С чего начать построение GPO в новом домене?

С грамотной OU-структуры: Computers/Servers/Users разделены, по подразделениям и геолокации. Default Domain Policy не трогаем, под каждую задачу — своя GPO с понятным именем (SEC-Password, NET-Firewall, USR-Drives).

Сколько символов в пароле требовать в 2026 году?

Минимум 14 символов для пользователей, 20+ для администраторов через FGPP. Сложность включена. Историю — 24. Принудительная смена раз в 180 дней (NIST уже не требует регулярной смены, но в РФ регуляторы пока требуют).

Как проверить, какие GPO применились на машине?

gpresult /h C:\report.html — открывает HTML-отчёт со всеми применёнными политиками. gpupdate /force — принудительное обновление. Get-GPResultantSetOfPolicy в PowerShell для удалённого аудита.

AppLocker или Windows Defender Application Control?

WDAC мощнее и современнее, рекомендуется для новых внедрений. AppLocker проще в настройке и хорошо работает на Windows 10/11 Enterprise. Для офисов до 200 ПК AppLocker до сих пор оптимальный выбор.

Что делать, если GPO не применяется на компьютере?

Проверить OU-привязку, наследование (Block Inheritance), Security Filtering (нужны Read+Apply), WMI-фильтры, статус репликации SYSVOL между DC. Если SYSVOL рассинхронизирован — DFSR backlog лечится, иначе политика просто не доедет до клиента.

Active Directory 17 апреля 2026 · 17 мин чтения

GPO Active Directory: 20 политик для офиса в 2026 году

Меня зовут Семёнов Евгений Сергеевич, я занимаюсь администрированием доменов Active Directory с 2011 года. За это время через мои руки прошли десятки доменов от 15 до 500 пользователей. В этой статье — мой проверенный набор групповых политик, которые я внедряю в каждом новом проекте. Никакой воды, только конкретные настройки и команды PowerShell.

Почему «купи коробку и настрой по умолчанию» не работает

Самый частый вид аудита, на который я выезжаю: компания, проработавшая на AD 3–5 лет, в которой групповые политики либо не трогали с момента установки, либо трогали хаотично. Default Domain Policy раздулась до 200 настроек, рядом висит ещё 40 GPO с именами «test», «новая политика», «не удалять!». Никто не помнит, что они делают.

В таком виде домен — это бомба. Любая попытка изменения приводит к непредсказуемому поведению, диагностика занимает дни, и в конце концов сотрудник уходит с компьютером, на котором BitLocker не настроен и можно вынуть диск.

Чтобы не оказаться в этой ситуации, начинать надо с правильной структуры и небольшого набора понятных политик. Пройдёмся по моему стандартному набору.

Структура OU и принципы именования GPO

Прежде чем создавать политики, я выстраиваю Organizational Units по понятной схеме:

corp.itfresh.ru
├── _Disabled (отключённые объекты)
├── Computers
│   ├── Workstations
│   │   ├── Office (HR, Finance, Sales)
│   │   └── Production
│   └── Servers
│       ├── DCs
│       ├── FileServers
│       └── 1C
├── Users
│   ├── Standard
│   ├── Power
│   └── Admins
└── Groups
    ├── Security
    └── Distribution

Имена GPO я даю по схеме КАТЕГОРИЯ-Назначение: SEC-PasswordPolicy, NET-FirewallBaseline, USR-RedirectedFolders, APP-AppLockerProduction. По имени сразу понятно, что делает политика. Default Domain Policy и Default Domain Controllers Policy не трогаю — эти политики Microsoft переписывает в обновлениях.

Парольная политика и FGPP

В Default Domain Policy ставлю единую базовую парольную политику для всех пользователей:

Минимальная длина — 14 символов.
Сложность — включена (большие, малые, цифры, спецсимволы).
История — 24 пароля.
Максимальный возраст — 180 дней.
Минимальный возраст — 1 день (защита от быстрой смены 24 раз подряд для возврата старого).
Блокировка после 5 неверных попыток на 15 минут.

