Локальная групповая политика позволяет контролировать параметры текущего устройства – определять поведение операционной системы для всех пользователей и вносить отдельные настройки для каждой из учётных записей.
Для настройки групповых политик сервера без домена имеем подготовленный сервер с операционной системой Windows Server 2019.
В меню пуск, выбираем элемент «выполнить» и вводим gpedit.msc, либо через командную строку.
Открывается «Редактор локальной групповой политики»:
Рисунок 1 – Редактор локальной групповой политики
Конфигурация компьютера позволяет применять политики на весь сервер, а конфигурация пользователя позволяет применить политики на того пользователя, который запустил редактор.
Применим ограничения по времени для активных, но бездействующих и отключенных сеансов. Для этого переходим «Конфигурация компьютера» «Административные шаблоны»->«Компоненты Windows» -> «Службы удаленных рабочих столов» -> «Ограничение сеансов по времени», здесь находим две политики «Задать ограничение по времени для отключенных сеансов» и «Задать ограничение по времени для активных, но бездействующих сеансов служб удаленных рабочих столов». Включаем политику и указываем время, например, 3 часа:
Рисунок 2 – GPO ограничения времени активных, но бездействующих сеансов
Если требуется запустить редактор на группу пользователей (администраторы или «не администраторы»), необходимо запустить mmc, так же через «выполнить», либо командную строку.
Добавляем необходимую оснастку:
Нажимаем «файл», далее «Добавить или удалить оснастку».
Далее выбираем «Редактор объектов групповой политики»:
Рисунок 3 – Добавление и удаление оснасток
Нажимаем добавить, затем кнопку «обзор».
На данном этапе выбираем вкладку «пользователи» и к какой группе (или к конкретному пользователю) мы хотим применить политику:
Рисунок 4 – Выбор объекта групповой политики
Далее нажимаем «ок» и запускаем выбранную оснастку.
Рисунок 5 – Оснастка GPO группы пользователей «Не администраторы»
Сделаем блокировку рабочего стола при неактивности пользователя.
Для этого переходим в «Конфигурация пользователя» -> «Административные шаблоны» -> «Панель управления» -> «Персонализация».
Выбираем политики «Защита заставки с помощью пароля» и «Тайм-аут экранной заставки».
Включаем защиту заставки, тайм-аут включаем и выставляем время в секундах, например, 600с (10 минут):
Рисунок 6 – GPO ограничения времени отключенных сеансов.
Чтобы просмотреть текущие применённые групповые политики, нужно ввести команду
Эти и другие настройки для наших клиентов мы осуществляем в рамках ИТ-аутсорсинга.
Салимжанов Р.Д
Part 4 Basic Configuration of Windows Server 2019 (Group Policies)
Salimzhanov R.D.
В последней части базовой настройки мы рассмотрим простейшую настройку групповой политики Windows.
Групповая политика Windows (Group Policy) — это механизм управления настройками операционной системы и приложений в среде Windows. Она позволяет администраторам централизованно управлять и конфигурировать системы, пользователи и группы в домене Active Directory.
Заходим в созданную нами папку в 3 части базовой настройки Active Directory:
Создадим правило:
После создания можем переходить к настройке:
Допустим, зададим фон рабочего стола для наших пользователей
Перед тем как выбирать картинку создадим общую папку, из которой будет взята картинка.
После чего, копируем путь к папке и запишем его в политику.
Точно также мы можем, к примеру, запретить доступ к панели управления и выхода из системы:
Проверим:
Можно посмотреть все парила:
При помощи групповых политик мы можем заниматься:
1. Централизованное управление: Позволяет администраторам управлять настройками множества компьютеров и пользователей из одного места.
2. Безопасность: Позволяет применять политики безопасности, такие как требования к паролям, настройки брандмауэра, права доступа и другие меры безопасности.
3. Конфигурация системы: Автоматическая настройка параметров операционной системы и приложений для пользователей и компьютеров.
4. Управление программами: Возможность установки, обновления или удаления программного обеспечения на всех компьютерах в сети.
5. Контроль доступа: Настройка прав доступа к ресурсам сети, таким как файлы, папки и принтеры.
6. Стандартизация: Обеспечивает единообразие настроек и конфигураций на всех устройствах в организации.
7. Упрощение администрирования: Уменьшает время и усилия, необходимые для управления IT-инфраструктурой.
Групповая политика является мощным инструментом для системных администраторов, позволяя эффективно управлять IT-ресурсами в организации.
1) Администратор групповая политика в управляемом домене доменных служб Microsoft Entra // [электронный ресурс]. URL: https://learn.microsoft.com/ru-ru/entra/identity/domain-services/manage-group-policy / (дата обращения 03.09.2024).
