Windows Server Настройка различных серверных компонентов Установка ролей сервера терминалов (RDS) Для развертывания служб удаленных рабочих столов необходимо установить две основные роли:  Узел сеансов удаленных рабочих столов (Remote Desktop Session Host)  и  Лицензирование удаленных рабочих столов (Remote Desktop Licensing) . Это можно сделать через Диспетчер серверов или с помощью одной PowerShell команды. Диспетчер серверов (GUI) Откройте "Диспетчер серверов" (Server Manager) → "Управление" (Manage) → "Добавить роли и компоненты" (Add Roles and Features). Выберите "Установка ролей или компонентов" (Role-based or feature-based installation). Выберите свой сервер из пула. В списке ролей отметьте "Службы удаленных рабочих столов" (Remote Desktop Services). На шаге "Службы ролей" (Role Services) выберите "Лицензирование удаленных рабочих столов" (Remote Desktop Licensing) и "Узел сеансов удаленных рабочих столов" (Remote Desktop Session Host). Подтвердите установку дополнительных компонентов и завершите мастер. Потребуется перезагрузка. Настройка лицензирования После установки ролей необходимо указать серверу терминалов, где находится сервер лицензирования, и выбрать режим лицензирования. Это делается через Редактор локальной групповой политики (`gpedit.msc`). Путь к политикам (Path to policies):  Конфигурация компьютера (Computer Configuration) → Административные шаблоны (Administrative Templates) → Компоненты Windows (Windows Components) → Службы удаленных рабочих столов (Remote Desktop Services) → Узел сеансов удаленных рабочих столов (Remote Desktop Session Host) → Лицензирование (Licensing) . 1. Указание сервера лицензирования Откройте политику "Использовать указанные серверы лицензирования удаленных рабочих столов" (Use the specified Remote Desktop license servers), установите ее в "Включено" (Enabled) и укажите имя или IP-адрес вашего сервера лицензирования (часто это тот же сервер). 2. Выбор режима лицензирования Откройте политику "Задать режим лицензирования удаленных рабочих столов" (Set the Remote Desktop licensing mode), установите ее в "Включено" (Enabled) и выберите один из режимов: На пользователя (Per User):  Лицензия привязывается к учетной записи пользователя. Один пользователь может подключаться с любого количества устройств. Самый распространенный вариант. На устройство (Per Device):  Лицензия привязывается к устройству. С этого устройства может подключаться любое количество пользователей. После изменения политик выполните команду для немедленного применения: gpupdate /force Активация сервера и установка лицензий Этот процесс выполняется через графический интерфейс и требует подключения к интернету. Откройте Диспетчер лицензирования:  "Диспетчер серверов" (Server Manager) → "Средства" (Tools) → "Remote Desktop Services" → "Диспетчер лицензирования удаленных рабочих столов" (Remote Desktop Licensing Manager). Активация сервера:  Нажмите ПКМ на имени вашего сервера и выберите "Активировать сервер" (Activate Server). Следуйте указаниям мастера, выбрав метод подключения "Авто" (Automatic) и заполнив информацию об организации. Установка лицензий:  Сразу после активации запустится мастер установки лицензий. Программа лицензирования:  Выберите "Соглашение Enterprise Agreement" (Enterprise Agreement). Номер соглашения:  Введите один из рабочих номеров. Это не пиратский ключ, а номер программы лицензирования, который был публично доступен.  Для производственного использования требуются легально приобретенные лицензии. 6565792, 5296992, 3325596, 4965437, 4526017 Завершение мастера:  Выберите версию продукта (например, Windows Server 2019/2022), тип лицензии (на пользователя/устройство, в соответствии с групповой политикой) и количество. Завершите установку. Проверка конфигурации Для проверки правильности настройки используется "Средство диагностики лицензирования удаленных рабочих столов" (RD Licensing Diagnoser). Путь (Path): "Диспетчер серверов" (Server Manager) → "Средства" (Tools) → "Remote Desktop Services" → "Средство диагностики лицензирования удаленных рабочих столов" (RD Licensing Diagnoser). Если все настроено правильно, в окне диагностики не будет сообщений об ошибках, и вы увидите количество доступных лицензий. Справочник по политикам Active Directory 1. Безопасность учетных записей и паролей 1. Политика паролей Password Policy Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политика паролей EN: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Account Policies -> Password Policy Описание: Основа безопасности домена. Устанавливает минимальные требования к сложности, длине и сроку действия паролей пользователей. Настройка: Enforce password history: Установить на `24` passwords remembered. Maximum password age: Установить на `60` days. Minimum password length: Установить на `12` characters или больше. Password must meet complexity requirements: `Enabled`. Требует наличия заглавных, строчных букв, цифр и спецсимволов. Обоснование: Предотвращает использование простых и легко подбираемых паролей, заставляет пользователей регулярно их менять, что значительно снижает риск несанкционированного доступа. Пример команды PowerShell: Set-ADDefaultDomainPasswordPolicy -ComplexityEnabled $true -MaxPasswordAge 60.00:00:00 -MinPasswordLength 12 -PasswordHistoryCount 24 2. Политика блокировки учетных записей Account Lockout Policy Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политика блокировки учетных записей EN: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Account Policies -> Account Lockout Policy Описание: Автоматически блокирует учетную запись после нескольких неудачных попыток входа. Настройка: Account lockout threshold: `5` invalid logon attempts. Account lockout duration: `15` minutes. Reset account lockout counter after: `15` minutes. Обоснование: Эффективная защита от атак методом подбора пароля (brute-force). Злоумышленник не сможет бесконечно перебирать пароли. Пример команды PowerShell: Set-ADDefaultDomainPasswordPolicy -LockoutDuration "0.00:15:00" -LockoutObservationWindow "0.00:15:00" -LockoutThreshold 5 3. Минимальный возраст пароля Minimum password age Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политика паролей EN: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Account Policies -> Password Policy Описание: Устанавливает, сколько дней пользователь должен использовать пароль, прежде чем сможет его снова сменить. Настройка: Установить значение 1 day. Обоснование: Предотвращает ситуацию, когда пользователь, которого заставляют сменить пароль, меняет его и тут же меняет обратно на старый, обходя политику истории паролей. Пример команды PowerShell: Set-ADDefaultDomainPasswordPolicy -MinPasswordAge 1.00:00:00 4. Уровень проверки подлинности LAN Manager LAN Manager authentication level Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности EN: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options Описание: Определяет, какой протокол аутентификации будет использоваться для сетевого входа. Настройка: Настроить политику Network security: LAN Manager authentication level , выбрав Send NTLMv2 response only. Refuse LM & NTLM . Обоснование: Устаревшие протоколы LM и NTLM уязвимы для атак. Принудительное использование NTLMv2 значительно повышает безопасность аутентификации в домене. Пример команды PowerShell: Set-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Control\\Lsa" -Name "LmCompatibilityLevel" -Value 5 5. Запрет хранения хешей LAN Manager Do not store LAN Manager hash Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности EN: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options Описание: Запрещает системе хранить слабые, легко взламываемые LM-хеши паролей. Настройка: Включить (Enable) политику Network security: Do not store LAN Manager hash value on next password change . Обоснование: Критически важная политика безопасности. Даже если злоумышленник получит доступ к базе SAM или NTDS.dit, он не сможет извлечь из нее слабые LM-хеши для последующего взлома паролей. Пример команды PowerShell: Set-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Control\\Lsa" -Name "NoLMHash" -Value 1 6. Не показывать имя последнего вошедшего пользователя Do not display last signed-in Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности EN: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options Описание: Скрывает имя пользователя, который последним входил в систему, на экране входа. Настройка: Включить (Enable) политику Interactive logon: Do not display last signed-in . Обоснование: Повышает безопасность, так как потенциальному злоумышленнику потребуется знать не только пароль, но и имя пользователя для входа в систему. Пример команды PowerShell: Set-ItemProperty -Path "HKLM:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System" -Name "DontDisplayLastUserName" -Value 1 7. Настроить поведение при удалении смарт-карты Smart card removal behavior Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности EN: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options Описание: Определяет, что произойдет, когда пользователь извлекает смарт-карту из считывателя. Настройка: Настроить политику Interactive logon: Smart card removal behavior , выбрав Lock Workstation . Обоснование: Критически важная политика для сред с двухфакторной аутентификацией. Гарантирует, что рабочая станция будет немедленно заблокирована, как только физический токен (смарт-карта) будет удален. Пример команды PowerShell: Set-ItemProperty -Path "HKLM:\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" -Name "scremoveoption" -Value "1" 8. Отключить кеширование учетных данных Number of previous logons to cache Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности EN: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options Описание: Запрещает системе кешировать учетные данные для входа в домен. Вход будет возможен только при доступности контроллера домена. Настройка: Настроить политику Interactive logon: Number of previous logons to cache (in case domain controller is not available) , установив значение 0 . Обоснование: Максимальный уровень безопасности для стационарных рабочих станций. Предотвращает возможность входа в систему с использованием старого (потенциально скомпрометированного) пароля, если компьютер отключен от сети. Пример команды PowerShell: Set-ItemProperty -Path "HKLM:\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" -Name "CachedLogonsCount" -Value 0 9. Включение защиты LSA Enable LSA Protection Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> Local