windows\\System32\\drivers\\etc\\hosts | Format-List
```
---
##### 52. Развертывание принтеров
*Deploy Printers*
**Путь в редакторе GPO:**
> **RU:** Конфигурация пользователя -> Настройка -> Параметры панели управления -> Принтеры
>
> **EN:** User Configuration -> Preferences -> Control Panel Settings -> Printers
**Описание:**
Удобный способ назначать пользователям сетевые принтеры.
**Настройка:**
ПКМ → New → Shared Printer. Выбрать `Action: Update` и указать UNC-путь к принтеру (`\\\\print-server\\Kyocera-Office`). Можно настроить нацеливание на уровне элемента, чтобы принтер назначался только членам определенной группы безопасности.
**Обоснование:**
Полностью автоматизирует установку принтеров для пользователей, избавляя от необходимости делать это вручную на каждом рабочем месте.
**Пример команды PowerShell:**
```
# Printer deployment via GPO Preferences не имеет прямого командлета.
#Пример добавления принтера для текущего сеанса:
Add-Printer -ConnectionName "\\\\print-server\\Kyocera-Office"
```
---
##### 53. Настройка прокси-сервера
*Configure Proxy Settings*
**Путь в редакторе GPO:**
> **RU:** Конфигурация пользователя -> Настройка -> Параметры панели управления -> Параметры обозревателя
>
> **EN:** User Configuration -> Preferences -> Control Panel Settings -> Internet Settings
**Описание:**
Централизованно настраивает параметры прокси-сервера для пользователей.
**Настройка:**
ПКМ → New → Internet Explorer 10. На вкладке "Connections" нажать "LAN Settings" и указать адрес и порт прокси-сервера.
**Обоснование:**
Обеспечивает, чтобы весь интернет-трафик пользователей проходил через корпоративный прокси-сервер для фильтрации контента, учета и безопасности.
**Пример команды PowerShell:**
```
Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" -Name "ProxyEnable" -Value 1
Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" -Name "ProxyServer" -Value "proxy.domain.local:8080"
```
---
# Как удалить лицензии удаленных рабочих столов (Терминальные лицензии)
Бывает такое, что необходимо переустановить терминальные лицензии, для этого необходимо удалить уже имеющиеся настроенные и активированные терминальные лицензии. Инструкция подходит для всех версий Windows Server, начиная от Windows Server 2012 и более новые версии.
**1)** Заходим в «Диспетчер серверов» => Средства => Terminal Services => Диспетчер лицензирования удаленных рабочих столов
И видим список Ваших установленных терминальных лицензий.
[](https://wiki.alalkov.site/uploads/images/gallery/2025-11/PiC1Zpbxfk2CY6ud-image.png)
**2)** Деактивируем Ваш сервер. Нажимаете правой кнопкой мыши на Ваш созданный сервер => Подробно => Деактивировать сервер.
После запускается мастер деактивации, проходите шаги и на выходе получаем не активированный сервер.
**3)** Закрываем окно «Диспетчер лицензирования удаленных рабочих столов».
**4)** Запускаете меню «Службы» путем Win + R => services.msc => Ищите службу «Лицензирование удаленных рабочих столов» (по англ. Remote Desktop Licensing) и останавливаете ее.
**5)** После заходите в папку: C:\\Windows\\System32\\lserver и удаляете файл «TLSLic.edb» (**Внимание, предварительно сохраните данный файл где-нибудь в надежном месте**)
**6)** Далее, запускаете обратно службу «Лицензирование удаленных рабочих столов» (по англ. Remote Desktop Licensing) в меню services.msc.
**7)** Теперь можем зайти снова в меню «Диспетчер лицензирования удаленных рабочих столов» и видим, что лицензии удалились. Далее, для установки новых лицензий можете воспользоваться следующей [инструкцией](https://wiki.alalkov.site/books/windows-server/page/ustanovka-rolei-servera-terminalov-rds "Установка ролей сервера терминалов (RDS)").
# Ошибка Run “slui.exe 0x2a 0xC004F069” при активации
Получаем список до которых можем обновиться
```
DISM.exe /Online /Get-TargetEditions
```
Подставляем в /Set-Edition: версию, до которой хотим обновиться. Например ServerStandard, а также ключ.
1. | ```
DISM /Online /Set-Edition:ServerStandard /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula
```
|
| Server Edition
| Product GVLK
|
|---|
| Windows Server 2022 Datacenter
| WX4NM-KYWYW-QJJR4-XV3QB-6VM33
|
| Windows Server 2022 Datacenter Azure Edition
| NTBV8-9K7Q8-V27C6-M2BTV-KHMXV
|
| Windows Server 2022 Standard
| VDYBN-27WPP-V4HQT-9VMD4-VMK7H
|
| Windows Server 2019 Datacenter
| WMDGN-G9PQG-XVVXX-R3X43-63DFG
|
| Windows Server 2019 Standard
| N69G4-B89J2-4G8F4-WWYCC-J464C
|
| Windows Server 2019 Essentials
| WVDHN-86M7X-466P6-VHXV7-YY726
|
| Windows Server 2019 Azure Core
| FDNH6-VW9RW-BXPJ7-4XTYG-239TB
|
| Windows Server 2019 Datacenter Semi-Annual Channel (v.1809)
| 6NMRW-2C8FM-D24W7-TQWMY-CWH2D
|
| Windows Server 2019 Standard Semi-Annual Channel (v.1809)
| N2KJX-J94YW-TQVFB-DG9YT-724CC
|
| Windows Server 2019 ARM64
| GRFBW-QNDC4-6QBHG-CCK3B-2PR88
|
| Windows Server 2016 Standard Semi-Annual Channel (v.1803)
| PTXN8-JFHJM-4WC78-MPCBR-9W4KR
|
| Windows Server 2016 Datacenter Semi-Annual Channel (v.1803)
| 2HXDN-KRXHB-GPYC7-YCKFJ-7FVDG
|
| Windows Server 2016 Datacenter Semi-Annual Channel (v.1709)
| 6Y6KB-N82V8-D8CQV-23MJW-BWTG6
|
| Windows Server 2016 Standard Semi-Annual Channel (v.1709)
| DPCNP-XQFKJ-BJF7R-FRC8D-GF6G4
|
| Windows Server 2016 ARM64
| K9FYF-G6NCK-73M32-XMVPY-F9DRR
|
| Windows Server 2016 Datacenter
| CB7KF-BWN84-R7R2Y-793K2-8XDDG
|
| Windows Server 2016 Standard
| WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY
|
| Windows Server 2016 Essentials
| JCKRF-N37P4-C2D82-9YXRT-4M63B
|
| Windows Server 2016 Cloud Storage
| QN4C6-GBJD2-FB422-GHWJK-GJG2R
|
| Windows Server 2016 Azure Core
| VP34G-4NPPG-79JTQ-864T4-R3MQX
|
# Настройка Active Directory
### Шаг 0: Примите решение по именам (Прямо сейчас)
Вам нужно решить два вопроса, чтобы мы могли двигаться дальше:
1. **Имя домена:** Как договорились, используем поддомен реального сайта.
