# Настройка Active Directory ### Шаг 0: Примите решение по именам (Прямо сейчас) Вам нужно решить два вопроса, чтобы мы могли двигаться дальше: 1. **Имя домена:** Как договорились, используем поддомен реального сайта. - Например, если ваш сайт mysite.ru, то внутренний домен назовем **ad.mysite.ru** (или corp.mysite.ru). 2. **IP-адресация:** Какой у вас диапазон сети? - Например, 192.168.1.xxx или 10.0.0.xxx? - Совет: Под серверы лучше выделить диапазон в начале или в конце (например, с .10 по .20), исключив их из раздачи DHCP на роутере. --- ### Шаг 1: Настройка первой ВМ (Будущий DC1) Зайдите в первую машину. 1. **Имя компьютера (Hostname):** - Нажмите Win + X -> Система -> Переименовать этот ПК. - Дайте понятное имя. Стандарт: **SRV-DC01** (Server - Domain Controller 01). - Перезагрузитесь. 2. **Сетевые настройки (Static IP):** - Зайдите в настройки адаптера (ncpa.cpl). - Установите **Статический IP**. - Пример (подставьте свои данные): - **IP:** 10.177.178.254 (или любой свободный) - **Mask:** 255.255.255.0 - **Gateway:** 10.177.178.1 (ваш роутер) - **DNS:** Пока оставьте 8.8.8.8 (чтобы скачать обновления), перед поднятием роли мы поменяем его на 127.0.0.1. 3. **Обновления:** - Запустите Windows Update и поставьте все обновления. Это важно сделать ДО поднятия контроллера домена. --- ### Шаг 2: Настройка второй ВМ (Будущий DC2) Зайдите во вторую машину. 1. **Имя компьютера:** - Переименуйте в **SRV-DC02**. - Перезагрузитесь. 2. **Сетевые настройки:** - Установите **Статический IP**. - Пример: - **IP:** 10.177.178.253 (следующий свободный) - **Mask:** 255.255.255.0 - **Gateway:** 10.177.178.1 - **DNS:** 8.8.8.8 (тоже пока внешний для обновлений). 3. **Обновления:** - Аналогично, обновите систему. Начинаем работу с первого сервера **SRV-DC01**. Второй сервер (SRV-DC02) пока не трогаем, он ждет своей очереди. ### Шаг 3: Подготовка DNS на SRV-DC01 Перед установкой роли AD, сервер должен «смотреть на себя», чтобы корректно создать DNS-зоны. 1. Зайдите в настройки сетевого адаптера на **SRV-DC01**. 2. В свойствах IPv4 измените **Предпочтительный DNS-сервер (Preferred DNS)** на: 127.0.0.1 - **Почему: Мы сейчас сделаем этот сервер DNS-сервером. Он должен спрашивать сам себя.** 3. Нажмите ОК. ### Шаг 4: Установка роли AD DS 1. Откройте **Server Manager** (Диспетчер серверов). 2. В центре нажмите **Add roles and features** (Добавить роли и компоненты). 3. Жмите Next до раздела **Server Roles** (Роли сервера). 4. Поставьте галочку напротив **Active Directory Domain Services**. - **Выскочит окно с предложением добавить компоненты — жмите* **Add Features***.** 5. Жмите Next до конца и затем **Install**. 6. Ждите окончания установки (полоска заполнится, но перезагрузки пока не будет). ### Шаг 5: Повышение до Контроллера Домена (Создание леса) Это самый важный момент. 1. В Server Manager сверху, возле флага уведомлений (желтый треугольник), нажмите на флаг. 2. Нажмите ссылку **Promote this server to a domain controller** (Повысить роль этого сервера...). 3. Откроется мастер настройки. **Вкладка Deployment Configuration:** - Выберите пункт: **Add a new forest** (Добавить новый лес). - Root domain name: **ad.mysite.ru** - Жмите Next. **Вкладка Domain Controller Options:** - Functional Level (Уровень леса и домена): Оставьте максимальный (Windows Server 2016 — это нормально, Microsoft не меняла название уровня функциональности). - Галочки **DNS Server** и **Global Catalog (GC)** должны стоять. - **DSRM Password:** Придумайте и запишите сложный пароль. - ***Важно:** *Этот пароль нужен для восстановления AD, если всё сломается. Это* **НЕ** *пароль администратора, это отдельный пароль. Запишите его в блокнот.