Для администраторов через Fine-Grained Password Policies задаю отдельные правила (20 символов, 60 дней). Создание FGPP через PowerShell:

New-ADFineGrainedPasswordPolicy -Name "AdminsPSO" `
  -Precedence 10 `
  -MinPasswordLength 20 `
  -ComplexityEnabled $true `
  -PasswordHistoryCount 24 `
  -MaxPasswordAge 60.00:00:00 `
  -LockoutThreshold 3 `
  -LockoutDuration 00:30:00 `
  -ReversibleEncryptionEnabled $false

Add-ADFineGrainedPasswordPolicySubject -Identity "AdminsPSO" -Subjects "Domain Admins","Enterprise Admins"

AppLocker для контроля запуска приложений

На рабочих станциях обычных пользователей я разрешаю запуск только из C:\Program Files, C:\Program Files (x86) и C:\Windows. Это блокирует 95% вирусов-шифровальщиков, которые пытаются стартовать из временных папок и AppData.

# Создаём дефолтные правила
Get-ChildItem "C:\Program Files\*","C:\Program Files (x86)\*","C:\Windows\*" |
  New-AppLockerPolicy -RuleType Path,Publisher -User "Everyone" -Optimize |
  Set-AppLockerPolicy -LDAP "LDAP://CN={GUID},CN=Policies,CN=System,DC=corp,DC=itfresh,DC=ru"

Перед включением Enforce обязательно неделю гоняю в режиме Audit Only, собираю в Event Viewer (Microsoft-Windows-AppLocker) список того, что было бы заблокировано. Часто всплывает легитимный софт из C:\Users — добавляю исключения, и только потом переключаю в Enforce.

BitLocker на всех ноутбуках и рабочих станциях

В 2026 году не шифровать диск ноутбука — это почти преступление. GPO для автоматического шифрования через TPM:

Computer → Policies → Administrative Templates → Windows Components → BitLocker → Operating System Drives.
Require additional authentication at startup → Enabled.
Choose how BitLocker-protected operating system drives can be recovered → Enabled, ключи сохраняются в AD DS (атрибут msFVE-RecoveryInformation).
Configure encryption method → XTS-AES 256.

Восстановление пароля BitLocker через PowerShell:

Get-ADComputer -Identity "WS-IVANOV" -Properties msFVE-RecoveryInformation |
  Select-Object -ExpandProperty msFVE-RecoveryInformation

USB-носители: разрешить нельзя запретить

В производственных и финансовых отделах я полностью блокирую USB-флешки через GPO. Бухгалтерия и руководство — только разрешённые корпоративные накопители (whitelist по VID/PID).

Computer Configuration → Policies → Administrative Templates →
  System → Removable Storage Access:
  - Removable Disks: Deny read access → Enabled
  - Removable Disks: Deny write access → Enabled
  - All Removable Storage classes: Deny all access → Enabled

Для исключений создаю отдельную GPO, привязанную к группе безопасности «USB-Allowed», и через WMI-фильтр разрешаю только нужные устройства.

Перенаправление папок и роуминг профилей

Когда пользователь работает на разных компьютерах (терминал + ноутбук + домашний RDP), важно, чтобы документы и рабочий стол были везде одинаковые. Folder Redirection в GPO:

User → Policies → Windows Settings → Folder Redirection → Documents → Basic → \\fileserver\users\%username%\Documents.
Аналогично Desktop, Downloads, Pictures, AppData (Roaming) при необходимости.
Включить Offline Files для работы без сети.

Профиль я НЕ делаю роумингом — это пережиток 2008 года и причина 70% тормозов входа. Использую Folder Redirection + локальный профиль.

Аудит безопасности: что логировать

Без аудита вы не узнаете, кто и когда что-то сломал. Минимальный набор для GPO Default Domain Controllers Policy:

Computer Configuration → Policies → Windows Settings →
  Security Settings → Advanced Audit Policy Configuration:

Account Logon: Audit Credential Validation → Success+Failure
Account Management: All categories → Success+Failure
DS Access: Audit Directory Service Changes → Success
Logon/Logoff: Audit Logon, Audit Logoff → Success+Failure
Object Access: Audit File Share, Audit Removable Storage → Success+Failure
Policy Change: Audit Audit Policy Change → Success
Privilege Use: Audit Sensitive Privilege Use → Success+Failure

Логи отправляю в централизованный Wazuh или ELK. На самом DC размер Security log поднимаю до 1 ГБ — иначе важные события вытесняются за сутки.