Security Authority EN: Computer Configuration -> Policies -> Administrative Templates -> System -> Local Security Authority Описание: Защищает процесс Local Security Authority (LSA) от внедрения кода, что усложняет кражу учетных данных из памяти. Настройка: Включить (Enable) политику Configure LSASS to run as a protected process и установить значение Enabled with UEFI Lock . Обоснование: Значительно повышает устойчивость системы к современным атакам, таким как Mimikatz, которые нацелены на извлечение паролей и хэшей из памяти процесса LSASS. Пример команды PowerShell: Set-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Control\\Lsa" -Name "RunAsPPL" -Value 1 2. Ограничение системы и приложений 10. Запрет доступа к Панели управления и Параметрам Prohibit access to Control Panel and PC settings Путь в редакторе GPO: RU: Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления EN: User Configuration -> Policies -> Administrative Templates -> Control Panel Описание: Полностью блокирует доступ пользователей к классической Панели управления и современному приложению "Параметры". Настройка: Найти и включить (Enable) политику Prohibit access to Control Panel and PC settings . Обоснование: Критически важная политика для ограничения прав пользователей. Предотвращает несанкционированные изменения в конфигурации системы, установку/удаление программ и изменение сетевых настроек. Пример команды PowerShell: # This is a user policy, applied on logon. # To set via registry for the current user: Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer" -Name "NoControlPanel" -Value 1 11. Запрет на использование съемных носителей Restrict Removable Storage Access Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> Доступ к съемным запоминающим устройствам EN: Computer Configuration -> Policies -> Administrative Templates -> System -> Removable Storage Access Описание: Контролирует доступ к USB-накопителям, внешним дискам, CD/DVD и другим съемным устройствам. Настройка: Включить (Enable) политику All Removable Storage classes: Deny all access для полной блокировки. Можно настроить более гранулярно, например, разрешить только чтение. Обоснование: Ключевой элемент предотвращения утечек данных (DLP) и защиты от вредоносного ПО, распространяемого через USB-флешки. Пример команды PowerShell: # This policy controls multiple registry keys. # Example to deny write access to USB storage: Set-ItemProperty -Path "HKLM:\\Software\\Policies\\Microsoft\\Windows\\RemovableStorageDevices\\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}" -Name "Deny_Write" -Value 1 12. AppLocker / Политики ограниченного использования программ AppLocker / Software Restriction Policies Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики управления приложениями -> AppLocker EN: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Application Control Policies -> AppLocker Описание: Позволяет создать "белый список" приложений, разрешенных к запуску. Все остальное будет заблокировано. Настройка: Сначала необходимо создать правила по умолчанию (ПКМ → Create Default Rules). Затем можно создавать свои правила для исполняемых файлов (Executable Rules) на основе пути, хэша файла или издателя. Не забудьте запустить службу `Application Identity` (`gpsvc`) на клиентских машинах для применения политик. Обоснование: Одна из самых надежных защит от вирусов и программ-шифровальщиков. Даже если пользователь скачает вредоносный файл, он просто не сможет его запустить. Пример команды PowerShell: # AppLocker policies are complex XML files. Managing them via PowerShell is advanced. # Example to get the current policy: Get-AppLockerPolicy -Local | Export-Clixml -Path C:\\AppLocker.xml 13. Запрет доступа к командной строке Prevent access to the command prompt Путь в редакторе GPO: RU: Конфигурация пользователя -> Политики -> Административные шаблоны -> Система EN: User Configuration -> Policies -> Administrative Templates -> System Описание: Отключает доступ к командной строке (cmd.exe) для пользователей. Настройка: Найти и включить (Enable) политику Prevent access to the command prompt . Можно также запретить выполнение скриптов. Обоснование: Сильная мера безопасности для сред с повышенными требованиями, где пользователям не должно быть разрешено выполнять системные команды. Пример команды PowerShell: Set-ItemProperty -Path "HKCU:\\Software\\Policies\\Microsoft\\Windows\\System" -Name "DisableCMD" -Value 1 14. Отключение "потребительского опыта" Turn off Microsoft consumer experiences Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Содержимое из облака EN: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Cloud Content Описание: Отключает загрузку и установку рекламируемых приложений (Candy Crush, Spotify и т.п.) в Windows 10/11 Pro. Настройка: Найти и включить (Enable) политику Turn off Microsoft consumer experiences . Обоснование: Убирает ненужное ПО с корпоративных рабочих мест, сохраняя "чистоту" системы и экономя место на диске. Пример команды PowerShell: Set-ItemProperty -Path "HKLM:\\Software\\Policies\\Microsoft\\Windows\\CloudContent" -Name "DisableWindowsConsumerFeatures" -Value 1 15. Отключить автозапуск для всех дисков Turn off Autoplay Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Политики автозапуска EN: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> AutoPlay Policies Описание: Полностью отключает функцию автозапуска/автовоспроизведения для всех типов дисков. Настройка: Включить (Enable) политику Turn off Autoplay и выбрать опцию All drives . Обоснование: Исторически, автозапуск был одним из главных векторов распространения вирусов через USB-накопители. Отключение этой функции является важным шагом для повышения безопасности рабочих станций. Пример команды PowerShell: Set-ItemProperty -Path "HKLM:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer" -Name "NoDriveTypeAutoRun" -Value 255 16. Запретить доступ к реестру Prevent access to registry editing tools Путь в редакторе GPO: RU: Конфигурация пользователя -> Политики -> Административные шаблоны -> Система EN: User Configuration -> Policies -> Administrative Templates -> System Описание: Блокирует запуск редактора реестра (`regedit.exe`). Настройка: Включить (Enable) политику Prevent access to registry editing tools . Обоснование: Предотвращает ручное изменение критически важных системных настроек пользователями, что может привести к нестабильной работе или полному отказу системы. Пример команды PowerShell: Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System" -Name "DisableRegistryTools" -Value 1 17. Запретить запуск указанных приложений Don't run specified Windows applications Путь в редакторе GPO: RU: Конфигурация пользователя -> Политики -> Административные шаблоны -> Система EN: User Configuration -> Policies -> Administrative Templates -> System Описание: Создает "черный список" приложений, которые пользователям запрещено запускать. Настройка: Включить (Enable) политику, нажать `Show...` и добавить имена исполняемых файлов (например, `bittorrent.exe`). Обоснование: Более простой способ блокировки приложений по сравнению с AppLocker. Подходит для быстрого запрета нежелательного ПО (торрент-клиенты, игры и т.д.). Пример команды PowerShell: Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\DisallowRun" -Name "1" -Value "bittorrent.exe" 18. Настройка поведения UAC Configure User Account Control (UAC) Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности EN: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options Описание: Управляет поведением контроля учетных записей (UAC). Настройка: Найти и настроить политику User Account Control: Behavior of the elevation prompt for administrators... . Например, установить Prompt for consent for non-Windows binaries . Обоснование: Позволяет найти баланс между безопасностью и удобством, настраивая, как часто и для каких действий система будет запрашивать подтверждение с повышенными привилегиями. Пример команды PowerShell: Set-ItemProperty -Path "HKLM:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System" -Name "ConsentPromptBehaviorAdmin" -Value 5 3. Рабочий стол и среда пользователя 19. Назначение сетевых дисков Map Network Drives Путь в редакторе GPO: RU: Конфигурация пользователя -> Настройка -> Конфигурация Windows -> Сопоставления дисков EN: User Configuration -> Preferences -> Windows Settings -> Drive Maps Описание: Автоматически подключает сетевые папки в качестве дисков при входе пользователя в систему. Настройка: Внутри GPO, в указанном пути: ПКМ → New → Mapped Drive. Action: `Update` (создает или обновляет диск). Location: `\\server\share\folder` (путь к сетевой папке). Reconnect: Отметить галочкой. Label as: Понятное имя диска (например, "Общие документы"). Drive Letter: Выбрать букву диска. Обоснование: Стандартизирует рабочее окружение, обеспечивает легкий и единообразный доступ к общим ресурсам, избавляя пользователей от необходимости подключать диски вручную. Пример команды PowerShell: # Drive Maps через GPO Preferences не имеют прямого командлета. # Пример подключения диска для текущего сеанса: New-PSDrive -Name "S" -PSProvider "FileSystem" -Root "\\\\server\\share" -Persist 20. Установка обоев рабочего стола Desktop Wallpaper Путь в редакторе GPO: RU: Конфигурация пользователя -> Политики -> Административные шаблоны -> Рабочий стол -> Рабочий стол EN: User Configuration -> Policies -> Administrative Templates -> Desktop -> Desktop Описание: Принудительно устанавливает единые обои рабочего стола для всех пользователей. Настройка: Включить (Enable) политику Desktop Wallpaper и указать UNC-путь к файлу изображения в поле `Wallpaper Name`. Например: `\\server\share\wallpapers\corporate.jpg`. Убедитесь, что у всех пользователей есть права на чтение этого файла. Обоснование: Обеспечивает корпоративный брендинг, поддерживает профессиональный вид рабочих станций и предотвращает установку неуместных или отвлекающих изображений. Пример команды PowerShell: Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System" -Name "Wallpaper" -Value "\\\\server\\share\\wallpapers\\corporate.jpg" 21. Запрет на изменение рабочего стола Prevent changing desktop background Путь в редакторе GPO: RU: Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация EN: User Configuration -> Policies -> Administrative Templates -> Control Panel -> Personalization Описание: Запрещает пользователям изменять обои рабочего стола. Настройка: Включить (Enable) политику Prevent changing desktop background . Работает в паре с политикой принудительной установки обоев. Обоснование: Поддерживает корпоративный стандарт и предотвращает установку неуместных или отвлекающих изображений, дополняя политику принудительной установки обоев. Пример команды PowerShell: Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\ActiveDesktop" -Name "NoChangingWallPaper" -Value 1 22. Перенаправление папок Folder Redirection Путь в редакторе GPO: RU: Конфигурация пользователя -> Политики -> Конфигурация Windows -> Перенаправление папок EN: User Configuration -> Policies -> Windows Settings -> Folder Redirection Описание: Перенаправляет стандартные папки пользователя (Документы, Рабочий стол и т.