Различия

Показаны различия между двумя версиями страницы.

--- os:gpo [22.07.2019 12:59] – [Удалённый помощник] viacheslav
+++ os:gpo [30.07.2024 19:21] (текущий) – внешнее изменение 127.0.0.1
@@ Строка 1: / Строка 1: @@
+====== GPO ======
+:!:Если //пользовательское// GPO применяется на отдельно созданную группу и OU //пользователей,// то в права политики нужно добавлять группу "//Компьютеры// домена", иначе политика не сработает.
+Порядок срабатывания (link order): политики обрабатываются в обратном порядке (снизу вверх), т.е. политика с номером 1 отработает последней.
+===== Фильтры WMI =====
+**Только 32-битные ОС:**\\
+root\CIMv2\\
+Select * from Win32_Processor where AddressWidth = '32'
+**Только 64-битные ОС:**\\
+root\CIMv2\\
+Select * from Win32_Processor where AddressWidth = '64'
+**Все, кроме Windows XP и Windows Vista:**\\
+root\CIMv2\\
+%%Select * from Win32_OperatingSystem where NOT (Version like "5.1%" or Version like "6.0%") AND ProductType="1"%%
+http://www.nogeekleftbehind.com/2013/09/10/updated-list-of-os-version-queries-for-wmi-filters/\\
+http://winitpro.ru/index.php/2012/01/13/filtraciya-gruppovyx-politik-s-pomoshhyu-wmi-filtrov/\\
+[[https://technet.microsoft.com/ru-ru/library/jj717288(v=ws.11).aspx]]\\
+https://jasonwrutherford.wordpress.com/2013/11/01/sccm-wmi-query-for-not-like/
+===== Удалённый помощник =====
+Remote assistant\\
+//Computer Configuration/Policies/Software Settings/Administrative Templates/System/Remote Assistance//
+|Включить оптимизацию пропускной способности |Отключено |
+|Настроить предлагаемую удаленную помощь\\ (Разрешить удаленное управление этим компьютером: Разрешить помощникам управлять компьютером)\\ (Помощники: domain.ru\group-RemoteAssistant) |Включено |
+|Разрешить подключения только с компьютеров под управлением Windows Vista или более поздней версии |Отключено |
+Файрволл\\
+//Computer Configuration/Policies/Windows Settings/Security Settings/Windows Firewall with Advanced Security/Windows Firewall with Advanced Security/Inbound Rules//\\
+Предопределённые настройки - Удалённый помощник, дальше оставить две галки для профиля "Домен", разрешить подключение.
+===== RDP =====
+Правило на файрволле:\\
+Конфигурация компьютера -> Политики -> Административные шаблоны -> Сеть -> Сетевые подключения -> Брандмауэр Windows -> Профиль домена -> Разрешить исключения для входящих сообщений удаленного управления рабочим столом\\
+Computer configuration -> Policies -> Administrative Templates -> Network -> Network Connections -> Windows Firewall -> Domain Profile -> Windows Firewall: Allow Remote Desktop Exception
+Включить RDP:\\
+Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Подключения -> Разрешать удаленное подключение с использованием служб удаленных рабочих столов\\
+Computer configuration -> Policies -> Administrative Templates -> Windows Components -> Terminal Services -> Terminal Server -> Connections -> Allow users to connect remotely using Terminal Services
+Откл. проверку подлинности на уровне сети:\\
+Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Безопасность -> Требовать проверку подлинности пользователя для удаленных подключений с помощью проверки подлинности на уровне сети
+===== Импорт шаблонов .admx =====
+Создать папку PolicyDefinitions, если её ещё нет, в ''\\domain.ru\SYSVOL\domain.ru\Policies''.
+<code powershell>
+mkdir \\domain.ru\SYSVOL\domain.ru\Policies\PolicyDefinitions
+</code>
+Переписать туда .admx и .adml в соответствующие подпапки\\
+{{:os:pasted:20220406-121248.png}}
+===== Логирование установки =====
+Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Установщик Windows -> Задать типы событий, записываемых установщиком Windows в журнал транзакций\\
+Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows Installer -> Specify the types of events Windows Installer records in its transaction log
+Логи пишутся в ''%windir%\temp''.