Групповые политики - полезный инструмент системного администратора. В этой записке собраны групповые политики, которые будут полезны при базовой настройке. Все решения были взяты с форумов и других источников.
Запрешаем использование съемных носителей
Создаем файл со следующим содержимым:
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIREDVALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIREDVALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIREDVALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIREDVALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameCD_READ_ONLY
KEYNAME "SYSTEM\CurrentControlSet\Control\StorageDevicePolicies"
EXPLAIN !!explaintextCD_READ_ONLY
PART !!labeltextCD_READ_ONLY DROPDOWNLIST REQUIREDVALUENAME "WriteProtect"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 0 DEFAULT
NAME !!Enabled VALUE NUMERIC 1
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY[strings]
category="Собственные установки для съемных носителей"
categoryname="Блокировка СД УСБ Флоп"
policynameusb="Закрываем USB"
policynamecd="Закрываем CD-ROM"
policynameflpy="Закрываем Floppy"
policynamels120="Disable High Capacity Floppy"
policynameCD_READ_ONLY="Закрываем для записи CD & USB"
explaintextusb="Закрытие компьютерных USB портов путем отключения usbstor.sys драйвера"
explaintextcd="Закрытие компьютерного CD-ROM привода путем отключения cdrom.sys драйвера"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
explaintextCD_READ_ONLY="Закр для записи СД и Флеш через ветвь реестра"
labeltextusb="Закрытие USB портов"
labeltextcd="Закрытие CD-ROM привода"
labeltextflpy="Закрытие Floppy дисковода"
labeltextls120="Disable High Capacity Floppy Drive"
labeltextCD_READ_ONLY="Запрет записи дисков и флешек"
Enabled="Закрыть"
Disabled="Открыть"
Назовем файл RESTRICT_DEV.ADM
Закиним его в папку C:\WINDOWS\INF\
Получится так C:\WINDOWS\INF\RESTRICT_DEV.ADM
Так как данная политика действует только на объекты "компьютеры" нам нужно создать OU куда мы будем помещать компьютеры с заблокированными съемными носителями, например: COMPUTERS->DISABLED_USB_PC
и ENABLED_USB_PC
Далее щелкаем этот OU и выводим свойства. В свойствах щелкаем вкладку "Group Policies", а потом "New".
Вводим имя новой политики "RestrictUSBDevices" и нажимаем "Edit".
Находим ветку "Administrative Templates", нажимаем правой кнопкой и выбираем "Add/Remove Templates".
Здесь добавляем наш шаблон c:\Windows\inf\RESTRICT_DEV.ADM
Появится надпись "Собственные установки для съемных носителей". Шелакем ее правой кнопкой мыши, и выбираем View->Filtering. Снимаем галки на:
1. Only show configured settings
2. Only show policy settings that can be fully managed
Далее запрещаем выставляя в положение "Enabled"
Повторите все к ENABLED_USB_PC - OU, только действие поставьте "Disabled", чтобы к компьютеров были USB.
Теперь закиньте компьютеры в DISABLED_USB_PC, перезагрузите компьютеры к которые в этом OU два раза и проверьте исчезли ли иконки CD-ROM, засуньте флешку ...
Понижаем роли 'локальных администраторов" до "пользователей", а также разрешаем модифицировать папку "Program files"для юзеров с правами "пользователи"
Ограничиваем локальных администраторов
2. Создаем группу - "G_Local_Admins"
3. Открываем оснастку Групповые Политики
для подразделения - Computers_AI
4. Создаем объект GPO контейнер: Restrictions_1
5. Открываем редактор GPO для Restrictions_1
Нажимаем изменить.
Нужно изменить всего два параметра.
6. Оба параметра находятся в одном разделе: "Конфигурация компьютера ->Конфигурация Windows->Параметры безопасности"
7. Первый параметр "Группы с ограниченным доступом", нажимаем правой кнопкой и добавляем группу "Добавить группу", выбираем "Администраторы", "Администраторы домена", пользователя "Администратора" и самое главное группу "G_Local_Admins"
В группу "G_Local_Admins" будут входить все пользователи которым нужен доступ на уровне локальных администраторов
После применения политики на компьютерах где эта политика из группы "Администраторов" вылетят все пользователи, не внесенные в политику. Даже если добавить пользователя с правами администратора минуя эту политику, добавленный пользователь вылетит из группы локальных администраторов данного компьютера.
1. Группа "Пользоваетли" - Убираем "Полный доступ", остальное включаем.
2. "Создатьель-Владелец", "System" и "Administrator" - дать "Полный доступ"
9. Проверить работоспособность политики на рабочих машинах
10. Также не которым программам требуется доступ к определенным веткам реестра, как правило надо выяснить что нужно и открыть доступ к этим веткам реестра
Конфигурация пользователя\Административные шаблоны\Система
- выполнять только разрешенные приложения
- не запускать указанные приложения
user configuration\Административные шаблоны\панель управления\экран\
там:
1. Активизировать экранные заставки
2. таймаут заставки
3. Защита заставки паролем.
2. если надо завершать сеанс по истечении определенного времени:
Конфигурация компьютера\Конф. Windows\параметры безопасности\параметры безопасности\
там:
1. Длительность простоя перед отключением сеанса
2. Автоотключение сеанса