GPO Active Directory: 20 политик для офиса в 2026 году
Привет! Я, Семёнов Евгений Сергеевич, занимаюсь администрированием доменов Active Directory аж с 2011 года. За эти годы через мои руки прошли десятки доменов, где количество пользователей варьировалось от 15 до 500. В этом тексте я собрал свой, проверенный временем, набор групповых политик — именно тот, что я разворачиваю в каждом новом проекте. Никакой лишней информации, только конкретные настройки и команды PowerShell, без всякой воды.
Почему «купи коробку и настрой по умолчанию» не работает
Знаете, чаще всего меня зовут на аудит, когда ситуация выглядит так: компания уже 3–5 лет живет на AD, но при этом с групповыми политиками не делали ничего с момента установки, или же, что еще хуже, меняли их как бог на душу положит. В итоге Default Domain Policy разрастается до 200 настроек, а рядом висят еще 40 GPO с такими «говорящими» названиями, как «test», «новая политика» или вообще «не удалять!». И, конечно, никто в итоге не помнит, за что каждая из них отвечает.
Я вам скажу, в таком состоянии домен — это просто бомба замедленного действия! Любое изменение в нем может аукнуться совершенно непредсказуемо, а диагностика проблем потом растягивается на долгие дни. И что самое неприятное — в итоге сотрудник может спокойно уйти с рабочим ноутбуком, на котором почему-то не настроен BitLocker. Вынул диск — и пожалуйста, читай что хочешь, никакой защиты.
Чтобы не доводить до такого безобразия, начинать, по моему опыту, нужно с двух ключевых вещей: правильно выстроенной структуры и небольшого, но понятного комплекта политик. Дальше я расскажу о своем стандартном наборе, идущем по порядку.
Структура OU и принципы именования GPO
Ещё до создания политик я раскладываю Organizational Units по внятной схеме:
corp.itfresh.ru
├── _Disabled (отключённые объекты)
├── Computers
│ ├── Workstations
│ │ ├── Office (HR, Finance, Sales)
│ │ └── Production
│ └── Servers
│ ├── DCs
│ ├── FileServers
│ └── 1C
├── Users
│ ├── Standard
│ ├── Power
│ └── Admins
└── Groups
├── Security
└── Distribution
Имена GPO я даю по схеме КАТЕГОРИЯ-Назначение: SEC-PasswordPolicy, NET-FirewallBaseline, USR-RedirectedFolders, APP-AppLockerProduction. По имени сразу понятно, что делает политика. Default Domain Policy и Default Domain Controllers Policy не трогаю — эти политики Microsoft переписывает в обновлениях.
Парольная политика и FGPP
В Default Domain Policy я всегда задаю единую базовую парольную политику — одну для всех пользователей системы:
- Минимальная длина — 14 символов.
- Сложность — включена (большие, малые, цифры, спецсимволы).
- История — 24 пароля.
- Максимальный возраст — 180 дней.
- Минимальный возраст — 1 день (защита от быстрой смены 24 раз подряд для возврата старого).
- Блокировка после 5 неверных попыток на 15 минут.
А вот для администраторов я через Fine-Grained Password Policies прописываю совсем другие правила: там нужно 20 символов и смена пароля раз в 60 дней. Создаем FGPP через PowerShell, это просто:
New-ADFineGrainedPasswordPolicy -Name "AdminsPSO" `
-Precedence 10 `
-MinPasswordLength 20 `
-ComplexityEnabled $true `
-PasswordHistoryCount 24 `
-MaxPasswordAge 60.00:00:00 `
-LockoutThreshold 3 `
-LockoutDuration 00:30:00 `
-ReversibleEncryptionEnabled $false
Add-ADFineGrainedPasswordPolicySubject -Identity "AdminsPSO" -Subjects "Domain Admins","Enterprise Admins"
AppLocker для контроля запуска приложений
На рабочих станциях обычных пользователей я разрешаю запуск только из C:\Program Files, C:\Program Files (x86) и C:\Windows. Это блокирует 95% вирусов-шифровальщиков, которые пытаются стартовать из временных папок и AppData.
