最も使用されている 15 の GPO

Windows Server をドメイン コントローラーとして使い始める場合は、どのグループ ポリシーから始めるべきか迷うかもしれません。いくつかのアイデアを提供するために、最も一般的に使用される GPO を次に示します。

もちろん、このリストはすべてを網羅しているわけではなく、企業の状況に応じて戦略を定義する必要があります。ただし、ドメイン コントローラーを構築する際の出発点としては適しています。

GPO を大規模に展開する前に、必ずいくつかのマシンでテストしてください。

1. パスワードポリシー

最もよく使用される GPO には、パスワード ポリシーを定義する GPO があります。実際、ユーザーのアカウントのセキュリティを向上させるために、複雑なパスワードを要求することをお勧めします。ユーザーがパスワードを変更する必要がある有効期間を定義することもできます。

1. 設定するには、次の場所に移動します。コンピュータの構成–戦略–Windowsの設定–セキュリティ設定–アカウント戦略–パスワードポリシー。
2. 次に、次のように定義します。
   • パスワードの最小長: e パスワードの最小文字数
   • パスワードは複雑さの要件を満たす必要があります：チェックマーク有効少なくとも 1 つの数字、1 つの大文字、1 つの小文字、および 1 つの特殊文字を含むパスワードを要求します。
   • パスワードの最大有効期間: 必要に応じて、ユーザーがパスワードを変更する頻度を指定します。

2. アカウントロック

見落とすべきもう 1 つのセキュリティ戦略は、アカウント ロックです。ログイン試行が複数回失敗した後にアカウントを自動的にブロックするには、GPO も設定する必要があります。それは次の場所にあります。

1. に行くコンピュータの構成–戦略–Windowsの設定–セキュリティ設定–アカウント戦略–アカウント ロックアウト ポリシー。
2. 希望の値を設定しますアカウントのロックアウト期間、次の後にアカウント ロックアウト カウンターをリセットしますなどアカウントのロックアウトしきい値。

3. Windows ファイアウォール ルールを管理します。

Windows ファイアウォールがマシン群でアクティブになっている場合は、ネットワーク上のトラフィックを許可または禁止する特定のポリシーを作成する必要があります。 GPO をリモートで更新するための RPC/WMI、ping、または RDP リモート デスクトップと同様です。もちろん、プライベート、ドメイン、またはパブリック プロファイルから選択できます。

1. に行くコンピュータの構成–戦略–Windowsの設定–セキュリティ設定–高度な機能を備えた Windows Defender ファイアウォール。
2. に行きますインバウンドまたはアウトバウンドのトラフィックルール。
3. 右クリックしてから新しいルール。

4. ソフトウェアのインストールを制限する

多少のフラストレーションを引き起こすリスクを承知で、「一般の」ユーザーにソフトウェアのインストールを許可しないことを強くお勧めします。インストールされているソフトウェアをより適切に管理し、ワークステーションがジャンク ソフトウェアで汚染されるのを防ぎ、悪意のあるソフトウェアが実行されるリスクを軽減します。

ユーザーはデフォルトでドメイン ユーザー グループに割り当てられるため、この種の操作を実行する権限はありません。特定のドメイン ユーザーにさらに多くの権限を付与したい場合は、制限付きグループを使用して、そのユーザーをパワー ユーザーまたはマシンのローカル管理者として追加できます。

さらに詳しく知るには:https://docs.microsoft.com/fr-FR/troubleshoot/windows-server/group-policy/description-of-group-policy-restricted-groups

5. Windowsアップデート

制御のために、すべてのマシンに対して Windows Update ルールを構成できます。更新プログラムをインストールする時期、インストールまでの遅延、WSUS サーバーを使用するかどうかなどを指定できます。

• 次の場所に移動します:コンピュータの構成–戦略–管理用テンプレート–Windows コンポーネント–Windowsアップデート。
• 構成するパラメータを選択します。特に、自動更新サービスの構成。

