Настройка Active Directory

Шаг 0: Примите решение по именам (Прямо сейчас)

Вам нужно решить два вопроса, чтобы мы могли двигаться дальше:

1. Имя домена: Как договорились, используем поддомен реального сайта.
   • Например, если ваш сайт mysite.ru, то внутренний домен назовем ad.mysite.ru (или corp.mysite.ru).
2. IP-адресация: Какой у вас диапазон сети?
   • Например, 192.168.1.xxx или 10.0.0.xxx?
   • Совет: Под серверы лучше выделить диапазон в начале или в конце (например, с .10 по .20), исключив их из раздачи DHCP на роутере.

---

Шаг 1: Настройка первой ВМ (Будущий DC1)

Зайдите в первую машину.

1. Имя компьютера (Hostname):
   • Нажмите Win + X -> Система -> Переименовать этот ПК.
   • Дайте понятное имя. Стандарт: SRV-DC01 (Server - Domain Controller 01).
   • Перезагрузитесь.
2. Сетевые настройки (Static IP):
   • Зайдите в настройки адаптера (ncpa.cpl).
   • Установите Статический IP.
   • Пример (подставьте свои данные):
     • IP: 10.177.178.254 (или любой свободный)
     • Mask: 255.255.255.0
     • Gateway: 10.177.178.1 (ваш роутер)
     • DNS: Пока оставьте 8.8.8.8 (чтобы скачать обновления), перед поднятием роли мы поменяем его на 127.0.0.1.
3. Обновления:
   • Запустите Windows Update и поставьте все обновления. Это важно сделать ДО поднятия контроллера домена.

---

Шаг 2: Настройка второй ВМ (Будущий DC2)

Зайдите во вторую машину.

1. Имя компьютера:
   • Переименуйте в SRV-DC02.
   • Перезагрузитесь.
2. Сетевые настройки:
   • Установите Статический IP.
   • Пример:
     • IP: 10.177.178.253 (следующий свободный)
     • Mask: 255.255.255.0
     • Gateway: 10.177.178.1
     • DNS: 8.8.8.8 (тоже пока внешний для обновлений).
3. Обновления:
   • Аналогично, обновите систему.

Начинаем работу с первого сервера SRV-DC01. Второй сервер (SRV-DC02) пока не трогаем, он ждет своей очереди.

Шаг 3: Подготовка DNS на SRV-DC01

Перед установкой роли AD, сервер должен «смотреть на себя», чтобы корректно создать DNS-зоны.

1. Зайдите в настройки сетевого адаптера на SRV-DC01.
2. В свойствах IPv4 измените Предпочтительный DNS-сервер (Preferred DNS) на: 127.0.0.1
   • Почему: Мы сейчас сделаем этот сервер DNS-сервером. Он должен спрашивать сам себя.
3. Нажмите ОК.

Шаг 4: Установка роли AD DS

1. Откройте Server Manager (Диспетчер серверов).
2. В центре нажмите Add roles and features (Добавить роли и компоненты).
3. Жмите Next до раздела Server Roles (Роли сервера).
4. Поставьте галочку напротив Active Directory Domain Services.
   • Выскочит окно с предложением добавить компоненты — жмите Add Features.
5. Жмите Next до конца и затем Install.
6. Ждите окончания установки (полоска заполнится, но перезагрузки пока не будет).

Шаг 5: Повышение до Контроллера Домена (Создание леса)

Это самый важный момент.

1. В Server Manager сверху, возле флага уведомлений (желтый треугольник), нажмите на флаг.
2. Нажмите ссылку Promote this server to a domain controller (Повысить роль этого сервера...).
3. Откроется мастер настройки.

Вкладка Deployment Configuration:

• Выберите пункт: Add a new forest (Добавить новый лес).
• Root domain name: ad.mysite.ru
• Жмите Next.

Вкладка Domain Controller Options:

• Functional Level (Уровень леса и домена): Оставьте максимальный (Windows Server 2016 — это нормально, Microsoft не меняла название уровня функциональности).
• Галочки DNS Server и Global Catalog (GC) должны стоять.
• DSRM Password: Придумайте и запишите сложный пароль.
  • Важно: Этот пароль нужен для восстановления AD, если всё сломается. Это НЕ пароль администратора, это отдельный пароль. Запишите его в блокнот.
• Жмите Next.