# Создаём дефолтные правила
Get-ChildItem "C:\Program Files\*","C:\Program Files (x86)\*","C:\Windows\*" |
New-AppLockerPolicy -RuleType Path,Publisher -User "Everyone" -Optimize |
Set-AppLockerPolicy -LDAP "LDAP://CN={GUID},CN=Policies,CN=System,DC=corp,DC=itfresh,DC=ru"
Перед включением Enforce обязательно неделю гоняю в режиме Audit Only, собираю в Event Viewer (Microsoft-Windows-AppLocker) список того, что было бы заблокировано. Часто всплывает легитимный софт из C:\Users — добавляю исключения, и только потом переключаю в Enforce.
BitLocker на всех ноутбуках и рабочих станциях
Не шифровать диск на ноутбуке в 2026 году — это, по-моему, почти преступление! Чтобы избежать такого риска, я использую GPO для автоматического шифрования через TPM:
- Computer → Policies → Administrative Templates → Windows Components → BitLocker → Operating System Drives.
- Require additional authentication at startup → Enabled.
- Choose how BitLocker-protected operating system drives can be recovered → Enabled, ключи сохраняются в AD DS (атрибут msFVE-RecoveryInformation).
- Configure encryption method → XTS-AES 256.
Восстановление пароля BitLocker через PowerShell:
Get-ADComputer -Identity "WS-IVANOV" -Properties msFVE-RecoveryInformation |
Select-Object -ExpandProperty msFVE-RecoveryInformation
USB-носители: разрешить нельзя запретить
В производственных и финансовых отделах я полностью блокирую USB-флешки через GPO. Бухгалтерия и руководство — только разрешённые корпоративные накопители (whitelist по VID/PID).
Computer Configuration → Policies → Administrative Templates →
System → Removable Storage Access:
- Removable Disks: Deny read access → Enabled
- Removable Disks: Deny write access → Enabled
- All Removable Storage classes: Deny all access → Enabled
Для исключений создаю отдельную GPO, привязанную к группе безопасности «USB-Allowed», и через WMI-фильтр разрешаю только нужные устройства.
Перенаправление папок и роуминг профилей
Когда человек постоянно переключается между разными машинами — будь то терминал, ноутбук или домашний RDP — очень важно, чтобы его документы и рабочий стол всегда были одинаковыми. За это как раз и отвечает Folder Redirection в GPO:
- User → Policies → Windows Settings → Folder Redirection → Documents → Basic → \\fileserver\users\%username%\Documents.
- Аналогично Desktop, Downloads, Pictures, AppData (Roaming) при необходимости.
- Включить Offline Files для работы без сети.
А вот роуминг-профиль я принципиально не делаю. Считаю, что это пережиток из 2008 года и одна из главных причин (до 70%) тормозов при входе. Вместо него я предпочитаю связку Folder Redirection плюс локальный профиль.
Аудит безопасности: что логировать
Без грамотного аудита вы, честно говоря, просто не поймете, кто и когда успел что-то сломать. Вот минимальный набор, который я включаю в GPO Default Domain Controllers Policy:
Computer Configuration → Policies → Windows Settings →
Security Settings → Advanced Audit Policy Configuration:
Account Logon: Audit Credential Validation → Success+Failure
Account Management: All categories → Success+Failure
DS Access: Audit Directory Service Changes → Success
Logon/Logoff: Audit Logon, Audit Logoff → Success+Failure
Object Access: Audit File Share, Audit Removable Storage → Success+Failure
Policy Change: Audit Audit Policy Change → Success
Privilege Use: Audit Sensitive Privilege Use → Success+Failure
Логи отправляю в централизованный Wazuh или ELK. На самом DC размер Security log поднимаю до 1 ГБ — иначе важные события вытесняются за сутки.