д.) на сетевой ресурс. Настройка: ПКМ на папке (например, `Documents`) → Properties. Setting: `Basic - Redirect everyone's folder to the same location`. Target folder location: `Create a folder for each user under the root path`. Root Path: `\\server\profiles\%USERNAME%\Documents`. Обоснование: Централизует хранение пользовательских данных, что упрощает их резервное копирование. Также обеспечивает "бесшовный" переход пользователя между разными компьютерами в домене — его файлы всегда с ним. Пример команды PowerShell: # Folder Redirection не имеет прямого командлета и настраивается через GUI. 23. Запуск сценариев входа/выхода Logon/Logoff Scripts Путь в редакторе GPO: RU: Конфигурация пользователя -> Политики -> Конфигурация Windows -> Сценарии (вход/выход из системы) EN: User Configuration -> Policies -> Windows Settings -> Scripts (Logon/Logoff) Описание: Выполняет скрипты (.bat, .vbs, .ps1) при входе пользователя в систему или выходе из нее. Настройка: Двойной клик по `Logon`, на вкладке `PowerShell Scripts` нажать `Add...` и указать путь к скрипту. Скрипты должны храниться в папке политики на контроллере домена (Sysvol). Обоснование: Мощный инструмент автоматизации для задач, которые нужно выполнять для каждого пользователя: подключение принтеров, создание ярлыков, очистка временных файлов. Пример команды PowerShell: Set-GPRegistryValue -Name "MyGPO" -Key "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Group Policy\\Scripts\\Logon\\0" -ValueName "Script" -Value "\\\\domain.com\\SysVol\\...\\MyScript.ps1" -Type String 24. Сообщение при входе в систему Interactive logon message Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности EN: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options Описание: Отображает юридическое или информационное сообщение перед входом пользователя в систему. Настройка: Настроить две политики: Interactive logon: Message text for users... (Текст сообщения, например, "Этот компьютер является собственностью компании..."). Interactive logon: Message title for users... (Заголовок окна сообщения, например, "ПРЕДУПРЕЖДЕНИЕ"). Обоснование: Используется для юридических уведомлений об ответственности за использование корпоративных ресурсов и для информирования пользователей о плановых работах. Пример команды PowerShell: Set-ItemProperty -Path "HKLM:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System" -Name "legalnoticecaption" -Value "ПРЕДУПРЕЖДЕНИЕ" Set-ItemProperty -Path "HKLM:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System" -Name "legalnoticetext" -Value "Этот компьютер является собственностью компании." 25. Включение блокировки экрана с паролем Enable Screen Saver Password Protection Путь в редакторе GPO: RU: Конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Персонализация EN: User Configuration -> Policies -> Administrative Templates -> Control Panel -> Personalization Описание: Принудительно включает заставку и требует ввод пароля для разблокировки компьютера. Настройка: Включить Password protect the screen saver . Включить Screen saver timeout и установить время в секундах (например, `600` для 10 минут). Включить Force specific screen saver и указать путь к файлу (например, `scrnsave.scr`). Обоснование: Обеспечивает безопасность рабочих станций, оставленных без присмотра. Если пользователь отошел, компьютер автоматически заблокируется. Пример команды PowerShell: Set-ItemProperty -Path "HKCU:\\Software\\Policies\\Microsoft\\Windows\\Control Panel\\Desktop" -Name "ScreenSaveActive" -Value "1" Set-ItemProperty -Path "HKCU:\\Software\\Policies\\Microsoft\\Windows\\Control Panel\\Desktop" -Name "ScreenSaverIsSecure" -Value "1" Set-ItemProperty -Path "HKCU:\\Software\\Policies\\Microsoft\\Windows\\Control Panel\\Desktop" -Name "ScreenSaveTimeOut" -Value "600" 26. Скрыть указанные диски Hide these specified drives in My Computer Путь в редакторе GPO: RU: Конфигурация пользователя -> Политики -> Административные шаблоны -> Компоненты Windows -> Проводник EN: User Configuration -> Policies -> Administrative Templates -> Windows Components -> File Explorer Описание: Скрывает определенные диски (например, системный диск C:) из окна "Этот компьютер". Настройка: Включить (Enable) политику и выбрать из выпадающего списка комбинацию дисков, которые нужно скрыть. Обоснование: Используется для упрощения интерфейса для пользователя, скрывая системные разделы, которые ему не нужно трогать, и оставляя только диски с данными. Пример команды PowerShell: # Hides drive C. The value is a bitmask. 4 corresponds to C. Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer" -Name "NoDrives" -Value 4 27. Запрет автоматического сопоставления сетевых папок Remove "Map Network Drive" and "Disconnect Network Drive" Путь в редакторе GPO: RU: Конфигурация пользователя -> Политики -> Административные шаблоны -> Компоненты Windows -> Проводник EN: User Configuration -> Policies -> Administrative Templates -> Windows Components -> File Explorer Описание: Убирает из интерфейса Проводника пункты "Подключить сетевой диск" и "Отключить сетевой диск". Настройка: Включить (Enable) политику Remove "Map Network Drive" and "Disconnect Network Drive" . Обоснование: Позволяет полностью контролировать подключение сетевых дисков через GPO, запрещая пользователям самостоятельно подключать или отключать другие сетевые ресурсы. Пример команды PowerShell: Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer" -Name "NoNetConnectDisconnect" -Value 1 28. Запретить доступ к свойствам этого компьютера Removes the "Properties" item from the This PC context menu Путь в редакторе GPO: RU: Конфигурация пользователя -> Политики -> Административные шаблоны -> Компоненты Windows -> Проводник EN: User Configuration -> Policies -> Administrative Templates -> Windows Components -> File Explorer Описание: Удаляет пункт "Свойства" из контекстного меню значка "Этот компьютер". Настройка: Включить (Enable) политику Removes the "Properties" item from the This PC context menu . Обоснование: Ограничивает возможность пользователя просматривать основную информацию о системе, изменять имя компьютера, рабочую группу или домен, что является частью общей стратегии по ограничению прав. Пример команды PowerShell: Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer" -Name "NoPropertiesMyComputer" -Value 1 29. Не сохранять недавние документы Do not keep history of recently opened documents Путь в редакторе GPO: RU: Конфигурация пользователя -> Политики -> Административные шаблоны -> Компоненты Windows -> Проводник EN: User Configuration -> Policies -> Administrative Templates -> Windows Components -> File Explorer Описание: Отключает ведение истории недавно открытых файлов. Настройка: Включить (Enable) политику Do not keep history of recently opened documents . Обоснование: Повышает конфиденциальность, особенно на компьютерах с общим доступом, так как другие пользователи не смогут увидеть, какие документы открывались ранее. Пример команды PowerShell: Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer" -Name "NoRecentDocsHistory" -Value 1 4. Безопасность удаленного доступа (RDP) 30. Разрешить удаленное подключение по RDP Allow users to connect remotely by using Remote Desktop Services Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Подключения EN: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Connections Описание: Главный переключатель, разрешающий или запрещающий RDP-подключения к серверу. Настройка: Включить (Enable) политику. Чтобы запретить RDP, установите в "Отключено" (Disabled). Обоснование: Позволяет централизованно управлять доступностью RDP на множестве компьютеров. Является основой для всех остальных настроек RDP. Пример команды PowerShell: # To enable RDP: Set-ItemProperty -Path 'HKLM:\\System\\CurrentControlSet\\Control\\Terminal Server' -name "fDenyTSConnections" -value 0 #To disable RDP: Set-ItemProperty -Path 'HKLM:\\System\\CurrentControlSet\\Control\\Terminal Server' -name "fDenyTSConnections" -value 1 31. Добавление пользователей в группу "Пользователи удаленного рабочего стола" Allow log on through Remote Desktop Services Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя EN: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment Описание: Определяет, какие пользователи или группы могут подключаться к компьютеру по RDP. Настройка: Открыть политику, нажать "Добавить пользователя или группу..." и указать доменную группу, членам которой будет разрешен RDP-доступ (например, `DOMAIN\RemoteUsers`). Обоснование: Правильный способ управления доступом по RDP. Вместо добавления пользователей в локальную группу "Пользователи удаленного рабочего стола" вручную, вы централизованно управляете членством в доменной группе. Пример команды PowerShell: # This policy configures a security identifier (SID) and is best managed via the GPO GUI. 32. Требовать проверку подлинности на уровне сети (NLA) Require user authentication for remote connections by using Network Level Authentication Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Безопасность EN: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security Описание: Требует, чтобы пользователь прошел аутентификацию до установления полноценного сеанса RDP. Настройка: Включить (Enable) политику. Обоснование: Ключевая мера безопасности RDP. Защищает от DoS-атак и использования уязвимостей в протоколе до аутентификации (например, BlueKeep). Сессия не будет создана, пока пользователь не подтвердит свою личность. Пример команды PowerShell: (Get-WmiObject -Class "Win32_TSGeneralSetting" -Namespace root\\cimv2\\terminalservices).SetUserAuthenticationRequired(1) 33. Установить уровень шифрования клиентского подключения Set client connection encryption level Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Безопасность EN: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security Описание: Задает минимальный уровень шифрования для