Эксплуатация объектов сетевой инфраструктуры

1.

МДК.03.01 Эксплуатация объектов
сетевой инфраструктуры
Преподаватель: Сергей Владимирович Мельников

2.

Модуль В: «Пусконаладка
инфраструктуры на основе OC
семейства Windows»
Настройка DC1. GPO

3.

Настройка DC1
Задание B.1.5.1 Запретите анимацию при первом входе пользователей в
систему на всех клиентских компьютерах домена

4.

Управление групповыми политиками осуществляется в окне управления Group Policy Management

5.

Поскольку настройка должна распространяться на всех пользователей домена, создадим новую политики для всего домена: ПКМ
kazan.wsr Create a GPO in this domain, and Link here…

6.

В поле Name задается название GPO (рекомендуется задавать осмысленные название, дающие понять назначение GPO н. Animation).
Параметр Source Starter GPO используется, если в системе есть созданный шаблон для групповых политик

7.

Для определения параметров GPO в контекстном меню политики выбрать команду Edit

8.

Путь до GPO → Computer Configuration → Policies → Administrative Templates → System → Logon → Show first sign-in animation
Выставить значение Disable

9.

Настройка DC1
ПРОВЕРКА выполнения (не обязательно)
Задание B.1.5.1 Запретите анимацию при первом входе пользователей в
систему на всех клиентских компьютерах домена

10.

Для обновления GPO перезагружаем ПК Cli1 ИЛИ выполняем в PowerShell (admin) команду gpupdate /force и logoff для выхода из
учетной записи [email protected]

11.

Для авторизации можно использовать созданную ранее учетную запись IT_n (пароль P@ssw0rdn, где n – число от 1 до 30).
При загрузке должно крутиться сообщение Preparing Windows. Анимации нет – политика отработала.

12.

Настройка DC1
Задание B.1.5.2 Члены группы IT должны быть членами группы локальных
администраторов на всех клиентских компьютерах домена

13.

Создаем новую политику для всего домена kazan.wsr LocalAdmin.
Путь до GPO → Computer Configuration → Policies → Windows Settings → Security Settings → Restricted Groups
Создаем группу IT и в ней указываем This group is a member of группу Administrators

14.

Настройка DC1
ПРОВЕРКА выполнения (не обязательно)
Задание B.1.5.2 Члены группы IT должны быть членами группы локальных
администраторов на всех клиентских компьютерах домена

15.

Авторизоваться учетной записью IT_n; запусить PowerShell (admin); утилита запускается без требования ввода логина/пароля
администратора (скрин слева)
Авторизоваться учетной записью Sales_n; запусить PowerShell (admin); утилита требует ввода логина/пароля администратора (скрин
справа)
GPO работает.

16.

Настройка DC1
Задание B.1.5.3 В браузерах IE Explorer и Microsoft Edge должна быть
настроена стартовая страница – www.kazan.wsr

17.

Так как по умолчанию в системе нет групповых политик для Microsoft Edge, нам необходимо установить дополнительные пакеты на
сервер. Для этого открываем параметры ВМ DC1. В разделе CD/DVD drive 1 выбираем Файл образа ISO Additional.iso

18.

Авторизуемся учетной записью [email protected]. В проводнике должен отражаться примонтированный ранее диск
Aditional.iso

19.

Устанавливаем шаблоны расширений ADMX. Все параметры установки использовать по умолчанию.

20.

Устанавливаем шаблоны расширений ADMX. Все параметры установки использовать по умолчанию.

21.

Копируем папку
C:\Programm Files(x86)\Microsoft Group Policy\Windows 10…\PolicyDefinitioins
в папку
\\DC1\Sysvol\Kazan.wsr\Polices

22.

Создаем GPO для всего домена kazan.wsr с именем HomePage.
Путь до GPO для Microsoft Edge: Computer Configuration → Policies → Administrative Templates → Windows Components → Microsoft Edge
→ Configure Home Pages
Выставляем значение Enable и в поле Option вводим домашнюю страницу https://www.kazan.wsr

23.

После ввода
адреса нажать F5.
Красная линия
должна пропасть,
вместо нее
появиться
зеленая
В этой же политики HomePage зададим домашнюю страницу для Internet Explorer
Путь до GPO для Internet Explorer: User Configuration → Preferences → Control Panel Settings - Internet Settings
Создать новое правило для Internet Explorer 10; в нем указать адрес и выбрать пункт Start with home page.

24.

Настройка DC1
ПРОВЕРКА задания (не обязательно)
Задание B.1.5.3 В браузерах IE Explorer и Microsoft Edge должна быть
настроена стартовая страница – www.kazan.wsr

25.

Авторизоваться административной учетной записью; обновить групповые политики.
Открыть Edge и Internet Explorer. На текущем этапе выполнения ДЭ страница www.kazan.wsr недоступна.
GPO работает.
ВАЖНО! При первом запуске браузеров будет созданы дополнительные вкладки. Второй и последующие запуски должны открыть
только одну домашнюю страницу.

26.

Настройка DC1
Задание B.1.6.5 Все пользователи при первом входе в домен с компьютера
CLI1 должны видеть на рабочем столе ярлык программы Калькулятор.

27.

Создаем новую политику для всего домена kazan.wsr Notepad.
Политика находится по пути: User Configuration → Preferences → Windows Settings → Shortcuts
Создаем новый ярлык. Указываем: Name – Notepad; Location – Desktop; Target path: C:\Windows\System32\notepad.exe (рекомендуется
выбрать нажав кнопку … )
При входе доменной учетной записью на рабочем столе должен быть ярлык Блокнота.

28.

Настройка DC1
Задание B.4.1.4 Запретите использование «спящего режима» таким образом,
чтобы пользователи домена не могли изменить эту настройку без участия
администратора домена;.

29.

Создаем новую политику для всего домена kazan.wsr Sleep.
Политика находится по пути: Computer Configuration → Policies → Administrative Templates → System → Power Management → Sleep
Settings
Отключаем политики: Allow standby states (S1-S3) when sleeping …

30.

Переходим на виртуальную машину CLI1, заходим под пользователем IT_20 (член группы Администраторы).
Нажимаем на кнопку выключения ПК и видим, что режим “Sleep” пропал

31.

Настройка DC1
Разрешаем весь трафик в Windows Firewall
Настраивать Firewall правильно, с действительной блокировкой трафика - это долгий
и серьезный процесс. Разрешим любой трафик, но не отключая брандмауэр на ПК в
домене.
ДЕЛАТЬ ТАК НА РАБОТЕ - НЕЛЬЗЯ И НЕПРАВИЛЬНО! ДЛЯ ЗАДАНИЯ НЕ КРИТИЧНО!

32.

Создаем новую политику для всего домена kazan.wsr Firewall.
Путь до GPO Computer Configuration → Policies → Windows Settings → Security Settings → Windows Defender… → Windows Defender… →
Inbound Rules
Разрешаем ЛЮБОЙ входящий трафик.

33.

Разрешаем ЛЮБОЙ исходящий трафик.
ВАЖНО! Данная политика, в том числе, разрешает управляющий трафик. БЕЗ данной политики удаленное управление серверами
может быть ограничено!