Файрвол Windows: запрет всего лишнего
В Default Domain Policy я обязательно включаю Windows Firewall во всех профилях, разрешая только то, что действительно нужно для работы служб. Для обычных рабочих станций: входящие соединения — только Remote Assistance из admin VLAN. Для серверов же настройки делаю по ролям, используя PowerShell:
New-NetFirewallRule -DisplayName "Allow RDP from Admin VLAN" `
-Direction Inbound -Protocol TCP -LocalPort 3389 `
-RemoteAddress 192.168.99.0/24 -Action Allow
New-NetFirewallRule -DisplayName "Block RDP from anywhere else" `
-Direction Inbound -Protocol TCP -LocalPort 3389 -Action Block
Список из 20 GPO, которые я ставлю каждому клиенту
| GPO | Уровень | Назначение |
|---|---|---|
| SEC-PasswordPolicy | Domain | 14 символов, сложность, история 24 |
| SEC-AccountLockout | Domain | 5 попыток, 15 мин блок |
| SEC-AdminsPSO | FGPP | 20 символов для админов |
| SEC-AuditBaseline | DCs | Аудит логонов и изменений AD |
| SEC-Kerberos | Domain | AES-256, отключение RC4 |
| SEC-LegacyProtocols | Domain | Отключение SMBv1, NTLMv1, LLMNR |
| SEC-LSA | Workstations | LSA Protection, Credential Guard |
| SEC-BitLocker | Workstations | XTS-AES 256, ключи в AD |
| NET-FirewallBaseline | All | Файрвол включён, базовые правила |
| NET-WiFiProxy | Workstations | Корпоративный Wi-Fi 802.1X |
| USR-RedirectedFolders | Users | Folder Redirection |
| USR-Drives | Users | Подключение сетевых дисков |
| USR-Printers | Users | Подключение принтеров по подразделениям |
| USR-IECompat | Users | Edge IE Mode для старых сайтов |
| APP-AppLocker | Workstations | Whitelist путей запуска |
| APP-Office | Users | Macro security, OneDrive sync |
| APP-Defender | All | ASR Rules, Cloud Protection |
| USB-RestrictWrite | Workstations | Запрет записи на USB |
| WSUS-Settings | All | Сервер WSUS и расписание обновлений |
| RDS-SessionLimits | RDS | Тайм-ауты сессий, лимиты ресурсов |
Диагностика и отладка GPO
Ключевые команды, которые я использую каждый день:
# Что применилось на компьютере
gpresult /h C:\report.html
Get-GPResultantSetOfPolicy -ReportType HTML -Path C:\rsop.html
# Принудительное обновление
gpupdate /force
# Проверка SYSVOL replication
Get-DfsrBacklog -GroupName "Domain System Volume" -SourceComputerName DC01 -DestinationComputerName DC02
# Список всех GPO
Get-GPO -All | Select-Object DisplayName, ID, GpoStatus, ModificationTime
# Бэкап всех GPO
Backup-GPO -All -Path "\\nas01\backup\GPO\$(Get-Date -Format yyyy-MM-dd)"
Бэкап GPO я делаю автоматически раз в день через Task Scheduler. Восстановление одной политики из бэкапа за 30 секунд спасает в ситуациях «вчера что-то изменили, и теперь почта не работает».
Аудит групповых политик и Active Directory
За 2–3 рабочих дня я готов приехать к вам в офис и провести аудит вашего домена, включая OU-структуры и GPO. По итогам вы получите подробный письменный отчёт с выявленными уязвимостями, моими рекомендациями и точной стоимостью внедрения. Кстати, для новых клиентов эта услуга совершенно бесплатно.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы по GPO Active Directory
- С чего начать построение GPO в новом домене?
- С грамотной OU-структуры: Computers/Servers/Users разделены, по подразделениям и геолокации. Default Domain Policy не трогаем, под каждую задачу — своя GPO с понятным именем (SEC-Password, NET-Firewall, USR-Drives).
- Сколько символов в пароле требовать в 2026 году?
- Минимум 14 символов для пользователей, 20+ для администраторов через FGPP. Сложность включена. Историю — 24. Принудительная смена раз в 180 дней (NIST уже не требует регулярной смены, но в РФ регуляторы пока требуют).
- Как проверить, какие GPO применились на машине?
- gpresult /h C:\report.html — открывает HTML-отчёт со всеми применёнными политиками. gpupdate /force — принудительное обновление. Get-GPResultantSetOfPolicy в PowerShell для удалённого аудита.
- AppLocker или Windows Defender Application Control?
- WDAC мощнее и современнее, рекомендуется для новых внедрений. AppLocker проще в настройке и хорошо работает на Windows 10/11 Enterprise. Для офисов до 200 ПК AppLocker до сих пор оптимальный выбор.
- Что делать, если GPO не применяется на компьютере?
- Проверить OU-привязку, наследование (Block Inheritance), Security Filtering (нужны Read+Apply), WMI-фильтры, статус репликации SYSVOL между DC. Если SYSVOL рассинхронизирован — DFSR backlog лечится, иначе политика просто не доедет до клиента.