** - Жмите Next. **Вкладка DNS Options:** - Появится предупреждение «A delegation for this DNS server cannot be created...». - **Игнорируйте.** Это нормально, так как родительская зона (mysite.ru) находится в интернете, и мы не имеем к ней прямого доступа отсюда. - Жмите Next. **Вкладка Additional Options (NetBIOS):** - Мастер предложит NetBIOS имя. Скорее всего, он предложит **AD** (берет первую часть от ad.mysite.ru). - Рекомендация: Имя AD слишком общее. Я рекомендую изменить его на **MYSITE**. - Тогда вход в систему будет выглядеть как MYSITE\\Ivanov, а не AD\\Ivanov. Это понятнее пользователям. - Жмите Next. **Вкладка Paths:** - Оставьте всё по умолчанию (C:\\Windows\\NTDS и т.д.). - Жмите Next. **Вкладка Review Options:** - Проверьте, всё ли верно. Жмите Next. **Вкладка Prerequisites Check:** - Система проверит сервер. Должно появиться зеленая галочка "All prerequisite checks passed successfully". - Могут быть желтые восклицательные знаки (про криптографию NT 4.0 или DNS delegation) — это нормально. - Жмите **Install**. - **Внимание:** Логин теперь должен быть **MYSITE\\Administrator** (или AD\\Administrator, если вы оставили NetBIOS AD). Пароль тот же, что был у локального админа. Супер. Лес создан. Теперь у нас есть «Голова». Но сейчас система уязвима: если SRV-DC01 перезагружается или ломается, никто не войдет в сеть. Поэтому сейчас мы поднимаем **второй контроллер домена (SRV-DC02)**. Переходим на вторую виртуальную машину — **SRV-DC02**. ### Шаг 6: Настройка DNS на SRV-DC02 (Критично) Чтобы второй сервер увидел первый и смог скачать настройки домена, он должен использовать первый сервер как DNS. 1. На **SRV-DC02** откройте сетевые настройки (ncpa.cpl). 2. Свойства IPv4 -> Измените DNS: - **Предпочтительный DNS (Preferred):** 10.177.178.254 (IP первого сервера SRV-DC01). - **Альтернативный:** Оставьте пустым пока. 3. Нажмите ОК. **Проверка связи:** Откройте командную строку (CMD) и напишите: ping ad.mysite.ru Должен пойти обмен пакетами с IP 10.177.178.254. Если пинг идет — всё отлично. Если пишет "не удалось обнаружить узел" — проверяйте настройки DNS или фаервол. ### Шаг 7: Установка роли Точно так же, как на первом сервере: 1. **Server Manager** -> **Add roles and features**. 2. Выбираем роль **Active Directory Domain Services**. 3. Жмем **Install** и ждем окончания. ### Шаг 8: Повышение роли (Promote) 1. Нажимаем на желтый треугольник -> **Promote this server to a domain controller**. 2. **Вкладка Deployment Configuration:** - ВЫБИРАЕМ ПЕРВЫЙ ПУНКТ: **Add a domain controller to an existing domain** (Добавить контроллер в существующий домен). - В поле **Domain** напишите: ad.mysite.ru (если не заполнилось само). - Внизу раздел **Credentials** (Учетные данные). Нажмите кнопку **Change...**. - Введите логин/пароль администратора домена, который вы создали на первом сервере: - User: MYSITE\\Administrator (или просто Administrator, он сам подставит домен). - Password: Ваш пароль. - Жмите Next. 3. **Вкладка Domain Controller Options:** - Галочки **DNS Server** и **Global Catalog (GC)** должны стоять. - Введите пароль DSRM (для восстановления) — такой же, как на первом, чтобы не путаться. - Жмите Next. 4. **Вкладка DNS Options:** Пропускаем (Next). 5. **Вкладка Additional Options:** - **Replicate from:** Выберите SRV-DC01.ad.mysite.ru (или Any domain controller). Лучше выбрать явно первый сервер. - Жмите Next. 6. **Paths:** Оставляем как есть. Next. 7. **Prerequisites Check:** Ждем зеленую галочку. Жмем **Install**. Сервер перезагрузится. --- ### Шаг 9: Финальная настройка DNS (Кольцевая схема) Когда **SRV-DC02** перезагрузится и вы войдете в систему (уже под доменным админом MYSITE\\Administrator), нам нужно настроить «перекрестное опыление» DNS, чтобы серверы страховали друг друга. Это Best Practice. 