Настройка параметров политики безопасности (Windows 10) — Windows security
- Чтение занимает 2 мин
В этой статье
Относится к:Applies to
Описание действий по настройке параметра политики безопасности на локальном устройстве, на устройстве, которое присоединилось к домену, и на контроллере домена.Describes steps to configure a security policy setting on the local device, on a domain-joined device, and on a domain controller.
Для выполнения этих процедур необходимы права администраторов на локальном устройстве или соответствующие разрешения на обновление объекта групповой политики (GPO) на контроллере домена.You must have Administrators rights on the local device, or you must have the appropriate permissions to update a Group Policy Object (GPO) on the domain controller to perform these procedures.
Если локальный параметр недоступен, это означает, что В настоящее время этот параметр контролируется GPO.When a local setting is inaccessible, it indicates that a GPO currently controls that setting.
Настройка параметра с помощью консоли «Локализованная политика безопасности»To configure a setting using the Local Security Policy console
Чтобы открыть локализованную политику безопасности, на экране «Начните» введите secpol.mscи нажмите ввод.To open Local Security Policy, on the Start screen, type secpol.msc, and then press ENTER.
В области «Параметры безопасности» дерева консоли сделайте одно из следующих параметров:Under Security Settings of the console tree, do one of the following:
- Щелкните «Политики учетных записей», чтобы изменить политику паролей или политику блокировки учетных записей.Click Account Policies to edit the Password Policy or Account Lockout Policy.
- Щелкните «Локальные политики», чтобы изменить политику аудита, назначение правпользователя или параметры безопасности.Click Local Policies to edit an Audit Policy, a User Rights Assignment, or Security Options.
При нажатии параметра политики в области сведений дважды щелкните политику безопасности, которую необходимо изменить.When you find the policy setting in the details pane, double-click the security policy that you want to modify.
Измените параметр политики безопасности и нажмите кнопку «ОК».Modify the security policy setting, and then click OK.
Примечание
- Некоторые параметры политики безопасности требуют перезапуска устройства до того, как параметр вступает в силу.Some security policy settings require that the device be restarted before the setting takes effect.
- Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.
Настройка параметра политики безопасности
Что такое Configuration Manager? — Configuration Manager
- Чтение занимает 3 мин
В этой статье
Область применения: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)
Начиная с версии 1910 Configuration Manager входит в состав Microsoft Endpoint Manager.Starting in version 1910, Configuration Manager is now part of Microsoft Endpoint Manager.
Microsoft Endpoint Manager — это интегрированное решение для управления всеми устройствами.Microsoft Endpoint Manager is an integrated solution for managing all of your devices. Корпорация Майкрософт объединяет Configuration Manager и Intune без сложной миграции и с упрощенной лицензией.Microsoft brings together Configuration Manager and Intune, without a complex migration, and with simplified licensing. Продолжайте пользоваться имеющимися вложениями в Configuration Manager, используя преимущества Microsoft Cloud в своем темпе.Continue to leverage your existing Configuration Manager investments, while taking advantage of the power of the Microsoft cloud at your own pace.
Следующие решения по управлению Майкрософт теперь являются частью торговой марки Microsoft Endpoint Manager:The following Microsoft management solutions are all now part of the Microsoft Endpoint Manager brand:
Дополнительные сведения см. в статье Вопросы и ответы по Microsoft Endpoint Configuration Manager.For more information, see Microsoft Endpoint Configuration Manager FAQ.
ВведениеIntroduction
Используйте Configuration Manager для выполнения следующих действий по управлению системами:Use Configuration Manager to help you with the following systems management activities:
- повысить производительность и эффективность ИТ-отдела благодаря уменьшению объема ручных задач, что позволяет сосредоточиться на особо важных проектах;Increase IT productivity and efficiency by reducing manual tasks and letting you focus on high-value projects.
- добиться максимальной отдачи от вложений в оборудование и программное обеспечение;Maximize hardware and software investments.
- расширить возможности пользователей, предоставляя им подходящее программное обеспечение в нужное время.Empower user productivity by providing the right software at the right time.
Configuration Manager помогает вам предоставлять более эффективные ИТ-службы за счет следующих возможностей:Configuration Manager helps you deliver more effective IT services by enabling:
- Безопасное и масштабируемое развертывание приложений, обновлений программного обеспечения и операционных систем.Secure and scalable deployment of applications, software updates, and operating systems.
- Действия в реальном времени на управляемых устройствах.Real-time actions on managed devices.
- Аналитика на основе облака и управление для локальных и интернет-устройств.Cloud-powered analytics and management for on-premises and internet-based devices.