Вкладка DNS Options:

• Появится предупреждение «A delegation for this DNS server cannot be created...».
• Игнорируйте. Это нормально, так как родительская зона (mysite.ru) находится в интернете, и мы не имеем к ней прямого доступа отсюда.
• Жмите Next.

Вкладка Additional Options (NetBIOS):

• Мастер предложит NetBIOS имя. Скорее всего, он предложит AD (берет первую часть от ad.mysite.ru).
• Рекомендация: Имя AD слишком общее. Я рекомендую изменить его на MYSITE.
  • Тогда вход в систему будет выглядеть как MYSITE\Ivanov, а не AD\Ivanov. Это понятнее пользователям.
• Жмите Next.

Вкладка Paths:

• Оставьте всё по умолчанию (C:\Windows\NTDS и т.д.).
• Жмите Next.

Вкладка Review Options:

• Проверьте, всё ли верно. Жмите Next.

Вкладка Prerequisites Check:

• Система проверит сервер. Должно появиться зеленая галочка "All prerequisite checks passed successfully".
• Могут быть желтые восклицательные знаки (про криптографию NT 4.0 или DNS delegation) — это нормально.
• Жмите Install.
• Внимание: Логин теперь должен быть MYSITE\Administrator (или AD\Administrator, если вы оставили NetBIOS AD). Пароль тот же, что был у локального админа.

Супер. Лес создан. Теперь у нас есть «Голова».

Но сейчас система уязвима: если SRV-DC01 перезагружается или ломается, никто не войдет в сеть.
Поэтому сейчас мы поднимаем второй контроллер домена (SRV-DC02).

Переходим на вторую виртуальную машину — SRV-DC02.

Шаг 6: Настройка DNS на SRV-DC02 (Критично)

Чтобы второй сервер увидел первый и смог скачать настройки домена, он должен использовать первый сервер как DNS.

1. На SRV-DC02 откройте сетевые настройки (ncpa.cpl).
2. Свойства IPv4 -> Измените DNS:
   • Предпочтительный DNS (Preferred): 10.177.178.254 (IP первого сервера SRV-DC01).
   • Альтернативный: Оставьте пустым пока.
3. Нажмите ОК.

Проверка связи:
Откройте командную строку (CMD) и напишите:
ping ad.mysite.ru
Должен пойти обмен пакетами с IP 10.177.178.254. Если пинг идет — всё отлично. Если пишет "не удалось обнаружить узел" — проверяйте настройки DNS или фаервол.

Шаг 7: Установка роли

Точно так же, как на первом сервере:

1. Server Manager -> Add roles and features.
2. Выбираем роль Active Directory Domain Services.
3. Жмем Install и ждем окончания.

Шаг 8: Повышение роли (Promote)

1. Нажимаем на желтый треугольник -> Promote this server to a domain controller.
2. Вкладка Deployment Configuration:
   • ВЫБИРАЕМ ПЕРВЫЙ ПУНКТ: Add a domain controller to an existing domain (Добавить контроллер в существующий домен).
   • В поле Domain напишите: ad.mysite.ru (если не заполнилось само).
   • Внизу раздел Credentials (Учетные данные). Нажмите кнопку Change....
   • Введите логин/пароль администратора домена, который вы создали на первом сервере:
     • User: MYSITE\Administrator (или просто Administrator, он сам подставит домен).
     • Password: Ваш пароль.
   • Жмите Next.
3. Вкладка Domain Controller Options:
   • Галочки DNS Server и Global Catalog (GC) должны стоять.
   • Введите пароль DSRM (для восстановления) — такой же, как на первом, чтобы не путаться.
   • Жмите Next.
4. Вкладка DNS Options: Пропускаем (Next).
5. Вкладка Additional Options:
   • Replicate from: Выберите SRV-DC01.ad.mysite.ru (или Any domain controller). Лучше выбрать явно первый сервер.
   • Жмите Next.
6. Paths: Оставляем как есть. Next.
7. Prerequisites Check: Ждем зеленую галочку. Жмем Install.

