- بواسطة x32x01 ||
إيه هو هدف الإعدادات دي؟لو بتدير Domain Server في شبكة شركات أو مؤسسة، فـ Group Policy هي أداة التحكم الحقيقي في كل أجهزة الشبكة.
من خلالها تقدر:
- تقفل إعدادات حساسة
- تأمّن الحسابات
- تتحكم في الأجهزة والـ USB
- وتعمل Optimization للأداء
تعالى نرتب أهم الإعدادات بشكل عملي
أولًا: إعدادات الأمان (Security Hardening)
سياسات الباسورد والحسابات
دي أول حاجة لازم تتظبط:| الإعداد | القيمة المقترحة |
|---|---|
| Password History | احتفظ بـ 5–10 كلمات مرور |
| Minimum Password Length | من 10 لـ 12 حرف |
| Complexity | لازم تكون مفعّلة |
| Account Lockout | بعد 3–5 محاولات |
| Reset Lockout | بعد 15 دقيقة |
Computer Configuration → Windows Settings → Security Settings → Account Policies
تفعيل الجدار الناري
فعّله على كل Profiles:- Domain
- Public
- Private
RDP - DNS - DHCP - File Sharing
المسار:
Computer Config → Administrative Templates → Network → Windows Defender Firewall
سياسات تسجيل الدخول (Logon Policies)
- اخفي اسم آخر مستخدم: Enabled
- اعرض رسالة سياسة الاستخدام قبل الدخول
- فعل Ctrl + Alt + Del للدخول
Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options
التحكم في الأجهزة (Device Control)
- امنع تركيب أي جهاز USB مش مسموح
- اقفل الكتابة على الفلاشات لو لزم الأمر
Computer Configuration → Administrative Templates → System → Device Installation → Device Installation Restrictions
تحديثات ويندوز
- فعل Configure Automatic Updates
- استخدم WSUS لتقليل ضغط التحميل على الإنترنت
ثانيًا: تحسين الأداء (Performance Optimization)
- فعل خيار:
Always wait for network at startup
عشان السياسات تتطبق صح. - اعطل الخدمات اللي ملهاش لازمة على السيرفر.
- وقف:
- Prefetch
- Superfetch
- Defrag على SSD أو VM
- اعمل Scheduled Task لتنظيف الملفات المؤقتة أسبوعيًا.
ثالثًا: إدارة المستخدمين (User Restrictions)
قفل الإعدادات الحساسة
- منع الوصول للـ Control Panel
- إخفاء Run
- تعطيل CMD للمستخدمين العاديين
- قفل تغيير إعدادات البروكسي
Folder Redirection
خلي Documents و Desktop على سيرفر الشبكةده يسهل الـ Backup ويأمن الداتا.
تفعيل Audit Logging
راقب:- تسجيل الدخول والخروج
- تغيير الملفات
- تغييرات السياسات
رابعًا: إعدادات خاصة بالسيرفر
- اقفل SMBv1 (قديم وخطر جدًا)
- امنع Anonymous Access
- فعّل Credential Guard
- استخدم LAPS لإدارة باسوردات الأدمن
أهم ملاحظة:
متحطش كل الإعدادات في GPO واحد
اعمل GPO منفصل لكل نوع:- Security
- Performance
- User Restrictions
- Server Settings
الخلاصة
لو نفذت الإعدادات دي:- شبكتك هتبقى أكثر أمانًا
- الأداء هيكون ثابت وسريع
- تحكم كامل في المستخدمين والأجهزة
- والإدارة هتبقى أسهل 100 مرة