1. Зайдите на **SRV-DC01**: - Сетевые настройки -> IPv4. - Preferred DNS: 127.0.0.1 - Alternate DNS: 10.177.178.253 (Указываем на второй сервер). 2. Зайдите на **SRV-DC02**: - Сетевые настройки -> IPv4. - Preferred DNS: 10.177.178.254 (Указываем на первый сервер). - Alternate DNS: 127.0.0.1 (Указываем на себя как запасной вариант). Теперь нужно сделать так, чтобы домен «дышал» (синхронизировал время) и видел внешний мир (интернет), а затем построим правильный скелет организации. ### Шаг 10: Настройка DNS Forwarders (Чтобы работал интернет) Сейчас ваши серверы знают только о себе. Если спросить у них google.com, они не ответят. Нужно настроить пересылку запросов. Сделайте это **на обоих серверах** (сначала SRV-DC01, потом SRV-DC02), чтобы настройки были идентичны: 1. Нажмите Win + R, введите **dnsmgmt.msc** (Диспетчер DNS). 2. В дереве слева кликните правой кнопкой мыши по имени вашего сервера -> **Properties** (Свойства). 3. Вкладка **Forwarders** (Серверы пересылки). 4. Нажмите **Edit...**. 5. Добавьте туда надежные внешние DNS. Например: - 77.88.8.8 (Yandex) - 8.8.8.8 (Google) 6. Нажмите OK, затем еще раз OK. **Проверка:** Откройте командную строку (CMD) и введите ``` powershell Resolve-DnsName google.com ``` Если вам вернулся IP-адрес гугла — всё настроено верно. --- ### Шаг 11: Настройка Времени (NTP) — Критично для ВМ Виртуальные машины очень любят «убегать» по времени. Если время уйдет на 5 минут, никто не сможет войти в домен (Kerberos заблокирует вход). Настроим **SRV-DC01** (так как он сейчас главный — PDC Emulator) как источник точного времени для всей сети. 1. На **SRV-DC01** запустите командную строку (CMD) или PowerShell **от имени администратора**. 2. Выполните следующие команды по очереди (можно копировать): ``` w32tm /config /manualpeerlist:"0.ru.pool.ntp.org 1.ru.pool.ntp.org" /syncfromflags:manual /reliable:yes /update ``` (Эта команда говорит: бери время из интернета и скажи всем в сети, что твоему времени можно верить). 1. Перезапустите службу времени: ``` net stop w32time && net start w32time ``` 1. Принудительная синхронизация: ``` w32tm /resync ``` На втором сервере (DC02) это делать **не надо**. Он сам по умолчанию будет тянуть время с DC01. --- ### Шаг 12: Создание правильной структуры (OU) Наводим порядок в иерархии. 1. Нажмите Win + R, введите **dsa.msc**. Откроется оснастка **«Пользователи и компьютеры Active Directory»** (Active Directory Users and Computers). 2. В верхнем меню нажмите **Вид** (View) -> **Дополнительные компоненты** (Advanced Features). - Это нужно, чтобы видеть системные вкладки. 3. Нажмите правой кнопкой мыши (ПКМ) по вашему домену ad.mysite.ru -> **Создать** (New) -> **Подразделение** (Organizational Unit). 4. Назовите его **MYSITE\_Corp**. - Убедитесь, что стоит галочка **«Защитить контейнер от случайного удаления»** (Protect container from accidental deletion). - Нажмите ОК. Теперь внутри MYSITE\_Corp создайте структуру папок (ПКМ по MYSITE\_Corp -> Создать -> Подразделение): 1. Создайте подразделение **\_Admins** (для админов). 2. Создайте подразделение **Groups** (для групп). 3. Создайте подразделение **HeadOffice** (Головной офис). 4. Внутри папки **HeadOffice** создайте еще две: - **Users** (Пользователи) - **Computers** (Компьютеры) --- ### Шаг 13: Создание вашего Супер-Админа Работаем в папке MYSITE\_Corp -> \_Admins. 1. ПКМ по пустому месту -> **Создать** (New) -> **Пользователь** (User). 2. **Поля:** - **Имя** (First name): Ваше имя (например, Ivan). - **Имя входа пользователя** (User logon name): Рекомендую **adm.ivanov**. - Нажмите **Далее** (Next). 