- Например, если ваш сайт mysite.ru, то внутренний домен назовем **ad.mysite.ru** (или corp.mysite.ru).
2. **IP-адресация:** Какой у вас диапазон сети?
- Например, 192.168.1.xxx или 10.0.0.xxx?
- Совет: Под серверы лучше выделить диапазон в начале или в конце (например, с .10 по .20), исключив их из раздачи DHCP на роутере.
---
### Шаг 1: Настройка первой ВМ (Будущий DC1)
Зайдите в первую машину.
1. **Имя компьютера (Hostname):**
- Нажмите Win + X -> Система -> Переименовать этот ПК.
- Дайте понятное имя. Стандарт: **SRV-DC01** (Server - Domain Controller 01).
- Перезагрузитесь.
2. **Сетевые настройки (Static IP):**
- Зайдите в настройки адаптера (ncpa.cpl).
- Установите **Статический IP**.
- Пример (подставьте свои данные):
- **IP:** 10.177.178.254 (или любой свободный)
- **Mask:** 255.255.255.0
- **Gateway:** 10.177.178.1 (ваш роутер)
- **DNS:** Пока оставьте 8.8.8.8 (чтобы скачать обновления), перед поднятием роли мы поменяем его на 127.0.0.1.
3. **Обновления:**
- Запустите Windows Update и поставьте все обновления. Это важно сделать ДО поднятия контроллера домена.
---
### Шаг 2: Настройка второй ВМ (Будущий DC2)
Зайдите во вторую машину.
1. **Имя компьютера:**
- Переименуйте в **SRV-DC02**.
- Перезагрузитесь.
2. **Сетевые настройки:**
- Установите **Статический IP**.
- Пример:
- **IP:** 10.177.178.253 (следующий свободный)
- **Mask:** 255.255.255.0
- **Gateway:** 10.177.178.1
- **DNS:** 8.8.8.8 (тоже пока внешний для обновлений).
3. **Обновления:**
- Аналогично, обновите систему.
Начинаем работу с первого сервера **SRV-DC01**. Второй сервер (SRV-DC02) пока не трогаем, он ждет своей очереди.
### Шаг 3: Подготовка DNS на SRV-DC01
Перед установкой роли AD, сервер должен «смотреть на себя», чтобы корректно создать DNS-зоны.
1. Зайдите в настройки сетевого адаптера на **SRV-DC01**.
2. В свойствах IPv4 измените **Предпочтительный DNS-сервер (Preferred DNS)** на: 127.0.0.1
- **Почему: Мы сейчас сделаем этот сервер DNS-сервером. Он должен спрашивать сам себя.**
3. Нажмите ОК.
### Шаг 4: Установка роли AD DS
1. Откройте **Server Manager** (Диспетчер серверов).
2. В центре нажмите **Add roles and features** (Добавить роли и компоненты).
3. Жмите Next до раздела **Server Roles** (Роли сервера).
4. Поставьте галочку напротив **Active Directory Domain Services**.
- **Выскочит окно с предложением добавить компоненты — жмите* **Add Features***.**
5. Жмите Next до конца и затем **Install**.
6. Ждите окончания установки (полоска заполнится, но перезагрузки пока не будет).
### Шаг 5: Повышение до Контроллера Домена (Создание леса)
Это самый важный момент.
1. В Server Manager сверху, возле флага уведомлений (желтый треугольник), нажмите на флаг.
2. Нажмите ссылку **Promote this server to a domain controller** (Повысить роль этого сервера...).
3. Откроется мастер настройки.
**Вкладка Deployment Configuration:**
- Выберите пункт: **Add a new forest** (Добавить новый лес).
- Root domain name: **ad.mysite.ru**
- Жмите Next.
**Вкладка Domain Controller Options:**
- Functional Level (Уровень леса и домена): Оставьте максимальный (Windows Server 2016 — это нормально, Microsoft не меняла название уровня функциональности).
- Галочки **DNS Server** и **Global Catalog (GC)** должны стоять.
- **DSRM Password:** Придумайте и запишите сложный пароль.
- ***Важно:** *Этот пароль нужен для восстановления AD, если всё сломается. Это* **НЕ** *пароль администратора, это отдельный пароль. Запишите его в блокнот.**
- Жмите Next.
**Вкладка DNS Options:**
- Появится предупреждение «A delegation for this DNS server cannot be created...».
- **Игнорируйте.** Это нормально, так как родительская зона (mysite.ru) находится в интернете, и мы не имеем к ней прямого доступа отсюда.
- Жмите Next.