- Управление параметрами соответствияCompliance settings management.
- Комплексное управление серверами, настольными системами и ноутбуками.Comprehensive management of servers, desktops, and laptops.
Configuration Manager работает параллельно с многими технологиями и решениями Майкрософт и расширяет их возможности.Configuration Manager extends and works alongside many Microsoft technologies and solutions. Например, Configuration Manager интегрируется со следующими компонентами:For example, Configuration Manager integrates with:
- Microsoft Intune для совместного управления разнообразными платформами мобильных устройствMicrosoft Intune to co-manage a wide variety of mobile device platforms
- Microsoft Azure для размещения облачных служб, расширяющих возможности служб управленияMicrosoft Azure to host cloud services to extend your management services
- Службы Windows Server Update Services (WSUS) — для управления обновлениями программного обеспеченияWindows Server Update Services (WSUS) to manage software updates
- Службы сертификатовCertificate Services
- Exchange Server и Exchange OnlineExchange Server and Exchange Online
- Групповая политикаGroup Policy
- DNSDNS
- Комплект средств для автоматизации развертывания Windows (Windows ADK) и средство миграции пользовательской среды (USMT)Windows Automated Deployment Kit (Windows ADK) and the User State Migration Tool (USMT)
- Службы развертывания Windows (WDS)Windows Deployment Services (WDS)
- Удаленный рабочий стол и удаленный помощникRemote Desktop and Remote Assistance
Configuration Manager также использует:Configuration Manager also uses:
- доменные службы Active Directory и Azure Active Directory для обеспечения безопасности, обнаружения службы, настройки, а также для обнаружения пользователей и устройств, которыми необходимо управлять.Active Directory Domain Services and Azure Active Directory for security, service location, configuration, and to discover the users and devices that you want to manage.
- Microsoft SQL Server в качестве распределенной базы данных управления изменениями и интегрирован с SQL Server Reporting Services (SSRS) для составления отчетов, позволяющих отслеживать действия по управлению;Microsoft SQL Server as a distributed change management database—and integrates with SQL Server Reporting Services (SSRS) to produce reports to monitor and track management activities.
- роли системы сайта, расширяющие функции управления и использующие веб-службы IIS;Site system roles that extend management functionality and use the web services of Internet Information Services (IIS).
- оптимизация доставки, транспортный протокол фоновой передачи с малой дополнительной задержкой (LEDBAT) в Windows, фоновая интеллектуальная служба передачи (BITS), BranchCache и другие технологии однорангового кэширования для управления содержимым в сетях и между устройствами.Delivery Optimization, Windows Low Extra Delay Background Transport (LEDBAT), Background Intelligent Transfer Service (BITS), BranchCache, and other peer caching technologies to help manage content on your networks and between devices.
Для успешной работы с Configuration Manager в рабочей среде необходимо тщательно спланировать и протестировать функции управления.To be successful with Configuration Manager in a production environment, thoroughly plan and test the management features. Configuration Manager является эффективным приложением управления, способным повлиять на каждый компьютер в организации.Configuration Manager is a powerful management application, with the potential to affect every computer in your organization. Если развертывание и управление Configuration Manager осуществляется с тщательным планированием и обеспечением соответствия требованиям организации, Configuration Manager может сократить трудозатраты администраторов и снизить совокупную стоимость владения.When you deploy and manage Configuration Manager with careful planning and consideration of your business requirements, Configuration Manager can reduce your administrative overhead and total cost of ownership.
Пользовательские интерфейсыUser interfaces
Консоль Configuration ManagerThe Configuration Manager console
После установки Configuration Manager используйте консоль Configuration Manager для настройки сайтов, клиентов, а также выполнения и отслеживания задач управления.After you install Configuration Manager, use the Configuration Manager console to configure sites and clients, and to run and monitor management tasks. Эта консоль является основным инструментом администрирования и позволяет управлять несколькими сайтами.This console is the main point of administration, and lets you manage multiple sites.
Можно установить консоль Configuration Manager на дополнительных компьютерах и ограничить доступ и отображаемые администраторам данные в консоли, используя ролевое администрирование Configuration Manager.You can install the Configuration Manager console on additional computers, and restrict access and limit what administrative users can see in the console by using Configuration Manager role-based administration.
Дополнительные сведения см. в статье об использовании консоли Configuration Manager.For more information, see Use the Configuration Manager console.