Сервер перезагрузится.

---

Шаг 9: Финальная настройка DNS (Кольцевая схема)

Когда SRV-DC02 перезагрузится и вы войдете в систему (уже под доменным админом MYSITE\Administrator), нам нужно настроить «перекрестное опыление» DNS, чтобы серверы страховали друг друга. Это Best Practice.

1. Зайдите на SRV-DC01:
   • Сетевые настройки -> IPv4.
   • Preferred DNS: 127.0.0.1
   • Alternate DNS: 10.177.178.253 (Указываем на второй сервер).
2. Зайдите на SRV-DC02:
   • Сетевые настройки -> IPv4.
   • Preferred DNS: 10.177.178.254 (Указываем на первый сервер).
   • Alternate DNS: 127.0.0.1 (Указываем на себя как запасной вариант).

Теперь нужно сделать так, чтобы домен «дышал» (синхронизировал время) и видел внешний мир (интернет), а затем построим правильный скелет организации.

Шаг 10: Настройка DNS Forwarders (Чтобы работал интернет)

Сейчас ваши серверы знают только о себе. Если спросить у них google.com, они не ответят. Нужно настроить пересылку запросов.

Сделайте это на обоих серверах (сначала SRV-DC01, потом SRV-DC02), чтобы настройки были идентичны:

1. Нажмите Win + R, введите dnsmgmt.msc (Диспетчер DNS).
2. В дереве слева кликните правой кнопкой мыши по имени вашего сервера -> Properties (Свойства).
3. Вкладка Forwarders (Серверы пересылки).
4. Нажмите Edit....
5. Добавьте туда надежные внешние DNS. Например:
   • 77.88.8.8 (Yandex)
   • 8.8.8.8 (Google)
6. Нажмите OK, затем еще раз OK.

Проверка: Откройте командную строку (CMD) и введите

powershell Resolve-DnsName google.com

 Если вам вернулся IP-адрес гугла — всё настроено верно.

---

Шаг 11: Настройка Времени (NTP) — Критично для ВМ

Виртуальные машины очень любят «убегать» по времени. Если время уйдет на 5 минут, никто не сможет войти в домен (Kerberos заблокирует вход).

Настроим SRV-DC01 (так как он сейчас главный — PDC Emulator) как источник точного времени для всей сети.

1. На SRV-DC01 запустите командную строку (CMD) или PowerShell от имени администратора.
2. Выполните следующие команды по очереди (можно копировать):

w32tm /config /manualpeerlist:"0.ru.pool.ntp.org 1.ru.pool.ntp.org" /syncfromflags:manual /reliable:yes /update

(Эта команда говорит: бери время из интернета и скажи всем в сети, что твоему времени можно верить).

1. Перезапустите службу времени:

net stop w32time && net start w32time

1. Принудительная синхронизация:

w32tm /resync

На втором сервере (DC02) это делать не надо. Он сам по умолчанию будет тянуть время с DC01.

---

Шаг 12: Создание правильной структуры (OU)

Наводим порядок в иерархии.

1. Нажмите Win + R, введите dsa.msc. Откроется оснастка «Пользователи и компьютеры Active Directory» (Active Directory Users and Computers).
2. В верхнем меню нажмите Вид (View) -> Дополнительные компоненты (Advanced Features).
   • Это нужно, чтобы видеть системные вкладки.
3. Нажмите правой кнопкой мыши (ПКМ) по вашему домену ad.mysite.ru -> Создать (New) -> Подразделение (Organizational Unit).
4. Назовите его MYSITE_Corp.
   • Убедитесь, что стоит галочка «Защитить контейнер от случайного удаления» (Protect container from accidental deletion).
   • Нажмите ОК.

Теперь внутри MYSITE_Corp создайте структуру папок (ПКМ по MYSITE_Corp -> Создать -> Подразделение):

1. Создайте подразделение _Admins (для админов).
2. Создайте подразделение Groups (для групп).
3. Создайте подразделение HeadOffice (Головной офис).
4. Внутри папки HeadOffice создайте еще две:
   • Users (Пользователи)
   • Computers (Компьютеры)

---

Шаг 13: Создание вашего Супер-Админа

Работаем в папке MYSITE_Corp -> _Admins.