2) Помощник Админа // [канал]. URL: https://t.me/channel_adminwinru (дата обращения 01.09.2024).
3) Редактор локальной групповой политики Windows// [канал]. URL: https://remontka.pro/group-policy-editor-windows / (дата обращения 28.08.2024).
Hello! Microsoft has increased the security of Windows systems with different measures. Indeed, these actions are focused on protecting data and services. One of these configurations is the configuration of security policies. Since these are rules that manage the security settings of the computer. Consequently, these policies allow managing various aspects such as: assigning groups for users, defining resource permissions for users, among others. So let’s see how to import or export Local Security Policy in Windows 10/Server 2019.
How to export security policies. Graphic mode
It is likely that at some point you will modify some element of the security policies. In such a case the most recommendable thing is to export the configuration. This way, you will not have to restore them manually. Since it would be enough with importing them to return to the original state. So first press the Win+R combination and run the following command:
secpol.msc
The local security policy console is immediately displayed. Once there, please right-click on Security Settings. Finally, select the Export Policy option:
By default, Windows 10 will store this file in the following path: C:\Users\coolr\Documents\Security\Templates. However, you can choose a different location. Please assign the name and save the backup.
How to import local security policy. Graphic mode
To import the security policies, we must go back to the local policy manager. With this in mind, repeat the process from the previous point. Once there, right click on Security Settings and then on Import Policy.
Then go to the file location and press open to start the process. Finally, restart the computer to complete the task
How to export the local security policy. Command Prompt Mode
The first thing you have to do is open a command prompt and use the following syntax:
secedit.exe /export /cfg X:\file.inf
Please remember to replace the letter X with the path where you will be saving the file. And of course, assign the name to the file. In my case, the command was like this:
secedit.exe /export /cfg E:\bck.inf
How to import security policy with CMD
To import the security policy, please use the following syntax:
secedit.exe /configure /db %windir%\security\local.sdb /cfg X:file.inf
Once again, modify the parameters as in the previous section. In my case it is:
secedit.exe /configure /db %windir%\security\local.sdb /cfg E:bck.inf
Finally, we have seen how to import or export Local Security Policy in Windows 10/Server 2019. Consequently, we will be able to restore these policies at any time. Or simply export it to another computer. This is all for the moment, before saying goodbye I invite you to see our post on how to check the status of the domain controller in Windows Server. See you later!
— Advertisement —
Everything Linux, A.I, IT News, DataOps, Open Source and more delivered right to you.
Subscribe
«The best Linux newsletter on the web»
Доброго дня!
Пытаюсь настроить Windows Server 2019 и совсем запутался в политиках, у меня есть настройки:
1. Локальная политика безопасности;
2. Редактор локальной групповой политики;
3. Управление групповой политикой
Задачи у меня следующие:
контроль за пользователями(установка смена паролей через опред время),
контроль — какие программы можно устанавливать пользователю а какие нет,
доступ группы пользователей к определенной расшаренной папке
и т.д.
Подскажите плз., какие политики настраивать, где смотреть, куда копать?
Заранее спасибо!
-
Вопрос задан
-
838 просмотров
Пригласить эксперта
какие политики настраивать
Те которые отвечаю за нужные вам параметры.
где смотреть
В гугле или на профильных форумах.
куда копать?
В сторону компьютерной грамотности и умею формулировать свои запросы для поисковика: Политика паролей, Доступ к папке через GPO
P.S. Вопросы, которые вы задаете — это самые основы сис.админства. Если вы не смогли нагуглить политики «паролей для GPO», то в профессии вам будет тяжко.
Банально найдите книжку по windows server 2016/2019 коих в интернете и изучите хотя бы основы, там все это будет описано. А еще проще открыть ютуб и там запустить ролики по настройке win2019 все будет все разложено по полочкам.