3. **Пароль:** - Придумайте сложный пароль. - Поставьте галочку **«Срок действия пароля не ограничен»** (Password never expires). - Снимите галочку «Требовать смены пароля при следующем входе» (User must change password at next logon). - Нажмите **Далее** (Next) -> **Готово** (Finish). 4. **Выдача прав:** - Нажмите ПКМ по созданному пользователю adm.ivanov -> **Свойства** (Properties). - Вкладка **Член групп** (Member Of). - Нажмите **Добавить** (Add). - В поле ввода пишите русские названия групп (можно по очереди): - **Администраторы домена** (Domain Admins) -> нажмите **Проверить имена** (Check Names) -> ОК. - **Администраторы предприятия** (Enterprise Admins) -> Проверить имена -> ОК. - **Администраторы схемы** (Schema Admins) -> Проверить имена -> ОК. - Нажмите ОК, чтобы сохранить. Теперь у вас есть полные права. Сейчас мы сделаем следующее: 1. Создадим общую папку на сервере. 2. Настроим **Групповую Политику (GPO)**, чтобы у всех сотрудников автоматически появлялся **Сетевой Диск Z:**. 3. Подготовим и введем тестовый компьютер в домен, чтобы убедиться, что всё сработало. --- ### Шаг 14: Создание общей папки (File Share) Чтобы подключать диск, нужно чтобы было что подключать. Создадим папку на **SRV-DC01**. 1. Откройте Проводник (File Explorer) -> Диск C. 2. Создайте папку **CompanyData**. 3. Нажмите по ней ПКМ -> **Свойства** (Properties) -> вкладка **Доступ** (Sharing). 4. Нажмите **Расширенная настройка** (Advanced Sharing). 5. Поставьте галочку **Открыть общий доступ** (Share this folder). 6. Имя общего ресурса оставьте CompanyData. 7. Нажмите **Разрешения** (Permissions). - Сейчас там стоит Все (Everyone) — Чтение. - Для теста поставьте галочку **Полный доступ** (Full Control) -> OK -> OK. - (В продакшене права настраиваются тоньше, через вкладку Безопасность/Security, но для теста нам хватит). 8. Нажмите Закрыть (Close). Теперь путь к папке: \\\\SRV-DC01\\CompanyData. --- ### Шаг 15: Создание Групповой Политики (GPO) для диска Z Теперь скажем домену: "Каждому, кто входит в систему, подключай эту папку как диск Z". 1. На **SRV-DC01** нажмите Win + R -> введите **gpmc.msc** (Управление групповой политикой / Group Policy Management). 2. Раскройте дерево: Forest: ad.misyte.ru -> Domains -> ad.mysite.ru -> **MYSITE\_Corp**. - Мы будем привязывать политику сюда, чтобы она работала на всех внутри вашей компании. 3. ПКМ по папке MYSITE\_Corp -> **Создать объект GPO в этом домене и связать его...** (Create a GPO in this domain, and Link it here...). 4. Назовите политику: **GPO\_Drive\_Maps**. Нажмите OK. 5. Теперь политика появилась в списке справа. Нажмите по ней ПКМ -> **Изменить** (Edit). - Откроется редактор политик. **Настройка внутри редактора:** 1. Идем по пути: **Конфигурация пользователя** (User Configuration) -> **Настройка** (Preferences) -> **Конфигурация Windows** (Windows Settings) -> **Сопоставления дисков** (Drive Maps). 2. ПКМ по пустому месту справа -> **Создать** (New) -> **Сопоставленный диск** (Mapped Drive). 3. **Вкладка Общие (General):** - **Действие** (Action): Выберите **Обновить** (Update). (Это самый надежный вариант). - **Расположение** (Location): \\\\SRV-DC01\\CompanyData - **Восстановить подключение** (Reconnect): Поставьте галочку. - **Метка** (Label as): Напишите Общая папка. - **Буква диска** (Drive Letter): Выберите **Z:**. 4. Нажмите ОК. Закройте редактор политик. GPO готова и уже привязана. --- ### Шаг 16: Ввод клиента в домен Теперь переходим на нашу машину (Windows 10/11). **1. Настройка DNS (Пока руками. По правильному нужно на** SRV-DC01 **развернуть DHCP сервер. Но пока мы этого не делали и DHCP у нас идет от Роутера):** 1. Параметры сети -> Ethernet -> Свойства IP версии 4. 