RDP-сеансов. Настройка: Включить (Enable) политику и в выпадающем списке выбрать `High Level`. Обоснование: Гарантирует, что для всех RDP-соединений используется надежное 128-битное шифрование, защищая передаваемый трафик от перехвата и анализа. Пример команды PowerShell: (Get-WmiObject -Class "Win32_TSGeneralSetting" -Namespace root\\cimv2\\terminalservices).MinEncryptionLevel = 3 34. Запретить сохранение паролей RDP Do not allow passwords to be saved Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Клиент подключения к удаленному рабочему столу EN: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Connection Client Описание: Отключает на клиентских машинах возможность сохранения паролей в RDP-клиенте (деактивирует галочку "Запомнить меня"). Настройка: Включить (Enable) политику. Эта политика применяется к компьютерам, с которых производятся подключения. Обоснование: Предотвращает хранение паролей на рабочих станциях, что является критически важным для безопасности, особенно на компьютерах с общим доступом, и снижает риск компрометации учетных данных. Пример команды PowerShell: Set-ItemProperty -Path "HKLM:\\Software\\Policies\\Microsoft\\Windows NT\\Terminal Services" -Name "DisablePasswordSaving" -Value 1 35. Всегда запрашивать пароль при подключении Prompt for credentials on the client computer Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Клиент подключения к удаленному рабочему столу EN: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Connection Client Описание: Заставляет RDP-клиент всегда запрашивать пароль, даже если он был сохранен ранее. Настройка: Включить (Enable) политику. Эта политика также применяется к клиентским машинам. Обоснование: Повышает безопасность, требуя от пользователя активного ввода пароля при каждом подключении, что снижает риск использования скомпрометированных сохраненных учетных данных. Пример команды PowerShell: Set-ItemProperty -Path "HKLM:\\Software\\Policies\\Microsoft\\Windows NT\\Terminal Services" -Name "PromptForCredentials" -Value 1 36. Время ожидания перед блокировкой сеанса RDP Set time limit for active but idle Remote Desktop Services sessions Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Ограничения по времени для сеансов EN: Computer Configuration -> ... -> Remote Desktop Services -> Remote Desktop Session Host -> Session Time Limits Описание: Автоматически отключает неактивные (простаивающие) сеансы на сервере терминалов. Настройка: Включить (Enable) политику и установить лимит, например, `1 hour`. Обоснование: Освобождает лицензии и системные ресурсы на RDS-ферме от пользователей, которые подключились и забыли выйти, повышая эффективность использования сервера. Пример команды PowerShell: # This policy corresponds to a registry key. 3600000 milliseconds = 1 hour. Set-ItemProperty -Path "HKLM:\\Software\\Policies\\Microsoft\\Windows NT\\Terminal Services" -Name "MaxIdleTime" -Value 3600000 37. Удалить меню "Завершение работы" из сеанса RDP Remove and prevent access to the Shut Down command Путь в редакторе GPO: RU: Конфигурация пользователя -> Политики -> Административные шаблоны -> Меню "Пуск" и панель задач EN: User Configuration -> Policies -> Administrative Templates -> Start Menu and Taskbar Описание: Убирает из меню "Пуск" кнопки выключения, перезагрузки и сна. Особенно полезно для серверов терминалов. Настройка: Включить (Enable) политику Remove and prevent access to the Shut Down, Restart, Sleep, and Hibernate commands . Обоснование: Предотвращает случайное или намеренное выключение или перезагрузку критически важных серверов (например, RDS-ферм) обычными пользователями. Пример команды PowerShell: Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer" -Name "NoClose" -Value 1 5. Аудит и логирование безопасности 38. Аудит событий входа в систему Audit logon events Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита EN: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy Описание: Включает запись в журнал безопасности событий успешного и неуспешного входа в систему. Настройка: Найти политику Audit logon events и включить аудит для Success и Failure . Обоснование: Критически важно для расследования инцидентов безопасности. Позволяет отслеживать, кто, когда и с какого компьютера пытался войти в систему. Пример команды PowerShell: auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable 39. Аудит доступа к объектам Audit object access Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита EN: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy Описание: Включает аудит доступа к файлам, папкам и объектам реестра. Настройка: Включить политику Audit object access для Success и Failure . После этого необходимо настроить аудит на конкретных папках (вкладка "Безопасность" → "Дополнительно" → "Аудит"). Обоснование: Позволяет отслеживать, кто и когда получал доступ к критически важным файлам, изменял или удалял их. Необходимо для расследования инцидентов и соответствия стандартам безопасности. Пример команды PowerShell: auditpol /set /category:"Object Access" /success:enable /failure:enable 40. Настроить ведение журнала сценариев PowerShell Turn on PowerShell Script Block Logging Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Windows PowerShell EN: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows PowerShell Описание: Включает детальное логирование всех блоков кода PowerShell, которые выполняются в системе. Настройка: Включить (Enable) политику Turn on PowerShell Script Block Logging . События будут записываться в журнал `Microsoft-Windows-PowerShell/Operational`. Обоснование: Критически важный инструмент для обнаружения вредоносной активности. Так как многие современные атаки используют PowerShell, эта политика позволяет видеть точные команды, которые выполнял злоумышленник. Пример команды PowerShell: Set-ItemProperty -Path "HKLM:\\Software\\Policies\\Microsoft\\Windows\\PowerShell\\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1 41. Включить транскрипцию PowerShell Turn on PowerShell Transcription Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Windows PowerShell EN: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows PowerShell Описание: Записывает весь ввод и вывод из консоли PowerShell в текстовые файлы. Настройка: Включить (Enable) политику и указать сетевую папку (UNC-путь), куда будут сохраняться логи. Это дополняет политику ведения журнала блоков. Обоснование: Создает полный, человеко-читаемый протокол всего, что происходило в сессиях PowerShell. Бесценно для анализа сложных атак и действий администраторов. Пример команды PowerShell: Set-ItemProperty -Path "HKLM:\\Software\\Policies\\Microsoft\\Windows\\PowerShell\\Transcription" -Name "EnableTranscripting" -Value 1 Set-ItemProperty -Path "HKLM:\\Software\\Policies\\Microsoft\\Windows\\PowerShell\\Transcription" -Name "OutputDirectory" -Value "\\\\server\\share\\PSTranscripts" 42. Аудит изменения политики Audit policy change Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита EN: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy Описание: Включает аудит изменений в политиках назначения прав, аудита и доверительных отношений. Настройка: Включить политику Audit policy change для Success и Failure . Обоснование: Помогает отслеживать, не пытается ли злоумышленник или недобросовестный администратор изменить политики безопасности, чтобы скрыть свои следы или получить несанкционированные привилегии. Пример команды PowerShell: auditpol /set /category:"Policy Change" /success:enable /failure:enable 43. Включить расширенный аудит Force audit policy subcategory settings Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности EN: Computer Configuration -> Policies -> Windows Settings -> Local Policies -> Security Options Описание: Принудительно использует новые, более гранулярные настройки расширенного аудита, игнорируя старые базовые политики. Настройка: Включить (Enable) политику Audit: Force audit policy subcategory settings... . Это позволяет тонко настраивать аудит в разделе `Advanced Audit Policy Configuration`. Обоснование: Современный подход к аудиту. Вместо одной общей политики "Audit object access" можно включить аудит отдельно для файловой системы, реестра, SAM и т.д., что уменьшает "шум" в журналах безопасности. Пример команды PowerShell: Set-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Control\\Lsa" -Name "SCENoApplyLegacyAuditPolicy" -Value 1 6. Конфигурация и управление системой 44. Установка ПО через GPO Software Installation via GPO Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Конфигурация программ -> Установка программ EN: Computer Configuration -> Policies -> Software Settings -> Software installation Описание: Автоматически развертывает программное обеспечение в формате MSI на компьютеры домена. Настройка: ПКМ на `Software installation` → New → Package... Выберите MSI-пакет из сетевой папки. Важно, чтобы у группы `Domain Computers` были права на чтение из этой папки. Выберите метод развертывания Assigned . Программа будет установлена автоматически при следующей перезагрузке компьютера. Обоснование: Позволяет централизованно и автоматически устанавливать необходимое ПО на все компьютеры организации без участия пользователя. Пример команды PowerShell: # This requires the GPO cmdlets from RSAT. $gpo = Get-GPO -Name "My Software GPO" $msi = Get-MSIPackageInfo -Path "\\\\server\\share\\app.msi" #(Advanced usage, typically done via GUI) 45. Настройка службы Windows Update (WSUS) Configure Windows Update (WSUS) Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows EN: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows Update Описание: Управляет процессом обновления Windows, позволяя направлять клиенты на внутренний сервер WSUS. Настройка: Включить Configure Automatic Updates , выбрав опцию `4 - Auto download and schedule the install`. Включить Specify intranet Microsoft update service location и указать адрес вашего WSUS-сервера в обоих полях (например, `http://wsus.domain.local:8530`). Обоснование: Дает полный контроль над процессом обновлений, экономит интернет-трафик и позволяет тестировать обновления перед их развертыванием на все машины. Пример команды PowerShell: Set-ItemProperty -Path "HKLM:\\Software\\Policies\\Microsoft\\Windows\\WindowsUpdate" -Name "WUServer" -Value "http://wsus.domain.local:8530" Set-ItemProperty -Path "HKLM:\\Software\\Policies\\Microsoft\\Windows\\WindowsUpdate" -Name "WUStatusServer" -Value "http://wsus.domain.local:8530" 46. Настройка Брандмауэра Windows Configure Windows Defender