15 ה-GPOs הנפוצים ביותר

[novashare_inline_content]

אם אתה מתחיל עם שרת Windows כבקר תחום, אתה עשוי לתהות מאיזו מדיניות קבוצתית להתחיל. כדי לתת לך כמה רעיונות, הנה ה-GPOs הנפוצים ביותר.

כמובן, רשימה זו אינה ממצה והאסטרטגיות שלך יצטרכו להיות מוגדרות בהתאם להקשר של החברה. עם זאת, זו יכולה להיות נקודת התחלה טובה בבניית בקר הדומיין שלך.

ותזכור, תמיד בדוק את ה-GPO שלך בכמה מכונות לפני פריסתם בקנה מידה גדול!

1. מדיניות סיסמאות

בין ה-GPOs הנפוצים ביותר הם אלה שיגדירו את מדיניות הסיסמאות שלך. ואכן, כדי לשפר את האבטחה של חשבונות המשתמשים שלך, מומלץ לדרוש סיסמאות מורכבות. ניתן גם להגדיר תקופת תוקף שלגביה המשתמש חייב לשנות את הסיסמה שלו.

  1. כדי להגדיר אותו, עבור אלתצורת מחשבאסטרטגיותהגדרות Windowsהגדרות אבטחהאסטרטגיית חשבוןמדיניות סיסמאות.
  2. לאחר מכן תגדיר:
    • אורך סיסמה מינימלי: המספר המינימלי של תווים של הסיסמה
    • הסיסמה חייבת לעמוד בדרישות המורכבות: לתקתקמופעללדרוש סיסמאות עם לפחות מספר אחד, אות אחת גדולה, אות קטנה אחת ו-1 תו מיוחד.
    • תוחלת חיים מקסימלית של סיסמה: אם תרצה, באיזו תדירות המשתמשים שלך צריכים לשנות את הסיסמה שלהם.

2. נעילת חשבון

אסטרטגיית אבטחה נוספת שאין להתעלם ממנה: נעילת חשבון. כדי לחסום חשבון אוטומטית לאחר מספר ניסיונות התחברות כושלים, עליך גם להגדיר GPO. זה נמצא ב:

  1. עבור אלתצורת מחשבאסטרטגיותהגדרות Windowsהגדרות אבטחהאסטרטגיית חשבוןמדיניות נעילת חשבון.
  2. הגדר את הערכים הרצויים עבורמשך נעילת החשבון,אפס את מונה נעילת החשבון לאחרetסף נעילת חשבון.

3. נהל את חוקי חומת האש של Windows.

אם חומת האש של Windows פעילה בצי המכונות שלך, תצטרך ליצור מדיניות ספציפית כדי לאפשר או לא לאפשר תנועה ברשת שלך. כמו RPC/WMI לעדכון GPOs מרחוק, ping או אפילו RDP שולחן עבודה מרוחק. אתה כמובן יכול לבחור בין פרופילים פרטיים, דומיינים או ציבוריים.

  1. עבור אלתצורת מחשבאסטרטגיותהגדרות Windowsהגדרות אבטחהחומת האש של Windows Defender עם תכונות מתקדמות.
  2. עבור אלכללי תנועה נכנסת או יוצאת.
  3. אז קליק ימניכלל חדש.

4. הגבל התקנת תוכנה

בסיכון של יצירת תסכול קטן, אני ממליץ בחום לא לאפשר למשתמשים ה"רגילים" שלך להתקין תוכנה. אתם שומרים על שליטה טובה יותר בתוכנות המותקנות, מונעים מתחנות העבודה שלכם להיות מזוהמות בתוכנות זבל ומפחיתים את הסיכון להפעלת תוכנות זדוניות.

משתמשים מוקצים לקבוצת משתמשי דומיין כברירת מחדל ולכן אינם מורשים לבצע תמרון מסוג זה. אם ברצונך להעניק זכויות נוספות למשתמשי דומיין מסוימים, תוכל להוסיף אותם כמשתמש מתקדם או כמנהל מקומי של המחשב באמצעות קבוצות מוגבלות.

למידע נוסף:https://docs.microsoft.com/fr-FR/troubleshoot/windows-server/group-policy/description-of-group-policy-restricted-groups

5. Windows Update

עדיין למען השליטה, אתה יכול להגדיר כללי Windows Update עבור כל המכונות שלך. ניתן לציין מתי להתקין עדכונים, העיכוב לפני ההתקנה, האם להשתמש בשרת WSUS ועוד.

  • עבור אל:תצורת מחשבאסטרטגיותתבניות אדמיניסטרטיביותרכיבי WindowsWindows Update.
  • בחר את הפרמטרים להגדרה ובפרטהגדרת שירות העדכונים האוטומטיים.

