Базовые GPO в новом домене

STALKER_SLX · 15 February 2019, 15:55

Доброго времени суток, уважаемые форумчане!
Понимаю, что групповые политики в домене создаются/применяются в зависимости от поставленных задач. Но всё же хотелось узнать у практикующих админов базовый перечень так называемых «универсальных групповых политик», которые в большинстве случаев они бы рекомендовали применять в новом домене (например, на свежеустановленном «Windows Server 2012 R2 Standard»).
Прошу Вашей посильной помощи в этом вопросе!

Уваров А.С. · 16 February 2019, 18:23

Ну это вопрос глубоко личный, обычно это базовые настройки рабочих станций, установка базового набора софта и т.д. и т.п., что бы достал ПК из коробки, ввел в домен, а дальше он сам настроился исходя из того в какую группу и OU он попал.

ival · 18 February 2019, 12:43

Стандартно везде сразу делал:

Парольные политики как мне нужно
Настройка брандмауэра
Включение RDP
Политики для подключения к WSUS и обновления

Все остальное уже по нуждам.

STALKER_SLX · 19 February 2019, 13:05

А используете ли Вы групповые политики для отключения/запрета телеметрии, как на самом контроллере, так и на клиентских машинах?!
Ведь не только в десятке она работает, но и в "Windows 7", "Windows 8/8.1", "Windows Server 2008 R2" и "Windows Server 2012 R2" и выше (сам заметил эту неприятность почти год назад, как среди системных служб, так и в планировщике заданий).

Или есть какие-то более простые/радикальные и интересные способы/методы по борьбе с этим недугом?!

Уваров А.С. · 19 February 2019, 18:23

Как всех волнует телеметрия в Windows, хотя этот вопрос уже разжеван и пережеван, но при этом практически никого не волнует, что телефон собирает и передает гораздо больше персональной информации.

STALKER_SLX · 19 February 2019, 20:05

Quote from: Уваров А.С. on 19 February 2019, 18:23Как всех волнует телеметрия в Windows, хотя этот вопрос уже разжеван и пережеван, но при этом практически никого не волнует, что телефон собирает и передает гораздо больше персональной информации.

Тут меня напрягают возможные гадости от руководства компании в мой адрес, если вдруг что...
В связи с чем и приходиться тут занудствовать о телеметрии, прошу простить за дискомфорт

Уваров А.С. · 19 February 2019, 21:45

Quote from: STALKER_SLX on 19 February 2019, 20:05Тут меня напрягают возможные гадости от руководства компании в мой адрес, если вдруг что..

А что может быть вдруг? Ничего такого MS не собирает и не передает, в отличие от Гугла, который хранит в облаке переписку, загруженные документы, адресную книгу, сообщения, перемещения, фотографии, историю поиска, в т.ч. голосового и много еще чего интересного.

STALKER_SLX · 19 February 2019, 22:10

Quote from: Уваров А.С. on 16 February 2019, 18:23обычно это базовые настройки рабочих станций, установка базового набора софта и т.д. и т.п., что бы достал ПК из коробки, ввел в домен, а дальше он сам настроился исходя из того в какую группу и OU он попал.

Я это ВСЁ понимаю, в связи с чем, пытаюсь систематизировать для себя, чтобы сделать некоторые заготовки на будущее. Ведь админы «бывают разные» и не всегда то, что крутиться на серверах необходимо, а иногда и просто может быть вредным. Судя потому, что мне приходилось видеть – и контроллеры доменов тому не исключение.

Если Вам не очень трудно, поделитесь, пожалуйста, своими часто используемыми политиками (GPO), которые Вы применяете на практике. Или это будет не секюрно?!

salex · 24 February 2019, 15:44

ну пофантазируем ....
0. второй домен контроллер сразу и проверка репликации
1. открыть файервол полностью везде, или настроить правила
2. сделать админ учетку локальную все остальные удалить-выключить (на машинах юзверей)
3. адрес сервера обновления локального
4. bginfo везде и клиентах и на серверах
5. принт серверы и раздача принтеров по au

наверное такое чтоб начать.....

Уваров А.С. · 25 February 2019, 15:43

Плясать нужно от реальных потребностей, берем чистый комп, вводим в домен и смотрим, что на нем нужно настроить, а потом думаем, что из этого можно сделать через GPO.

STALKER_SLX · 26 February 2019, 14:08

Quote from: salex on 24 February 2019, 15:44ну пофантазируем ....
0. второй домен контроллер сразу и проверка репликации
1. открыть файервол полностью везде, или настроить правила
2. сделать админ учетку локальную все остальные удалить-выключить (на машинах юзверей)
3. адрес сервера обновления локального
4. bginfo везде и клиентах и на серверах
5. принт серверы и раздача принтеров по au

наверное такое чтоб начать.....

Спасибо Вам за подсказку и направление для движения мыслей!

Quote from: Уваров А.С. on 25 February 2019, 15:43Плясать нужно от реальных потребностей, берем чистый комп, вводим в домен и смотрим, что на нем нужно настроить, а потом думаем, что из этого можно сделать через GPO.

Вы абсолютно правы!

Я пытаюсь систематизировать т.н. "перечень базовых политик", которые будут максимально универсальны и необходимы для "первого старта", как нового домена так и пользовательских ПК!
Знаю, что создание такого перечня забирает очень много времени и может показаться нецелесообразным, но думаю в будущем оно окупится.
Сейчас продолжаю в фоновом режиме копать эту тему и свои результаты выложу тут для конструктивной критики, замечаний и предложений.

Записки IT специалиста - Форум

News:

Базовые GPO в новом домене

STALKER_SLX

Уваров А.С.

ival

STALKER_SLX

Уваров А.С.

STALKER_SLX

Уваров А.С.

STALKER_SLX

salex

Уваров А.С.

STALKER_SLX