Центр программного обеспеченияSoftware Center
Центр программного обеспечения — это приложение, которое автоматически устанавливается при установке клиента Configuration Manager на устройстве Windows.Software Center is an application that’s installed when you install the Configuration Manager client on a Windows device. Пользователи используют центр программного обеспечения для запроса и установки развертываемого вами программного обеспечения.Users use Software Center to request and install software that you deploy. Центр программного обеспечения позволяет выполнять следующие действия:Software Center lets users do the following actions:
- Поиск и установка приложений, обновлений программного обеспечения и новых версий ОСBrowse for and install applications, software updates, and new OS versions
- Просмотр истории запросов программного обеспеченияView their software request history
- Просмотр соответствия устройств политикам вашей организацииView device compliance against your organization’s policies
Можно также отобразить пользовательские вкладки в центре программного обеспечения, чтобы удовлетворить дополнительные бизнес-требования.You can also show custom tabs in Software Center to meet additional business requirements.
Дополнительные сведения см. в руководстве пользователя по центру программного обеспечения.For more information, see the Software Center user guide.
Дальнейшие шагиNext steps
Перед установкой Configuration Manager ознакомьтесь с основными принципами и понятиями.Before you install Configuration Manager, familiarize yourself with the basic concepts and terms:
Получив общие сведения, обратитесь к библиотеке документации, чтобы выполнить развертывание и приступить к использованию Configuration Manager.When you’re familiar with the basic concepts, use this documentation library to help you successfully deploy and use Configuration Manager. Начать можно со следующих статей:Start with the following articles:
Windows: Запретить сетевой доступ под локальным учетным записям
Использование локальных учетных записей (в том числе локального администратора) для доступа по сети в средах Active Directory нежелательно по ряду причин. Зачастую на многих компьютерах используются одинаковые имя и пароль локального администратора, что может поставить под угрозу множество систем при компрометации одного компьютера (угроза атаки Pass-the-hash). Кроме того, доступ под локальными учетными записями по сети трудно персонифицировать и централизованно отследить, т.к. подобные события не регистрируются на контроллерах домена AD.
Для снижения рисков, администраторы могут изменить имя стандартной локальной учетной записи администратора Windows (Administrator). Для регулярной смены пароля локального администратора на всех компьютерах в домене можно использовать MS LAPS (Local Administrator Password Solution). Но этими решениями не удастся решить проблему ограничения сетевого доступа под локальными учетными записями, т.к. на компьютерах может быть больше одной локальной учетки.
Ограничить сетевой доступ для локальных учетных записей можно с помощью политики Deny access to this computer from the network. Но проблема в том, что в данной политике придется явно перечислить все имена учетных записей, которым нужно запретить сетевой доступ к компьютеру.
В Windows 8.1 and Windows Server 2012 R2 появилась две новые группы безопасности (Well-known group) с известными SID. Одна включает в себя всех локальных пользователей, а вторая всех локальных администраторов.
| S-1-5-113 | NT AUTHORITY\Local account | Все локальные учетная запись |
| S-1-5-114 | NT AUTHORITY\Local account and member of Administrators group | Все локальные учетные записи с правами администратора |
Теперь для ограничения доступа локальным учетным записям не нужно перечислять все возможные варианты SID локальных учёток, а использовать их общий SID.
Данные группы добавляются в токен доступа пользователя при входе в систему под локальной учетной записью.
Чтобы убедится, что в Windows 10/Windows Server 2016 локальной учетной записи присвоены две новый группы NT AUTHORITY\Local account (SID S-1-5-113) и NT AUTHORITY\Local account and member of Administrators group (SID S-1-5-114), выполните команду:
whoami /all
Проверить, имеются ли данные группы безопасности в вашей Windows можно по их SID так:
$objSID = New-Object System.Security.Principal.SecurityIdentifier ("S-1-5-113")
$objAccount = $objSID.Translate([System.Security.Principal.NTAccount])
$objAccount.Value
Если скрипт возвращает NT Authority\Local account, значит данная локальная группа (с этим SID) имеется.
Чтобы запретить сетевой доступ под локальным учетным записями, с этими SID-ами в токене, можно воспользоваться политиками из раздела GPO Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment.
Запрет на вход через RDP для локальных пользователей и администратора
Политика Deny log on through Remote Desktop Services (Запретить вход в систему через службу с удаленного рабочего стола) позволяет указать пользователей и группы, которым явно запрещен удаленный вход на компьютер через RDP. Вы можете запретить RDP доступ к компьютеру для локальных или доменных учетных записей.
По умолчанию RDP доступ в Windows разрешён администраторам и членам локальной группы Remote Desktop Users.
Если вы хотите запретить RDP подключения только локальных пользователей (в том числе локальных администраторов), откройте локальной редактор GPO gpedit.msc (если вы хотите применить эти настройка на компьютерах в домене AD, используйте редактор доменных политик – gpmc.msc). Перейдите в указанную выше секцию GPO и отредактируйте политику Deny log on through Remote Desktop Services.