2. **IP-адрес:** Оставьте автоматический (от Роутера). 3. **DNS-серверы:** - Предпочтительный: 10.177.178.254 (Ваш DC1). - Альтернативный: 10.177.178.253 (Ваш DC2). 4. Нажмите ОК. **Проверка:** Откройте командную строку на клиенте и введите ping ad.misyte.ru. Если пинг идет — вы видите контроллер. **2. Вступление в домен:** 1. Откройте «Этот компьютер» -> Свойства -> **Дополнительные параметры системы** (или просто поиск: "Присоединение к домену"). 2. Нажмите **Изменить...** (Change...) на вкладке Имя компьютера. 3. Переключите точку на **Домен** (Domain). 4. Введите: **ad.jinnvl.ru**. 5. Нажмите ОК. 6. Спросит логин/пароль. Введите данные вашего супер-админа: - Логин: adm.ivanov (или MYSITE\\adm.ivanov) - Пароль: Ваш пароль. 7. Должно появиться окно: **«Добро пожаловать в домен ad.misyte.ru»**. 8. Перезагрузите компьютер. --- ### Шаг 17: Перемещение компьютера в правильную OU (Важно!) Пока компьютер перезагружается, вернитесь на сервер **SRV-DC01**. По умолчанию все новые компьютеры попадают в папку Computers (стандартную). А наши политики (в том числе будущие) настроены на структуру MYSITE\_Corp. Надо перенести компьютер. 1. Откройте **dsa.msc** (Пользователи и компьютеры). 2. Зайдите в папку **Computers** (обычную). Там должен лежать ваш новый ПК. 3. Нажмите по нему ПКМ -> **Переместить** (Move). 4. Выберите: MYSITE\_Corp -> HeadOffice -> **Computers**. 5. Нажмите ОК. --- ### Шаг 18: Момент истины Возвращаемся к клиентскому компьютеру (он перезагрузился). 1. **Вход в систему:** - Нажмите «Другой пользователь» (Other User). - Вводите логин: **adm.ivanov** (ваш админ) или создайте в AD обычного юзера test.user в папке Users (внутри HeadOffice) и войдите под ним. - Введите пароль. 2. Дождитесь входа ("Привет", "Мы подготавливаем для вас все..."). 3. Откройте **"Этот компьютер"**. **Если все сделано правильно, вы увидите Сетевой диск Z: (Общая папка).** **ВАЖНО:** В продакшене данные всегда хранят на отдельном диске (D:, E:) или вообще на отдельном NAS. Это тема другой статьи. Но раз у нас мы сделали на диске C:, мы должны **жестко ограничить** размер этой папки, чтобы пользователи не "убили" сервер. Для этого в Windows Server есть штатный инструмент — **FSRM (File Server Resource Manager)**. Он позволит сделать так, чтобы пользователи видели, например, только 5 ГБ, даже если на диске свободно 100 ТБ. Давайте настроим его. Это Best Practice. --- ### Шаг 19: Установка роли FSRM 1. На **SRV-DC01** откройте Добавление ролей и компонентов 2. Жмите Next до выбора ролей. 3. Разверните ветку: **File and Storage Services** -> **File and iSCSI Services**. 4. Поставьте галочку **File Server Resource Manager** (Диспетчер ресурсов файлового сервера). - Согласитесь добавить компоненты. 5. Жмите **Install**. (Перезагрузка обычно не требуется). --- ### Шаг 20: Создание жесткой квоты Теперь скажем серверу: "Папка CompanyData не может быть больше 5 ГБ". 1. В Server Manager нажмите **Tools** (Средства) -> **File Server Resource Manager** (Диспетчер ресурсов файлового сервера). 2. В меню слева раскройте **Quota Management** (Управление квотами) -> **Quotas** (Квоты). 3. Справа нажмите **Create Quota...** (Создать квоту). 4. **Quota path** (Путь к квоте): Нажмите Browse и выберите вашу папку C:\\CompanyData. 5. **Параметры:** - Выберите **Create quota on path** (Создать квоту по пути). - Ниже выберите шаблон: **Limit to 5 GB** (или любой другой). - ИЛИ выберите **Define custom quota properties** -> кнопка **Custom Properties**, чтобы задать свой размер (например, 2 GB). - **Важно:** Убедитесь, что выбран тип **Hard quota** (Жесткая квота). - Hard: Запрещает запись, если место кончилось. - Soft: Просто шлет уведомление админу, но писать разрешает. Нам нужен Hard, чтобы спасти диск C. 6. Нажмите **Create**. --- ### Шаг 21: Проверка 1. Идите на клиентский компьютер (Windows 10). 