News:

UNIX не предназначен для ограждения своих пользователей от глупостей, поскольку это оградило бы их и от умных вещей. Дуг Гвин

Main Menu

Базовые GPO в новом домене

Started by STALKER_SLX, 15 February 2019, 15:55

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

STALKER_SLX

Доброго времени суток, уважаемые форумчане!
Понимаю, что групповые политики в домене создаются/применяются в зависимости от поставленных задач. Но всё же хотелось узнать у практикующих админов базовый перечень так называемых «универсальных групповых политик», которые в большинстве случаев они бы рекомендовали применять в новом домене (например, на свежеустановленном «Windows Server 2012 R2 Standard»).
Прошу Вашей посильной помощи в этом вопросе!

Уваров А.С.

Ну это вопрос глубоко личный, обычно это базовые настройки рабочих станций, установка базового набора софта и т.д. и т.п., что бы достал ПК из коробки, ввел в домен, а дальше он сам настроился исходя из того в какую группу и OU он попал.

ival

Стандартно везде сразу делал:

Парольные политики как мне нужно
Настройка брандмауэра
Включение RDP
Политики для подключения к WSUS и обновления

Все остальное уже по нуждам.

STALKER_SLX

А используете ли Вы групповые политики для отключения/запрета телеметрии, как на самом контроллере, так и на клиентских машинах?!
Ведь не только в десятке она работает, но и в "Windows 7", "Windows 8/8.1", "Windows Server 2008 R2" и "Windows Server 2012 R2" и выше (сам заметил эту неприятность почти год назад, как среди системных служб, так и в планировщике заданий).

Или есть какие-то более простые/радикальные и интересные способы/методы по борьбе с этим недугом?!

Уваров А.С.

Как всех волнует телеметрия в Windows, хотя этот вопрос уже разжеван и пережеван, но при этом практически никого не волнует, что телефон собирает и передает гораздо больше персональной информации.

STALKER_SLX

Quote from: Уваров А.С. on 19 February 2019, 18:23Как всех волнует телеметрия в Windows, хотя этот вопрос уже разжеван и пережеван, но при этом практически никого не волнует, что телефон собирает и передает гораздо больше персональной информации.

Тут меня напрягают возможные гадости от руководства компании в мой адрес, если вдруг что...
В связи с чем и приходиться тут занудствовать о телеметрии, прошу простить за дискомфорт :(


Уваров А.С.

Quote from: STALKER_SLX on 19 February 2019, 20:05Тут меня напрягают возможные гадости от руководства компании в мой адрес, если вдруг что..

А что может быть вдруг? Ничего такого MS не собирает и не передает, в отличие от Гугла, который хранит в облаке переписку, загруженные документы, адресную книгу, сообщения, перемещения, фотографии, историю поиска, в т.ч. голосового и много еще чего интересного.

STALKER_SLX

Quote from: Уваров А.С. on 16 February 2019, 18:23обычно это базовые настройки рабочих станций, установка базового набора софта и т.д. и т.п., что бы достал ПК из коробки, ввел в домен, а дальше он сам настроился исходя из того в какую группу и OU он попал.

Я это ВСЁ понимаю, в связи с чем, пытаюсь систематизировать для себя, чтобы сделать некоторые заготовки на будущее. Ведь админы «бывают разные» и не всегда то, что крутиться на серверах необходимо, а иногда и просто может быть вредным. Судя потому, что мне приходилось видеть – и контроллеры доменов тому не исключение.

Если Вам не очень трудно, поделитесь, пожалуйста, своими часто используемыми политиками (GPO), которые Вы применяете на практике. Или это будет не секюрно?!

salex

ну пофантазируем ....
0. второй домен контроллер сразу и проверка репликации
1. открыть файервол полностью везде, или настроить правила
2. сделать админ учетку локальную все остальные удалить-выключить (на машинах юзверей)
3. адрес сервера обновления локального
4. bginfo везде и клиентах и на серверах
5. принт серверы и раздача принтеров по au

наверное такое чтоб начать.....

Уваров А.С.

Плясать нужно от реальных потребностей, берем чистый комп, вводим в домен и смотрим, что на нем нужно настроить, а потом думаем, что из этого можно сделать через GPO.

STALKER_SLX

Quote from: salex on 24 February 2019, 15:44ну пофантазируем ....
0. второй домен контроллер сразу и проверка репликации
1. открыть файервол полностью везде, или настроить правила
2. сделать админ учетку локальную все остальные удалить-выключить (на машинах юзверей)
3. адрес сервера обновления локального
4. bginfo везде и клиентах и на серверах
5. принт серверы и раздача принтеров по au

наверное такое чтоб начать.....

Спасибо Вам за подсказку и направление для движения мыслей!

Quote from: Уваров А.С. on 25 February 2019, 15:43Плясать нужно от реальных потребностей, берем чистый комп, вводим в домен и смотрим, что на нем нужно настроить, а потом думаем, что из этого можно сделать через GPO.
Вы абсолютно правы!

Я пытаюсь систематизировать т.н. "перечень базовых политик", которые будут максимально универсальны и необходимы для "первого старта", как нового домена так и пользовательских ПК!
Знаю, что создание такого перечня забирает очень много времени и может показаться нецелесообразным, но думаю в будущем оно окупится.
Сейчас продолжаю в фоновом режиме копать эту тему и свои результаты выложу тут для конструктивной критики, замечаний и предложений.