- بواسطة x32x01 ||
🎯 إيه هو هدف الإعدادات دي؟
لو بتدير Domain Server في شبكة شركات أو مؤسسة، فـ Group Policy هي أداة التحكم الحقيقي في كل أجهزة الشبكة.
من خلالها تقدر:
تعالى نرتب أهم الإعدادات بشكل عملي 👇
المسار:
Computer Configuration → Windows Settings → Security Settings → Account Policies
RDP - DNS - DHCP - File Sharing
المسار:
Computer Config → Administrative Templates → Network → Windows Defender Firewall
Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options
Computer Configuration → Administrative Templates → System → Device Installation → Device Installation Restrictions
ده يسهل الـ Backup ويأمن الداتا.
✅ اعمل GPO منفصل لكل نوع:
لو بتدير Domain Server في شبكة شركات أو مؤسسة، فـ Group Policy هي أداة التحكم الحقيقي في كل أجهزة الشبكة.
من خلالها تقدر:
- تقفل إعدادات حساسة
- تأمّن الحسابات
- تتحكم في الأجهزة والـ USB
- وتعمل Optimization للأداء
تعالى نرتب أهم الإعدادات بشكل عملي 👇
🛡️ أولًا: إعدادات الأمان (Security Hardening)
🔐 سياسات الباسورد والحسابات
دي أول حاجة لازم تتظبط:| الإعداد | القيمة المقترحة |
|---|---|
| Password History | احتفظ بـ 5–10 كلمات مرور |
| Minimum Password Length | من 10 لـ 12 حرف |
| Complexity | لازم تكون مفعّلة |
| Account Lockout | بعد 3–5 محاولات |
| Reset Lockout | بعد 15 دقيقة |
Computer Configuration → Windows Settings → Security Settings → Account Policies
🔥 تفعيل الجدار الناري
فعّله على كل Profiles:- Domain
- Public
- Private
RDP - DNS - DHCP - File Sharing
المسار:
Computer Config → Administrative Templates → Network → Windows Defender Firewall
👤 سياسات تسجيل الدخول (Logon Policies)
- اخفي اسم آخر مستخدم: Enabled
- اعرض رسالة سياسة الاستخدام قبل الدخول
- فعل Ctrl + Alt + Del للدخول
Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options
🔌 التحكم في الأجهزة (Device Control)
- امنع تركيب أي جهاز USB مش مسموح
- اقفل الكتابة على الفلاشات لو لزم الأمر
Computer Configuration → Administrative Templates → System → Device Installation → Device Installation Restrictions
🆙 تحديثات ويندوز
- فعل Configure Automatic Updates
- استخدم WSUS لتقليل ضغط التحميل على الإنترنت
⚡ ثانيًا: تحسين الأداء (Performance Optimization)
- فعل خيار:
Always wait for network at startup
عشان السياسات تتطبق صح. - اعطل الخدمات اللي ملهاش لازمة على السيرفر.
- وقف:
- Prefetch
- Superfetch
- Defrag على SSD أو VM
- اعمل Scheduled Task لتنظيف الملفات المؤقتة أسبوعيًا.
👥 ثالثًا: إدارة المستخدمين (User Restrictions)
⛔ قفل الإعدادات الحساسة
- منع الوصول للـ Control Panel
- إخفاء Run
- تعطيل CMD للمستخدمين العاديين
- قفل تغيير إعدادات البروكسي
📁 Folder Redirection
خلي Documents و Desktop على سيرفر الشبكةده يسهل الـ Backup ويأمن الداتا.
👀 تفعيل Audit Logging
راقب:- تسجيل الدخول والخروج
- تغيير الملفات
- تغييرات السياسات
🖥️ رابعًا: إعدادات خاصة بالسيرفر
- اقفل SMBv1 (قديم وخطر جدًا)
- امنع Anonymous Access
- فعّل Credential Guard
- استخدم LAPS لإدارة باسوردات الأدمن
🧠 أهم ملاحظة:
❌ متحطش كل الإعدادات في GPO واحد✅ اعمل GPO منفصل لكل نوع:
- Security
- Performance
- User Restrictions
- Server Settings
🎯 الخلاصة
لو نفذت الإعدادات دي:- شبكتك هتبقى أكثر أمانًا 🔐
- الأداء هيكون ثابت وسريع ⚡
- تحكم كامل في المستخدمين والأجهزة 🎛️
- والإدارة هتبقى أسهل 100 مرة ✅