1. ПКМ по пустому месту -> Создать (New) -> Пользователь (User).
2. Поля:
   • Имя (First name): Ваше имя (например, Ivan).
   • Имя входа пользователя (User logon name): Рекомендую adm.ivanov.
   • Нажмите Далее (Next).
3. Пароль:
   • Придумайте сложный пароль.
   • Поставьте галочку «Срок действия пароля не ограничен» (Password never expires).
   • Снимите галочку «Требовать смены пароля при следующем входе» (User must change password at next logon).
   • Нажмите Далее (Next) -> Готово (Finish).
4. Выдача прав:
   • Нажмите ПКМ по созданному пользователю adm.ivanov -> Свойства (Properties).
   • Вкладка Член групп (Member Of).
   • Нажмите Добавить (Add).
   • В поле ввода пишите русские названия групп (можно по очереди):
     • Администраторы домена (Domain Admins) -> нажмите Проверить имена (Check Names) -> ОК.
     • Администраторы предприятия (Enterprise Admins) -> Проверить имена -> ОК.
     • Администраторы схемы (Schema Admins) -> Проверить имена -> ОК.
   • Нажмите ОК, чтобы сохранить.

Теперь у вас есть полные права.

Сейчас мы сделаем следующее:

1. Создадим общую папку на сервере.
2. Настроим Групповую Политику (GPO), чтобы у всех сотрудников автоматически появлялся Сетевой Диск Z:.
3. Подготовим и введем тестовый компьютер в домен, чтобы убедиться, что всё сработало.

---

Шаг 14: Создание общей папки (File Share)

Чтобы подключать диск, нужно чтобы было что подключать. Создадим папку на SRV-DC01.

1. Откройте Проводник (File Explorer) -> Диск C.
2. Создайте папку CompanyData.
3. Нажмите по ней ПКМ -> Свойства (Properties) -> вкладка Доступ (Sharing).
4. Нажмите Расширенная настройка (Advanced Sharing).
5. Поставьте галочку Открыть общий доступ (Share this folder).
6. Имя общего ресурса оставьте CompanyData.
7. Нажмите Разрешения (Permissions).
   • Сейчас там стоит Все (Everyone) — Чтение.
   • Для теста поставьте галочку Полный доступ (Full Control) -> OK -> OK.
   • (В продакшене права настраиваются тоньше, через вкладку Безопасность/Security, но для теста нам хватит).
8. Нажмите Закрыть (Close).

Теперь путь к папке: \\SRV-DC01\CompanyData.

---

Шаг 15: Создание Групповой Политики (GPO) для диска Z

Теперь скажем домену: "Каждому, кто входит в систему, подключай эту папку как диск Z".

1. На SRV-DC01 нажмите Win + R -> введите gpmc.msc (Управление групповой политикой / Group Policy Management).
2. Раскройте дерево: Forest: ad.misyte.ru -> Domains -> ad.mysite.ru -> MYSITE_Corp.
   • Мы будем привязывать политику сюда, чтобы она работала на всех внутри вашей компании.
3. ПКМ по папке MYSITE_Corp -> Создать объект GPO в этом домене и связать его... (Create a GPO in this domain, and Link it here...).
4. Назовите политику: GPO_Drive_Maps. Нажмите OK.
5. Теперь политика появилась в списке справа. Нажмите по ней ПКМ -> Изменить (Edit).
   • Откроется редактор политик.

Настройка внутри редактора:

1. Идем по пути:
   Конфигурация пользователя (User Configuration) -> Настройка (Preferences) -> Конфигурация Windows (Windows Settings) -> Сопоставления дисков (Drive Maps).
2. ПКМ по пустому месту справа -> Создать (New) -> Сопоставленный диск (Mapped Drive).
3. Вкладка Общие (General):
   • Действие (Action): Выберите Обновить (Update). (Это самый надежный вариант).
   • Расположение (Location): \\SRV-DC01\CompanyData
   • Восстановить подключение (Reconnect): Поставьте галочку.
   • Метка (Label as): Напишите Общая папка.
   • Буква диска (Drive Letter): Выберите Z:.
4. Нажмите ОК.