Войдите, чтобы написать ответ
-
Показать ещё
Загружается…
Минуточку внимания
Политики описаны для Active Directory на основе Windows Server 2019
Добавление администратора домена в локальные администраторы
Для того, чтоб была возможность управлять компьютером от имени доменного администратора, его нужно добавить в группу локальных администраторов компьютера
В оснастке Active Directory — пользователи и компьютеры создадим группу безопасности с именем, например Workstation Admins и занесем в нее пользователей, которые должны стать локальными администраторами, затем по пути
Конфигурация компьютера
Настройка
Параметры панели управления
Локальные пользователи и группы
Создадим локальную группу со свойствами
Действие: Обновить Имя группы: Администраторы (встроенная учетная запись) ✓Удалить всех пользователей-членов этой группы ✓Удалить все группы-члены этой группы Члены группы: Workstation Admins
Включение возможности принудительного обновления групповой политики контроллером домена
Под принудительным обновлением понимается нажатие Обновление групповой политики в контекстном меню объекта управления (подразделения). Если не разрешить некоторые правила брандмауэра будет возникать ошибка с кодом 8007071a
По пути
Конфигурация компьютера
Политики
Конфигурация Windows
Монитор брандмауэра Защитника Windows в режиме повышенной безопасности
Монитор брандмауэра Защитника Windows в режиме повышенной безопасности
Правила для входящих подключений
Создадим предопределенные правила
Доступ к сети COM+ Удаленное управление журналом событий Инструментарий управления Windows (WMI) Удаленное управление назначенными задачами
Включение сетевого обнаружения
По пути
Конфигурация компьютера
Политики
Конфигурация Windows
Монитор брандмауэра Защитника Windows в режиме повышенной безопасности
Монитор брандмауэра Защитника Windows в режиме повышенной безопасности
Правила для входящих подключений
Создадим два предопределенных правила
Обнаружение сети Общий доступ к файлам и принтерам
По пути
Конфигурация компьютера
Политики
Административные шаблоны
Сеть
Обнаружение топологии связи (Link-Layer)
Включить правила и поставить необходимые галочки в первом
Включает драйвер отображения ввода/вывода (LLTDIO) Включить драйвер "Ответчика" (RSPNDR)
И по пути
Конфигурация компьютера
Политики
Административные шаблоны
Сеть
Рабочая станция Lanman
Включить правило
Включить небезопасные гостевые входы
По умолчанию в домене службы, отвечающие за отображение компьютеров в сетевом окружении отключены, можно их включить, для этого по пути
Конфигурация компьютера
Настройка
Параметры панели управления
Службы
Создадим две службы
Публикация ресурсов обнаружения функции (FDResPub) Обнаружение SSDP (SSDPSRV)
У этих служб нужно указать параметры: Автозагрузка — автоматически, Действие — запуск службы
Выключение требования нажатия Ctrl+Alt+Del при входе
По пути
Конфигурация компьютера
Политики
Конфигурация Windows
Параметры безопасности
Локальные политики
Параметры безопасности
Включить правило
Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL
Разрешение на доступ по RDP
По пути
Конфигурация компьютера
Политики
Административные шаблоны
Компоненты Windows
Службы удаленных рабочих столов
Узел сеансов удаленных рабочих столов
Подключения
Включить правило
Разрешить пользователям удаленное подключение с использованием служб удаленных рабочих столов
И по пути
Конфигурация компьютера
Политики
Административные шаблоны
Сеть
Сетевые подключения
Брандмауэр Защитника Windows
Профиль домена
Включить правила и указать разрешенные ip-адреса, если нужно
Брандмауэр Защитника Windows: Разрешает исключение для входящего общего доступа к файлам и принтерам Брандмауэр Защитника Windows: Разрешить входящее исключение удаленного администрирования Брандмауэр Защитника Windows: Разрешить входящие исключения удаленного рабочего стола
Разрешение на сохранение паролей для подключения по RDP
По пути
Конфигурация компьютера
Политики
Административные шаблоны
Система
Передача учетных данных
Включить правило
Разрешить передачу сохраненных учетных данных с проверкой подлинности сервера "только NTLM"
И по пути
Конфигурация компьютера
Политики
Административные шаблоны
Сеть
Сетевые подключения
Брандмауэр Защитника Windows
Профиль домена
Включить правила и указать разрешенные ip-адреса, если нужно
Брандмауэр Защитника Windows: Разрешает исключение для входящего общего доступа к файлам и принтерам Брандмауэр Защитника Windows: Разрешить входящее исключение удаленного администрирования Брандмауэр Защитника Windows: Разрешить входящие исключения удаленного рабочего стола
Настройки электропитания
Время отключения дисплея настраивается по пути
Конфигурация компьютера
Политики
Административные шаблоны
Система
Управление электропитанием
Параметры дисплея и видео
Включить правило и указать время в секундах (15 минут = 900, 30 минут = 1800)
Отключить дисплей (питание от сети) Отключить дисплей (питание от батареи)
Время отключения жесткого диска настраивается по пути
Конфигурация компьютера
Политики
Административные шаблоны
Система
Управление электропитанием
