我是一个开发人员而不是系统pipe理员,但最近我被要求locking工作站 – 就阻止用户添加软件而言。 我遵循在线的文章,将域pipe理员和特定用户添加到GPO中的受限组类别,现在所有的地狱都破碎了。 我有不能更改时间的用户,访问无法启动的mydocuments和服务器服务。 这些服务器是最令人费解的,因为服务设置为使用域pipe理员的帐户运行。
我现在面临着似乎没有长期影响的GPO政策的倒退,然后再一次处理这个问题。
好的,你需要小心翼翼地处理这些问题,而不是仅仅坐下来,不要坐下来编写代码而不考虑你想要达成的目标,也不会将未经testing的代码推广到企业环境中。 这也不例外。 一旦你删除/还原了你所做的所有更改…
首先,不要更改默认的域策略。 关于你可能想在这里改变的唯一的事情是密码安全设置(我敢肯定有人会很快告诉你我错了,你也不应该这样做)。
我build议你不要把事情locking,除非你真的需要locking它们。 你需要思考什么是确切的问题,当你被告知要“locking工作站”,专注于那些有助于解决这个问题的事情,而不是停止现场的所有事情时, 原谅我,这听起来像是你做的。 如果你不确定“locking工作站”的目标是什么,那就澄清一下……除了不同的工作,其他人需要不同级别的“开放性” – 对于销售代理来说,例如,一家只运行网页浏览器,电子邮件客户端,定制销售软件包和开发人员的大公司。
创build一个反映业务的OU结构,沿着可能合理的方式对机器和可能的用户进行分组。 思考和规划你正在努力达到的目标,如何应用于不同的计算机和用户群体,思考任何“例外”。 花点时间做这个。
将GPO设置为这些级别,并使用单独的GPO进行用户设置和机器设置 – 例如,您可能有这样的结构
我的组织
…….销售
……. 行政的
……. IT
………….开发人员
………….networkingpipe理员
是的,我知道,糟糕的图表,但我可以理解吗?
因此,您可以在“我的组织机构”级别应用您希望每个人都拥有的设置,希望ITfunction中的每个人都拥有“IT”级别的设置,以及您可能拥有的“销售”和“开发人员”级别几台机器GPO安装该部门机器上使用的软件。
不要过分复杂的事情; 上面列出的结构对于一个有8个人的小企业显然是过分的,其中4个都是开发人员,没有单独的“networkingpipe理员”function……但它提供了一个事情的概念合理布局。
按照你想要的方式设置事情,创build一个testing用户和一台testing计算机(虚拟化是你的朋友)放置在不同的OU中,以便testing事情的工作方式。 不要将真正的用户和真实的计算机移动到这个结构中,除非你了解这些设置如何工作和相互交互,直到你确信你已经有了一些好的基线设置。
最后,logging你所做的一切。 GPO有些自我logging,但logging还是明智的。