6. פריסת תוכנה

GPO זה הוא ללא ספק אחד הנפוצים ביותר, מכיוון שהוא מעשי מאוד לאוטומציה של הפצת תוכנות. לפיכך, בעת פריסת מחשב חדש, אין יותר התקנות תוכנה חוזרות ונשנות. ברגע שהמחשב מצטרף לדומיין ול-OU (ארגון), הפריסה מתבצעת באופן אוטומטי, שמחה אמיתית!

למידע נוסף, אני מזמין אותך לקרואהתקן ועדכן תוכנה על ידי GPO.

7. התקן מדפסת

אני גם ממליץ לך להתקין שרת הדפסה שבו יופיעו המדפסות של הארגון שלך. אז זה יהיה מספיק כדי ליצור GPOs כדי לפרוס את המדפסות המשותפות ב-OUs השונים באופן אוטומטי.

בנושא זה, אני מזמין אתכם לקרואכיצד להוסיף מדפסת על ידי GPO.

8. מיפוי כונני רשת

אם אתה משתמש בשיתוף קבצים ברשת שלך, כגון ספריות סריקה או קבצי עבודה, תוכל לפרוס כונני רשת למחשבי המשתמשים שלך על סמך החברות שלהם.

  • עבור אלתצורת משתמשאוֹתצורת מחשבהעדפותהגדרות Windowsמיפויי כוננים.
  • לאחר מכן, לחץ לחיצה ימנית בחלונית הימניתנובוכונן ממופה.

9. צור קיצורי דרך

בדיוק כמו כונני רשת, אתה יכול לדחוף קיצורי דרך לשולחן העבודה של המשתמשים שלך.

  • עבור אלתצורת משתמשאוֹתצורת מחשבהעדפותהגדרות Windowsקיצורי דרך.
  • לאחר מכן, לחץ לחיצה ימנית בחלונית הימניתנובוקיצור דרך.

10. ערוך את הרישום

אתה יכול לשנות מפתחות רישום עם GPO ולפרוס תצורות כמוהפעל את הנעילה. מספר כאשר Windows מופעל. כלל זה מוסיף קצת נוחות למשתמשים שלך.

למידע נוסף, קראכיצד לשנות את הרישום על ידי GPO.

11. חסום גישה לרישום

הרישום יכול להיות שער שהמשתמשים שלך יכולים להשתמש בו כדי לבצע שינויים במערכת. כדי למנוע זאת, אתה יכול לחסום את עורך הרישום.

  1. עבור אלתצורת משתמשאסטרטגיותתבניות אדמיניסטרטיביותמַעֲרֶכֶת.
  2. במונע גישה לכלי עריכת הרישוםלִבחוֹרמופעל.

12. גישה מתונה ללוח הבקרה

אתה יכול גם לאסור על המשתמשים שלך לגשת ללוח הבקרה של המחשב כדי למנוע מהם לשנות הגדרות.

  1. עבור אלתצורת משתמשאסטרטגיותתבניות מנהליותלוּחַ בַּקָרָה.
  2. באסרו גישה ללוח הבקרה וההגדרות של המחשב האישי, לבדוקמופעל.

13. צור חשבון מנהל מקומי במכונות

כדי להקל על התחזוקה של הצי שלך, חשוב להגדיר חשבון דומיין שיהיה המנהל המקומי של המכונות עם GPO. בדרך זו, אתה יכול להשתמש בחשבון זה כדי לבצע פעולות תחזוקה כאשר אתה עובד על המחשבים האישיים.

למידע נוסף, אני מזמין אותך לקרואצור חשבון ניהול מקומי עבור מחשבים אישיים בדומיין של Windows Server באמצעות GPO

14. הגבל גישה להתקני אחסון נשלפים

התקנים נשלפים חיצוניים, כגון כונני USB, כרטיסי אחסון וכוננים קשיחים חיצוניים, יכולים להיות שער עבור תוכנות זדוניות. אתה יכול לאסור את השימוש בהם עם GPO.

  1. עבור אלתצורת משתמשאסטרטגיותתבניות אדמיניסטרטיביותמַעֲרֶכֶתאחסון נשלף.
  2. בגישה לאחסון נשלף, בחרכל מחלקות האחסון הניתנות להסרהכדי לחסום את כל המכשירים הנשלפים.

15. דחוף פרופילי Wi-Fi

במקום להעביר SSID וסיסמאות Wi-Fi למשתמשים שלך, אתה יכול לפרוס אותם באופן אוטומטי עם GPO. לכן, ברגע שהמכונה תצטרף לדומיין, היא תוכל להתחבר אוטומטית לנקודות הגישה שלך.

  1. עבור אלתצורת מחשבאסטרטגיותהגדרות Windowsהגדרות אבטחהמדיניות רשת אלחוטית (IEEE 802.11).
  2. לאחר מכן, לחץ לחיצה ימנית בחלונית הימניתצור מדיניות רשת אלחוטית עבור Windows Vista ואילך.