Закройте редактор политик. GPO готова и уже привязана.

---

Шаг 16: Ввод клиента в домен

Теперь переходим на нашу машину (Windows 10/11).

1. Настройка DNS (Пока руками. По правильному нужно на SRV-DC01 развернуть DHCP сервер. Но пока мы этого не делали и DHCP у нас идет от Роутера):

1. Параметры сети -> Ethernet -> Свойства IP версии 4.
2. IP-адрес: Оставьте автоматический (от Роутера).
3. DNS-серверы:
   • Предпочтительный: 10.177.178.254 (Ваш DC1).
   • Альтернативный: 10.177.178.253 (Ваш DC2).
4. Нажмите ОК.

Проверка: Откройте командную строку на клиенте и введите ping ad.misyte.ru. Если пинг идет — вы видите контроллер.

2. Вступление в домен:

1. Откройте «Этот компьютер» -> Свойства -> Дополнительные параметры системы (или просто поиск: "Присоединение к домену").
2. Нажмите Изменить... (Change...) на вкладке Имя компьютера.
3. Переключите точку на Домен (Domain).
4. Введите: ad.jinnvl.ru.
5. Нажмите ОК.
6. Спросит логин/пароль. Введите данные вашего супер-админа:
   • Логин: adm.ivanov (или MYSITE\adm.ivanov)
   • Пароль: Ваш пароль.
7. Должно появиться окно: «Добро пожаловать в домен ad.misyte.ru».
8. Перезагрузите компьютер.

---

Шаг 17: Перемещение компьютера в правильную OU (Важно!)

Пока компьютер перезагружается, вернитесь на сервер SRV-DC01.

По умолчанию все новые компьютеры попадают в папку Computers (стандартную). А наши политики (в том числе будущие) настроены на структуру MYSITE_Corp. Надо перенести компьютер.

1. Откройте dsa.msc (Пользователи и компьютеры).
2. Зайдите в папку Computers (обычную). Там должен лежать ваш новый ПК.
3. Нажмите по нему ПКМ -> Переместить (Move).
4. Выберите: MYSITE_Corp -> HeadOffice -> Computers.
5. Нажмите ОК.

---

Шаг 18: Момент истины

Возвращаемся к клиентскому компьютеру (он перезагрузился).

1. Вход в систему:
   • Нажмите «Другой пользователь» (Other User).
   • Вводите логин: adm.ivanov (ваш админ) или создайте в AD обычного юзера test.user в папке Users (внутри HeadOffice) и войдите под ним.
   • Введите пароль.
2. Дождитесь входа ("Привет", "Мы подготавливаем для вас все...").
3. Откройте "Этот компьютер".

Если все сделано правильно, вы увидите Сетевой диск Z: (Общая папка).

ВАЖНО: В продакшене данные всегда хранят на отдельном диске (D:, E:) или вообще на отдельном NAS. Это тема другой статьи. Но раз у нас мы сделали на диске C:, мы должны жестко ограничить размер этой папки, чтобы пользователи не "убили" сервер.

Для этого в Windows Server есть штатный инструмент — FSRM (File Server Resource Manager). Он позволит сделать так, чтобы пользователи видели, например, только 5 ГБ, даже если на диске свободно 100 ТБ.

Давайте настроим его. Это Best Practice.

---

Шаг 19: Установка роли FSRM

1. На SRV-DC01 откройте Добавление ролей и компонентов
2. Жмите Next до выбора ролей.
3. Разверните ветку:
   File and Storage Services -> File and iSCSI Services.
4. Поставьте галочку File Server Resource Manager (Диспетчер ресурсов файлового сервера).
   • Согласитесь добавить компоненты.
5. Жмите Install. (Перезагрузка обычно не требуется).

---

Шаг 20: Создание жесткой квоты

Теперь скажем серверу: "Папка CompanyData не может быть больше 5 ГБ".