2. Откройте "Этот компьютер". 3. Нажмите F5 (Обновить). **Результат:** Полоска диска Z: моментально изменится. Теперь там будет написано: "Свободно 2 ГБ из 2 ГБ" (или сколько вы поставили). Пользователи будут думать, что это отдельный жесткий диск такого размера. P.S. Этот же инструмент (FSRM) умеет запрещать сохранять MP3 и AVI файлы в рабочую папку (File Screening), что очень полезно в офисе (но об этом потом). # Этап: Архитектура Групповых Политик (Best Practice) **Главный принцип:** Одна политика — одна задача. Разделяем настройки Компьютера (железа) и Пользователя (людей). ### 1. Стандарт именования (Naming Convention) Мы используем схему: \[ТИП\]\_\[ОБЛАСТЬ\]\_\[ОПИСАНИЕ\] - **GPO\_C\_** (Computer) — применяется к компьютерам (драйверы, безопасность, время). Требует перезагрузки. - **GPO\_U\_** (User) — применяется к людям (диски, ярлыки, принтеры). Применяется при входе. ### 2. Список политик (Ваш "Скелет") Вам нужно создать (или переименовать текущие) 4 основные политики и привязать их к корню организации (MYSITE\_Corp).

Имя политики	За что отвечает	Статус
GPO\_C\_System\_Base	Фундамент: Часовой пояс, ожидание сети, электропитание.	Настраиваем сейчас
GPO\_C\_Security\_Base	Безопасность: LAPS, UAC, Аудит входов, Firewall.	Создать пустую
GPO\_U\_DriveMaps\_Common	Подключение общих дисков (Z:).	Уже настроена
GPO\_U\_Browser\_Settings	Настройки Chrome/Edge (стартовая страница).	Создать пустую

--- ### 3. Настройка GPO\_C\_System\_Base (Эталонная настройка) Это самая важная политика для стабильности работы "железа". В ней мы фиксируем полученный опыт. **Откройте:** gpmc.msc -> GPO\_C\_System\_Base -> Изменить. #### А) Часовой пояс (Метод "Вечный двигатель") Используем Scheduled Task, так как это самый надежный способ. 1. Путь: **Конфигурация компьютера** -> **Настройка** -> **Параметры панели управления** -> **Назначенные задания** (Scheduled Tasks). 2. ПКМ -> Создать -> **Запланированное задание (как минимум Windows 7)**. 3. **Вкладка "Общие":** - Действие: **Обновить**. - Имя: TimeZone\_AutoFix. - Учетная запись: **SYSTEM** (Система). - Выполнять **вне зависимости от регистрации пользователя**. - Галочка: **Выполнить с наивысшими правами** (ОБЯЗАТЕЛЬНО!). 4. **Вкладка "Триггеры":** - Создать -> Начать задачу: **При запуске** (At startup) -> Включено. 5. **Вкладка "Действия":** - Создать -> Запуск программы. - Программа: C:\\Windows\\System32\\tzutil.exe - Аргументы: /s "Russian Standard Time" (или ваш пояс). 6. **Вкладка "Условия":** - **Снять** галочку "Запускать только при питании от электросети" (иначе на ноутбуках не сработает). #### Б) Ожидание сети (Лекарство для SSD) Чтобы политики успевали примениться до появления рабочего стола. 1. Путь: **Конфигурация компьютера** -> **Политики** -> **Административные шаблоны** -> **Система** -> **Вход в систему** (Logon). 2. Настройка: **Всегда ждать сеть при запуске компьютера и входе в систему** (Always wait for the network...). 3. Значение: **Включено** (Enabled). --- ### 4. Настройка GPO\_U\_DriveMaps\_Common Здесь у вас уже настроен диск Z:. Просто убедитесь, что настройки верные. 1. Путь: **Конфигурация пользователя** -> **Настройка** -> **Конфигурация Windows** -> **Сопоставления дисков**. 