我们的组织与大多数人有点不同。 在一年中的某些时候,我们成长为数以千计的员工,在rest时间,不到一百。 在过去的几年中,成千上万的人员在我们的办公室里走来走去,在我们的桌面上安装了各种不需要的,未经批准的(有时是非授权的)软件。
我们目前正在安装冗余域控制器和升级当前服务器,所有运行Windows Server 2008 Enterprise的服务器都将运行一个纯粹的2008 DCnetworking。 考虑到这一点,我们有什么select能够locking用户 ,使他们无法在没有IT团队的帮助(或授权)的情况下在系统上安装未授权的软件?
我们需要支持大约400台桌面,所以自动化是关键 。 我已经注意到我们可以通过组策略实现的软件限制,但是这意味着我们已经知道用户将要安装并尝试运行…不太优雅。
有任何想法吗?
如果您正在谈论检出/分配给人的笔记本电脑或台式机,则不要授予他们pipe理员访问权限。 这仍然允许他们安装程序(假设他们被写入正确)到他们的主文件夹,然后当他们离开时,您只需要删除他们的个人资料/用户帐户,以删除他们安装/更改他们所做的任何程序。 这也将限制病毒可能造成的损害 – 只需在任何他们尚未login的系统上隔离和清理文档,删除并重新创build帐户,恢复其清理过的文档。 病毒消失了
实际上,基于可执行代码甚至不需要名称的事实来创build已批准可执行文件的“白名单”是相当困难的,只是简单地将其放在标记为可执行文件的页面的内存中。 最好的办法就是在用户离开时简单地删除不需要的应用程序。
如果这是一个安全问题,而不是一个“清理”问题,那么他们是如何把程序放到系统上的?
如果您拥有良好的networking基础设施并redirect某些文件夹(并训练用户使用主目录),则可以获得Deep Freeze(我认为Microsoft也提供类似的免费产品)等产品,以便您可以将计算机设置为公司的首选configuration,然后“冻结”,所以在重新启动计算机回到您设置的原始状态。 如果他们安装了某些东西(或者被感染了病毒),重新启动会使其再次处于原始状态。 他们仍然可以安装东西,但是每天都这样做很麻烦。
当然,你可以限制他们的访问级别,如果他们不是高级用户或pipe理员,他们不能安装大多数程序。 但是,这仍然不会限制他们的创造力,find解决scheme。
确保你的政策明确。 如果需要的话,把它作为一个可燃的进攻(我不知道你的公司的政策或你有多严重)。 明确指出,电脑是公司,而不是私人,财产,他们不应该期望隐私。 然后安装远程桌面软件(VNC,远程协助等),并说明必要时IT可以远程监控活动。 你需要清楚这些事情,所以很明显,作为一名员工可以做什么,不可能做什么。 你想要你的规则是多么的苛刻,取决于你和人力资源部门。
您也可以考虑制作您系统的图像,然后定期将您的电脑重新映像到原始状态。 尽pipe如此,为了跟上Windows更新的步伐,我们仍然感到苦恼。
确保域用户不是本地桌面上的pipe理员或超级用户。 他们不应该能够安装像Skype或电话套件的东西,如果没有。 再检查一遍。
获得一个现代化的部署套件,就像免费的Microsoft WDS一样,或者甚至可以用于System Center Configuration Manager。 这里使用的图像是独立于硬件的,只要驱动程序存在,就可以在多种不同的硬件上运行。 使用Configuraiton Manager,您可以自动部署所需的应用程序。 当这是自动化的,它应该是快速和无痛的,只需擦拭和重新加载桌面,如果需要的话。
进一步的调整将是一个奖金,但可能涉及到IE浏览器的GPOlocking,以防止用户工具栏等,但用户安装的任何工具栏只能为该用户激活。 所以简单地不要重复使用用户帐户。
虽然可以通过使用限制帐户来防止很多问题,但这些帐户无法解决所有问题。 只要问任何在学校做IT的人。 🙁
除了使用受限帐户之外,您还应该使用强制性configuration文件,因为这也有助于减less用户可能导致的一些问题。
您也可以考虑在适当的时候对机器进行成像和恢复机器。 机器图像可以通过多种方式自动恢复(半),所以机器的数量确实不是问题所在。 我确信这里有其他人可以提供具体细节。
像DeepFreeze是一个确定的方式。 不知道有多lesspipe理进入这样的事情。 还有其他的方法 – 最简单和最不干涉的就是不要让他们成为本地pipe理员,就像Zoredache提到的那样。 他们可以安装一些东西,但不是很多,那样。
Microsoft版本被称为Windows SteadyState 。 XP或Vista只 – 虽然没有计划在Windows 7上支持它。