我已经设置了大约 10 个组策略,并且有效好的。不过,看看 IT 管理员执行什么样的事情还是很有趣的。
如果您有大量的政策,请展示一些您认为确实可以改变一些事情的政策。
我想你可以避免“默认允许”->阻止所有你能阻止的东西,只保持直接需要的东西处于解锁状态。
这个问题涉及 Windows 服务器:) 虽然我不会回避 Mac 或 Linux 管理员。
答案1
我喜欢组策略。它让我能够完成工作,并允许我的公司利用 3 个人的集体智慧来管理多个客户站点的 1,000 多台 PC 和服务器计算机。
几乎我的每一个客户都对组策略有以下大部分的使用:
- 使用软件安装策略安装软件
- 使用启动脚本安装软件
- 在机器初始成为域成员后,使用一次性启动脚本“处理”机器的出厂 Windows 安装(添加/删除 Windows 组件、清理开始菜单、删除不需要的供应商提供的软件等)
- 设置“用户环境”(文件夹重定向、组策略首选项以设置注册表首选项、桌面快捷方式等)
- 在适当的时候“锁定”用户环境(对于信息亭、专用电脑等)
- 将计算机定向到 WSUS 服务器并设置更新策略
- 设置 IPSEC 策略设置
- 部署无线以太网设置(企业 SSID 和安全配置等)
- 用于“映射”“驱动器”的登录脚本
- 登录脚本用于清除每个用户的“临时”目录,启动脚本用于清除每个机器的“临时”目录
- 限制组策略以使用域组填充本地组
- 通过创建自定义管理模板来控制使用注册表设置来影响其行为的第三方应用程序
- 正在做任何我需要通过启动或登录脚本执行的每台机器或每个用户的杂项维护类型
这就是我的“即兴”清单。如果我想到更多,我会回来修改。
答案2
我们使用组策略来:
- 将工作站指向我们的 WSUS 服务器
- 运行一个程序,检查防病毒软件是否已安装,如果没有,则安装
- 禁用注册表编辑
- 设置 Office 安全级别
- 设置 ODBC 连接
- 将用户的桌面和我的文档重定向到文件服务器
- 映射网络驱动器
- 设置省电设置(显示器、硬盘和计算机在以下情况下进入睡眠状态:二十分钟)
- 检查内部应用程序的版本
- 禁用 iTunes、Windows Media Player、VLC 等。
- 设置磁盘空间配额
[编辑] 添加以下内容:
- 强制执行密码策略
- 标准化桌面壁纸和屏幕保护程序
还有一些其他的我一时想不起来了。
答案3
相当多;它们往往在低数字和高数字之间摇摆不定。目前,由于需要整合许多 WSUS 政策,因此数字较高。我认为 GPO 并不是那种真正“完成”的东西,而是随着时间的推移不断进行微调和改进。
主要用途包括:
- 桌面锁定
- 软件安装
- 登录(和注销)脚本
- 启动(和关闭)脚本
- WSUS 配置
- 密码/安全/等等
- 文件夹重定向
一个(可能)新颖的用途是登录脚本,它(1)检查计算机是否是服务器,(2)检查用户是否是我们要跟踪的“敏感”用户,(3)如果满足任一条件,则向我们的管理员发送电子邮件,提供计算机名称、用户名和时间。我们称之为“主动偏执”,虽然它并不完全安全,但它是一种额外的安慰,因为我们对正在发生的事情了解更多。
我们还在实时 AD 中维护了一些虚拟 OU,偶尔会将一些用户和/或计算机放入其中以测试新内容,并且拥有一小组脚本,可以将其添加到任何地方以完成某些一次性工作(例如,如果我们想随时对所有 PC 进行碎片整理,我们只需为其放入一个关机脚本即可)。
未来的计划包括将大量恶意注册表黑客和其他一些内容从我们的主要登录脚本移至“首选项”。