Добавьте в политику встроенные локальные группу безопасности Local account and member of Administrators group и Local account. Обновите настройки локальных политик с помощью команды: gpupdate /force.
Теперь, если вы попытаетесь подключиться к компьютеру по RDP, появится ошибка:
To sign in remotely, you need the right to sign in through Remote Desktop Services. By default, members of the Remote Desktop Users group have this right. If the group you’re in doesn’t have this right, or if the right has been removed from the Remote Desktop Users group, you need to be granted this right manually.
Чтобы войти в систему удаленно, вам нужно право на вход через службы удаленных рабочих столов. По умолчанию такое право имеют члены группы Администраторы. Если у вашей группы нет этого права или оно было удалено для группы Администраторы, попросите предоставить его вам вручную.
Запрет сетевого доступа к компьютеру по сети
Вы можете запретить сетевой доступ к компьютеру под локальными учетными данными с помощью политики Deny access to this computer from the network (Отказать в доступе к этому компьютеру из сети).
Добавьте в политику Deny access to this computer from the network локальные группы Local account и Local account and member of Administrators group. Также стоит всегда запрещать анонимный доступ и доступ под гостевым аккаунтом.
Для доменной среды рекомендуется с помощью этой политики полностью запретить доступ к рабочим станциям и рядовым серверам домена под учетными записями из групп Domain Admins и Enterprise Administrators. Эти аккаунты должны использоваться только для доступа к контроллерам доменам. Тем самым вы уменьшите риски перехвата хэша административных аккаунтов и эскалации привилегий.После применения политики вы не сможете удаленно подключиться к этому компьютеру по сети под любой локальной учетной записью. При попытке подключиться к сетевой папке или подключить сетевой диск с этого компьютера под локальной учетной записью, появится ошибка:
Microsoft Windows Network: Logon failure: the user has not been granted the requested logon type at this computers.
При попытке установить RDP сессию под учетной записью локального администратора (.\administrator) появится сообщение об ошибке.
The system administrator has restricted the types of logon (network or interactive) that you may use. For assistance, contact your system administrator or technical support.
Системный администратор ограничил типы входа в систему (сетевой или интерактивный), которые можно использовать. Обратитесь за помощью к системному администратору или в службу технической поддержки.
Важно. Если вы примените эту политику к компьютеру, который находится в рабочей группе (не присоединен к домену Active Directory), вы сможете войти на такой компьютер только локально.
Запретить локальный вход в Windows
С помощью политики Deny log on locally (Запретить локальных вход) вы можете запретить и интерактивный вход на компьютер/сервер под локальными учетными записями. Перейдите в секцию GPO User Rights Assignment, отредактируйте политику Deny log on locally. Добавьте в нее нужную локальную группу безопасности.
Будьте особо внимательны с запрещающими политиками. При некорректной настройке, вы можете потерять доступ к компьютерам. В крайнем случае сбросить настройки локальной GPO можно так.Теперь, если пользователь или администратор попытается авторизоваться на компьютере под локальной учетной записью, появится сообщение.
The sign-in method you are trying to use isn’t allowed. For more info, contact your network administrator.
Этот метод входа запрещено использовать. Для получения дополнительных сведений обратитесь к администратору своей сети.
Таким образом, вы можете ограничить доступ под локальными учетными записями на компьютеры и сервера домена, увеличить защищенность корпоративной сети.
Как увеличить количество кэшированных входов в домен.
Прочитано: 1 711
Если у Вас в организации сотрудники часто бывают в пределах офиса и соответственно при входе на свой ноутбук пользователь получает следующее сообщение – “Не удалось установить связь с сервером и получить параметры входа в систему. Вход выполнен с помощью локально сохранённой информации об учетной записи. Если информация учетной записи была изменена со времени последнего входа в систему, эти изменения не отразятся в этом сеансе” . Если контроллер домена недоступен и учётных данных пользователя в кэше нет, пользователь получает следующее сообщение. Из ходя из этого пользователь должен хоть, раз успешно зайти в свою систему в сети домена.
Не удалось выполнить вход в систему, поскольку домен <ИМЯ_ДОМЕНА> недоступен
По умолчанию в домене, число входов на рабочую станцию в отсутствии связи с домен контроллером равно 10 раз вне зависимости, какая у Вас используется операционная система (Windows XP, Windows 7 и более старшие модели)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon\
ValueName: CachedLogonsCount
REG_SZ: 10
Запущенный редактор реестра (Win + R и набрать regedit) для просмотра текущего значения:
Специально для таких сотрудников рекомендую создать отдельное подразделение (OU) в домене и поместить в неё имена компьютеров. И увеличить это значение до максимально возможного, т.е. пятидесяти (50).