**Вкладка Additional Options (NetBIOS):**
- Мастер предложит NetBIOS имя. Скорее всего, он предложит **AD** (берет первую часть от ad.mysite.ru).
- Рекомендация: Имя AD слишком общее. Я рекомендую изменить его на **MYSITE**.
- Тогда вход в систему будет выглядеть как MYSITE\\Ivanov, а не AD\\Ivanov. Это понятнее пользователям.
- Жмите Next.
**Вкладка Paths:**
- Оставьте всё по умолчанию (C:\\Windows\\NTDS и т.д.).
- Жмите Next.
**Вкладка Review Options:**
- Проверьте, всё ли верно. Жмите Next.
**Вкладка Prerequisites Check:**
- Система проверит сервер. Должно появиться зеленая галочка "All prerequisite checks passed successfully".
- Могут быть желтые восклицательные знаки (про криптографию NT 4.0 или DNS delegation) — это нормально.
- Жмите **Install**.
- **Внимание:** Логин теперь должен быть **MYSITE\\Administrator** (или AD\\Administrator, если вы оставили NetBIOS AD). Пароль тот же, что был у локального админа.
Супер. Лес создан. Теперь у нас есть «Голова».
Но сейчас система уязвима: если SRV-DC01 перезагружается или ломается, никто не войдет в сеть.
Поэтому сейчас мы поднимаем **второй контроллер домена (SRV-DC02)**.
Переходим на вторую виртуальную машину — **SRV-DC02**.
### Шаг 6: Настройка DNS на SRV-DC02 (Критично)
Чтобы второй сервер увидел первый и смог скачать настройки домена, он должен использовать первый сервер как DNS.
1. На **SRV-DC02** откройте сетевые настройки (ncpa.cpl).
2. Свойства IPv4 -> Измените DNS:
- **Предпочтительный DNS (Preferred):** 10.177.178.254 (IP первого сервера SRV-DC01).
- **Альтернативный:** Оставьте пустым пока.
3. Нажмите ОК.
**Проверка связи:**
Откройте командную строку (CMD) и напишите:
ping ad.mysite.ru
Должен пойти обмен пакетами с IP 10.177.178.254. Если пинг идет — всё отлично. Если пишет "не удалось обнаружить узел" — проверяйте настройки DNS или фаервол.
### Шаг 7: Установка роли
Точно так же, как на первом сервере:
1. **Server Manager** -> **Add roles and features**.
2. Выбираем роль **Active Directory Domain Services**.
3. Жмем **Install** и ждем окончания.
### Шаг 8: Повышение роли (Promote)
1. Нажимаем на желтый треугольник -> **Promote this server to a domain controller**.
2. **Вкладка Deployment Configuration:**
- ВЫБИРАЕМ ПЕРВЫЙ ПУНКТ: **Add a domain controller to an existing domain** (Добавить контроллер в существующий домен).
- В поле **Domain** напишите: ad.mysite.ru (если не заполнилось само).
- Внизу раздел **Credentials** (Учетные данные). Нажмите кнопку **Change...**.
- Введите логин/пароль администратора домена, который вы создали на первом сервере:
- User: MYSITE\\Administrator (или просто Administrator, он сам подставит домен).
- Password: Ваш пароль.
- Жмите Next.
3. **Вкладка Domain Controller Options:**
- Галочки **DNS Server** и **Global Catalog (GC)** должны стоять.
- Введите пароль DSRM (для восстановления) — такой же, как на первом, чтобы не путаться.
- Жмите Next.
4. **Вкладка DNS Options:** Пропускаем (Next).
5. **Вкладка Additional Options:**
- **Replicate from:** Выберите SRV-DC01.ad.mysite.ru (или Any domain controller). Лучше выбрать явно первый сервер.
- Жмите Next.
6. **Paths:** Оставляем как есть. Next.
7. **Prerequisites Check:** Ждем зеленую галочку. Жмем **Install**.
Сервер перезагрузится.
---
### Шаг 9: Финальная настройка DNS (Кольцевая схема)
Когда **SRV-DC02** перезагрузится и вы войдете в систему (уже под доменным админом MYSITE\\Administrator), нам нужно настроить «перекрестное опыление» DNS, чтобы серверы страховали друг друга. Это Best Practice.
1. Зайдите на **SRV-DC01**:
- Сетевые настройки -> IPv4.
- Preferred DNS: 127.0.0.1
- Alternate DNS: 10.177.178.253 (Указываем на второй сервер).
2. Зайдите на **SRV-DC02**:
- Сетевые настройки -> IPv4.
- Preferred DNS: 10.177.178.254 (Указываем на первый сервер).
- Alternate DNS: 127.0.0.1 (Указываем на себя как запасной вариант).
Теперь нужно сделать так, чтобы домен «дышал» (синхронизировал время) и видел внешний мир (интернет), а затем построим правильный скелет организации.
### Шаг 10: Настройка DNS Forwarders (Чтобы работал интернет)
Сейчас ваши серверы знают только о себе. Если спросить у них google.com, они не ответят. Нужно настроить пересылку запросов.
Сделайте это **на обоих серверах** (сначала SRV-DC01, потом SRV-DC02), чтобы настройки были идентичны:
1. Нажмите Win + R, введите **dnsmgmt.msc** (Диспетчер DNS).
2. В дереве слева кликните правой кнопкой мыши по имени вашего сервера -> **Properties** (Свойства).
3. Вкладка **Forwarders** (Серверы пересылки).
4. Нажмите **Edit...**.
5. Добавьте туда надежные внешние DNS. Например:
- 77.88.8.8 (Yandex)
- 8.8.8.8 (Google)
6. Нажмите OK, затем еще раз OK.
**Проверка:** Откройте командную строку (CMD) и введите
```
powershell Resolve-DnsName google.com
```
Если вам вернулся IP-адрес гугла — всё настроено верно.