6. ソフトウェアの導入

この GPO は、ソフトウェアの配布を自動化するのに非常に実用的であるため、間違いなく最もよく使用される GPO の 1 つです。したがって、新しい PC を導入するときに、ソフトウェアを繰り返しインストールする必要はありません。コンピュータがドメインと OU (組織) に参加するとすぐに、展開が自動的に行われます。これは本当に嬉しいことです。

さらに詳しく知りたい方は、ぜひ読んでみてくださいGPO によるソフトウェアのインストールと更新。

7. プリンターをインストールする

また、組織のプリンターが一覧表示されるプリント サーバーをインストールすることをお勧めします。その後、GPO を作成して、異なる OU に共有プリンターを自動的に展開するだけで十分です。

この件に関しては、ぜひ読んでみてくださいGPOでプリンターを追加する方法。

8. ネットワークドライブのマッピング

スキャン ディレクトリや作業ファイルなど、ネットワーク上でファイル共有を使用する場合は、メンバーシップに基づいてユーザーのコンピュータにネットワーク ドライブを展開できます。

• に行くユーザー設定またはコンピュータの構成–設定–Windowsの設定–ドライブマッピング。
• 右ペインで右クリックし、ヌーボー–マップされたドライブ。

9. ショートカットの作成

ネットワーク ドライブと同様に、ユーザーのデスクトップにショートカットをプッシュできます。

• に行くユーザー設定またはコンピュータの構成–設定–Windowsの設定–ショートカット。
• 右ペインで右クリックし、ヌーボー–ショートカット。

10. レジストリの編集

GPO を使用してレジストリ キーを変更し、次のような構成を展開できます。ロックを有効にします。うーん。 Windows の起動時。このルールにより、ユーザーはある程度安心できます。

さらに詳しく知りたい場合は、お読みくださいGPOでレジストリを変更する方法。

11. レジストリへのアクセスをブロックする

レジストリは、ユーザーがシステムに変更を加えるために使用できるゲートウェイとして機能します。これを防ぐには、レジストリ エディターをブロックします。

1. に行くユーザー設定–戦略–管理用テンプレート–システム。
2. でレジストリ編集ツールへのアクセスを禁止します選択する有効。

12. 適度なコントロール パネル アクセス

ユーザーが設定を変更できないように、PC コントロール パネルへのアクセスを禁止することもできます。

1. に行くユーザー設定–戦略–管理用テンプレート–コントロールパネル。
2. でPCのコントロールパネルと設定アプリへのアクセスを禁止する、 チェック有効。

13. マシン上にローカル管理者アカウントを作成します。

フリートのメンテナンスを容易にするために、GPO を使用してマシンのローカル管理者となるドメイン アカウントを定義することが重要です。これにより、PC で作業するときにこのアカウントを使用してメンテナンス操作を実行できます。

さらに詳しく知りたい方は、ぜひ読んでみてくださいGPO を使用して Windows Server ドメイン内の PC のローカル管理者アカウントを作成する

14. リムーバブルストレージデバイスへのアクセスを制限する

USB ドライブ、ストレージ カード、外付けハード ドライブなどの外付けリムーバブル デバイスは、マルウェアのゲートウェイとなる可能性があります。 GPO を使用してその使用を禁止できます。

1. に行くユーザー設定–戦略–管理用テンプレート–システム–リムーバブルストレージ。
2. でリムーバブルストレージへのアクセス、 選ぶすべてのリムーバブル ストレージ クラスすべてのリムーバブル デバイスをブロックします。

15. Wi-Fi プロファイルのプッシュ

Wi-Fi SSID とパスワードをユーザーに伝えるのではなく、GPO を使用して自動的に展開できます。したがって、マシンがドメインに参加するとすぐに、アクセス ポイントに自動的に接続できるようになります。

1. に行くコンピュータの構成–戦略–Windowsの設定–セキュリティ設定–ワイヤレス ネットワーク ポリシー (IEEE 802.11)。
2. 右ペインで右クリックし、Windows Vista 以降のワイヤレス ネットワーク ポリシーを作成する。

この記事をシェアする

[novashare_inline_content]