TODO support time
Support time:
1)SQL
- 22:00 backup-FULL every THU
- 19:00 backup-DIFF everyday
- 05:10 Index-and-Statistics every SUN
2)reboot
- Конфигурация компьютера > Параметры панели управления > Назначенные задания
- reboot110
- запланированное задача (Windows 7 и выше)
Пункт Immediate Task (Очередное задание) позволяет создать задание, которое будет запущено только один раз, но максимально быстро (сразу после следующего обновления групповых политик на клиенте).
- Общие > действие = обновить
- Общие > при выполнении задачи использовать следующую учётную запись = Система
(NT Authority\System) - Общие > выполнять вне зависимости от регистрации пользователя
- Общие > выполнять с наивысшими правами
- Триггеры > время выполнения 01:10
- Триггеры > выполнять еженедельно (кроме субботы и воскресенья)
- Триггеры > отложить задачу на (произвольная задержка) = 30 минут
- Действия > запуск > shutdown > аргументы > -r -f
- Общие параметры > применить один раз и не применять повторно = ДА (если надо обновить у всех снимаем галочку > Применить > ставим галочку)
PowerShell:
1 |
$runminute = Get-Random -Maximum 45 ; schtasks /delete /tn reboot1 /f ; schtasks /create /sc weekly /d "mon tue wed thu fri" /tn reboot1 /tr "shutdown -r -f" /ru system /rl highest /f /st 01:$runminute |
1 |
msg * В 11.35 будет техническая перезагрузка сервера. Просьба закрыть все программы и документы. |
1 |
schtasks /create /sc once /tn restartonce1 /tr "shutdown -r -f" /ru system /rl highest /f /st 11:35 |
1 |
schtasks /delete /tn restartonce1 /f |
1 |
schtasks /create /sc weekly /d "fri mon" /tn reboot-sql /tr "shutdown -r -f" /ru system /rl highest /f /st 01:05 |
4)03:00 syncronization
5)04:00 1C-регламент
PC:
- Электропитание = Высокая производительность
ESXI:
- Электропитание = Высокая производительность
MSSQL:
- Максимальный размер памяти сервера = по обстоятельствам
- Минимальный размер памяти сервера = максимальному размеру памяти
- Максимальная степень параллелизма = 1
1C:
- Служба 1С агента = Автоматически (отложенный запуск)
- Временно допустимый объём памяти процессов = max -sql-min4gb
- Интервал превышения допустимого объема памяти процессов = 0
- Использует <=12 ядер процессора
- ?- для 8 процессоров и 40Gb оперативки:
Максимальная степень параллелизма = 4
Включите флаг «Поддерживать» приоритет SQL Server
Windows Server:
- Электропитание = Высокая производительность
Service:
- Connected User Experiences and Telemetry (Служба политики диагностики)(DPS) = Disable
- WSearch и Windows Search (это одна и та же служба) = Disable
- Смарт-карта (Smart Card)(SCardSvr) = Disable
- Служба перечисления устройств чтения смарт-карт (Smart Card Device Enumeration Service)(ScDeviceEnum) = Disable
- ?SysMain и SuperFetch (это одна и та же служба) = Disable
- ?srv2012 Diagnostics Tracking Service = Disable
GPO rp-rds:
- Конфигурация компьютера > Конфигурация Windows > Параметры Безопасности > Локальные политики >Параметры безопасности > Контроль учетных записей: все администраторы работают в режиме одобрения администратором = Включено
- Конфигурация компьютера > Конфигурация Windows > Параметры Безопасности > Локальные политики >Параметры безопасности > Контроль учетных записей: использование режима одобрения администратором для встроенной учетной записи администратора = Включено
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Безопасность > Требовать использования специального уровня безопасности для удаленных подключений по методу RDP = Включено (SSL)
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Среда удаленных сеансов > Настройка сжатия данных RemoteFX = Включено (Оптимизация использования полосы пропускания)
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Среда удаленных сеансов > Принудительная отмена фоновых рисунков удаленного рабочего стола = Включено
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Среда удаленных сеансов > Наибольшая глубина цвета =24
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Найти > Разрешить* индексирование = Отключено
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Анализ стабильности Windows > Настройка поставщиков WMI стабильности системы = Отключено
GPO rp-rds-dc:
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Безопасность > Всегда запрашивать пароль клиента при подключении = Включено