Параметры жесткого диска
Включить правило и указать время в секундах, лучше всего указать 0, чтобы жесткий диск совсем не отключался
Отключить жесткий диск (питание от сети) Отключить жесткий диск (питание от батареи)
Регулировка спящего режима настраивается по пути
Конфигурация компьютера
Политики
Административные шаблоны
Система
Управление электропитанием
Параметры спящего режима
Включить правило и указать время в секундах, при 0, компьютер не будет уходить в спящий режим
Указать время ожидания автоматического перехода в спящий режим (питание от сети) Указать время ожидания автоматического перехода в спящий режим (питание от батареи)
Так же можно включить или выключить правило для запроса пароля после выхода из спящего режима
Требовать пароль при выходе из спящего режима (питание от сети) Требовать пароль при выходе из спящего режима (питание от батареи)
Ввод пароля после вывода заставки настраивается по пути
Конфигурация пользователя
Политики
Административные шаблоны
Панель управления
Персонализация
Можно включить или выключить правило для запроса пароля после заставки
Защита заставки с помощью пароля
Подключение сетевого диска
По пути
Конфигурация пользователя
Настройка
Конфигурация Windows
Сопоставления дисков
Создадим сопоставленный диск со свойствами
Действие: Обновить Размещение: Указать путь к сетевому диску Буква диска: Указать букву для сетевого диска
Настройка контроллера домена в качестве NTP сервера и настройка клиентов NTP
В папке Фильтры WMI создать фильтр, добавить запрос с пространством имен root\CIMv2 и запросом
Select * from Win32_ComputerSystem where DomainRole = 5
Создать правило для сервера NTP в папке Domain Controllers
Связать фильтр с правилом, выбрав правило и на вкладке Область внизу в разделе Фильтр WMI выбрать созданный фильтр
В правиле для сервера, по пути
Конфигурация пользователя
Политики
Административные шаблоны
Система
Служба времени Windows
Поставщики времени
Включить правило
Настроить NTP-клиент Windows
Выбрать Type — NTP и в поле NtpServer указать
0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
В правиле для клиентов, по пути
Конфигурация пользователя
Политики
Административные шаблоны
Система
Служба времени Windows
Поставщики времени
Включить правило
Настроить NTP-клиент Windows
Выбрать Type — NT5DS и в поле NtpServer указать ip-адрес контроллера домена
Настройка прав на диск/папку/файл
По пути
Конфигурация компьютера
Политики
Конфигурация Windows
Параметры безопасности
Файловая система
ПКМ ⇒ Добавить файл. После выбора объекта можно будет указать для него параметры безопасности, нажав на кнопку Изменить параметры
Запрет компьютерам домена становится MasterBrowser`ом
По пути
Конфигурация компьютера
Настройка
Конфигурация Windows
Реестр
Создать Элемент реестра, в нем указать:
Действие - Обновить Куст - HKEY_LOCAL_MACHINE Путь раздела - SYSTEM\CurrentControlSet\Services\Browser\Parameters Имя параметра - MaintainServerList Тип параметра - REG_SZ Значение - No
Всегда ждать запуска сети при запуске и входе в систему
По пути
Конфигурация компьютера
Политики
Административные шаблоны
Система
Вход в систему
Включить правило
Всегда ждать сеть при запуске и входе в систему
Задать адрес прокси сервера
По пути
Конфигурация пользователя
Настройка
Параметры панели управления
Параметры обозревателя
Создать параметры для нужных версий IE, можно для всех сразу.
Для всех версий настройка осуществляется одинаково на вкладке Подключения, кнопка Настройка сети.
В открывшемся окне указать ip-адрес и порт прокси сервера.
Если строки подчеркнуты красным параметры не применятся, строки должны быть подчеркнуты зеленым, для этого нужно нажать F5
Создание файлов на компьютерах
По пути
Конфигурация пользователя
Настройка
Конфигурация Windows
Файлы
Создать файл, для этого нужно нажать ПКМ ⇒ Создать ⇒ Файл
В параметрах укажем
Исходные файлы: файл, который должен лежать на сетевом диске с доступам для всех, например \\SRV-SHARE\data\123.txt Конечный файл: путь и название файла на конечном компьютере, например %userprofile%\AppData\Roaming\test.txt
Разрешение на подключение гостя к компьютеру домена
По пути
Конфигурация компьютера
Политики
Конфигурация Windows
Параметры безопасности
Назначение прав пользователя
Открыть политику
Отказать в доступе к этому компьютеру из сети
и удалить из нее пользователя Гость
Установка программы
Дистрибутив программы можно положить в общую папку на контроллере домена
C:\Windows\SYSVOL\domain\scripts
Которая доступна по сетевому пути
\\<Имя сервера>\netlogon
И указать сетевой путь для установки, тогда дистрибутив будет доступен всем компьютерам домена
По пути
Конфигурация компьютера
Политики
Конфигурация программ
Установка программ
Указать установочный файл msi, для этого нужно нажать ПКМ ⇒ Создать ⇒ Пакет
Можно установить программу с помощью сценария в bat файле, путь к которому указывается в политике
Конфигурация пользователя
Политики
Конфигурация Windows
Сценарии
Вход в систему
Зайти в свойства и указать путь к bat файлу, он должен лежать на сетевом диске, например \\SRV-SHARE\data\123.bat