Firewall Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Брандмауэр Защитника Windows в режиме повышенной безопасности EN: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Windows Defender Firewall with Advanced Security Описание: Централизованно управляет правилами и состоянием брандмауэра на всех компьютерах. Настройка: Здесь можно настроить свойства для каждого профиля (Domain, Private, Public), например, включить брандмауэр и блокировать все входящие по умолчанию. Для создания правил, ПКМ на `Inbound Rules` → New Rule... Например, можно создать правило, разрешающее ICMP (ping) для диагностики сети. Обоснование: Обеспечивает единый стандарт сетевой безопасности в организации, предотвращая отключение брандмауэра пользователями и блокируя нежелательный трафик. Пример команды PowerShell: New-NetFirewallRule -DisplayName "Allow Ping In" -Direction Inbound -Protocol ICMPv4 -Action Allow 47. Добавление группы в локальные администраторы Add group to local administrators Путь в редакторе GPO: RU: Конфигурация компьютера -> Настройка -> Параметры панели управления -> Локальные пользователи и группы EN: Computer Configuration -> Preferences -> Control Panel Settings -> Local Users and Groups Описание: Централизованно добавляет доменную группу в локальную группу "Администраторы" на всех компьютерах. Настройка: ПКМ → New → Local Group. Action: `Update`. Group name: `Administrators` (built-in). Нажать Add... и добавить доменную группу (например, `DOMAIN\IT-Support`). Отметить Delete all member users и Delete all member groups , если нужно, чтобы в локальных администраторах были ТОЛЬКО указанные вами группы. Обоснование: Правильный способ предоставления административных прав. Вместо добавления отдельных пользователей на каждой машине, вы управляете членством в одной доменной группе. Пример команды PowerShell: # This is a preference item, no direct cmdlet. #To do this locally on one machine: Add-LocalGroupMember -Group "Administrators" -Member "DOMAIN\\IT-Support" 48. Синхронизация времени с контроллером домена Configure Windows NTP Client Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> Служба времени Windows -> Поставщики времени EN: Computer Configuration -> Policies -> Administrative Templates -> System -> Windows Time Service -> Time Providers Описание: Обеспечивает, чтобы все компьютеры в домене синхронизировали время с контроллера домена. Настройка: Включить (Enable) политику Configure Windows NTP Client . В поле NtpServer указать DNS-имя вашего КД с флагом ,0x9 (например, dc1.domain.local,0x9 ). Установить Type в NTP . Обоснование: Критически важно для корректной работы аутентификации Kerberos, которая чувствительна к расхождению времени между клиентом и сервером. Пример команды PowerShell: w32tm /config /manualpeerlist:"dc1.domain.local,0x9" /syncfromflags:manual /reliable:yes /update 49. Включить WinRM Enable Windows Remote Management (WinRM) Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Удаленное управление Windows (WinRM) -> Служба WinRM EN: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows Remote Management (WinRM) -> WinRM Service Описание: Разрешает удаленное управление компьютерами с помощью PowerShell. Настройка: Включить (Enable) политику Allow remote server management through WinRM и указать диапазон IP-адресов для фильтра (например, `192.168.1.0/24` или `*` для всех). Обоснование: Основа для современной автоматизации и удаленного администрирования Windows. Позволяет выполнять PowerShell скрипты на множестве машин с одной консоли. Пример команды PowerShell: # Command to enable WinRM locally. GPO sets this remotely. Enable-PSRemoting -Force 50. Настройка политики выполнения PowerShell Turn on Script Execution Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Windows PowerShell EN: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows PowerShell Описание: Устанавливает политику выполнения скриптов PowerShell для всей организации. Настройка: Включить (Enable) политику и выбрать одну из опций. Рекомендуется RemoteSigned - разрешает выполнение локальных скриптов, а скачанные из интернета должны быть подписаны. Обоснование: Базовый механизм безопасности PowerShell, который предотвращает случайный запуск вредоносных скриптов. Централизованная настройка через GPO обеспечивает единый стандарт безопасности. Пример команды PowerShell: Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope LocalMachine 51. Запретить доступ к папке %windir%\\system32\\drivers\\etc Restrict access to drivers folder Путь в редакторе GPO: RU: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Файловая система EN: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> File System Описание: Устанавливает права доступа на уровне файловой системы, чтобы запретить пользователям изменять файл hosts. Настройка: ПКМ → Add File... → указать путь %windir%\\system32\\drivers\\etc . В настройках безопасности удалить права на запись для группы "Пользователи" (Users). Обоснование: Защищает от атак, при которых вредоносное ПО изменяет файл `hosts`, чтобы перенаправить пользователя с легитимного сайта (например, банка) на фишинговый. Пример команды PowerShell: # This is a file system ACL change, no direct cmdlet. #Example to view ACL for the hosts file: Get-Acl C:\\Windows\\System32\\drivers\\etc\\hosts | Format-List 52. Развертывание принтеров Deploy Printers Путь в редакторе GPO: RU: Конфигурация пользователя -> Настройка -> Параметры панели управления -> Принтеры EN: User Configuration -> Preferences -> Control Panel Settings -> Printers Описание: Удобный способ назначать пользователям сетевые принтеры. Настройка: ПКМ → New → Shared Printer. Выбрать `Action: Update` и указать UNC-путь к принтеру (`\\print-server\Kyocera-Office`). Можно настроить нацеливание на уровне элемента, чтобы принтер назначался только членам определенной группы безопасности. Обоснование: Полностью автоматизирует установку принтеров для пользователей, избавляя от необходимости делать это вручную на каждом рабочем месте. Пример команды PowerShell: # Printer deployment via GPO Preferences не имеет прямого командлета. #Пример добавления принтера для текущего сеанса: Add-Printer -ConnectionName "\\\\print-server\\Kyocera-Office" 53. Настройка прокси-сервера Configure Proxy Settings Путь в редакторе GPO: RU: Конфигурация пользователя -> Настройка -> Параметры панели управления -> Параметры обозревателя EN: User Configuration -> Preferences -> Control Panel Settings -> Internet Settings Описание: Централизованно настраивает параметры прокси-сервера для пользователей. Настройка: ПКМ → New → Internet Explorer 10. На вкладке "Connections" нажать "LAN Settings" и указать адрес и порт прокси-сервера. Обоснование: Обеспечивает, чтобы весь интернет-трафик пользователей проходил через корпоративный прокси-сервер для фильтрации контента, учета и безопасности. Пример команды PowerShell: Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" -Name "ProxyEnable" -Value 1 Set-ItemProperty -Path "HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings" -Name "ProxyServer" -Value "proxy.domain.local:8080" Как удалить лицензии удаленных рабочих столов (Терминальные лицензии) Бывает такое, что необходимо переустановить терминальные лицензии, для этого необходимо удалить уже имеющиеся настроенные и активированные терминальные лицензии. Инструкция подходит для всех версий Windows Server, начиная от Windows Server 2012 и более новые версии. 1)  Заходим в «Диспетчер серверов» => Средства => Terminal Services => Диспетчер лицензирования удаленных рабочих столов И видим список Ваших установленных терминальных лицензий. 2)   Деактивируем Ваш сервер. Нажимаете правой кнопкой мыши на Ваш созданный сервер => Подробно => Деактивировать сервер. После запускается мастер деактивации, проходите шаги и на выходе получаем не активированный сервер. 3)  Закрываем окно «Диспетчер лицензирования удаленных рабочих столов». 4)  Запускаете меню «Службы» путем Win + R => services.msc => Ищите службу «Лицензирование удаленных рабочих столов» (по англ. Remote Desktop Licensing) и останавливаете ее. 5)  После заходите в папку: C:\Windows\System32\lserver и удаляете файл «TLSLic.edb» ( Внимание, предварительно сохраните данный файл где-нибудь в надежном месте ) 6)  Далее, запускаете обратно службу «Лицензирование удаленных рабочих столов» (по англ. Remote Desktop Licensing) в меню services.msc. 7)   Теперь можем зайти снова в меню «Диспетчер лицензирования удаленных рабочих столов» и видим, что лицензии удалились. Далее, для установки новых лицензий можете воспользоваться следующей инструкцией . Ошибка Run “slui.exe 0x2a 0xC004F069” при активации Получаем список до которых можем обновиться DISM.exe /Online /Get-TargetEditions Подставляем в /Set-Edition: версию, до которой хотим обновиться. Например ServerStandard, а также ключ. DISM /Online /Set-Edition:ServerStandard /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula Server Edition Product GVLK Windows Server 2022 Datacenter WX4NM-KYWYW-QJJR4-XV3QB-6VM33 Windows Server 2022 Datacenter Azure Edition NTBV8-9K7Q8-V27C6-M2BTV-KHMXV Windows Server 2022 Standard VDYBN-27WPP-V4HQT-9VMD4-VMK7H Windows Server 2019 Datacenter WMDGN-G9PQG-XVVXX-R3X43-63DFG Windows Server 2019 Standard N69G4-B89J2-4G8F4-WWYCC-J464C Windows Server 2019 Essentials WVDHN-86M7X-466P6-VHXV7-YY726 Windows Server 2019 Azure Core FDNH6-VW9RW-BXPJ7-4XTYG-239TB Windows Server 2019 Datacenter Semi-Annual Channel (v.1809) 6NMRW-2C8FM-D24W7-TQWMY-CWH2D Windows Server 2019 Standard Semi-Annual Channel (v.1809) N2KJX-J94YW-TQVFB-DG9YT-724CC Windows Server 2019 ARM64 GRFBW-QNDC4-6QBHG-CCK3B-2PR88 Windows Server 2016 Standard Semi-Annual Channel (v.1803) PTXN8-JFHJM-4WC78-MPCBR-9W4KR Windows Server 2016 Datacenter Semi-Annual Channel (v.1803) 2HXDN-KRXHB-GPYC7-YCKFJ-7FVDG Windows Server 2016 Datacenter Semi-Annual Channel (v.1709) 6Y6KB-N82V8-D8CQV-23MJW-BWTG6 Windows Server 2016 Standard Semi-Annual Channel (v.1709) DPCNP-XQFKJ-BJF7R-FRC8D-GF6G4 Windows Server 2016 ARM64 K9FYF-G6NCK-73M32-XMVPY-F9DRR Windows Server 2016 Datacenter CB7KF-BWN84-R7R2Y-793K2-8XDDG Windows Server 2016 Standard WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY Windows Server 2016 Essentials JCKRF-N37P4-C2D82-9YXRT-4M63B Windows Server 2016 Cloud Storage QN4C6-GBJD2-FB422-GHWJK-GJG2R Windows Server 2016 Azure Core VP34G-4NPPG-79JTQ-864T4-R3MQX Настройка Active Directory Шаг 0: Примите решение по именам (Прямо сейчас) Вам нужно решить два вопроса, чтобы мы могли двигаться дальше: Имя домена:  Как