---
### Шаг 11: Настройка Времени (NTP) — Критично для ВМ
Виртуальные машины очень любят «убегать» по времени. Если время уйдет на 5 минут, никто не сможет войти в домен (Kerberos заблокирует вход).
Настроим **SRV-DC01** (так как он сейчас главный — PDC Emulator) как источник точного времени для всей сети.
1. На **SRV-DC01** запустите командную строку (CMD) или PowerShell **от имени администратора**.
2. Выполните следующие команды по очереди (можно копировать):
```
w32tm /config /manualpeerlist:"0.ru.pool.ntp.org 1.ru.pool.ntp.org" /syncfromflags:manual /reliable:yes /update
```
(Эта команда говорит: бери время из интернета и скажи всем в сети, что твоему времени можно верить).
1. Перезапустите службу времени:
```
net stop w32time && net start w32time
```
1. Принудительная синхронизация:
```
w32tm /resync
```
На втором сервере (DC02) это делать **не надо**. Он сам по умолчанию будет тянуть время с DC01.
---
### Шаг 12: Создание правильной структуры (OU)
Наводим порядок в иерархии.
1. Нажмите Win + R, введите **dsa.msc**. Откроется оснастка **«Пользователи и компьютеры Active Directory»** (Active Directory Users and Computers).
2. В верхнем меню нажмите **Вид** (View) -> **Дополнительные компоненты** (Advanced Features).
- Это нужно, чтобы видеть системные вкладки.
3. Нажмите правой кнопкой мыши (ПКМ) по вашему домену ad.mysite.ru -> **Создать** (New) -> **Подразделение** (Organizational Unit).
4. Назовите его **MYSITE\_Corp**.
- Убедитесь, что стоит галочка **«Защитить контейнер от случайного удаления»** (Protect container from accidental deletion).
- Нажмите ОК.
Теперь внутри MYSITE\_Corp создайте структуру папок (ПКМ по MYSITE\_Corp -> Создать -> Подразделение):
1. Создайте подразделение **\_Admins** (для админов).
2. Создайте подразделение **Groups** (для групп).
3. Создайте подразделение **HeadOffice** (Головной офис).
4. Внутри папки **HeadOffice** создайте еще две:
- **Users** (Пользователи)
- **Computers** (Компьютеры)
---
### Шаг 13: Создание вашего Супер-Админа
Работаем в папке MYSITE\_Corp -> \_Admins.
1. ПКМ по пустому месту -> **Создать** (New) -> **Пользователь** (User).
2. **Поля:**
- **Имя** (First name): Ваше имя (например, Ivan).
- **Имя входа пользователя** (User logon name): Рекомендую **adm.ivanov**.
- Нажмите **Далее** (Next).
3. **Пароль:**
- Придумайте сложный пароль.
- Поставьте галочку **«Срок действия пароля не ограничен»** (Password never expires).
- Снимите галочку «Требовать смены пароля при следующем входе» (User must change password at next logon).
- Нажмите **Далее** (Next) -> **Готово** (Finish).
4. **Выдача прав:**
- Нажмите ПКМ по созданному пользователю adm.ivanov -> **Свойства** (Properties).
- Вкладка **Член групп** (Member Of).
- Нажмите **Добавить** (Add).
- В поле ввода пишите русские названия групп (можно по очереди):
- **Администраторы домена** (Domain Admins) -> нажмите **Проверить имена** (Check Names) -> ОК.
- **Администраторы предприятия** (Enterprise Admins) -> Проверить имена -> ОК.
- **Администраторы схемы** (Schema Admins) -> Проверить имена -> ОК.
- Нажмите ОК, чтобы сохранить.
Теперь у вас есть полные права.
Сейчас мы сделаем следующее:
1. Создадим общую папку на сервере.
2. Настроим **Групповую Политику (GPO)**, чтобы у всех сотрудников автоматически появлялся **Сетевой Диск Z:**.
3. Подготовим и введем тестовый компьютер в домен, чтобы убедиться, что всё сработало.
---
### Шаг 14: Создание общей папки (File Share)
Чтобы подключать диск, нужно чтобы было что подключать. Создадим папку на **SRV-DC01**.
1. Откройте Проводник (File Explorer) -> Диск C.
2. Создайте папку **CompanyData**.
3. Нажмите по ней ПКМ -> **Свойства** (Properties) -> вкладка **Доступ** (Sharing).
4. Нажмите **Расширенная настройка** (Advanced Sharing).
5. Поставьте галочку **Открыть общий доступ** (Share this folder).
6. Имя общего ресурса оставьте CompanyData.
7. Нажмите **Разрешения** (Permissions).
- Сейчас там стоит Все (Everyone) — Чтение.
- Для теста поставьте галочку **Полный доступ** (Full Control) -> OK -> OK.
- (В продакшене права настраиваются тоньше, через вкладку Безопасность/Security, но для теста нам хватит).
8. Нажмите Закрыть (Close).
Теперь путь к папке: \\\\SRV-DC01\\CompanyData.
---
### Шаг 15: Создание Групповой Политики (GPO) для диска Z
Теперь скажем домену: "Каждому, кто входит в систему, подключай эту папку как диск Z".
1. На **SRV-DC01** нажмите Win + R -> введите **gpmc.msc** (Управление групповой политикой / Group Policy Management).
2. Раскройте дерево: Forest: ad.misyte.ru -> Domains -> ad.mysite.ru -> **MYSITE\_Corp**.
- Мы будем привязывать политику сюда, чтобы она работала на всех внутри вашей компании.
3. ПКМ по папке MYSITE\_Corp -> **Создать объект GPO в этом домене и связать его...** (Create a GPO in this domain, and Link it here...).
4. Назовите политику: **GPO\_Drive\_Maps**. Нажмите OK.
5. Теперь политика появилась в списке справа. Нажмите по ней ПКМ -> **Изменить** (Edit).
- Откроется редактор политик.
