Active Directoryで構成する必要がある重要なグループポリシー設定は何ですか?
いくつかの重要な設定(パスワードの変更、画面ロックなど)が有効になっていますが、有効にできるもっと便利な設定がたくさんあると確信しています。
どんな提案でもありがたいです...特にセキュリティ領域で。
上記は通常出発点です
コンピュータポリシー:
- アカウントポリシー/監査ポリシーの確認
- ローカルポリシー/ユーザー権利の割り当てを確認する
- ローカルポリシー/セキュリティオプション/シャットダウン/シャットダウン:仮想メモリページファイルのクリア=有効
- システムサービス\メッセンジャー\スタートアップモード=無効
- 公開鍵ポリシー/暗号化ファイルシステム/ユーザーがEFSを使用してファイルを暗号化できるようにする=無効(復号化を許可するPKIとアカウントが設定されている場合を除く)
ユーザーポリシー:
- 管理用テンプレート\コントロールパネルを確認する
- 管理用テンプレート\システム\レジストリ編集ツールへのアクセスを防止=有効
- 管理用テンプレート\システム\コマンドへのアクセスを防止するプロンプト=有効
より多くの便利で重要なものがありますが、それらはXP/Vista/2003の落とし穴のほとんどをカバーしています。苦痛に聞こえますが、実行できる唯一のことは、最新の.admファイルがグループポリシー管理コンソールにロードされていることを確認し、ビジネスニーズに基づいてすべての人が決定を下すことです。
見過ごされがちなWindows設定/ InternetExplorerのメンテナンス/ URL /お気に入りとリンク/-すべての企業リンク(私の正気にとって重要であるために失うことのない「ヘルプデスクチケット」リンク)。
サーバーOU-私のGPOのほとんどは、RDCセッションをより一貫性があり、便利で、シンプルなサーバーにすることと関係があります。
管理用テンプレート/ Windowsコンポーネント/ターミナルサービス/クライアント/サーバーデータリダイレクト/ LPTポートの再取得を許可しない...ドライバーのインストール失敗スパムをイベントログから除外します。
ログイン時に(Sysinternalsからの)bginfoを強制します-デスクトップにserver/ip/etc名をペイントします。間違ったサーバーで再起動/設定を変更しないようにするために私を助けるために何か(再び)。
管理用テンプレート/スタートメニューとタスクバー-バルーンのヒントを削除し、削除します...シャットダウンします(これはコマンドラインのままにしておくことをお勧めします)、検索/ヘルプを削除します。
注:誰かの知性を侮辱することはありませんが、 グループポリシー管理コンソール (2003の場合、SP特定)敬虔な組み込みインターフェースの代わりに。
ジェレミー・モスコウィッツの本 は私にとって大きな助けになりました。
管理者テンプレート/システム/インターネット通信管理-無効にしたいものがたくさんあります。
管理者テンプレート/デスクトップ/ユーザーによるマイドキュメントパスの変更の禁止-はい。
そうでなければ、私はすべてをきつく保つことからそれをかなり緩くすることへと移行しました。テクノロジーは結局のところ人々に力を与えることになっています、そしてあなたはスタートメニューの右クリックのようなものを無効にすることができますが、あなたはそれから本当に何を得ていますか?
最後に、忘れないでください。ポリシーはセキュリティと同じではありません。