Представьте офис, где 50 новых компьютеров. На каждом нужно прописать прокси, подключить сетевые диски, убрать с рабочего стола мусор и запретить сотрудникам ставить игры. Если бегать с флешкой к каждому ПК, уйдёт неделя. А через месяц кто-нибудь случайно удалит нужную папку или сменит настройки экрана. И снова бегом.
Ручная настройка каждого компьютера это тупик, особенно когда машин больше пяти.
В Windows есть механизм, который решает эту боль. Групповые политики (Group Policy) позволяют один раз задать правила на сервере, а они сами применятся ко всем компьютерам в домене. Важно: политики работают только в версиях Windows Pro, Enterprise и Education. Домашняя редакция не подходит.
Я отобрал пять настроек, которые нужны в 90% офисов. С ними вы приведёте к единому виду хоть 50, хоть 500 машин за полчаса.
Где это делается
На контроллере домена или на любом ПК с оснасткой Group Policy Management. Нажмите Win+R, введите gpmc.msc. Создайте новый объект политики (GPO), дайте ему имя, например «Настройки для бухгалтерии», нажмите Edit. Дальше добавляйте правила.
Политика 1. Запрет на установку любых программ, кроме разрешённых
Люди ставят Яндекс.Браузеры, агенты Mail.ru и прочий мусор. Потом система тормозит, и всё конфликтует с рабочим софтом.
Используйте AppLocker. Путь: Computer Configuration → Windows Settings → Security Settings → Application Control Policies → AppLocker → Executable Rules. Нажмите Create Default Rules. Они разрешат запуск только из Program Files и Windows. Всё остальное (с флешки, из папки пользователя) заблокируется. Не забудьте включить службу Application Identity в services.msc.
Политика 2. Автоматическое подключение сетевых дисков при входе
Каждому бухгалтеру нужна общая папка и личный каталог на сервере. Объяснять путь \server\share бесполезно. Сделайте диск Z: и W: автоматически.
Путь: User Configuration → Preferences → Windows Settings → Drive Maps. Правой кнопкой, New, Mapped Drive. Укажите путь, букву, понятное имя. На вкладке Common можно настроить Item level targeting, чтобы диск подключался только конкретным людям.
Политика 3. Принудительный прокси и запрет его отключать
Если в компании интернет через прокси, а пользователь снимет настройки, он останется без связи.
Настройка прокси: User Configuration → Windows Settings → Internet Explorer Maintenance → Connection → Proxy Settings. Включите прокси, укажите адрес и порт. Дополнительно запретите менять вкладку «Подключения»: Computer Configuration → Administrative Templates → Windows Components → Internet Explorer → Internet Control Panel → Disable the Connections page (включить).
Политика 4. Ограничение доступа к панели управления
Пользователи лазают в настройки, меняют электропитание, отключают брандмауэр, добавляют учётки. Это ни к чему хорошему не ведёт.
Путь: User Configuration → Administrative Templates → Control Panel. Можно полностью запретить доступ к панели управления (Prohibit access to Control Panel and PC settings) или скрыть отдельные элементы (Hide specified Control Panel items).
Политика 5. Единый вид рабочего стола и меню Пуск
На каждом компьютере бардак. У кого 100 иконок, у кого фон с котятами. Корпоративного стиля нет.
Путь для меню Пуск: User Configuration → Administrative Templates → Start Menu and Taskbar. Полезно убрать команду «Выполнить», поиск в интернете, список часто используемых программ. Для рабочего стола: User Configuration → Administrative Templates → Desktop. Можно скрыть все иконки или убрать только корзину.
Шпаргалка
Что настраиваемГде искатьЗапрет установки ПОComputer Config → Windows Settings → Security Settings → AppLockerСетевые дискиUser Config → Preferences → Windows Settings → Drive MapsПроксиUser Config → Windows Settings → Internet Explorer Maintenance → ConnectionОграничение панели управленияUser Config → Administrative Templates → Control PanelРабочий стол и ПускUser Config → Administrative Templates → Start Menu and Taskbar / Desktop
Групповые политики превращают сисадмина из бегуна с флешкой в стратега. Потратьте полчаса один раз и забудьте о тысяче мелких проблем. Начинайте с этих пяти правил. И всегда тестируйте новую политику на небольшой группе компьютеров, чтобы случайно не заблокировать доступ всем сразу. Делайте бэкапы объектов политик.
Иригинальная статья: andko.ru/gruppovye-politiki-5-samyh-poleznyh/