1. В Server Manager нажмите Tools (Средства) -> File Server Resource Manager (Диспетчер ресурсов файлового сервера).
2. В меню слева раскройте Quota Management (Управление квотами) -> Quotas (Квоты).
3. Справа нажмите Create Quota... (Создать квоту).
4. Quota path (Путь к квоте): Нажмите Browse и выберите вашу папку C:\CompanyData.
5. Параметры:
   • Выберите Create quota on path (Создать квоту по пути).
   • Ниже выберите шаблон: Limit to 5 GB (или любой другой).
   • ИЛИ выберите Define custom quota properties -> кнопка Custom Properties, чтобы задать свой размер (например, 2 GB).
   • Важно: Убедитесь, что выбран тип Hard quota (Жесткая квота).
     • Hard: Запрещает запись, если место кончилось.
     • Soft: Просто шлет уведомление админу, но писать разрешает. Нам нужен Hard, чтобы спасти диск C.
6. Нажмите Create.

---

Шаг 21: Проверка

1. Идите на клиентский компьютер (Windows 10).
2. Откройте "Этот компьютер".
3. Нажмите F5 (Обновить).

Результат:
Полоска диска Z: моментально изменится. Теперь там будет написано: "Свободно 2 ГБ из 2 ГБ" (или сколько вы поставили).
Пользователи будут думать, что это отдельный жесткий диск такого размера.

P.S. Этот же инструмент (FSRM) умеет запрещать сохранять MP3 и AVI файлы в рабочую папку (File Screening), что очень полезно в офисе (но об этом потом).

Этап: Архитектура Групповых Политик (Best Practice)

Главный принцип: Одна политика — одна задача. Разделяем настройки Компьютера (железа) и Пользователя (людей).

1. Стандарт именования (Naming Convention)

Мы используем схему: [ТИП]_[ОБЛАСТЬ]_[ОПИСАНИЕ]

• GPO_C_ (Computer) — применяется к компьютерам (драйверы, безопасность, время). Требует перезагрузки.
• GPO_U_ (User) — применяется к людям (диски, ярлыки, принтеры). Применяется при входе.

2. Список политик (Ваш "Скелет")

Вам нужно создать (или переименовать текущие) 4 основные политики и привязать их к корню организации (MYSITE_Corp).

Имя политики	За что отвечает	Статус
GPO_C_System_Base	Фундамент: Часовой пояс, ожидание сети, электропитание.	Настраиваем сейчас
GPO_C_Security_Base	Безопасность: LAPS, UAC, Аудит входов, Firewall.	Создать пустую
GPO_U_DriveMaps_Common	Подключение общих дисков (Z:).	Уже настроена
GPO_U_Browser_Settings	Настройки Chrome/Edge (стартовая страница).	Создать пустую

---

3. Настройка GPO_C_System_Base (Эталонная настройка)

Это самая важная политика для стабильности работы "железа". В ней мы фиксируем полученный опыт.

Откройте: gpmc.msc -> GPO_C_System_Base -> Изменить.

А) Часовой пояс (Метод "Вечный двигатель")

Используем Scheduled Task, так как это самый надежный способ.

1. Путь: Конфигурация компьютера -> Настройка -> Параметры панели управления -> Назначенные задания (Scheduled Tasks).
2. ПКМ -> Создать -> Запланированное задание (как минимум Windows 7).
3. Вкладка "Общие":
   • Действие: Обновить.
   • Имя: TimeZone_AutoFix.
   • Учетная запись: SYSTEM (Система).
   • Выполнять вне зависимости от регистрации пользователя.
   • Галочка: Выполнить с наивысшими правами (ОБЯЗАТЕЛЬНО!).
4. Вкладка "Триггеры":
   • Создать -> Начать задачу: При запуске (At startup) -> Включено.
5. Вкладка "Действия":
   • Создать -> Запуск программы.
   • Программа: C:\Windows\System32\tzutil.exe
   • Аргументы: /s "Russian Standard Time" (или ваш пояс).
6. Вкладка "Условия":
   • Снять галочку "Запускать только при питании от электросети" (иначе на ноутбуках не сработает).

Б) Ожидание сети (Лекарство для SSD)

Чтобы политики успевали примениться до появления рабочего стола.

1. Путь: Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> Вход в систему (Logon).
2. Настройка: Всегда ждать сеть при запуске компьютера и входе в систему (Always wait for the network...).
3. Значение: Включено (Enabled).