**Настройка внутри редактора:**
1. Идем по пути:
**Конфигурация пользователя** (User Configuration) -> **Настройка** (Preferences) -> **Конфигурация Windows** (Windows Settings) -> **Сопоставления дисков** (Drive Maps).
2. ПКМ по пустому месту справа -> **Создать** (New) -> **Сопоставленный диск** (Mapped Drive).
3. **Вкладка Общие (General):**
- **Действие** (Action): Выберите **Обновить** (Update). (Это самый надежный вариант).
- **Расположение** (Location): \\\\SRV-DC01\\CompanyData
- **Восстановить подключение** (Reconnect): Поставьте галочку.
- **Метка** (Label as): Напишите Общая папка.
- **Буква диска** (Drive Letter): Выберите **Z:**.
4. Нажмите ОК.
Закройте редактор политик. GPO готова и уже привязана.
---
### Шаг 16: Ввод клиента в домен
Теперь переходим на нашу машину (Windows 10/11).
**1. Настройка DNS (Пока руками. По правильному нужно на** SRV-DC01 **развернуть DHCP сервер. Но пока мы этого не делали и DHCP у нас идет от Роутера):**
1. Параметры сети -> Ethernet -> Свойства IP версии 4.
2. **IP-адрес:** Оставьте автоматический (от Роутера).
3. **DNS-серверы:**
- Предпочтительный: 10.177.178.254 (Ваш DC1).
- Альтернативный: 10.177.178.253 (Ваш DC2).
4. Нажмите ОК.
**Проверка:** Откройте командную строку на клиенте и введите ping ad.misyte.ru. Если пинг идет — вы видите контроллер.
**2. Вступление в домен:**
1. Откройте «Этот компьютер» -> Свойства -> **Дополнительные параметры системы** (или просто поиск: "Присоединение к домену").
2. Нажмите **Изменить...** (Change...) на вкладке Имя компьютера.
3. Переключите точку на **Домен** (Domain).
4. Введите: **ad.jinnvl.ru**.
5. Нажмите ОК.
6. Спросит логин/пароль. Введите данные вашего супер-админа:
- Логин: adm.ivanov (или MYSITE\\adm.ivanov)
- Пароль: Ваш пароль.
7. Должно появиться окно: **«Добро пожаловать в домен ad.misyte.ru»**.
8. Перезагрузите компьютер.
---
### Шаг 17: Перемещение компьютера в правильную OU (Важно!)
Пока компьютер перезагружается, вернитесь на сервер **SRV-DC01**.
По умолчанию все новые компьютеры попадают в папку Computers (стандартную). А наши политики (в том числе будущие) настроены на структуру MYSITE\_Corp. Надо перенести компьютер.
1. Откройте **dsa.msc** (Пользователи и компьютеры).
2. Зайдите в папку **Computers** (обычную). Там должен лежать ваш новый ПК.
3. Нажмите по нему ПКМ -> **Переместить** (Move).
4. Выберите: MYSITE\_Corp -> HeadOffice -> **Computers**.
5. Нажмите ОК.
---
### Шаг 18: Момент истины
Возвращаемся к клиентскому компьютеру (он перезагрузился).
1. **Вход в систему:**
- Нажмите «Другой пользователь» (Other User).
- Вводите логин: **adm.ivanov** (ваш админ) или создайте в AD обычного юзера test.user в папке Users (внутри HeadOffice) и войдите под ним.
- Введите пароль.
2. Дождитесь входа ("Привет", "Мы подготавливаем для вас все...").
3. Откройте **"Этот компьютер"**.
**Если все сделано правильно, вы увидите Сетевой диск Z: (Общая папка).**
**ВАЖНО:** В продакшене данные всегда хранят на отдельном диске (D:, E:) или вообще на отдельном NAS. Это тема другой статьи. Но раз у нас мы сделали на диске C:, мы должны **жестко ограничить** размер этой папки, чтобы пользователи не "убили" сервер.
Для этого в Windows Server есть штатный инструмент — **FSRM (File Server Resource Manager)**. Он позволит сделать так, чтобы пользователи видели, например, только 5 ГБ, даже если на диске свободно 100 ТБ.
Давайте настроим его. Это Best Practice.
---
### Шаг 19: Установка роли FSRM
1. На **SRV-DC01** откройте Добавление ролей и компонентов
2. Жмите Next до выбора ролей.
3. Разверните ветку:
**File and Storage Services** -> **File and iSCSI Services**.
4. Поставьте галочку **File Server Resource Manager** (Диспетчер ресурсов файлового сервера).
- Согласитесь добавить компоненты.
5. Жмите **Install**. (Перезагрузка обычно не требуется).
---
### Шаг 20: Создание жесткой квоты
Теперь скажем серверу: "Папка CompanyData не может быть больше 5 ГБ".
1. В Server Manager нажмите **Tools** (Средства) -> **File Server Resource Manager** (Диспетчер ресурсов файлового сервера).
2. В меню слева раскройте **Quota Management** (Управление квотами) -> **Quotas** (Квоты).
3. Справа нажмите **Create Quota...** (Создать квоту).
4. **Quota path** (Путь к квоте): Нажмите Browse и выберите вашу папку C:\\CompanyData.
5. **Параметры:**
- Выберите **Create quota on path** (Создать квоту по пути).
- Ниже выберите шаблон: **Limit to 5 GB** (или любой другой).
- ИЛИ выберите **Define custom quota properties** -> кнопка **Custom Properties**, чтобы задать свой размер (например, 2 GB).
- **Важно:** Убедитесь, что выбран тип **Hard quota** (Жесткая квота).
- Hard: Запрещает запись, если место кончилось.
- Soft: Просто шлет уведомление админу, но писать разрешает. Нам нужен Hard, чтобы спасти диск C.
6. Нажмите **Create**.
---
### Шаг 21: Проверка
1. Идите на клиентский компьютер (Windows 10).