Заходим на домен контроллер (dc1.polygon.local) под учётной записью ekzorchik (входит в группу Domain Admins).
Запускаем оснастку управления групповыми политиками – Group Policy Management:
«Start» – «Control Panel» – «Administrative Tools» – «Group Policy Management», далее развернём узел «Group Policy Objects» (Объекты групповой политики)
В моём случае это будет подразделение IT (в Вашем случаем создавайте/выбирайте нужное Вам).
Создадим групповую политику и назовём её: GPO_CacheLogonCount.
И так у нас создан шаблон, который по умолчанию привязан к контейнеру IT и применяем на всех пользователей прошедших проверку (Authenticated Users), но т.к. у нас отдельное подразделение добавим конкретно те имена компьютеров, которые работает вне домена с ноутбуками.
Должно получиться вот так:
Location: IT
Security Filtering: WXP86.polygon.local – станция которая обладаем возможности работать вне домена (ноутбук).
Заметка: Для удобства рабочие станции можно объединять в группы.
Т.к. политика будет распространяться на компьютеры, то редактируем соответствующий раздел:
«Computer Configuration» –«Policies» – «Windows Settings» – «Security Settings» – «Local Policies» – «Security Options» – «Interactive Logon: Number of previous logons to cache (in case domain controller is not available)» (Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)
Все политика настроена. Чтобы все изменения применились, следует перезагрузить компьютер, чтобы изменения вступили в силу.
Значение поменялось:
И так, что мы имеем, увеличено количество входа в рабочую станцию вне офиса. А политикой мы разграничиваем тем сотрудникам, которые имеют согласование начальства работать удалённо или в командировках. Надеюсь, данный материал будет полезен всем заинтересованным лицам. На этом всё, удачи!!!
Настройка клиентских компьютеров (Windows 10) — развертывание Windows
- 3 минуты на чтение
В этой статье
Для правильной работы Volume Activation Management Tool (VAMT) необходимо внести определенные изменения в конфигурацию на всех клиентских компьютерах:
- В брандмауэре клиентского компьютера должно быть установлено исключение.
- Ключ реестра должен быть создан и настроен правильно для компьютеров в рабочей группе; в противном случае Windows® User Account Control (UAC) не позволит выполнять удаленные административные операции.
Организации, где VAMT будет широко использоваться, могут извлечь выгоду из внесения этих изменений в главный образ для Windows.
[ВАЖНО] Эта процедура применима только к клиентам под управлением Windows Vista или более поздней версии. Для клиентов под управлением Windows XP с пакетом обновления 1 см. Подключение через брандмауэр Windows.
Настройка брандмауэра Windows для разрешения доступа к VAMT
Включите VAMT для доступа к клиентским компьютерам с помощью брандмауэра Windows Панель управления:
- Откройте Панель управления и дважды щелкните Система и безопасность .
- Щелкните Брандмауэр Windows .
- Щелкните Разрешить программу или функцию через брандмауэр Windows .
- Щелкните опцию Изменить настройки .
- Установите флажок Инструментарий управления Windows (WMI) .
- Щелкните ОК .
Предупреждение По умолчанию исключения брандмауэра Windows применяются только к трафику, исходящему из локальной подсети. Чтобы расширить исключение для применения к нескольким подсетям, вам необходимо изменить настройки исключения в брандмауэре Windows в режиме повышенной безопасности, как описано ниже.
Настроить брандмауэр Windows, чтобы разрешить доступ VAMT через несколько подсетей
Включите VAMT для доступа к клиентским компьютерам в нескольких подсетях с помощью брандмауэра Windows в режиме повышенной безопасности Панель управления:
Откройте Панель управления и дважды щелкните Администрирование .
Щелкните Брандмауэр Windows в режиме повышенной безопасности .
Внесите изменения для каждого из следующих трех элементов WMI для соответствующего профиля сети (домен, общедоступный, частный):
- Инструментарий управления Windows (вход ASync)
- Инструментарий управления Windows (вход DCOM)
- Инструментарий управления Windows (WMI-In)
В диалоговом окне Windows Firewall с повышенной безопасностью выберите Inbound Rules на левой панели.
Щелкните нужное правило правой кнопкой мыши и выберите Свойства , чтобы открыть диалоговое окно Свойства .
- На вкладке Общие установите флажок Разрешить подключение .
- На вкладке Scope измените настройку удаленного IP-адреса с «Локальная подсеть» (по умолчанию), чтобы разрешить определенный доступ, который вам нужен.