договорились, используем поддомен реального сайта. Например, если ваш сайт  mysite.ru , то внутренний домен назовем  ad.mysite.ru  (или  corp.mysite.ru ). IP-адресация:  Какой у вас диапазон сети? Например,  192.168.1.xxx  или  10.0.0.xxx ? Совет: Под серверы лучше выделить диапазон в начале или в конце (например, с .10 по .20), исключив их из раздачи DHCP на роутере. Шаг 1: Настройка первой ВМ (Будущий DC1) Зайдите в первую машину. Имя компьютера (Hostname): Нажмите  Win + X  -> Система -> Переименовать этот ПК. Дайте понятное имя. Стандарт:  SRV-DC01  (Server - Domain Controller 01). Перезагрузитесь. Сетевые настройки (Static IP): Зайдите в настройки адаптера (ncpa.cpl). Установите  Статический IP . Пример (подставьте свои данные): IP:   10.177.178.254  (или любой свободный) Mask:   255.255.255.0 Gateway:   10.177.178.1  (ваш роутер) DNS:  Пока оставьте  8.8.8.8  (чтобы скачать обновления), перед поднятием роли мы поменяем его на  127.0.0.1 . Обновления: Запустите Windows Update и поставьте все обновления. Это важно сделать ДО поднятия контроллера домена. Шаг 2: Настройка второй ВМ (Будущий DC2) Зайдите во вторую машину. Имя компьютера: Переименуйте в  SRV-DC02 . Перезагрузитесь. Сетевые настройки: Установите  Статический IP . Пример: IP:   10.177.178.253  (следующий свободный) Mask:   255.255.255.0 Gateway:   10.177.178.1 DNS:   8.8.8.8  (тоже пока внешний для обновлений). Обновления: Аналогично, обновите систему. Начинаем работу с первого сервера  SRV-DC01 . Второй сервер ( SRV-DC02 ) пока не трогаем, он ждет своей очереди. Шаг 3: Подготовка DNS на SRV-DC01 Перед установкой роли AD, сервер должен «смотреть на себя», чтобы корректно создать DNS-зоны. Зайдите в настройки сетевого адаптера на  SRV-DC01 . В свойствах IPv4 измените  Предпочтительный DNS-сервер (Preferred DNS)  на:  127.0.0.1 Почему: Мы сейчас сделаем этот сервер DNS-сервером. Он должен спрашивать сам себя. Нажмите ОК. Шаг 4: Установка роли AD DS Откройте  Server Manager  (Диспетчер серверов). В центре нажмите  Add roles and features  (Добавить роли и компоненты). Жмите Next до раздела  Server Roles  (Роли сервера). Поставьте галочку напротив  Active Directory Domain Services . Выскочит окно с предложением добавить компоненты — жмите  Add Features . Жмите Next до конца и затем  Install . Ждите окончания установки (полоска заполнится, но перезагрузки пока не будет). Шаг 5: Повышение до Контроллера Домена (Создание леса) Это самый важный момент. В Server Manager сверху, возле флага уведомлений (желтый треугольник), нажмите на флаг. Нажмите ссылку  Promote this server to a domain controller  (Повысить роль этого сервера...). Откроется мастер настройки. Вкладка Deployment Configuration: Выберите пункт:  Add a new forest  (Добавить новый лес). Root domain name:  ad.mysite.ru Жмите Next. Вкладка Domain Controller Options: Functional Level (Уровень леса и домена): Оставьте максимальный (Windows Server 2016 — это нормально, Microsoft не меняла название уровня функциональности). Галочки  DNS Server  и  Global Catalog (GC)  должны стоять. DSRM Password:  Придумайте и запишите сложный пароль. Важно:  Этот пароль нужен для восстановления AD, если всё сломается. Это  НЕ  пароль администратора, это отдельный пароль. Запишите его в блокнот. Жмите Next. Вкладка DNS Options: Появится предупреждение «A delegation for this DNS server cannot be created...». Игнорируйте.  Это нормально, так как родительская зона ( mysite.ru ) находится в интернете, и мы не имеем к ней прямого доступа отсюда. Жмите Next. Вкладка Additional Options (NetBIOS): Мастер предложит NetBIOS имя. Скорее всего, он предложит  AD  (берет первую часть от  ad.mysite.ru ). Рекомендация: Имя  AD  слишком общее. Я рекомендую изменить его на  MYSITE . Тогда вход в систему будет выглядеть как  MYSITE\Ivanov , а не  AD\Ivanov . Это понятнее пользователям. Жмите Next. Вкладка Paths: Оставьте всё по умолчанию ( C:\Windows\NTDS  и т.д.). Жмите Next. Вкладка Review Options: Проверьте, всё ли верно. Жмите Next. Вкладка Prerequisites Check: Система проверит сервер. Должно появиться зеленая галочка "All prerequisite checks passed successfully". Могут быть желтые восклицательные знаки (про криптографию NT 4.0 или DNS delegation) — это нормально. Жмите  Install . Внимание:  Логин теперь должен быть  MYSITE\Administrator  (или  AD\Administrator , если вы оставили NetBIOS  AD ). Пароль тот же, что был у локального админа. Супер. Лес создан. Теперь у нас есть «Голова». Но сейчас система уязвима: если  SRV-DC01  перезагружается или ломается, никто не войдет в сеть. Поэтому сейчас мы поднимаем  второй контроллер домена (SRV-DC02) . Переходим на вторую виртуальную машину —  SRV-DC02 . Шаг 6: Настройка DNS на SRV-DC02 (Критично) Чтобы второй сервер увидел первый и смог скачать настройки домена, он должен использовать первый сервер как DNS. На  SRV-DC02  откройте сетевые настройки (ncpa.cpl). Свойства IPv4 -> Измените DNS: Предпочтительный DNS (Preferred):   10.177.178.254  (IP первого сервера SRV-DC01). Альтернативный:  Оставьте пустым пока. Нажмите ОК. Проверка связи: Откройте командную строку (CMD) и напишите: ping ad.mysite.ru Должен пойти обмен пакетами с IP 10.177.178.254. Если пинг идет — всё отлично. Если пишет "не удалось обнаружить узел" — проверяйте настройки DNS или фаервол. Шаг 7: Установка роли Точно так же, как на первом сервере: Server Manager  ->  Add roles and features . Выбираем роль  Active Directory Domain Services . Жмем  Install  и ждем окончания. Шаг 8: Повышение роли (Promote) Нажимаем на желтый треугольник ->  Promote this server to a domain controller . Вкладка Deployment Configuration: ВЫБИРАЕМ ПЕРВЫЙ ПУНКТ:  Add a domain controller to an existing domain  (Добавить контроллер в существующий домен). В поле  Domain  напишите:  ad.mysite.ru  (если не заполнилось само). Внизу раздел  Credentials  (Учетные данные). Нажмите кнопку  Change... . Введите логин/пароль администратора домена, который вы создали на первом сервере: User:  MYSITE\Administrator  (или просто  Administrator , он сам подставит домен). Password: Ваш пароль. Жмите Next. Вкладка Domain Controller Options: Галочки  DNS Server  и  Global Catalog (GC)  должны стоять. Введите пароль DSRM (для восстановления) — такой же, как на первом, чтобы не путаться. Жмите Next. Вкладка DNS Options:  Пропускаем (Next). Вкладка Additional Options: Replicate from:  Выберите  SRV-DC01.ad.mysite.ru  (или Any domain controller). Лучше выбрать явно первый сервер. Жмите Next. Paths:  Оставляем как есть. Next. Prerequisites Check:  Ждем зеленую галочку. Жмем  Install . Сервер перезагрузится. Шаг 9: Финальная настройка DNS (Кольцевая схема) Когда  SRV-DC02  перезагрузится и вы войдете в систему (уже под доменным админом  MYSITE\Administrator ), нам нужно настроить «перекрестное опыление» DNS, чтобы серверы страховали друг друга. Это Best Practice. Зайдите на  SRV-DC01 : Сетевые настройки -> IPv4. Preferred DNS:  127.0.0.1 Alternate DNS:  10.177.178.253  (Указываем на второй сервер). Зайдите на  SRV-DC02 : Сетевые настройки -> IPv4. Preferred DNS:  10.177.178.254  (Указываем на первый сервер). Alternate DNS:  127.0.0.1  (Указываем на себя как запасной вариант). Теперь нужно сделать так, чтобы домен «дышал» (синхронизировал время) и видел внешний мир (интернет), а затем построим правильный скелет организации. Шаг 10: Настройка DNS Forwarders (Чтобы работал интернет) Сейчас ваши серверы знают только о себе. Если спросить у них  google.com , они не ответят. Нужно настроить пересылку запросов. Сделайте это  на обоих серверах  (сначала SRV-DC01, потом SRV-DC02), чтобы настройки были идентичны: Нажмите  Win + R , введите  dnsmgmt.msc  (Диспетчер DNS). В дереве слева кликните правой кнопкой мыши по имени вашего сервера ->  Properties  (Свойства). Вкладка  Forwarders  (Серверы пересылки). Нажмите  Edit... . Добавьте туда надежные внешние DNS. Например: 77.88.8.8  (Yandex) 8.8.8.8  (Google) Нажмите OK, затем еще раз OK. Проверка:  Откройте командную строку (CMD) и введите powershell Resolve-DnsName google.com  Если вам вернулся IP-адрес гугла — всё настроено верно. Шаг 11: Настройка Времени (NTP) — Критично для ВМ Виртуальные машины очень любят «убегать» по времени. Если время уйдет на 5 минут, никто не сможет войти в домен (Kerberos заблокирует вход). Настроим  SRV-DC01  (так как он сейчас главный — PDC Emulator) как источник точного времени для всей сети. На  SRV-DC01  запустите командную строку (CMD) или PowerShell  от имени администратора . Выполните следующие команды по очереди (можно копировать): w32tm /config /manualpeerlist:"0.ru.pool.ntp.org 1.ru.pool.ntp.org" /syncfromflags:manual /reliable:yes /update (Эта команда говорит: бери время из интернета и скажи всем в сети, что твоему времени можно верить). Перезапустите службу времени: net stop w32time && net start w32time Принудительная синхронизация: w32tm /resync На втором сервере (DC02) это делать  не надо . Он сам по умолчанию будет тянуть время с DC01. Шаг 12: Создание правильной структуры (OU) Наводим порядок в иерархии. Нажмите  Win + R , введите  dsa.msc . Откроется оснастка  «Пользователи и компьютеры Active Directory»  (Active Directory Users and Computers). В верхнем меню нажмите  Вид  (View) ->  Дополнительные компоненты  (Advanced Features). Это нужно, чтобы видеть системные вкладки. Нажмите правой кнопкой мыши (ПКМ) по вашему домену  ad.mysite.ru  ->  Создать  (New) ->  Подразделение  (Organizational Unit). Назовите его  MYSITE_Corp . Убедитесь, что стоит галочка  «Защитить контейнер от случайного удаления»  (Protect container from accidental deletion). Нажмите ОК. Теперь внутри  MYSITE_Corp  создайте структуру папок (ПКМ по MYSITE_Corp -> Создать -> Подразделение): Создайте подразделение  _Admins  (для админов). Создайте подразделение  Groups  (для групп). Создайте подразделение  HeadOffice  (Головной офис). Внутри папки  HeadOffice  создайте еще две: Users  (Пользователи) Computers  (Компьютеры) Шаг 13: Создание вашего Супер-Админа Работаем в папке  MYSITE_Corp  ->  _Admins . ПКМ по пустому месту ->  Создать  (New) ->  Пользователь  (User). Поля: Имя  (First name): Ваше имя (например, Ivan). Имя входа пользователя  (User logon name): Рекомендую  adm.ivanov . Нажмите  Далее  (Next). Пароль: Придумайте сложный пароль. Поставьте галочку  «Срок действия пароля не ограничен»  (Password never expires). Снимите галочку «Требовать смены пароля при следующем входе» (User must change password at next logon). Нажмите  Далее  (Next) ->  Готово  (Finish). Выдача прав: Нажмите ПКМ по созданному пользователю  adm.ivanov  ->  Свойства  (Properties). Вкладка  Член групп  (Member Of). Нажмите  Добавить  (Add). В поле ввода пишите русские названия групп (можно по очереди): Администраторы домена  (Domain Admins) -> нажмите  Проверить имена  (Check Names) -> ОК. Администраторы предприятия  (Enterprise Admins) -> Проверить имена -> ОК. Администраторы схемы  (Schema Admins) -> Проверить имена -> ОК. Нажмите ОК, чтобы сохранить. Теперь у вас есть полные права. Сейчас мы сделаем следующее: Создадим общую папку на сервере. Настроим  Групповую Политику (GPO) , чтобы у всех сотрудников автоматически появлялся  Сетевой Диск Z: . Подготовим и введем тестовый компьютер в домен, чтобы убедиться, что всё сработало. Шаг 14: Создание общей папки (File Share) Чтобы подключать диск, нужно чтобы было что подключать. Создадим папку на  SRV-DC01 . Откройте Проводник (File Explorer) -> Диск C. Создайте папку  CompanyData . Нажмите по ней ПКМ ->  Свойства  (Properties) -> вкладка  Доступ  (Sharing). Нажмите  Расширенная настройка  (Advanced Sharing). Поставьте галочку  Открыть общий доступ  (Share this folder). Имя общего ресурса оставьте  CompanyData . Нажмите  Разрешения  (Permissions). Сейчас там стоит  Все  (Everyone) — Чтение. Для теста поставьте галочку  Полный доступ  (Full Control) -> OK -> OK. (В продакшене права настраиваются тоньше, через вкладку Безопасность/Security, но для теста нам хватит). Нажмите Закрыть (Close). Теперь путь к папке:  \\SRV-DC01\CompanyData . Шаг 15: Создание Групповой Политики (GPO) для диска Z Теперь скажем домену: "Каждому, кто входит в систему, подключай эту папку как диск Z". На  SRV-DC01  нажмите  Win + R  -> введите  gpmc.msc  (Управление групповой политикой / Group Policy Management). Раскройте дерево:  Forest: ad.misyte.ru  ->  Domains  ->  ad.mysite.ru  ->  MYSITE_Corp . Мы будем привязывать политику сюда, чтобы она работала на всех внутри вашей компании. ПКМ по папке  MYSITE_Corp  ->  Создать объект GPO в этом домене и связать его...  (Create a GPO in this domain, and Link it here...). Назовите политику:  GPO_Drive_Maps . Нажмите OK. Теперь политика появилась в списке справа. Нажмите по ней ПКМ ->  Изменить  (Edit). Откроется редактор политик. Настройка внутри редактора: Идем по пути: Конфигурация пользователя  (User Configuration) ->  Настройка  (Preferences) ->  Конфигурация Windows  (Windows Settings) ->  Сопоставления дисков  (Drive Maps). ПКМ по пустому месту справа ->  Создать  (New) ->  Сопоставленный диск  (Mapped Drive). Вкладка Общие (General): Действие  (Action): Выберите  Обновить  (Update). (Это самый надежный вариант). Расположение  (Location):  \\SRV-DC01\CompanyData Восстановить подключение  (Reconnect): Поставьте галочку. Метка  (Label as): Напишите  Общая папка . Буква диска  (Drive Letter): Выберите  Z: . Нажмите ОК. Закройте редактор политик. GPO готова и уже привязана. Шаг 16: Ввод клиента в домен Теперь переходим на нашу машину (Windows 10/11). 1. Настройка DNS (Пока руками. По правильному нужно на SRV-DC01 развернуть DHCP сервер. Но пока мы этого не делали и DHCP у нас идет от Роутера): Параметры сети -> Ethernet -> Свойства IP версии 4. IP-адрес:  Оставьте автоматический (от Роутера). DNS-серверы: Предпочтительный:  10.177.178.254  (Ваш DC1). Альтернативный:  10.177.178.253  (Ваш DC2). Нажмите ОК. Проверка:  Откройте командную строку на клиенте и введите  ping ad.misyte.ru . Если пинг идет — вы видите контроллер. 2. Вступление в домен: Откройте «Этот компьютер» -> Свойства ->  Дополнительные параметры системы  (или просто поиск: "Присоединение к домену"). Нажмите  Изменить...  (Change...) на вкладке Имя компьютера. Переключите точку на  Домен  (Domain). Введите:  ad.jinnvl.ru . Нажмите ОК. Спросит логин/пароль. Введите данные вашего супер-админа: Логин:  adm.ivanov  (или  MYSITE\adm.ivanov ) Пароль: Ваш пароль. Должно появиться окно:  «Добро пожаловать в домен ad.misyte.ru» . Перезагрузите компьютер. Шаг 17: Перемещение компьютера в правильную OU (Важно!) Пока компьютер перезагружается, вернитесь на сервер  SRV-DC01 . По умолчанию все новые компьютеры попадают в папку  Computers  (стандартную). А наши политики (в том числе будущие) настроены на структуру  MYSITE_Corp . Надо перенести компьютер. Откройте  dsa.msc  (Пользователи и компьютеры). Зайдите в папку  Computers  (обычную). Там должен лежать ваш новый ПК. Нажмите по нему ПКМ ->  Переместить  (Move). Выберите:  MYSITE_Corp  ->  HeadOffice  ->  Computers . Нажмите ОК. Шаг 18: Момент истины Возвращаемся к клиентскому компьютеру (он перезагрузился). Вход в систему: Нажмите «Другой пользователь» (Other User). Вводите логин:  adm.ivanov  (ваш админ) или создайте в AD обычного юзера  test.user  в папке  Users  (внутри HeadOffice) и войдите под ним. Введите пароль. Дождитесь входа ("Привет", "Мы подготавливаем для вас все..."). Откройте  "Этот компьютер" . Если все сделано правильно, вы увидите Сетевой диск Z: (Общая папка). ВАЖНО: В продакшене данные всегда хранят на отдельном диске (D:, E:) или вообще на отдельном NAS. Это тема другой статьи. Но раз у нас мы сделали на диске C:, мы должны  жестко ограничить  размер этой папки, чтобы пользователи не "убили" сервер. Для этого в Windows Server есть штатный инструмент —  FSRM (File Server Resource Manager) . Он позволит сделать так, чтобы пользователи видели, например, только 5 ГБ, даже если на диске свободно 100 ТБ. Давайте настроим его. Это Best Practice. Шаг 19: Установка роли FSRM На  SRV-DC01  откройте Добавление ролей и компонентов Жмите Next до выбора ролей. Разверните ветку: File and Storage Services  ->  File and iSCSI Services . Поставьте галочку  File Server Resource Manager  (Диспетчер ресурсов файлового сервера). Согласитесь добавить компоненты. Жмите  Install . (Перезагрузка обычно не требуется). Шаг 20: Создание жесткой квоты Теперь скажем серверу: "Папка CompanyData не может быть больше 5 ГБ". В Server Manager нажмите  Tools  (Средства) ->  File Server Resource Manager  (Диспетчер ресурсов файлового сервера). В меню слева раскройте  Quota Management  (Управление квотами) ->  Quotas  (Квоты). Справа нажмите  Create Quota...  (Создать квоту). Quota path  (Путь к квоте): Нажмите Browse и выберите вашу папку  C:\CompanyData . Параметры: Выберите  Create quota on path  (Создать квоту по пути). Ниже выберите шаблон:  Limit to 5 GB  (или любой другой). ИЛИ выберите  Define custom quota properties  -> кнопка  Custom Properties , чтобы задать свой размер (например, 2 GB). Важно:  Убедитесь, что выбран тип  Hard quota  (Жесткая квота). Hard: Запрещает запись, если место кончилось. Soft: Просто шлет уведомление админу, но писать разрешает. Нам нужен Hard, чтобы спасти диск C. Нажмите  Create . Шаг 21: Проверка Идите на клиентский компьютер (Windows 10). Откройте "Этот компьютер". Нажмите F5 (Обновить). Результат: Полоска диска Z: моментально изменится. Теперь там будет написано: "Свободно 2 ГБ из 2 ГБ" (или сколько вы поставили). Пользователи будут думать, что это отдельный жесткий диск такого размера. P.S. Этот же инструмент (FSRM) умеет запрещать сохранять MP3 и AVI файлы в рабочую папку (File Screening), что очень полезно в офисе (но об этом потом). Этап: Архитектура Групповых Политик (Best Practice) Главный принцип:  Одна политика — одна задача. Разделяем настройки Компьютера (железа) и Пользователя (людей). 1. Стандарт именования (Naming Convention) Мы используем схему:  [ТИП]_[ОБЛАСТЬ]_[ОПИСАНИЕ] GPO_C_  (Computer) — применяется к компьютерам (драйверы, безопасность, время). Требует перезагрузки. GPO_U_  (User) — применяется к людям (диски, ярлыки, принтеры). Применяется при входе. 2. Список политик (Ваш "Скелет") Вам нужно создать (или переименовать текущие) 4 основные политики и привязать их к корню организации ( MYSITE_Corp ). Имя политики За что отвечает Статус GPO_C_System_Base Фундамент: Часовой пояс, ожидание сети, электропитание. Настраиваем сейчас GPO_C_Security_Base Безопасность: LAPS, UAC, Аудит входов, Firewall. Создать пустую GPO_U_DriveMaps_Common Подключение общих дисков (Z:). Уже настроена GPO_U_Browser_Settings Настройки Chrome/Edge (стартовая страница). Создать пустую 3. Настройка GPO_C_System_Base (Эталонная настройка) Это самая важная политика для стабильности работы "железа". В ней мы фиксируем полученный опыт. Откройте:   gpmc.msc  ->  GPO_C_System_Base  -> Изменить. А) Часовой пояс (Метод "Вечный двигатель") Используем Scheduled Task, так как это самый надежный способ. Путь:  Конфигурация компьютера  ->  Настройка  ->  Параметры панели управления  ->  Назначенные задания  (Scheduled Tasks). ПКМ -> Создать ->  Запланированное задание (как минимум Windows 7) . Вкладка "Общие": Действие:  Обновить . Имя:  TimeZone_AutoFix . Учетная запись:  SYSTEM  (Система). Выполнять  вне зависимости от регистрации пользователя . Галочка:  Выполнить с наивысшими правами  (ОБЯЗАТЕЛЬНО!). Вкладка "Триггеры": Создать -> Начать задачу:  При запуске  (At startup) -> Включено. Вкладка "Действия": Создать -> Запуск программы. Программа:  C:\Windows\System32\tzutil.exe Аргументы:  /s "Russian Standard Time"  (или ваш пояс). Вкладка "Условия": Снять  галочку "Запускать только при питании от электросети" (иначе на ноутбуках не сработает). Б) Ожидание сети (Лекарство для SSD) Чтобы политики успевали примениться до появления рабочего стола. Путь:  Конфигурация компьютера  ->  Политики  ->  Административные шаблоны  ->  Система  ->  Вход в систему  (Logon). Настройка:  Всегда ждать сеть при запуске компьютера и входе в систему  (Always wait for the network...). Значение:  Включено  (Enabled). 4. Настройка GPO_U_DriveMaps_Common Здесь у вас уже настроен диск Z:. Просто убедитесь, что настройки верные. Путь:  Конфигурация пользователя  ->  Настройка  ->  Конфигурация Windows  ->  Сопоставления дисков . Диск Z: Действие:  Обновить . Путь:  \\SRV-DC01\CompanyData  (или IP). Галочка:  Восстановить подключение . На будущее: Если нужно скрыть диск от бухгалтерии, используйте вкладку "Общие параметры" ->  Нацеливание на уровень элемента  (Item-level targeting). 5. Порядок применения (Link Order) В  gpmc.msc  выберите папку  MYSITE_Corp . Справа список политик. Расставьте приоритет (стрелками): GPO_U_DriveMaps_Common GPO_U_Browser_Settings GPO_C_Security_Base GPO_C_System_Base Default Domain Policy  (Всегда последняя). Теперь начнем наполнять наши основные политики Вот список того, что  обязано  быть в компании, которая не хочет быть взломанной через неделю. 