我刚开始在一家中小型公司从事 IT 支持工作。大概有 150 个或更少的用户。
目前,每个用户都拥有自己机器的管理权限。这允许他们安装更新或执行他们想要执行的其他任何操作。
我厌倦了进入那些充斥着他们自己安装的垃圾的用户机器。所以我的第一个想法是剥夺他们计算机的管理权限。这还有其他好处,例如可以防止网络上大量驱动恶意软件等。
问题在于用户无法安装更新。(尽管我发现大多数人都会忽略这些)
大公司如何处理所有客户端机器上的软件更新?
编辑:Windows 环境。大多数服务器都是 Windows Server 2003 Enterprise。客户端都是 Windows。Win XP、Vista 和 7。
答案1
Windows 服务器更新服务(WSUS)提供服务器端组件来处理更新部署。它由 Microsoft 作为 Windows Server 2003 及更高版本的免费附加组件提供。
计算机(客户端 PC、服务器等)通常通过组策略设置(也可以通过简单的注册表操作)定向到 WSUS 服务器以接收更新。Windows 更新客户端软件可配置为允许客户端按计划自动下载和安装更新,或下载并提示安装等。客户端软件可以强制 PC 重新启动,或者如果用户保持登录状态,可以选择推迟重新启动。有多种选择。
对于第三方软件,你可以使用以下方式创建更新以通过 WSUS 分发:系统中心更新发布者作为 Microsoft System Center Configuration Manager 产品的一部分。(还有一些其他工具也允许您将非 Microsoft 更新发布到 WSUS——我没有使用过它们,因此无法推荐/评论它们。在对的评论中有一些关于它们的讨论此服务器故障答案。
我通常通过组策略将软件安装到客户端计算机,因此部署更新通常需要以这种方式滚动新软件包。您可以在此服务器故障答案。
顺便说一句:您做的是正确的事情:取消用户的管理员权限。您将看到 PC 可靠性显著提高,并且间接地提高了安全性。拥有一个客户端计算机具有受限管理员权限的网络是非常好的。至少,恶意软件将被限制在破坏单个用户的配置文件的范围内,这使得清理工作变得像从备份中恢复感染前的漫游配置文件副本一样简单。
答案2
微软看起来它对你来说很完美。
最重要的是,如果您在您的环境中运行 Windows 服务器,它是免费的!