2. Диск Z: - Действие: **Обновить**. - Путь: \\\\SRV-DC01\\CompanyData (или IP). - Галочка: **Восстановить подключение**. - На будущее: Если нужно скрыть диск от бухгалтерии, используйте вкладку "Общие параметры" -> **Нацеливание на уровень элемента** (Item-level targeting). --- ### 5. Порядок применения (Link Order) В gpmc.msc выберите папку MYSITE\_Corp. Справа список политик. Расставьте приоритет (стрелками): 1. GPO\_U\_DriveMaps\_Common 2. GPO\_U\_Browser\_Settings 3. GPO\_C\_Security\_Base 4. GPO\_C\_System\_Base 5. Default Domain Policy (Всегда последняя). ## Теперь начнем наполнять наши основные политики Вот список того, что **обязано** быть в компании, которая не хочет быть взломанной через неделю. --- ### 1. Конституция Паролей (Default Domain Policy) **Где:** Default Domain Policy -> Изменить. **Путь:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей. Мы это уже обсуждали, но давайте зафиксируем **Стандарт 2024+**: 1. **Политика паролей:** - **Минимальная длина:** **10-12 символов**. (8 уже взламывают быстро). - **Сложность:** **Включено** (Буквы + Цифры). - **Срок действия:** **90 или 180 дней**. (Заставлять менять чаще — вредно, люди будут писать пароль на стикере). - **Журнал паролей:** **24 пароля** (Чтобы не меняли "Пароль1" на "Пароль2" и обратно). 2. **Политика блокировки (Защита от брутфорса):** - **Порог блокировки:** **5-10 попыток**. - **Время блокировки:** **30 минут**. (Этого хватит, чтобы хакер устал ждать, а юзер попил кофе). --- ### 2. «Цифровая гигиена» (GPO\_C\_Security\_Base) **Где:** GPO\_C\_Security\_Base -> Изменить. **Привязка:** Корень MYSITE\_Corp. В этой политике мы настраиваем "броню" рабочих станций. #### А) Аудит (Кто, где, когда?) Если что-то случится, вы должны знать **кто** это сделал. По умолчанию Windows пишет мало логов. **Путь:** Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита. Включите (Success & Failure / Успех и Отказ) для: 1. **Аудит входа в систему (Logon Events):** Кто вошел в комп? 2. **Аудит управления учетными записями:** Кто создал нового юзера или сменил пароль? 3. **Аудит доступа к объектам:** (Только "Отказ"). Кто ломился в папку, куда ему нельзя? #### Б) Права локальных администраторов (Кто здесь главный?) Пользователь **НЕ должен** быть администратором на своем компьютере. Если Галина — админ, то вирус, который она поймает, тоже станет админом. **Путь:** Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Группы с ограниченным доступом (Restricted Groups). 1. ПКМ -> Добавить группу. 2. Выбираем: **Administrators** (или Администраторы). 3. В окне "Члены этой группы" (Members of this group) добавляем: - MYSITE\\Domain Admins (Админы домена). - MYSITE\\adm.ivanov (Ваш супер-админ). - (Опционально): MYSITE\\TechSupport. 4. **Важно:** Всех, кого нет в этом списке (например, Галину), политика **вышвырнет** из админов принудительно. Это жесткая зачистка. ### 3. «Комфорт и Порядок» (GPO\_C\_System\_Base) **Где:** GPO\_C\_System\_Base -> Изменить. В этой политике мы уже настроили Время. Добавим сюда правила поведения "Железа". #### А) Спящий режим (Power Management) В офисе компьютеры (десктопы) не должны спать. Иначе вы не сможете подключиться к ним ночью для обновлений. **Путь:** Адм. шаблоны -> Система -> Управление электропитанием. 1. Выбрать активную схему питания: **Высокая производительность** (High Performance). 2. Параметры спящего режима -> **Разрешать ждущий режим (Sleep)**: Отключено (для питания от сети). #### Б) Обновления Windows (Windows Update) **1. Открываем политику:** - gpmc.msc -> GPO\_C\_System\_Base -> **Изменить** (Edit). **2. Идем по пути:** **Конфигурация компьютера** -> **Политики** -> **Административные шаблоны** -> **Компоненты Windows** -> **Оптимизация доставки** (Delivery Optimization). Здесь нам нужно изменить всего 3-4 настройки. ##### 1. Режим скачивания (Самое важное) Это настройка определяет, у кого компьютеры могут брать файлы. - **Настройка:** **Режим скачивания** (Download Mode). - **Значение:** Включено. - **Параметр:** Выберите **Группа (2)** (Group). - Почему это Best Practice: Режим "Группа" использует Active Directory. Компьютеры будут меняться файлами только с теми, кто находится в том же **домене** И в том же **сайте AD**. - На будущее: Когда у вас появится филиал и вы создадите для него отдельный Сайт в AD (как мы обсуждали в начале), компьютеры филиала будут качать друг у друга, а не тянуть трафик через VPN из главного офиса. Это происходит автоматически. ##### 2. Удержание кэша (Чтобы файлы жили дольше) По умолчанию Windows быстро удаляет скачанные файлы. Нам нужно, чтобы они лежали подольше и раздавались другим. - **Настройка:** **Максимальный срок хранения кэша (в секундах)** (Max Cache Age). - **Значение:** Включено. - **Параметр:** Введите **604800** (это 7 дней). - Логика: Если кто-то был в отпуске неделю, он придет и скачает обновление с соседа, а не из интернета. ##### 3. Минимальные требования к пирам (Отсекаем слабые звенья) Не стоит заставлять старый ноутбук с забитым диском раздавать файлы всему офису — он затормозит. - **Настройка:** **Минимальный размер диска для использования кэширования** (Minimum Disk Size to use Peering). - **Значение:** Включено -> **32 ГБ** (или больше, если у вас все на 256+). - **Настройка:** **Минимальный объем ОЗУ (включая кэширование)** (Minimum RAM capacity). - **Значение:** Включено -> **4 ГБ**. ##### 4. Полоса пропускания (Чтобы не положили сеть) Обычно по локалке скорость не режут, но для интернета стоит подстраховаться. - **Настройка:** **Максимальная пропускная способность скачивания на переднем плане** (Max Download Bandwidth for Foreground). - Примечание: Foreground — это когда юзер нажал кнопку "Проверить обновления". - Значение: 0 (Без ограничений) или **90%**. - **Настройка:** **Максимальная пропускная способность скачивания в фоновом режиме** (Background). - Примечание: Это когда комп качает сам по себе тихонько. - Значение: **Включено** -> **80%** (Оставьте 20% для почты и ютуба). --- Теперь нужно убедиться, что компьютеры вообще знают, что им надо обновляться. (Мы это уже затрагивали, но давайте проверим в той же GPO). **Путь:** ... -> **Компоненты Windows** -> **Центр обновления Windows**. 1. **Настройка автоматического обновления** (Configure Automatic Updates). - **Включено.** - **3 - Автоматическая загрузка и уведомление об установке** (Auto download and notify for install) — Это лучший вариант для рабочих станций. - ИЛИ **4 - Автоматическая загрузка и установка по расписанию** (Auto download and schedule the install). - Важно: Если выберете 4, ставьте время (например, 22:00) и галочку "Install during automatic maintenance". 2. **Период активности** (Turn off auto-restart for updates during active hours) — Опционально, но полезно. - Включите и задайте с 08:00 до 18:00. - Windows **не будет** перезагружаться сама в это время, даже если скачала критическое обновление. --- После того как вы примените политику (gpupdate /force + перезагрузка) и пройдет пару дней (выйдут новые обновления), вы можете проверить эффективность. На любом клиентском компьютере (Windows 10/11): 1. Откройте **PowerShell**. 2. Введите команду: codePowershell ``` Get-DeliveryOptimizationStatus ``` **Что смотреть в выводе:** Вам интересна статистика внизу. - **TotalBytesDownloaded:** Сколько всего скачано. - **FromHttp:** Сколько скачано из Интернета (с серверов Microsoft). - **FromPeers:** Сколько скачано с соседей (LAN). Если через месяц вы увидите, что FromPeers > 50-70%, значит, вы сэкономили кучу трафика, и ваша система работает идеально. **Задание:** Настройте эти 4 пункта в GPO\_C\_System\_Base. Это всё, что нужно для современной системы обновлений без лишних серверов. ---