TODO support time
Support time:
1)Windows Update
- 02:00 every THU
2)SQL
- 22:00 backup-FULL every THU
- 19:00 backup-DIFF everyday
- 05:10 Index-and-Statistics every SUN
3)reboot
- 01:10-01:40 everyday
- Конфигурация компьютера -> Параметры панели управления -> Назначенные задания
- reboot110
- запланированное задача (Windows 7 и выше)
Пункт Immediate Task (Очередное задание) позволяет создать задание, которое будет запущено только один раз, но максимально быстро (сразу после следующего обновления групповых политик на клиенте).
- Общие -> действие = обновить
- Общие -> при выполнении задачи использовать следующую учётную запись = Система
(NT Authority\System) - Общие -> выполнять вне зависимости от регистрации пользователя
- Общие -> выполнять с наивысшими правами
- Триггеры -> время выполнения 01:10
- Триггеры -> выполнять еженедельно (кроме субботы и воскресенья)
- Триггеры -> отложить задачу на (произвольная задержка) = 30 минут
- Действия -> запуск -> shutdown -> аргументы -> -r -f
- Общие параметры -> применить один раз и не применять повторно = ДА (если надо обновить у всех снимаем галочку -> Применить -> ставим галочку)
PowerShell:
1 |
$runminute = Get-Random -Maximum 45 ; schtasks /delete /tn reboot1 /f ; schtasks /create /sc weekly /d "mon tue wed thu fri" /tn reboot1 /tr "shutdown -r -f" /ru system /rl highest /f /st 01:$runminute |
1 |
msg * В 11.35 будет техническая перезагрузка сервера. Просьба закрыть все программы и документы. |
1 |
schtasks /create /sc once /tn restartonce1 /tr "shutdown -r -f" /ru system /rl highest /f /st 11:35 |
1 |
schtasks /delete /tn restartonce1 /f |
1 |
schtasks /create /sc weekly /d "fri mon" /tn reboot-sql /tr "shutdown -r -f" /ru system /rl highest /f /st 01:05 |
4)Syncronization
- 03:00 everyday
5)1C-регламент
- 04:00 everyday
PC:
- Электропитание = Высокая производительность
ESXI:
- Электропитание = Высокая производительность
MSSQL:
- Максимальный размер памяти сервера = по обстоятельствам
- Минимальный размер памяти сервера = максимальному размеру памяти
- Максимальная степень параллелизма = 1
1C:
- Служба 1С агента = Автоматически (отложенный запуск)
- Временно допустимый объём памяти процессов = max -sql-min4gb
- Интервал превышения допустимого объема памяти процессов = 0
- Использует <=12 ядер процессора
- ?- для 8 процессоров и 40Gb оперативки:
Максимальная степень параллелизма = 4
Включите флаг «Поддерживать» приоритет SQL Server
Windows Server:
- Электропитание = Высокая производительность
Service:
- Connected User Experiences and Telemetry (Служба политики диагностики)(DPS) = Disable
- WSearch и Windows Search (это одна и та же служба) = Disable
- Смарт-карта (Smart Card)(SCardSvr) = Disable
- Служба перечисления устройств чтения смарт-карт (Smart Card Device Enumeration Service)(ScDeviceEnum) = Disable
- ?SysMain и SuperFetch (это одна и та же служба) = Disable
- ?srv2012 Diagnostics Tracking Service = Disable
GPO rp-rds:
- Конфигурация компьютера -> Конфигурация Windows -> Параметры Безопасности -> Локальные политики ->Параметры безопасности -> Контроль учетных записей: все администраторы работают в режиме одобрения администратором = Включено
- Конфигурация компьютера -> Конфигурация Windows -> Параметры Безопасности -> Локальные политики ->Параметры безопасности -> Контроль учетных записей: использование режима одобрения администратором для встроенной учетной записи администратора = Включено
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Безопасность -> Требовать использования специального уровня безопасности для удаленных подключений по методу RDP = Включено (SSL)
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Среда удаленных сеансов -> Настройка сжатия данных RemoteFX = Включено (Оптимизация использования полосы пропускания)
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Среда удаленных сеансов -> Принудительная отмена фоновых рисунков удаленного рабочего стола = Включено
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Среда удаленных сеансов -> Наибольшая глубина цвета =24
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Найти -> Разрешить* индексирование = Отключено
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Анализ стабильности Windows -> Настройка поставщиков WMI стабильности системы = Отключено
GPO rp-rds-dc:
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Безопасность -> Всегда запрашивать пароль клиента при подключении = Включено
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Безопасность -> Требовать безопасное RPC-подключение = Включено