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Безопасность > Требовать безопасное RPC-подключение = Включено
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Безопасность > Требовать использования специального уровня безопасности для удаленных подключений по методу RDP = Включено (SSL)
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Безопасность > Установить уровень шифрования для клиентских подключений = Включено (Высокий уровень)
GPO rp-reboot-update:
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления windows > Настройка автоматического обновления = Включено (4 – авт. загрузка и установка, 5 – каждый четверг, 02:00 – время, Еженедельно, Установка обновлений для других продуктов)
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления windows > Всегда автоматически перегружаться в запланированное время = Включено (15 минут)
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления windows > Центр обновления windows для бизнеса > Выберите, когда следует получать исправления = Включено (30 дней)
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления windows > Центр обновления windows для бизнеса > Управлять предварительными сборками = Включено (Отключить предварительные сборки)
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления windows > Центр обновления windows для бизнеса > Выберите, когда следует получать предварительные сборки и обновления компонентов = Включено (Semi-Annual Channel, 90 дней)
GPO rp-main:
- Конфигурация компьютера > Политики > Конфигурация Windows > Параметры безопасности > Конфигурация расширенной политики аудита > Политики аудита > Вход/выход = Success and Failure (Аудит входа в систему (Audit Logon) / Аудит другие события входа и выхода (Audit Other Logon) / Аудит выхода из системы (Logoff Events))
- Конфигурация компьютера > Политики > Конфигурация Windows > Параметры безопасности > Конфигурация расширенной политики аудита > Политики аудита > Вход учетной записи > Аудит cлужба проверки подлинности Kerberos = Success and Failure
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Сборки для сбора данных и предварительные сборки > Разрешить телеметрию (Разрешить сбор диагностических данных) = Включено (0-Безопасность)
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Сборки для сбора данных и предварительные сборки > Настройте сбор данных браузера для Microsoft 365 = Включено (Запретить)
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Onedrive > Запрет использования OneDrive для хранения файлов = Включено
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Onedrive > По умолчанию сохранять документы в OneDrive = Отключено
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > RSS-каналы = Запретить автоматическое обнаружение веб-каналов и веб-фрагментов = Включено
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Конфиденциальность приложения > Разрешить приложениям для Windows работать в фоновом режиме = Запретить принудительно в поле По умолчанию для всех приложений
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Найти > Разрешить использование Кортаны* = Отключено
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Найти > Разрешение средствам поиска и Кортане использовать информацию о расположении = Отключено
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Найти > Отключить индексирование файлов в кэше автономных файлов = Включено
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Найти > Запретить поиск в Интернете = Включено
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Найти > Не выполнять поиск в Интернете и не отображать результаты в Интернете при поиске* = Включено
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Новости и интересы > Включить новости и интересы на панели задач = Отключено
- Конфигурация пользователя > Административные шаблоны > Панель управления > Принтеры > Отключить управление принтером по умолчанию в Windows = Включено
- Конфигурация компьютера > Административные шаблоны > Сеть > Сетевые подключения > Брандмауэр Windows > Профиль домена > Разрешить исключения ICMP = эхо-запрос
- Конфигурация компьютера > Административные шаблоны > Сеть > Сетевые подключения > Брандмауэр Windows > Профиль домена > Брандмауэр Windows: определение входящих исключений портов:
-
- 443:TCP:*:enabled:rp-GPO
- 3389:TCP:*:enabled:rp-GPO
- 6129:TCP:*:enabled:rp-GPO
- 6130:TCP:*:enabled:rp-GPO
- 6132:TCP:*:enabled:rp-GPO
- 6133:TCP:*:enabled:rp-GPO
GPO ???:
- ? Конфигурация компьютера > Административные шаблоны > Система > Групповая политика > Установить интервал обновления групповой политики для компьютеров = 180, 30
- ? Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Смарт-карта > Включить службу самонастраивающихся устройств для смарт-карт = Отключено
- ? Конфигурация компьютера > Административные шаблоны > Система > Управление питанием > Параметры регулирования мощности > Отключить регулирование мощности =Включена
- Конфигурация компьютера > Административные шаблоны > Система > Вход в систему > Ждать сеть при запуске и входе в систему (Always wait for the network at computer startup and logon) = Отключено
GPO rp-browsers:
Microsoft EDGE
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Microsoft Edge > Разрешить предварительный запуск Microsoft Edge при загрузке Windows, когда система простаивает, и каждый раз при закрытии Microsoft Edge = Включено (Запретить)
- Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Microsoft Edge > Разрешить Microsoft Edge запускать и загружать начальную страницу и страницу новой вкладки при загрузке Windows и каждый раз при закрытии Microsoft Edge = Включено (Запретить)
Google Chrome:
- Включить анонимный сбор данных о URL = Отключено
- Включить в отчеты данные об использовании и сбоях = Отключено
- Включить переводчик = Отключено
- Включить предварительное определение сети = Включено (Никогда не предопределять параметры сети)
- Задать объем кеша в байтах = 1
- Использовать аппаратное ускорение (при наличии) = Отключено
- Продолжить фоновое выполнение приложений после закрытия Google Chrome = Отключено
- Разрешить автоматическое воспроизведение видео = Отключено
- Управление функцией IntensiveWakeUpThrottling = Включено
- Установить ограничение в мегабайтах для памяти, которую может использовать один экземпляр Chrome = 1024
- Настройки контента > Настройка уведомлений по умолчанию = Запретить показ уведомлений на всех сайтах
- Главная страница и страница быстрого доступа при запуске > Действие при запуске = Включено (Открыть страницу быстрого доступа)
- Главная страница и страница быстрого доступа при запуске > Сделать страницу быстрого доступа главной = Включено
- Настройки безопасного просмотра > Уровень защиты безопасного просмотра = Включено (Безопасный просмотр всегда отключен)
- Отключить ненужные расширения!
- Включить панель закладок = Включено
Блокировать доступ с списку URL:
1 2 3 |
dzen.ru youtube.com instagram.com |
Настройка списка разрешенных расширений:
1 2 3 4 5 6 |
iifchhfnnmpdbibifmljnfjhpififfog pbcgcpeifkdjijdjambaakmhhpkfgoec pbefkdcndngodfeigfdgiodgnmbgcfha fahheakdhoeoigmafejkehdoeikpgdfp kkgepplhedkjieiomjhibinmdflaceje dlagkjochbkkfmcgofjlipnjneahkfjn |
Настройка черного списка расширений:
1 |
* |
Enable Memory Saver Mode in Chrome:
1)Open a new tab in the Google Chrome browser.
2)Type in the address bar and press the Enter key.
1 |
chrome://flags/ |
3)Type in the Search flags search box.
1 |
efficiency |
4)Select Enabled from the dropdown next to the option.
1 |
Enable the high-efficiency mode feature in the settings |
5)Click on the Relaunch button that appears in the bottom-right corner.
Yandex Browser:
- Поведение -> Настроить автозапуск браузера при включении компьютера = Отключено.
- Другое -> Использовать аппаратное ускорение = Отключено.
- Другое -> Разрешить браузеру работать в фоновом режиме = Отключено.
- ———-
- Включить отправку в Яндекс текста для определения языка страницы = Отключено.
- Включить в отчеты данные об использовании и сбоях браузера = Отключено.
- Включить отправку отчетов о сбоях Яндекс Браузера = Отключено.
- Задать объем кеша в байтах = 1.
- Запрет открытия файлов офисных форматов в браузере = Включено.
- Отключить Алису и Мессенджер = Включено.
- Отключить информационно-развлекательный контент на новой вкладке = Включено.
- Отключить рекламу на новой вкладке = Включено.
- Отображать боковую панель = Включено = Скрыта.
- Отправка анонимной статистики на сервера Яндекса = Отключено.
- Разрешить автоматическое воспроизведение видео = Отключено.