- На вкладке Advanced проверьте выбор всех профилей, применимых к сети (домен или частный / общедоступный).
В определенных сценариях через аппаратный брандмауэр разрешен только ограниченный набор портов TCP / IP. Администраторы должны убедиться, что WMI (который полагается на RPC через TCP / IP) разрешен через эти типы межсетевых экранов. По умолчанию порт WMI — это динамически назначаемый случайный порт с размером более 1024. В следующей статье Microsoft Knowledge обсуждается, как администраторы могут ограничить диапазон динамически выделяемых портов. Это полезно, если, например, аппаратный брандмауэр разрешает трафик только в определенном диапазоне портов.
Для получения дополнительной информации см. Как настроить динамическое выделение портов RPC для работы с брандмауэрами.
Создайте параметр реестра для VAMT для доступа к компьютеру, присоединенному к рабочей группе
[ВНИМАНИЕ] В этом разделе содержится информация о том, как изменить реестр. Обязательно сделайте резервную копию реестра, прежде чем вносить в него изменения; Кроме того, убедитесь, что вы знаете, как восстановить реестр в случае возникновения проблемы. Дополнительные сведения о резервном копировании, восстановлении и изменении реестра см. В разделе Сведения о реестре Windows для опытных пользователей.
На клиентском компьютере создайте следующий раздел реестра с помощью regedit.exe.
Перейдите к
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ systemВведите следующие данные:
- Имя значения: LocalAccountTokenFilterPolicy
- Тип: DWORD
- Значение данных: 1
[ПРИМЕЧАНИЕ] Для обнаружения компьютеров Windows, управляемых с помощью VAMT, в рабочих группах, необходимо включить обнаружение сети на каждом клиенте.
Варианты развертывания
Организации могут настроить исключение брандмауэра WMI для компьютеров несколькими способами:
- Изображение. Добавьте конфигурации в главный образ Windows, развернутый на всех клиентах.
- Групповая политика. Если клиенты являются частью домена, то все клиенты могут быть настроены с помощью групповой политики. Параметр групповой политики для исключения брандмауэра WMI находится в GPMC.MSC по адресу: Computer Configuration \ Windows Settings \ Security Settings \ Windows Firewall with Advanced Security \ Windows Firewall with Advanced Security \ Inbound Rules .
- Скрипт. Выполните сценарий с помощью Microsoft Endpoint Configuration Manager или стороннего средства удаленного выполнения сценария.
- Руководство. Настройте исключение брандмауэра WMI индивидуально для каждого клиента.
Приведенные выше конфигурации откроют дополнительный порт через брандмауэр Windows на целевых компьютерах и должны выполняться на компьютерах, которые защищены сетевым брандмауэром. Чтобы разрешить VAMT запрашивать актуальный статус лицензирования, необходимо поддерживать исключение WMI.Мы рекомендуем администраторам проконсультироваться со своими политиками сетевой безопасности и принять четкие решения при создании исключения WMI.
компьютерных конфигураций | Конфигурации системы для Windows
Конфигурации компьютера или ПК ускоряют выполнение некоторых рутинных и важных действий, таких как внедрение политик, установка исправлений и т. Д. Этот документ содержит конфигурации системы, которые могут применяться к компьютерам, принадлежащим домену Windows. Эти конфигурации применяются либо во время запуска системы, либо при интервале обновления.Перед определением конфигураций убедитесь, что вы определили объем управления.
Почему это важно?
Конфигурации компьютеров помогают ИТ-администраторам автоматизировать некоторые рутинные задачи, такие как исправление окон и другого стороннего программного обеспечения, реализация политик безопасности и т. Д. В Desktop Central в вашем распоряжении множество предустановленных конфигураций компьютеров.
Выполните шаги, указанные ниже, чтобы выбрать конфигурацию, которую необходимо создать и развернуть:
- Перейдите на вкладку Configuration.Здесь будут перечислены все поддерживаемые конфигурации для компьютеров и пользователей.
- Выберите нужную конфигурацию компьютера.
Desktop Central поддерживает указанные ниже конфигурации, которые широко охватывают функции 4 основных категорий:
Конфигурация безопасности
Desktop Central предлагает набор компьютерных конфигураций, которые при развертывании помогают повысить безопасность ваших конечных точек. Desktop Central предлагает следующие конфигурации безопасности:
Конфигурация производительности
Повысьте производительность своей сети, развернув следующие компьютерные конфигурации на всех компьютерах в вашей сети.
Конфигурация рабочего стола
Разверните указанные ниже конфигурации компьютеров и сэкономьте много времени на управлении рабочими столами.