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Безопасность -> Требовать использования специального уровня безопасности для удаленных подключений по методу RDP = Включено (SSL)
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Безопасность -> Установить уровень шифрования для клиентских подключений = Включено (Высокий уровень)
GPO rp-reboot-update:
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления windows -> Настройка автоматического обновления = Включено (4 – авт. загрузка и установка, 5 – каждый четверг, 02:00 – время, Еженедельно, Установка обновлений для других продуктов)
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления windows -> Всегда автоматически перегружаться в запланированное время = Включено (15 минут)
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления windows -> Центр обновления windows для бизнеса -> Выберите, когда следует получать исправления = Включено (30 дней)
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления windows -> Центр обновления windows для бизнеса -> Управлять предварительными сборками = Включено (Отключить предварительные сборки)
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления windows -> Центр обновления windows для бизнеса -> Выберите, когда следует получать предварительные сборки и обновления компонентов = Включено (Semi-Annual Channel, 90 дней)
GPO rp-main:
- Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Конфигурация расширенной политики аудита -> Политики аудита -> Вход/выход = Success and Failure (Аудит входа в систему (Audit Logon) / Аудит другие события входа и выхода (Audit Other Logon) / Аудит выхода из системы (Logoff Events))
- Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Конфигурация расширенной политики аудита -> Политики аудита -> Вход учетной записи -> Аудит cлужба проверки подлинности Kerberos = Success and Failure
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Сборки для сбора данных и предварительные сборки -> Разрешить телеметрию (Разрешить сбор диагностических данных) = Включено (0-Безопасность)
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Сборки для сбора данных и предварительные сборки -> Настройте сбор данных браузера для Microsoft 365 = Включено (Запретить)
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Onedrive -> Запрет использования OneDrive для хранения файлов = Включено
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Onedrive -> По умолчанию сохранять документы в OneDrive = Отключено
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> RSS-каналы = Запретить автоматическое обнаружение веб-каналов и веб-фрагментов = Включено
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Конфиденциальность приложения -> Разрешить приложениям для Windows работать в фоновом режиме = Запретить принудительно в поле По умолчанию для всех приложений
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Найти -> Разрешить использование Кортаны* = Отключено
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Найти -> Разрешение средствам поиска и Кортане использовать информацию о расположении = Отключено
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Найти -> Отключить индексирование файлов в кэше автономных файлов = Включено
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Найти -> Запретить поиск в Интернете = Включено
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Найти -> Не выполнять поиск в Интернете и не отображать результаты в Интернете при поиске* = Включено
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Новости и интересы -> Включить новости и интересы на панели задач = Отключено
- Конфигурация пользователя -> Административные шаблоны -> Панель управления -> Принтеры -> Отключить управление принтером по умолчанию в Windows = Включено
- Конфигурация компьютера -> Административные шаблоны -> Сеть -> Сетевые подключения -> Брандмауэр Windows -> Профиль домена -> Разрешить исключения ICMP = эхо-запрос
- Конфигурация компьютера -> Административные шаблоны -> Сеть -> Сетевые подключения -> Брандмауэр Windows -> Профиль домена -> Разрешить входящее исключение удаленного администрирования = Включено
- Конфигурация компьютера -> Административные шаблоны -> Сеть -> Сетевые подключения -> Брандмауэр Windows -> Профиль домена -> Брандмауэр Windows: определение входящих исключений портов:
-
- 443:TCP:*:enabled:rp-GPO
- 3389:TCP:*:enabled:rp-GPO
- 6129:TCP:*:enabled:rp-GPO
- 6130:TCP:*:enabled:rp-GPO
- 6132:TCP:*:enabled:rp-GPO