1. Конституция Паролей (Default Domain Policy) Где:   Default Domain Policy  -> Изменить. Путь:  Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей. Мы это уже обсуждали, но давайте зафиксируем  Стандарт 2024+ : Политика паролей: Минимальная длина:   10-12 символов . (8 уже взламывают быстро). Сложность:   Включено  (Буквы + Цифры). Срок действия:   90 или 180 дней . (Заставлять менять чаще — вредно, люди будут писать пароль на стикере). Журнал паролей:   24 пароля  (Чтобы не меняли "Пароль1" на "Пароль2" и обратно). Политика блокировки (Защита от брутфорса): Порог блокировки:   5-10 попыток . Время блокировки:   30 минут . (Этого хватит, чтобы хакер устал ждать, а юзер попил кофе). 2. «Цифровая гигиена» (GPO_C_Security_Base) Где:   GPO_C_Security_Base  -> Изменить. Привязка:  Корень  MYSITE _Corp . В этой политике мы настраиваем "броню" рабочих станций. А) Аудит (Кто, где, когда?) Если что-то случится, вы должны знать  кто  это сделал. По умолчанию Windows пишет мало логов. Путь:  Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита. Включите (Success & Failure / Успех и Отказ) для: Аудит входа в систему (Logon Events):  Кто вошел в комп? Аудит управления учетными записями:  Кто создал нового юзера или сменил пароль? Аудит доступа к объектам:  (Только "Отказ"). Кто ломился в папку, куда ему нельзя? Б) Права локальных администраторов (Кто здесь главный?) Пользователь  НЕ должен  быть администратором на своем компьютере. Если Галина — админ, то вирус, который она поймает, тоже станет админом. Путь:  Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Группы с ограниченным доступом (Restricted Groups). ПКМ -> Добавить группу. Выбираем:  Administrators  (или Администраторы). В окне "Члены этой группы" (Members of this group) добавляем: MYSITE \Domain Admins  (Админы домена). MYSITE \adm.ivanov  (Ваш супер-админ). (Опционально):  MYSITE \TechSupport . Важно:  Всех, кого нет в этом списке (например, Галину), политика  вышвырнет  из админов принудительно. Это жесткая зачистка. 3. «Комфорт и Порядок» (GPO_C_System_Base) Где:   GPO_C_System_Base  -> Изменить. В этой политике мы уже настроили Время. Добавим сюда правила поведения "Железа". А) Спящий режим (Power Management) В офисе компьютеры (десктопы) не должны спать. Иначе вы не сможете подключиться к ним ночью для обновлений. Путь:  Адм. шаблоны -> Система -> Управление электропитанием. Выбрать активную схему питания:  Высокая производительность  (High Performance). Параметры спящего режима ->  Разрешать ждущий режим (Sleep) : Отключено (для питания от сети). Б) Обновления Windows (Windows Update) 1. Открываем политику: gpmc.msc  ->  GPO_C_System_Base  ->  Изменить  (Edit). 2. Идем по пути: Конфигурация компьютера  ->  Политики  ->  Административные шаблоны  ->  Компоненты Windows  ->  Оптимизация доставки  (Delivery Optimization). Здесь нам нужно изменить всего 3-4 настройки. 1. Режим скачивания (Самое важное) Это настройка определяет, у кого компьютеры могут брать файлы. Настройка:   Режим скачивания  (Download Mode). Значение:  Включено. Параметр:  Выберите  Группа (2)  (Group). Почему это Best Practice: Режим "Группа" использует Active Directory. Компьютеры будут меняться файлами только с теми, кто находится в том же  домене  И в том же  сайте AD . На будущее: Когда у вас появится филиал и вы создадите для него отдельный Сайт в AD (как мы обсуждали в начале), компьютеры филиала будут качать друг у друга, а не тянуть трафик через VPN из главного офиса. Это происходит автоматически. 2. Удержание кэша (Чтобы файлы жили дольше) По умолчанию Windows быстро удаляет скачанные файлы. Нам нужно, чтобы они лежали подольше и раздавались другим. Настройка:   Максимальный срок хранения кэша (в секундах)  (Max Cache Age). Значение:  Включено. Параметр:  Введите  604800  (это 7 дней). Логика: Если кто-то был в отпуске неделю, он придет и скачает обновление с соседа, а не из интернета. 3. Минимальные требования к пирам (Отсекаем слабые звенья) Не стоит заставлять старый ноутбук с забитым диском раздавать файлы всему офису — он затормозит. Настройка:   Минимальный размер диска для использования кэширования  (Minimum Disk Size to use Peering). Значение:  Включено ->  32 ГБ  (или больше, если у вас все на 256+). Настройка:   Минимальный объем ОЗУ (включая кэширование)  (Minimum RAM capacity). Значение:  Включено ->  4 ГБ . 4. Полоса пропускания (Чтобы не положили сеть) Обычно по локалке скорость не режут, но для интернета стоит подстраховаться. Настройка:   Максимальная пропускная способность скачивания на переднем плане  (Max Download Bandwidth for Foreground). Примечание: Foreground — это когда юзер нажал кнопку "Проверить обновления". Значение:  0  (Без ограничений) или  90% . Настройка:   Максимальная пропускная способность скачивания в фоновом режиме  (Background). Примечание: Это когда комп качает сам по себе тихонько. Значение:  Включено  ->  80%  (Оставьте 20% для почты и ютуба). Теперь нужно убедиться, что компьютеры вообще знают, что им надо обновляться. (Мы это уже затрагивали, но давайте проверим в той же GPO). Путь:  ... ->  Компоненты Windows  ->  Центр обновления Windows . Настройка автоматического обновления  (Configure Automatic Updates). Включено. 3 - Автоматическая загрузка и уведомление об установке  (Auto download and notify for install) — Это лучший вариант для рабочих станций. ИЛИ  4 - Автоматическая загрузка и установка по расписанию  (Auto download and schedule the install). Важно: Если выберете 4, ставьте время (например, 22:00) и галочку "Install during automatic maintenance". Период активности  (Turn off auto-restart for updates during active hours) — Опционально, но полезно. Включите и задайте с 08:00 до 18:00. Windows  не будет  перезагружаться сама в это время, даже если скачала критическое обновление. После того как вы примените политику ( gpupdate /force  + перезагрузка) и пройдет пару дней (выйдут новые обновления), вы можете проверить эффективность. На любом клиентском компьютере (Windows 10/11): Откройте  PowerShell . Введите команду: code Powershell Get-DeliveryOptimizationStatus Что смотреть в выводе: Вам интересна статистика внизу. TotalBytesDownloaded:  Сколько всего скачано. FromHttp:  Сколько скачано из Интернета (с серверов Microsoft). FromPeers:  Сколько скачано с соседей (LAN). Если через месяц вы увидите, что  FromPeers  > 50-70%, значит, вы сэкономили кучу трафика, и ваша система работает идеально. Задание: Настройте эти 4 пункта в  GPO_C_System_Base . Это всё, что нужно для современной системы обновлений без лишних серверов. Переезд в Active Directory с локальных учетных записей Техническая настройка серверов — это 20% работы. А 80% — это «Миграция тети Гали» так, чтобы вас не прокляли. Входить в чистый профиль — это катастрофа для бизнеса. Исчезают вкладки в браузере. Слетают сохраненные пароли. Сертификаты ЭЦП (для бухгалтерии и торгов) перестают видеться. Настройки Outlook, 1С, фон рабочего стола — всё по нулям. Ручное копирование файлов из папки  C:\Users\Galya  в  C:\Users\Galya.JINNVL  — это  ад . Ломаются права доступа, реестр не подхватывается, софт глючит. Решение: Миграция профиля (Profile Migration) Существует «Золотой стандарт» (Best Practice) для малого и среднего бизнеса, который позволяет сделать переезд  бесшовным . Мы не будем копировать файлы. Мы сделаем хитрее: мы скажем Windows:  «Вот эта старая папка пользователя теперь принадлежит новому доменному пользователю» . Инструмент, который должен стать вашим лучшим другом на ближайшую неделю —  Profwiz (User Profile Wizard)  от компании ForensiT. Как это выглядит на практике (Сценарий переезда) Представим компьютер бухгалтера Галины. Локальная учетка:  BUH-PC\Galina Рабочий стол завален файлами, в Chrome 100 вкладок, в 1С прописаны базы. Ваши действия с Profwiz: Подготовка в AD:  Вы создаете учетку  MYSITE \galina  на сервере. Запуск на клиенте:  Вы приходите к Галине, вставляете флешку с утилитой  Profwiz  (она весит копейки и не требует установки). Магия: Запускаете программу. Она показывает список профилей на этом ПК. Вы выбираете  Galina  (тот, в котором она работала). Программа спрашивает: «В какую доменную учетку это превратить?». Вы пишете:  ad.mysite.ru  и  galina . Программа спрашивает пароль доменного админа (вашего  adm.ivanov ) для ввода ПК в домен. Процесс: Программа сама вводит компьютер в домен. Программа  переписывает ACL (права доступа)  на все файлы, папки и  ветки реестра  старого профиля, назначая владельцем нового доменного юзера. Финал:  Компьютер перезагружается. Вход:  Галина вводит свой  новый  доменный пароль. Результат:  Она видит  свой старый рабочий стол . Картинка на месте. Документы на месте. Вкладки Chrome на месте. 1С запускается как раньше. Для пользователя ничего не изменилось, кроме экрана ввода пароля. Нюансы и "Подводные камни" (О чем надо знать) Даже с таким мощным инструментом есть риски. О чем нужно помнить: Сохраненные пароли (Web Credentials / Windows Vault): Пароли в Chrome/Firefox обычно выживают. А вот пароли, сохраненные в самой Windows (например, для доступа к старым сетевым папкам или RDP), зашифрованы на основе пароля пользователя. При смене типа учетки они могут стать недоступны. Решение: Предупредить, чтобы знали пароли от почты/сайтов, если они вдруг "слетят". КриптоПро и Сертификаты (Бухгалтерия): Это самое больное. Контейнеры ключей часто привязаны к SID (идентификатору) пользователя. При миграции SID меняется. Решение: Перед миграцией бухгалтерии  обязательно  скопировать контейнеры ключей на флешку (средствами КриптоПро -> Сервис -> Скопировать). После миграции, если не увидит, установить с флешки. Битлокер (BitLocker): Если диск зашифрован, миграция может сбойнуть. Решение: Приостановить (Suspend) BitLocker перед запуском Profwiz. Локальный Админ: После ввода в домен старая локальная учетка  Galina  формально исчезает (она превращается в доменную). Если Галина была локальным админом, она может потерять эти права (зависит от настроек Profwiz, там есть галочка "Set as default logon"). Но мы же внедряем безопасность? Пользователи не должны быть админами. Стратегия перехода (План) Не пытайтесь перевести всех 30 человек за один вечер. Этап "Подопытный кролик": Найдите лояльного сотрудника (не бухгалтера!). Отработайте на нем Profwiz. Посмотрите, что отвалилось. Этап "IT-десант": Идите отдел за отделом. (Сегодня — Логистика, Завтра — Кадры). 3-5 компьютеров в день. Этап "VIP и Бухгалтерия": Их оставляем на конец, когда рука уже набита. Делаем полный бэкап их систем перед миграцией (Acronis/Veeam). Итог разговора: Нам не нужно переучивать пользователей и перенастраивать софт с нуля. Мы будем использовать  миграцию профилей . Это стандарт индустрии.