Файрвол Windows: запрет всего лишнего

В Default Domain Policy включаю Windows Firewall во всех профилях, разрешаю только нужное по службам. Для рабочих станций: входящий — только Remote Assistance из admin VLAN. Для серверов — по ролям через PowerShell:

New-NetFirewallRule -DisplayName "Allow RDP from Admin VLAN" `
  -Direction Inbound -Protocol TCP -LocalPort 3389 `
  -RemoteAddress 192.168.99.0/24 -Action Allow

New-NetFirewallRule -DisplayName "Block RDP from anywhere else" `
  -Direction Inbound -Protocol TCP -LocalPort 3389 -Action Block

Список из 20 GPO, которые я ставлю каждому клиенту

GPO	Уровень	Назначение
SEC-PasswordPolicy	Domain	14 символов, сложность, история 24
SEC-AccountLockout	Domain	5 попыток, 15 мин блок
SEC-AdminsPSO	FGPP	20 символов для админов
SEC-AuditBaseline	DCs	Аудит логонов и изменений AD
SEC-Kerberos	Domain	AES-256, отключение RC4
SEC-LegacyProtocols	Domain	Отключение SMBv1, NTLMv1, LLMNR
SEC-LSA	Workstations	LSA Protection, Credential Guard
SEC-BitLocker	Workstations	XTS-AES 256, ключи в AD
NET-FirewallBaseline	All	Файрвол включён, базовые правила
NET-WiFiProxy	Workstations	Корпоративный Wi-Fi 802.1X
USR-RedirectedFolders	Users	Folder Redirection
USR-Drives	Users	Подключение сетевых дисков
USR-Printers	Users	Подключение принтеров по подразделениям
USR-IECompat	Users	Edge IE Mode для старых сайтов
APP-AppLocker	Workstations	Whitelist путей запуска
APP-Office	Users	Macro security, OneDrive sync
APP-Defender	All	ASR Rules, Cloud Protection
USB-RestrictWrite	Workstations	Запрет записи на USB
WSUS-Settings	All	Сервер WSUS и расписание обновлений
RDS-SessionLimits	RDS	Тайм-ауты сессий, лимиты ресурсов

Диагностика и отладка GPO

Ключевые команды, которые я использую каждый день:

# Что применилось на компьютере
gpresult /h C:\report.html
Get-GPResultantSetOfPolicy -ReportType HTML -Path C:\rsop.html

# Принудительное обновление
gpupdate /force

# Проверка SYSVOL replication
Get-DfsrBacklog -GroupName "Domain System Volume" -SourceComputerName DC01 -DestinationComputerName DC02

# Список всех GPO
Get-GPO -All | Select-Object DisplayName, ID, GpoStatus, ModificationTime

# Бэкап всех GPO
Backup-GPO -All -Path "\\nas01\backup\GPO\$(Get-Date -Format yyyy-MM-dd)"

Бэкап GPO я делаю автоматически раз в день через Task Scheduler. Восстановление одной политики из бэкапа за 30 секунд спасает в ситуациях «вчера что-то изменили, и теперь почта не работает».

Аудит групповых политик и Active Directory

За 2–3 рабочих дня я приезжаю в офис, делаю аудит вашего домена, OU-структуры и GPO. Результат — письменный отчёт с уязвимостями, рекомендациями и стоимостью внедрения. Бесплатно для новых клиентов.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы по GPO Active Directory

С чего начать построение GPO в новом домене?: С грамотной OU-структуры: Computers/Servers/Users разделены, по подразделениям и геолокации. Default Domain Policy не трогаем, под каждую задачу — своя GPO с понятным именем (SEC-Password, NET-Firewall, USR-Drives).
Сколько символов в пароле требовать в 2026 году?: Минимум 14 символов для пользователей, 20+ для администраторов через FGPP. Сложность включена. Историю — 24. Принудительная смена раз в 180 дней (NIST уже не требует регулярной смены, но в РФ регуляторы пока требуют).
Как проверить, какие GPO применились на машине?: gpresult /h C:\report.html — открывает HTML-отчёт со всеми применёнными политиками. gpupdate /force — принудительное обновление. Get-GPResultantSetOfPolicy в PowerShell для удалённого аудита.
AppLocker или Windows Defender Application Control?: WDAC мощнее и современнее, рекомендуется для новых внедрений. AppLocker проще в настройке и хорошо работает на Windows 10/11 Enterprise. Для офисов до 200 ПК AppLocker до сих пор оптимальный выбор.
Что делать, если GPO не применяется на компьютере?: Проверить OU-привязку, наследование (Block Inheritance), Security Filtering (нужны Read+Apply), WMI-фильтры, статус репликации SYSVOL между DC. Если SYSVOL рассинхронизирован — DFSR backlog лечится, иначе политика просто не доедет до клиента.