В данной статье опишу стандартный набор политик которые я делаю в своих доменах.
Итак, создаем в корне нашего домена объект групповой политики, который будет применяться ко всем пользователям и компьютерам, назовем его например "Domain Policy"
Напичкаем его следующими полезными параметрами:
Конфигурация компьютера:
Конфигурация Windows
-- Параметры безопасности
--- Локальные политики/Параметры безопасности
*** Отключаем безопасный рабочий стол который блокирует укран при удаленном подключении
---- Контроль учетных записей: переключение к безопасному рабочему столу при выполнении запроса на повышение прав - Отключено
--- Системные службы
*** Включаем службы необходимые для удаленного администрирования
---- Модуль запуска процессов DCOM-сервера (Режим запуска: Автоматически)
---- Удаленный реестр (Режим запуска: Автоматически)
---- Сопоставитель конечных точек RPC (Режим запуска: Автоматически)
---- Локатор удаленного вызова процедур (RPC) (Режим запуска: Автоматически)
---- Удаленный вызов процедур (RPC) (Режим запуска: Автоматически)
---- Служба удаленного управления Windows (WS-Management) (Режим запуска: Автоматически)
- Компоненты Windows/Оптимизация доставки
*** Отключаем скачивание обновлений с компьютеров внутри локальной сети
-- Режим скачивания - Отключено
*** Включаем удаленный рабочий стол (RDP)
-Компоненты Windows/Службы удаленных рабочих столов/Клиент подключения к удаленному рабочему столу
-- Отключение UDP на клиенте - Включено
- Компоненты Windows/Службы удаленных рабочих столов/Узел сеансов удаленных рабочих столов/Подключения
-- Выбор транспортных протоколов RDP - Включено
| Выбор типа транспорта | Использовать только TCP
-- Разрешить пользователям удаленное подключение с использованием служб удаленных рабочих столов - Включено
*** Включаем WinRM
- Компоненты Windows/Удаленное управление Windows/Служба удаленного управления Windows
-- Разрешить удаленное администрирование сервера средствами WinRM - Включено
| Фильтр IPv4: | *
| Фильтр IPv6: | *
- Система
-- Выводить очень подробные сообщения о состоянии системы - Включено
- Система/Вход в систему
-- Всегда ждать сеть при запуске и входе в систему - Включено
*** Разрешаем всегда сохранять пароль для RDP подключения
- Система/Передача учетных данных
-- Разрешить передачу сохраненных учетных данных с проверкой подлинности сервера «только NTLM» - Включено
| Добавить серверы в список:
| TERMSRV/*
| Связать настройки системы по умолчанию с введенными ранее | Включено
*** Включаем Удаленный помощник Windows
- Система/Удаленный помощник
-- Настроить запрашиваемую удаленную помощь - Включено
| Разрешить удаленное управление этим компьютером: | Разрешить помощникам управлять компьютером
| Максимальное время билета (значение): | 1
| Максимальное время билета (единицы): | Минуты
| Метод отправки приглашений по электронной почте: | Simple MAPI
-- Настроить предлагаемую удаленную помощь Включено
| Разрешить удаленное управление этим компьютером: | Разрешить помощникам управлять компьютером
Помощники:
| Администратор
| И так же перечислить остальные УЗ
Конфигурация пользователя
Конфигурация Windows
- Реестр
*** Возвращаем значек "Компьютер на рабочий стол"
| Создать | Элемент реестра
| Действие | Обновить
| Куст | HKEY_CURRENT_USER
| Путь к разделу | Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
| Имя параметра | {20D04FE0-3AEA-1069-A2D8-08002B30309D}
| Тип параметра | REG_DWORD
| Значение | 00000000