Зачем нужны GPO
Групповые политики (GPO) — это централизованное управление настройками всех компьютеров в домене. Один раз настроил — применяется на всех ПК автоматически. Новый компьютер подключили к домену — через 90 минут на нём уже все политики.
Ниже — пять политик которые я разворачиваю на каждом объекте в первую очередь.
1. Автоблокировка экрана
Сотрудник отошёл от компьютера — экран должен заблокироваться. Без этого любой может сесть и получить доступ.
``
Конфигурация пользователя →
Административные шаблоны →
Панель управления →
Персонализация
Включить заставку: Включено
Защита заставки паролем: Включено
Таймаут заставки: 600 (10 минут)
`
Дополнительно через конфигурацию компьютера:
`
Конфигурация компьютера →
Параметры Windows →
Параметры безопасности →
Локальные политики →
Параметры безопасности
Интерактивный вход: требовать нажатие CTRL+ALT+DEL: Включено
Интерактивный вход: время до появления заставки: 600
`
## 2. Блокировка USB-носителей
Флешка — один из главных каналов утечки данных и заражения вирусами. В большинстве компаний USB-накопители сотрудникам не нужны.
`
Конфигурация компьютера →
Административные шаблоны →
Система →
Доступ к съёмным запоминающим устройствам
Диски CD и DVD: запретить выполнение: Включено
Съёмные диски: запретить чтение: Включено
Съёмные диски: запретить запись: Включено
`
> **Совет:** создайте отдельную группу безопасности USB_Allowed и исключите её из этой политики. Тем кому реально нужны флешки (курьеры, склад) — добавьте в группу.
## 3. Запрет буфера обмена в RDP
По умолчанию при подключении через RDP можно копировать файлы и текст между локальным компьютером и удалённым сервером. Это дыра для утечки данных.
`
Конфигурация компьютера →
Административные шаблоны →
Компоненты Windows →
Службы удалённых рабочих столов →
Узел сеансов удалённых рабочих столов →
Перенаправление устройств и ресурсов
Не разрешать перенаправление буфера обмена: Включено
Не разрешать перенаправление дисков: Включено
Не разрешать перенаправление принтеров: Включено (по ситуации)
`
## 4. Автоматическое подключение сетевых дисков
Вместо того чтобы каждому сотруднику вручную подключать сетевые папки — GPO делает это автоматически при входе в систему.
`
Конфигурация пользователя →
Настройка →
Конфигурация Windows →
Сопоставления дисков
Создать → Путь: \\SRV-FILE\Бухгалтерия
Буква диска: B:
Подключить как другой пользователь: нет
`
Таргетирование на элемент: применять только для группы Бухгалтерия. Каждый отдел получит только свои диски.
## 5. Развёртывание программного обеспечения
Антивирус, корпоративный принтер, Radmin — всё это можно разворачивать через GPO без посещения каждого рабочего места.
`
Конфигурация компьютера →
Конфигурация программ →
Установка программ
Создать → Пакет → \\SRV-FILE\Software\radmin.msi
Метод развёртывания: Назначено
``
При следующем старте компьютера MSI-пакет установится автоматически.
Порядок применения GPO
Важный момент который часто упускают: GPO применяются в порядке LSDOU:
- L — Local (локальные политики)
- S — Site
- D — Domain (политики домена)
- OU — Organizational Unit (политики подразделения)
Политики OU имеют наивысший приоритет и перекрывают доменные. Используйте это для исключений.
Итог
Эти пять политик — базовый минимум. На реальных объектах у меня обычно 15–20 политик с учётом специфики компании: настройки браузера, прокси, ограничения панели управления, настройки обновлений.
Настройка Active Directory и GPO под ключ — пишите.