- 6133:TCP:*:enabled:rp-GPO
GPO ???:
- ! Конфигурация компьютера -> Административные шаблоны -> Система -> Вход в систему -> Ждать сеть при запуске и входе в систему (Always wait for the network at computer startup and logon) = Отключено
- ? Конфигурация компьютера -> Административные шаблоны -> Система -> Групповая политика -> Установить интервал обновления групповой политики для компьютеров = 180, 30
- ? Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Смарт-карта -> Включить службу самонастраивающихся устройств для смарт-карт = Отключено
- ? Конфигурация компьютера -> Административные шаблоны -> Система -> Управление питанием -> Параметры регулирования мощности -> Отключить регулирование мощности =Включена
GPO rp-browsers:
Microsoft EDGE
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Microsoft Edge -> Разрешить предварительный запуск Microsoft Edge при загрузке Windows, когда система простаивает, и каждый раз при закрытии Microsoft Edge = Включено (Запретить)
- Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Microsoft Edge -> Разрешить Microsoft Edge запускать и загружать начальную страницу и страницу новой вкладки при загрузке Windows и каждый раз при закрытии Microsoft Edge = Включено (Запретить)
Google Chrome:
- Использовать аппаратное ускорение (при наличии) = Отключено
- Продолжить фоновое выполнение приложений после закрытия Google Chrome = Отключено
- Установить ограничение в мегабайтах для памяти, которую может использовать один экземпляр Chrome = 1024
- Главная страница и страница быстрого доступа при запуске -> Действие при запуске = Включено (Открыть страницу быстрого доступа)
- Главная страница и страница быстрого доступа при запуске -> Сделать страницу быстрого доступа главной = Включено
- —————
- Включить анонимный сбор данных о URL = Отключено
- Включить в отчеты данные об использовании и сбоях = Отключено
- Включить переводчик = Отключено
- Включить предварительное определение сети = Включено (Никогда не предопределять параметры сети)
- Задать объем кеша в байтах = 1
- Разрешить автоматическое воспроизведение видео = Отключено
- Управление функцией IntensiveWakeUpThrottling = Включено
- Установить ограничение в мегабайтах для памяти, которую может использовать один экземпляр Chrome = 1024
- Настройки контента -> Настройка уведомлений по умолчанию = Запретить показ уведомлений на всех сайтах
- Настройки безопасного просмотра -> Уровень защиты безопасного просмотра = Включено (Безопасный просмотр всегда отключен)
- Отключить ненужные расширения!
- Включить панель закладок = Включено
Блокировать доступ с списку URL:
1 2 3 |
dzen.ru youtube.com instagram.com |
Настройка списка разрешенных расширений:
1 2 3 4 5 6 7 8 9 10 11 |
CryptoPro Extension for CAdES Browser Plug-in iifchhfnnmpdbibifmljnfjhpififfog Saby Plugin Extension pbcgcpeifkdjijdjambaakmhhpkfgoec Такском-Сертификаты dlagkjochbkkfmcgofjlipnjneahkfjn Chrome Tab Limiter - 5 Tabs kkgepplhedkjieiomjhibinmdflaceje |
Настройка черного списка расширений:
1 |
* |
Enable Memory Saver Mode in Chrome:
1)Open a new tab in the Google Chrome browser.
2)Type in the address bar and press the Enter key.
1 |
chrome://flags/ |
3)Type in the Search flags search box.
1 |
efficiency |
4)Select Enabled from the dropdown next to the option.
1 |
Enable the high-efficiency mode feature in the settings |
5)Click on the Relaunch button that appears in the bottom-right corner.
Yandex Browser:
- Оптимизация -> Задать обьем памяти для одного экземпляра Браузера = 1024
- Поведение –> Действие при запуске = Открыть новую вкладку
- Поведение –> Настроить автозапуск браузера при включении компьютера = Отключено
- Поведение –> Настроить проверку браузера по умолчанию при запуске Яндекс Браузера = Отключено
- Другое –> Использовать аппаратное ускорение = Отключено
- Другое –> Отключить Алису = Включено
- Другое –> Разрешить браузеру работать в фоновом режиме = Отключено
- —————
- Включить отправку в Яндекс текста для определения языка страницы = Отключено
- Включить в отчеты данные об использовании и сбоях браузера = Отключено
- Включить отправку отчетов о сбоях Яндекс Браузера = Отключено
- Задать объем кеша в байтах = 1
- Запрет открытия файлов офисных форматов в браузере = Включено
- Отключить информационно-развлекательный контент на новой вкладке = Включено
- Отключить рекламу на новой вкладке = Включено
- Отображать боковую панель = Включено = Скрыта
- Отправка анонимной статистики на сервера Яндекса = Отключено
- Разрешить автоматическое воспроизведение видео = Отключено