---

4. Настройка GPO_U_DriveMaps_Common

Здесь у вас уже настроен диск Z:. Просто убедитесь, что настройки верные.

1. Путь: Конфигурация пользователя -> Настройка -> Конфигурация Windows -> Сопоставления дисков.
2. Диск Z:
   • Действие: Обновить.
   • Путь: \\SRV-DC01\CompanyData (или IP).
   • Галочка: Восстановить подключение.
   • На будущее: Если нужно скрыть диск от бухгалтерии, используйте вкладку "Общие параметры" -> Нацеливание на уровень элемента (Item-level targeting).

---

5. Порядок применения (Link Order)

В gpmc.msc выберите папку MYSITE_Corp. Справа список политик. Расставьте приоритет (стрелками):

1. GPO_U_DriveMaps_Common
2. GPO_U_Browser_Settings
3. GPO_C_Security_Base
4. GPO_C_System_Base
5. Default Domain Policy (Всегда последняя).

Теперь начнем наполнять наши основные политики

Вот список того, что обязано быть в компании, которая не хочет быть взломанной через неделю.

---

1. Конституция Паролей (Default Domain Policy)

Где: Default Domain Policy -> Изменить.
Путь: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей.

Мы это уже обсуждали, но давайте зафиксируем Стандарт 2024+:

1. Политика паролей:
   • Минимальная длина: 10-12 символов. (8 уже взламывают быстро).
   • Сложность: Включено (Буквы + Цифры).
   • Срок действия: 90 или 180 дней. (Заставлять менять чаще — вредно, люди будут писать пароль на стикере).
   • Журнал паролей: 24 пароля (Чтобы не меняли "Пароль1" на "Пароль2" и обратно).
2. Политика блокировки (Защита от брутфорса):
   • Порог блокировки: 5-10 попыток.
   • Время блокировки: 30 минут. (Этого хватит, чтобы хакер устал ждать, а юзер попил кофе).

---

2. «Цифровая гигиена» (GPO_C_Security_Base)

Где: GPO_C_Security_Base -> Изменить.
Привязка: Корень MYSITE_Corp.

В этой политике мы настраиваем "броню" рабочих станций.

А) Аудит (Кто, где, когда?)

Если что-то случится, вы должны знать кто это сделал. По умолчанию Windows пишет мало логов.

Путь: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита.

Включите (Success & Failure / Успех и Отказ) для:

1. Аудит входа в систему (Logon Events): Кто вошел в комп?
2. Аудит управления учетными записями: Кто создал нового юзера или сменил пароль?
3. Аудит доступа к объектам: (Только "Отказ"). Кто ломился в папку, куда ему нельзя?

Б) Права локальных администраторов (Кто здесь главный?)

Пользователь НЕ должен быть администратором на своем компьютере. Если Галина — админ, то вирус, который она поймает, тоже станет админом.

Путь: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Группы с ограниченным доступом (Restricted Groups).

1. ПКМ -> Добавить группу.
2. Выбираем: Administrators (или Администраторы).
3. В окне "Члены этой группы" (Members of this group) добавляем:
   • MYSITE\Domain Admins (Админы домена).
   • MYSITE\adm.ivanov (Ваш супер-админ).
   • (Опционально): MYSITE\TechSupport.
4. Важно: Всех, кого нет в этом списке (например, Галину), политика вышвырнет из админов принудительно. Это жесткая зачистка.

3. «Комфорт и Порядок» (GPO_C_System_Base)

Где: GPO_C_System_Base -> Изменить.
В этой политике мы уже настроили Время. Добавим сюда правила поведения "Железа".

А) Спящий режим (Power Management)

В офисе компьютеры (десктопы) не должны спать. Иначе вы не сможете подключиться к ним ночью для обновлений.

Путь: Адм. шаблоны -> Система -> Управление электропитанием.

1. Выбрать активную схему питания: Высокая производительность (High Performance).
2. Параметры спящего режима -> Разрешать ждущий режим (Sleep): Отключено (для питания от сети).

Б) Обновления Windows (Windows Update)

1. Открываем политику:

• gpmc.msc -> GPO_C_System_Base -> Изменить (Edit).