Конфигурация приложения
Используйте следующую конфигурацию компьютера для запуска приложения во время запуска или перед выключением компьютеров в сети:
Desktop Central также предлагает конфигурации для Mac и Linux.
Конфигурация линии в компьютерных сетях
Конфигурация линии в компьютерных сетях
Сеть — это два или более устройства, подключенных по ссылке.Ссылка — это канал связи, по которому данные передаются от одного устройства к другому. Устройства могут быть компьютером, принтером или любым другим устройством, способным отправлять и получать данные. Для визуализации представьте любую связь как линию, проведенную между двумя точками.
Для установления связи два устройства должны быть каким-то образом одновременно подключены к одному и тому же каналу. Возможны два типа подключения:
- Соединение точка-точка
- Многоточечное соединение
Двухточечное соединение:
- Соединение «точка-точка» обеспечивает выделенный канал между двумя устройствами.
- Вся пропускная способность канала зарезервирована для передачи между этими двумя устройствами.
- В большинстве двухточечных соединений для соединения двух концов используется фактическая длина провода или кабеля, но возможны и другие варианты, такие как микроволновая или спутниковая связь. Топология сети
- «точка-точка» считается одной из самых простых и традиционных сетевых топологий
. - Это также самый простой способ установить и понять.
Пример: соединение точка-точка между пультом дистанционного управления и телевизором для переключения каналов.
Многоточечное соединение:
- Это также называется многоточечной конфигурацией. В этом случае два или более устройства используют одну ссылку.
- Более двух устройств совместно используют ссылку, т. Е. Емкость канала теперь используется совместно. При использовании общей емкости в конфигурации многоточечной линии могут быть две возможности:
Пространственное совместное использование: Если несколько устройств могут совместно использовать канал одновременно, это называется конфигурацией пространственно-общей линии.
Temporal (Time) Sharing: Если пользователи должны по очереди использовать ссылку, то это называется конфигурацией Tempoally shared или Time Shared Line.
Ссылки: http://mucins.weebly.com/21-line-configuration.html
Эта статья предоставлена Saloni Gupta . Если вам нравится GeeksforGeeks, и вы хотели бы внести свой вклад, вы также можете написать статью на сайте deposit.geeksforgeeks.org или отправить свою статью по почте @ geeksforgeeks.орг. Смотрите, как ваша статья появляется на главной странице GeeksforGeeks, и помогайте другим гикам.
Пожалуйста, напишите комментарий, если вы обнаружите что-то неправильное, или вы хотите поделиться дополнительной информацией по теме, обсужденной выше.
Вниманию читателя! Не переставай учиться сейчас. Получите все важные концепции теории CS для собеседований по SDE с помощью курса CS Theory Course по приемлемой для студентов цене и станьте готовым для отрасли.
| Хорошо, обращаюсь к вам с просьбой о помощи.Компьютер моей подруги сломался (боюсь, не подлежит ремонту), и мне нужно купить новый. Зная, что в TL.net есть немалая доля it-специалистов, я прошу вас помочь мне в создании новой системы. Моя подруга использовала свой компьютер для серфинга, общения в чате и иногда для игр, так что это не обязательно должна быть машина высокого класса, а что-то, что может работать с Windows XP / Vista, MSN и SIMS 2 и так далее. Вот об этом я и подумал, но, думаю, есть альтернативы получше: Процессор: Intel CORE2DUO E4600 Материнская плата: ASUS P5N-E SLI, PCX, nForce650 RAM: Понятия не имею, какие-либо предложения? Жесткий диск: Ну используйте старый HD (по возможности?) Как думаете? Это чушь компиляции или все в порядке? Заранее спасибо! | |
| GeneralStan Профиль
Блог Дата регистрации: август 2007 г. United States3285 Посты Жесткий диск — наименее прочная и наиболее уязвимая часть машины, поэтому вам действительно стоит купить новый. | |
| FreeZEternal Профиль
Дата регистрации: январь 2003 г. Корея (Южная) 3396 сообщений ОЗУ: 2 ГБЖесткий диск: Если у вас достаточно места, просто используйте старый жесткий диск. | |
| Если наиболее требовательной к процессору потребностью является sims 2, которая требует 800 МГц, 256 МБ оперативной памяти и 32 МБ видеопамяти, то любой компьютер будет работать в значительной степени. Например, что-то вроде этого http://www.tigerdirect.com/applications/SearchTools/item-details.asp?EdpNo=3756596&CatId=31 за 150 долларов должно работать нормально. Все, что вам нужно в жизни, — это сильная воля к успеху и непоколебимая решимость. Если вы соответствуете этим требованиям, вы можете стать кем угодно, не имея ни удачи, ни удачи, ни природных способностей. | |