2. Откройте "Этот компьютер".
3. Нажмите F5 (Обновить).
**Результат:**
Полоска диска Z: моментально изменится. Теперь там будет написано: "Свободно 2 ГБ из 2 ГБ" (или сколько вы поставили).
Пользователи будут думать, что это отдельный жесткий диск такого размера.
P.S. Этот же инструмент (FSRM) умеет запрещать сохранять MP3 и AVI файлы в рабочую папку (File Screening), что очень полезно в офисе (но об этом потом).
# Этап: Архитектура Групповых Политик (Best Practice)
**Главный принцип:** Одна политика — одна задача. Разделяем настройки Компьютера (железа) и Пользователя (людей).
### 1. Стандарт именования (Naming Convention)
Мы используем схему: \[ТИП\]\_\[ОБЛАСТЬ\]\_\[ОПИСАНИЕ\]
- **GPO\_C\_** (Computer) — применяется к компьютерам (драйверы, безопасность, время). Требует перезагрузки.
- **GPO\_U\_** (User) — применяется к людям (диски, ярлыки, принтеры). Применяется при входе.
### 2. Список политик (Ваш "Скелет")
Вам нужно создать (или переименовать текущие) 4 основные политики и привязать их к корню организации (MYSITE\_Corp).
| Имя политики
| За что отвечает
| Статус
|
| **GPO\_C\_System\_Base**
| Фундамент: Часовой пояс, ожидание сети, электропитание.
| **Настраиваем сейчас**
|
| **GPO\_C\_Security\_Base**
| Безопасность: LAPS, UAC, Аудит входов, Firewall.
| Создать пустую
|
| **GPO\_U\_DriveMaps\_Common**
| Подключение общих дисков (Z:).
| Уже настроена
|
| **GPO\_U\_Browser\_Settings**
| Настройки Chrome/Edge (стартовая страница).
| Создать пустую
|
---
### 3. Настройка GPO\_C\_System\_Base (Эталонная настройка)
Это самая важная политика для стабильности работы "железа". В ней мы фиксируем полученный опыт.
**Откройте:** gpmc.msc -> GPO\_C\_System\_Base -> Изменить.
#### А) Часовой пояс (Метод "Вечный двигатель")
Используем Scheduled Task, так как это самый надежный способ.
1. Путь: **Конфигурация компьютера** -> **Настройка** -> **Параметры панели управления** -> **Назначенные задания** (Scheduled Tasks).
2. ПКМ -> Создать -> **Запланированное задание (как минимум Windows 7)**.
3. **Вкладка "Общие":**
- Действие: **Обновить**.
- Имя: TimeZone\_AutoFix.
- Учетная запись: **SYSTEM** (Система).
- Выполнять **вне зависимости от регистрации пользователя**.
- Галочка: **Выполнить с наивысшими правами** (ОБЯЗАТЕЛЬНО!).
4. **Вкладка "Триггеры":**
- Создать -> Начать задачу: **При запуске** (At startup) -> Включено.
5. **Вкладка "Действия":**
- Создать -> Запуск программы.
- Программа: C:\\Windows\\System32\\tzutil.exe
- Аргументы: /s "Russian Standard Time" (или ваш пояс).
6. **Вкладка "Условия":**
- **Снять** галочку "Запускать только при питании от электросети" (иначе на ноутбуках не сработает).
#### Б) Ожидание сети (Лекарство для SSD)
Чтобы политики успевали примениться до появления рабочего стола.
1. Путь: **Конфигурация компьютера** -> **Политики** -> **Административные шаблоны** -> **Система** -> **Вход в систему** (Logon).
2. Настройка: **Всегда ждать сеть при запуске компьютера и входе в систему** (Always wait for the network...).
3. Значение: **Включено** (Enabled).
---
### 4. Настройка GPO\_U\_DriveMaps\_Common
Здесь у вас уже настроен диск Z:. Просто убедитесь, что настройки верные.
1. Путь: **Конфигурация пользователя** -> **Настройка** -> **Конфигурация Windows** -> **Сопоставления дисков**.
2. Диск Z:
- Действие: **Обновить**.
- Путь: \\\\SRV-DC01\\CompanyData (или IP).
- Галочка: **Восстановить подключение**.
- На будущее: Если нужно скрыть диск от бухгалтерии, используйте вкладку "Общие параметры" -> **Нацеливание на уровень элемента** (Item-level targeting).
---
### 5. Порядок применения (Link Order)
В gpmc.msc выберите папку MYSITE\_Corp. Справа список политик. Расставьте приоритет (стрелками):
1. GPO\_U\_DriveMaps\_Common
2. GPO\_U\_Browser\_Settings
3. GPO\_C\_Security\_Base
4. GPO\_C\_System\_Base
5. Default Domain Policy (Всегда последняя).
## Теперь начнем наполнять наши основные политики
Вот список того, что **обязано** быть в компании, которая не хочет быть взломанной через неделю.
---
### 1. Конституция Паролей (Default Domain Policy)
**Где:** Default Domain Policy -> Изменить.
**Путь:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей.
Мы это уже обсуждали, но давайте зафиксируем **Стандарт 2024+**:
1. **Политика паролей:**
- **Минимальная длина:** **10-12 символов**. (8 уже взламывают быстро).
- **Сложность:** **Включено** (Буквы + Цифры).
- **Срок действия:** **90 или 180 дней**. (Заставлять менять чаще — вредно, люди будут писать пароль на стикере).
- **Журнал паролей:** **24 пароля** (Чтобы не меняли "Пароль1" на "Пароль2" и обратно).
2. **Политика блокировки (Защита от брутфорса):**
- **Порог блокировки:** **5-10 попыток**.
- **Время блокировки:** **30 минут**. (Этого хватит, чтобы хакер устал ждать, а юзер попил кофе).