2. Идем по пути:
Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Оптимизация доставки (Delivery Optimization).

Здесь нам нужно изменить всего 3-4 настройки.

1. Режим скачивания (Самое важное)

Это настройка определяет, у кого компьютеры могут брать файлы.

• Настройка: Режим скачивания (Download Mode).
• Значение: Включено.
• Параметр: Выберите Группа (2) (Group).
  • Почему это Best Practice: Режим "Группа" использует Active Directory. Компьютеры будут меняться файлами только с теми, кто находится в том же домене И в том же сайте AD.
  • На будущее: Когда у вас появится филиал и вы создадите для него отдельный Сайт в AD (как мы обсуждали в начале), компьютеры филиала будут качать друг у друга, а не тянуть трафик через VPN из главного офиса. Это происходит автоматически.

2. Удержание кэша (Чтобы файлы жили дольше)

По умолчанию Windows быстро удаляет скачанные файлы. Нам нужно, чтобы они лежали подольше и раздавались другим.

• Настройка: Максимальный срок хранения кэша (в секундах) (Max Cache Age).
• Значение: Включено.
• Параметр: Введите 604800 (это 7 дней).
  • Логика: Если кто-то был в отпуске неделю, он придет и скачает обновление с соседа, а не из интернета.

3. Минимальные требования к пирам (Отсекаем слабые звенья)

Не стоит заставлять старый ноутбук с забитым диском раздавать файлы всему офису — он затормозит.

• Настройка: Минимальный размер диска для использования кэширования (Minimum Disk Size to use Peering).
• Значение: Включено -> 32 ГБ (или больше, если у вас все на 256+).
• Настройка: Минимальный объем ОЗУ (включая кэширование) (Minimum RAM capacity).
• Значение: Включено -> 4 ГБ.

4. Полоса пропускания (Чтобы не положили сеть)

Обычно по локалке скорость не режут, но для интернета стоит подстраховаться.

• Настройка: Максимальная пропускная способность скачивания на переднем плане (Max Download Bandwidth for Foreground).
  • Примечание: Foreground — это когда юзер нажал кнопку "Проверить обновления".
  • Значение: 0 (Без ограничений) или 90%.
• Настройка: Максимальная пропускная способность скачивания в фоновом режиме (Background).
  • Примечание: Это когда комп качает сам по себе тихонько.
  • Значение: Включено -> 80% (Оставьте 20% для почты и ютуба).

---

Теперь нужно убедиться, что компьютеры вообще знают, что им надо обновляться. (Мы это уже затрагивали, но давайте проверим в той же GPO).

Путь: ... -> Компоненты Windows -> Центр обновления Windows.

1. Настройка автоматического обновления (Configure Automatic Updates).
   • Включено.
   • 3 - Автоматическая загрузка и уведомление об установке (Auto download and notify for install) — Это лучший вариант для рабочих станций.
   • ИЛИ 4 - Автоматическая загрузка и установка по расписанию (Auto download and schedule the install).
   • Важно: Если выберете 4, ставьте время (например, 22:00) и галочку "Install during automatic maintenance".
2. Период активности (Turn off auto-restart for updates during active hours) — Опционально, но полезно.
   • Включите и задайте с 08:00 до 18:00.
   • Windows не будет перезагружаться сама в это время, даже если скачала критическое обновление.

---

После того как вы примените политику (gpupdate /force + перезагрузка) и пройдет пару дней (выйдут новые обновления), вы можете проверить эффективность.

На любом клиентском компьютере (Windows 10/11):

1. Откройте PowerShell.
2. Введите команду:
   codePowershell
   

   Get-DeliveryOptimizationStatus

Что смотреть в выводе:
Вам интересна статистика внизу.

• TotalBytesDownloaded: Сколько всего скачано.
• FromHttp: Сколько скачано из Интернета (с серверов Microsoft).
• FromPeers: Сколько скачано с соседей (LAN).

Если через месяц вы увидите, что FromPeers > 50-70%, значит, вы сэкономили кучу трафика, и ваша система работает идеально.

Задание:
Настройте эти 4 пункта в GPO_C_System_Base.
Это всё, что нужно для современной системы обновлений без лишних серверов.

---