| Хм, эта ссылка просто указывает на весь сайт, а не на какой-то конкретный продукт. Однако мне нравится этот: http://www.stegcomputer.ch/details.asp?prodid=net-pc-02, хотя он кажется немного завышенным. Все, что вам нужно в жизни, — это сильная воля к успеху и непоколебимая решимость. Если вы соответствуете этим требованиям, вы можете стать кем угодно, не имея ни удачи, ни удачи, ни природных способностей. | |
| Ой, извини, моя плохая.zdd, как вы думаете, этого будет достаточно для запуска SIMS2 и подобного bs? И, кстати, цена составляет швейцарские франки, которые составляют примерно 1: 1 к доллару США, но нормальная заработная плата в Швейцарии составляет в среднем 4500-5000 долларов США, так что там цена не представляет особого труда. | |
01 мая 2008 г. 05:10 d1v написал: Да, этого должно быть более чем достаточно для запуска sims 2, все остальное, например чат, просмотр веб-страниц и т. Д., Тоже должно работать отлично Все, что вам нужно в жизни, — это сильная воля к успеху и непоколебимая решимость. Если вы соответствуете этим требованиям, вы можете стать кем угодно, не имея ни удачи, ни удачи, ни природных способностей. | |
| Пока всем спасибо, я буду продолжать осматриваться и всегда рад услышать еще несколько предложений. | |
| jimminy_kriket Профиль
Блог Дата регистрации: февраль 2007 г. Canada5371 Посты Я ничего не знаю об этом компьютере Celeron. В наши дни двухъядерные процессоры настолько дешевы, что глупо не покупать их.d1v, если у вас есть время, вам следует начать изучение сборки собственного компьютера. Так всегда дешевле, и вы можете сами выбирать себе запчасти. Хорошее место для начала — www.tomshardware.com. жизнь живой, чтобы жить полной жизнью thx, чтобы защитить аккумулятор | |
| бесконечность21 Профиль
Блог Дата регистрации: октябрь 2006 г. Canada6683 Посты Думаю, твоему gf хватит 1 ГБ ОЗУ. Я видел, как люди все еще используют 512 МБ лол | |
Настройка BIOS — как работает BIOS
В предыдущем списке вы видели, что BIOS проверяет настройки CMOS на предмет пользовательских настроек.Вот что вы делаете, чтобы изменить эти настройки.
Чтобы войти в настройку CMOS, вы должны нажать определенную клавишу или комбинацию клавиш во время начальной последовательности запуска . Большинство систем используют «Esc», «Del», «F1», «F2», «Ctrl-Esc» или «Ctrl-Alt-Esc» для входа в настройки. Обычно в нижней части дисплея есть строка текста, которая сообщает вам: «Нажмите ___, чтобы войти в настройки».
После того, как вы вошли в настройку, вы увидите набор текстовых экранов с рядом опций.Некоторые из них являются стандартными, а другие различаются в зависимости от производителя BIOS. Общие варианты включают:
- Системное время / дата — Установите системное время и дату
- Последовательность загрузки — Порядок, в котором BIOS будет пытаться загрузить операционную систему
- Plug and Play — Стандарт для автоматического определения подключенных устройств; должно быть установлено значение «Да», если и ваш компьютер, и операционная система поддерживают это.
- Мышь / клавиатура — «Включить Num Lock», «Включить клавиатуру», «Автоматическое определение мыши»…
- Конфигурация привода — Настройка жестких дисков, CD-ROM и дисководов для гибких дисков
- Память — Направление BIOS для теневого копирования по определенному адресу памяти
- Безопасность — Установка пароля для доступа к компьютеру
- Управление питанием — Выберите, следует ли использовать управление питанием, а также установите время для ожидания и приостановки
- Выход — Сохраните изменения, отмените изменения или восстановите настройки по умолчанию
Будьте очень осторожны при изменении настроек.Неправильные настройки могут препятствовать загрузке вашего компьютера. Когда вы закончите вносить изменения, вы должны выбрать «Сохранить изменения» и выйти. После этого BIOS перезагрузит компьютер, чтобы новые настройки вступили в силу.
В BIOS используется технология CMOS для сохранения любых изменений, внесенных в настройки компьютера. Благодаря этой технологии небольшая литиевая или никель-кадмиевая батарея может обеспечить достаточно энергии для хранения данных в течение многих лет. Фактически, некоторые из новых чипов имеют 10-летнюю крошечную литиевую батарею, встроенную прямо в чип CMOS!
.