---
### 2. «Цифровая гигиена» (GPO\_C\_Security\_Base)
**Где:** GPO\_C\_Security\_Base -> Изменить.
**Привязка:** Корень MYSITE\_Corp.
В этой политике мы настраиваем "броню" рабочих станций.
#### А) Аудит (Кто, где, когда?)
Если что-то случится, вы должны знать **кто** это сделал. По умолчанию Windows пишет мало логов.
**Путь:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита.
Включите (Success & Failure / Успех и Отказ) для:
1. **Аудит входа в систему (Logon Events):** Кто вошел в комп?
2. **Аудит управления учетными записями:** Кто создал нового юзера или сменил пароль?
3. **Аудит доступа к объектам:** (Только "Отказ"). Кто ломился в папку, куда ему нельзя?
#### Б) Права локальных администраторов (Кто здесь главный?)
Пользователь **НЕ должен** быть администратором на своем компьютере. Если Галина — админ, то вирус, который она поймает, тоже станет админом.
**Путь:** Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Группы с ограниченным доступом (Restricted Groups).
1. ПКМ -> Добавить группу.
2. Выбираем: **Administrators** (или Администраторы).
3. В окне "Члены этой группы" (Members of this group) добавляем:
- MYSITE\\Domain Admins (Админы домена).
- MYSITE\\adm.ivanov (Ваш супер-админ).
- (Опционально): MYSITE\\TechSupport.
4. **Важно:** Всех, кого нет в этом списке (например, Галину), политика **вышвырнет** из админов принудительно. Это жесткая зачистка.
### 3. «Комфорт и Порядок» (GPO\_C\_System\_Base)
**Где:** GPO\_C\_System\_Base -> Изменить.
В этой политике мы уже настроили Время. Добавим сюда правила поведения "Железа".
#### А) Спящий режим (Power Management)
В офисе компьютеры (десктопы) не должны спать. Иначе вы не сможете подключиться к ним ночью для обновлений.
**Путь:** Адм. шаблоны -> Система -> Управление электропитанием.
1. Выбрать активную схему питания: **Высокая производительность** (High Performance).
2. Параметры спящего режима -> **Разрешать ждущий режим (Sleep)**: Отключено (для питания от сети).
#### Б) Обновления Windows (Windows Update)
**1. Открываем политику:**
- gpmc.msc -> GPO\_C\_System\_Base -> **Изменить** (Edit).
**2. Идем по пути:**
**Конфигурация компьютера** -> **Политики** -> **Административные шаблоны** -> **Компоненты Windows** -> **Оптимизация доставки** (Delivery Optimization).
Здесь нам нужно изменить всего 3-4 настройки.
##### 1. Режим скачивания (Самое важное)
Это настройка определяет, у кого компьютеры могут брать файлы.
- **Настройка:** **Режим скачивания** (Download Mode).
- **Значение:** Включено.
- **Параметр:** Выберите **Группа (2)** (Group).
- Почему это Best Practice: Режим "Группа" использует Active Directory. Компьютеры будут меняться файлами только с теми, кто находится в том же **домене** И в том же **сайте AD**.
- На будущее: Когда у вас появится филиал и вы создадите для него отдельный Сайт в AD (как мы обсуждали в начале), компьютеры филиала будут качать друг у друга, а не тянуть трафик через VPN из главного офиса. Это происходит автоматически.
##### 2. Удержание кэша (Чтобы файлы жили дольше)
По умолчанию Windows быстро удаляет скачанные файлы. Нам нужно, чтобы они лежали подольше и раздавались другим.
- **Настройка:** **Максимальный срок хранения кэша (в секундах)** (Max Cache Age).
- **Значение:** Включено.
- **Параметр:** Введите **604800** (это 7 дней).
- Логика: Если кто-то был в отпуске неделю, он придет и скачает обновление с соседа, а не из интернета.
##### 3. Минимальные требования к пирам (Отсекаем слабые звенья)
Не стоит заставлять старый ноутбук с забитым диском раздавать файлы всему офису — он затормозит.
- **Настройка:** **Минимальный размер диска для использования кэширования** (Minimum Disk Size to use Peering).
- **Значение:** Включено -> **32 ГБ** (или больше, если у вас все на 256+).
- **Настройка:** **Минимальный объем ОЗУ (включая кэширование)** (Minimum RAM capacity).
- **Значение:** Включено -> **4 ГБ**.
##### 4. Полоса пропускания (Чтобы не положили сеть)
Обычно по локалке скорость не режут, но для интернета стоит подстраховаться.
- **Настройка:** **Максимальная пропускная способность скачивания на переднем плане** (Max Download Bandwidth for Foreground).
- Примечание: Foreground — это когда юзер нажал кнопку "Проверить обновления".
- Значение: 0 (Без ограничений) или **90%**.
- **Настройка:** **Максимальная пропускная способность скачивания в фоновом режиме** (Background).
- Примечание: Это когда комп качает сам по себе тихонько.
- Значение: **Включено** -> **80%** (Оставьте 20% для почты и ютуба).
---
Теперь нужно убедиться, что компьютеры вообще знают, что им надо обновляться. (Мы это уже затрагивали, но давайте проверим в той же GPO).
**Путь:** ... -> **Компоненты Windows** -> **Центр обновления Windows**.
1. **Настройка автоматического обновления** (Configure Automatic Updates).
- **Включено.**
- **3 - Автоматическая загрузка и уведомление об установке** (Auto download and notify for install) — Это лучший вариант для рабочих станций.
- ИЛИ **4 - Автоматическая загрузка и установка по расписанию** (Auto download and schedule the install).
- Важно: Если выберете 4, ставьте время (например, 22:00) и галочку "Install during automatic maintenance".
2. **Период активности** (Turn off auto-restart for updates during active hours) — Опционально, но полезно.
- Включите и задайте с 08:00 до 18:00.
- Windows **не будет** перезагружаться сама в это время, даже если скачала критическое обновление.
