Заметки сисадмина » TODO support time

Заметки сисадмина о интересных вещах из мира IT, инструкции и рецензии. Настраиваем Компьютеры/Сервера/1С/SIP-телефонию в Москве

TODO support time

2016-03-11 · Posted in РЕГЛАМЕНТ

Support time:

1)SQL
  • 22:00 backup-FULL every THU
  • 19:00 backup-DIFF everyday
  • 05:10 Index-and-Statistics every SUN
2)reboot
  • Конфигурация компьютера > Параметры панели управления > Назначенные задания
  • reboot110
  • запланированное задача (Windows 7 и выше)
    Пункт Immediate Task (Очередное задание) позволяет создать задание, которое будет запущено только один раз, но максимально быстро (сразу после следующего обновления групповых политик на клиенте).
  • Общие > действие = обновить
  • Общие > при выполнении задачи использовать следующую учётную запись = Система
    (NT Authority\System)
  • Общие > выполнять вне зависимости от регистрации пользователя
  • Общие > выполнять с наивысшими правами
  • Триггеры > время выполнения 01:10
  • Триггеры > выполнять еженедельно (кроме субботы и воскресенья)
  • Триггеры > отложить задачу на (произвольная задержка) = 30 минут
  • Действия > запуск > shutdown > аргументы > -r -f
  • Общие параметры > применить один раз и не применять повторно = ДА (если надо обновить у всех снимаем галочку > Применить > ставим галочку)

PowerShell:

4)03:00 syncronization
5)04:00 1C-регламент
PC:
  1. Электропитание = Высокая производительность
ESXI:
  1. Электропитание = Высокая производительность
MSSQL:
  1. Максимальный размер памяти сервера = по обстоятельствам
  2. Минимальный размер памяти сервера = максимальному размеру памяти
  3. Максимальная степень параллелизма = 1
1C:
  1. Служба 1С агента = Автоматически (отложенный запуск)
  2. Временно допустимый объём памяти процессов = max -sql-min4gb
  3. Интервал превышения допустимого объема памяти процессов = 0
  4. Использует <=12 ядер процессора
  5. ?- для 8 процессоров  и 40Gb оперативки:
    Максимальная степень параллелизма = 4
    Включите флаг «Поддерживать» приоритет SQL Server
Windows Server:
  1. Электропитание = Высокая производительность
Service:
  1. Connected User Experiences and Telemetry (Служба политики диагностики)(DPS) = Disable
  2. WSearch и Windows Search (это одна и та же служба) = Disable
  3. Смарт-карта (Smart Card)(SCardSvr) = Disable
  4. Служба перечисления устройств чтения смарт-карт (Smart Card Device Enumeration Service)(ScDeviceEnum) = Disable
  • ?SysMain и SuperFetch (это одна и та же служба) = Disable
  • ?srv2012 Diagnostics Tracking Service = Disable

GPO rp-rds:

  1. Конфигурация компьютера > Конфигурация Windows > Параметры Безопасности > Локальные политики >Параметры безопасности > Контроль учетных записей: все администраторы работают в режиме одобрения администратором = Включено
  2. Конфигурация компьютера > Конфигурация Windows > Параметры Безопасности > Локальные политики >Параметры безопасности > Контроль учетных записей: использование режима одобрения администратором для встроенной учетной записи администратора = Включено
  3. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Безопасность > Требовать использования специального уровня безопасности для удаленных подключений по методу RDP = Включено (SSL)
  4. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Среда удаленных сеансов > Настройка сжатия данных RemoteFX = Включено (Оптимизация использования полосы пропускания)
  5. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Среда удаленных сеансов > Принудительная отмена фоновых рисунков удаленного рабочего стола = Включено
  6. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Среда удаленных сеансов > Наибольшая глубина цвета =24
  7. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Найти > Разрешить* индексирование = Отключено
  8. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Анализ стабильности Windows > Настройка поставщиков WMI стабильности системы = Отключено

GPO rp-rds-dc:

  1. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Безопасность > Всегда запрашивать пароль клиента при подключении = Включено
  2. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Безопасность > Требовать безопасное RPC-подключение = Включено
  3. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Безопасность > Требовать использования специального уровня безопасности для удаленных подключений по методу RDP = Включено (SSL)
  4. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Безопасность > Установить уровень шифрования для клиентских подключений = Включено (Высокий уровень)

GPO rp-reboot-update:

  1. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления windows > Настройка автоматического обновления = Включено (4 – авт. загрузка и установка, 5 – каждый четверг, 02:00 – время,  Еженедельно, Установка обновлений для других продуктов)
  2. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления windows > Всегда автоматически перегружаться в запланированное время = Включено (15 минут)
  3. Конфигурация компьютера > Административные шаблоны > Компоненты Windows >  Центр обновления windows > Центр обновления windows для бизнеса > Выберите, когда следует получать исправления = Включено (30 дней)
  4. Конфигурация компьютера > Административные шаблоны > Компоненты Windows >  Центр обновления windows > Центр обновления windows для бизнеса > Управлять предварительными сборками = Включено (Отключить предварительные сборки)
  5. Конфигурация компьютера > Административные шаблоны > Компоненты Windows >  Центр обновления windows > Центр обновления windows для бизнеса > Выберите, когда следует получать предварительные сборки и обновления компонентов = Включено (Semi-Annual Channel, 90 дней)

GPO rp-main:

  1. Конфигурация компьютера > Политики > Конфигурация Windows > Параметры безопасности > Конфигурация расширенной политики аудита > Политики аудита > Вход/выход = Success and Failure (Аудит входа в систему (Audit Logon) / Аудит другие события входа и выхода (Audit Other Logon) / Аудит выхода из системы (Logoff Events))
  2. Конфигурация компьютера > Политики > Конфигурация Windows > Параметры безопасности > Конфигурация расширенной политики аудита > Политики аудита > Вход учетной записи > Аудит cлужба проверки подлинности Kerberos = Success and Failure
  3. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Сборки для сбора данных и предварительные сборки > Разрешить телеметрию (Разрешить сбор диагностических данных) = Включено (0-Безопасность)
  4. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Сборки для сбора данных и предварительные сборки > Настройте сбор данных браузера для Microsoft 365 = Включено (Запретить)
  5. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Onedrive > Запрет использования OneDrive для хранения файлов = Включено
  6. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Onedrive > По умолчанию сохранять документы в OneDrive = Отключено
  7. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > RSS-каналы = Запретить автоматическое обнаружение веб-каналов и веб-фрагментов = Включено
  8. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложения > Разрешить приложениям для Windows работать в фоновом режиме = Запретить принудительно в поле По умолчанию для всех приложений
  9. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Найти > Разрешить использование Кортаны* = Отключено
  10. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Найти > Разрешение средствам поиска и Кортане использовать информацию о расположении = Отключено
  11. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Найти > Отключить индексирование файлов в кэше автономных файлов = Включено
  12. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Найти > Запретить поиск в Интернете = Включено
  13. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Найти > Не выполнять поиск в Интернете и не отображать результаты в Интернете при поиске* = Включено
  14. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Новости и интересы > Включить новости и интересы на панели задач = Отключено
  15. Конфигурация пользователя > Административные шаблоны > Панель управления > Принтеры > Отключить управление принтером по умолчанию в Windows = Включено
  16. Конфигурация компьютера > Административные шаблоны > Сеть > Сетевые подключения > Брандмауэр Windows > Профиль домена > Разрешить исключения ICMP = эхо-запрос
  17. Конфигурация компьютера > Административные шаблоны > Сеть > Сетевые подключения > Брандмауэр Windows > Профиль домена > Брандмауэр Windows:  определение входящих исключений портов:
    • 443:TCP:*:enabled:rp-GPO
    • 3389:TCP:*:enabled:rp-GPO
    • 6129:TCP:*:enabled:rp-GPO
    • 6130:TCP:*:enabled:rp-GPO
    • 6132:TCP:*:enabled:rp-GPO
    • 6133:TCP:*:enabled:rp-GPO

GPO ???:

  • ? Конфигурация компьютера > Административные шаблоны > Система > Групповая политика > Установить интервал обновления групповой политики для компьютеров = 180, 30
  • ? Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Смарт-карта > Включить службу самонастраивающихся устройств для смарт-карт = Отключено
  • ? Конфигурация компьютера > Административные шаблоны > Система > Управление питанием > Параметры регулирования мощности > Отключить регулирование мощности =Включена
  • Конфигурация компьютера > Административные шаблоны > Система > Вход в систему > Ждать сеть при запуске и входе в систему (Always wait for the network at computer startup and logon) = Отключено

GPO rp-browsers:

Microsoft EDGE
  1. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Microsoft Edge > Разрешить предварительный запуск Microsoft Edge при загрузке Windows, когда система простаивает, и каждый раз при закрытии Microsoft Edge = Включено (Запретить)
  2. Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Microsoft Edge > Разрешить Microsoft Edge запускать и загружать начальную страницу и страницу новой вкладки при загрузке Windows и каждый раз при закрытии Microsoft Edge = Включено (Запретить)
Google Chrome:
  1. Включить  анонимный сбор данных о URL = Отключено
  2. Включить в отчеты данные об использовании и сбоях = Отключено
  3. Включить переводчик = Отключено
  4. Включить предварительное определение сети = Включено (Никогда не предопределять параметры сети)
  5. Задать объем кеша в байтах = 1
  6. Использовать аппаратное ускорение (при наличии) = Отключено
  7. Правило настраивает передачу отчетов из Инструмента очистки Chrome в Google = Отключено
  8. Правило определяет, включать ли Инструмент очистки Chrome в Windows = Отключено
  9. Продолжить фоновое выполнение приложений после закрытия Google Chrome = Отключено
  10. Разрешить автоматическое воспроизведение видео = Отключено
  11. Удаление данных о работе в браузере при выходе
  12. Управление функцией IntensiveWakeUpThrottling = Включено
  13. Установить ограничение в мегабайтах для памяти, которую может использовать один экземпляр Chrome = 1024
  14. Настройки контента > Настройка уведомлений по умолчанию = Запретить показ уведомлений на всех сайтах
  15. Главная страница и страница быстрого доступа при запуске > Действие при запуске = Включено (Открыть страницу быстрого доступа)
  16. Главная страница и страница быстрого доступа при запуске > Сделать страницу быстрого доступа главной = Включено
  17. Настройки безопасного просмотра > Уровень защиты безопасного просмотра = Включено (Безопасный просмотр всегда отключен)
  18. Отключить ненужные расширения!
  19. Включить панель закладок = Включено
Блокировать доступ с списку URL:

Настройка списка разрешенных расширений:

Настройка черного списка расширений:

Enable Memory Saver Mode in Chrome:

1)Open a new tab in the Google Chrome browser.
2)Type in the address bar and press the Enter key.

3)Type in the Search flags search box.

4)Select Enabled from the dropdown next to the option.

5)Click on the Relaunch button that appears in the bottom-right corner.

Yandex Browser:
  1. Включить автозапуск браузера при запуске операционной системы. = Отключено.
  2. Включить отправку в Яндекс текста для определения языка страницы. = Отключено.
  3. Включить в отчеты данные об использовании и сбоях браузера. = Отключено.
  4. Включить отправку отчетов о сбоях Яндекс Браузера. = Отключено.
  5. Задать объем кеша в байтах. = 1.
  6. Запрет открытия файлов офисных форматов в браузере. = Включено.
  7. Отключить Алису и Мессенджер. = Включено.
  8. Отключить информационно-развлекательный контент на новой вкладке. = Включено.
  9. Отключить рекламу на новой вкладке. = Включено.
  10. Отображать боковую панель. = Включено = Скрыта.
  11. Отправка анонимной статистики на сервера Яндекса. = Отключено.
  12. Продолжить фоновое выполнение приложений после закрытия Яндекс Браузера. = Отключено.
  13. Разрешить автоматическое воспроизведение видео. = Отключено.
  14. Разрешить полноэкранный режим. = Отключено.
  15. Установить ограничения на использование инструментов разработчика. = Включено = Запрещено.

Leave a Reply