---
После того как вы примените политику (gpupdate /force + перезагрузка) и пройдет пару дней (выйдут новые обновления), вы можете проверить эффективность.
На любом клиентском компьютере (Windows 10/11):
1. Откройте **PowerShell**.
2. Введите команду:
codePowershell
```
Get-DeliveryOptimizationStatus
```
**Что смотреть в выводе:**
Вам интересна статистика внизу.
- **TotalBytesDownloaded:** Сколько всего скачано.
- **FromHttp:** Сколько скачано из Интернета (с серверов Microsoft).
- **FromPeers:** Сколько скачано с соседей (LAN).
Если через месяц вы увидите, что FromPeers > 50-70%, значит, вы сэкономили кучу трафика, и ваша система работает идеально.
**Задание:**
Настройте эти 4 пункта в GPO\_C\_System\_Base.
Это всё, что нужно для современной системы обновлений без лишних серверов.
---
# Переезд в Active Directory с локальных учетных записей
Техническая настройка серверов — это 20% работы. А 80% — это «Миграция тети Гали» так, чтобы вас не прокляли.
**Входить в чистый профиль — это катастрофа для бизнеса.**
- Исчезают вкладки в браузере.
- Слетают сохраненные пароли.
- Сертификаты ЭЦП (для бухгалтерии и торгов) перестают видеться.
- Настройки Outlook, 1С, фон рабочего стола — всё по нулям.
Ручное копирование файлов из папки C:\\Users\\Galya в C:\\Users\\Galya.JINNVL — это **ад**. Ломаются права доступа, реестр не подхватывается, софт глючит.
### Решение: Миграция профиля (Profile Migration)
Существует «Золотой стандарт» (Best Practice) для малого и среднего бизнеса, который позволяет сделать переезд **бесшовным**.
Мы не будем копировать файлы. Мы сделаем хитрее: мы скажем Windows: **«Вот эта старая папка пользователя теперь принадлежит новому доменному пользователю»**.
Инструмент, который должен стать вашим лучшим другом на ближайшую неделю — **Profwiz (User Profile Wizard)** от компании ForensiT.
#### Как это выглядит на практике (Сценарий переезда)
Представим компьютер бухгалтера Галины.
- Локальная учетка: BUH-PC\\Galina
- Рабочий стол завален файлами, в Chrome 100 вкладок, в 1С прописаны базы.
**Ваши действия с Profwiz:**
1. **Подготовка в AD:** Вы создаете учетку MYSITE\\galina на сервере.
2. **Запуск на клиенте:** Вы приходите к Галине, вставляете флешку с утилитой **Profwiz** (она весит копейки и не требует установки).
3. **Магия:**
- Запускаете программу.
- Она показывает список профилей на этом ПК. Вы выбираете Galina (тот, в котором она работала).
- Программа спрашивает: «В какую доменную учетку это превратить?». Вы пишете: ad.mysite.ru и galina.
- Программа спрашивает пароль доменного админа (вашего adm.ivanov) для ввода ПК в домен.
4. **Процесс:**
- Программа сама вводит компьютер в домен.
- Программа **переписывает ACL (права доступа)** на все файлы, папки и **ветки реестра** старого профиля, назначая владельцем нового доменного юзера.
5. **Финал:** Компьютер перезагружается.
6. **Вход:** Галина вводит свой **новый** доменный пароль.
7. **Результат:** Она видит **свой старый рабочий стол**.
- Картинка на месте.
- Документы на месте.
- Вкладки Chrome на месте.
- 1С запускается как раньше.
Для пользователя ничего не изменилось, кроме экрана ввода пароля.
### Нюансы и "Подводные камни" (О чем надо знать)
Даже с таким мощным инструментом есть риски. О чем нужно помнить:
1. **Сохраненные пароли (Web Credentials / Windows Vault):**
- Пароли в Chrome/Firefox обычно выживают.
- А вот пароли, сохраненные в самой Windows (например, для доступа к старым сетевым папкам или RDP), зашифрованы на основе пароля пользователя. При смене типа учетки они могут стать недоступны.
- Решение: Предупредить, чтобы знали пароли от почты/сайтов, если они вдруг "слетят".
2. **КриптоПро и Сертификаты (Бухгалтерия):**
- Это самое больное. Контейнеры ключей часто привязаны к SID (идентификатору) пользователя.
- При миграции SID меняется.
- Решение: Перед миграцией бухгалтерии **обязательно** скопировать контейнеры ключей на флешку (средствами КриптоПро -> Сервис -> Скопировать). После миграции, если не увидит, установить с флешки.
3. **Битлокер (BitLocker):**
- Если диск зашифрован, миграция может сбойнуть.
- Решение: Приостановить (Suspend) BitLocker перед запуском Profwiz.
4. **Локальный Админ:**
- После ввода в домен старая локальная учетка Galina формально исчезает (она превращается в доменную).
- Если Галина была локальным админом, она может потерять эти права (зависит от настроек Profwiz, там есть галочка "Set as default logon").
- Но мы же внедряем безопасность? Пользователи не должны быть админами.
### Стратегия перехода (План)
Не пытайтесь перевести всех 30 человек за один вечер.
1. **Этап "Подопытный кролик":**
- Найдите лояльного сотрудника (не бухгалтера!).
- Отработайте на нем Profwiz.
- Посмотрите, что отвалилось.
2. **Этап "IT-десант":**
- Идите отдел за отделом. (Сегодня — Логистика, Завтра — Кадры).
- 3-5 компьютеров в день.
3. **Этап "VIP и Бухгалтерия":**
- Их оставляем на конец, когда рука уже набита.
- Делаем полный бэкап их систем перед миграцией (Acronis/Veeam).
**Итог разговора:**
Нам не нужно переучивать пользователей и перенастраивать софт с нуля. Мы будем использовать **миграцию профилей**. Это стандарт индустрии.