我是一名开发人员,不是系统管理员,但最近有人要求我锁定工作站 - 以阻止用户添加软件。我按照在线文章将域管理员和特定用户添加到 GPO 中的受限组类别,现在一切都乱套了。我的用户无法更改时间,无法访问我的文档,服务器服务也无法启动。服务器最令人费解,因为服务设置为使用域管理员成员的帐户运行。
我现在面临的是倒退似乎不会产生长期影响的 GPO 政策,然后重新解决这个问题。
答案1
好的,您需要谨慎处理这个问题,而不是直接跳进去。您不会只是坐下来编写代码而不考虑要实现的目标,也不会将未经测试的代码推广到企业环境中?这没什么不同。一旦您删除/恢复了所做的所有更改...
首先,不要更改默认域策略。您可能唯一想更改的是密码安全设置(我相信很快就会有人告诉你我错了,你也不应该这么做……)。
我建议你不要锁定任何东西,除非你真的需要锁定它们。当你被告知“锁定工作站”时,你需要考虑你被要求解决的确切问题是什么,并只专注于有助于解决该问题的事情,而不是禁用站点中的所有内容;请原谅我,这听起来你已经这样做了。如果你不确定“锁定工作站”的目的是什么,那么请澄清...除了其他任何事情之外,不同工作的人需要不同程度的“开放性”——例如,对于一家大公司的销售代理(他只运行 Web 浏览器、电子邮件客户端和定制的销售包)和开发人员来说,什么是合适的,两者之间存在很大差异。
创建一个反映业务的 OU 结构,按照逻辑对计算机和用户进行分组。思考并计划您要实现的目标,如何将其应用于不同的计算机组和用户组,考虑任何“例外情况”。花点时间做这件事。
在这些级别设置 GPO,并对用户设置和机器设置使用单独的 GPO - 例如,您可能有这样的结构
我的组织
....... 销售量
....... 行政的
....... 它
............. 开发人员
............. 网络管理员
是的,我知道,图表很糟糕,但我希望可以理解?
因此,您可能会应用希望每个人都在“我的组织”级别拥有的设置,希望 IT 职能部门中的每个人都在“IT”级别拥有的设置,并且在“销售”和“开发人员”级别,您可能有几个机器 GPO 来安装在该部门的机器上使用的软件。
不要把事情搞得太复杂;我上面概述的结构对于一个拥有 8 名员工的小型企业来说显然是过度的,其中 4 人都是开发人员,并且没有单独的“网络管理员”职能……但它给出了合理布局的想法。
按照您想要的方式设置好一切后,创建一个测试用户和一台测试计算机(虚拟化是您的好朋友),将其放置在不同的 OU 中,以便您可以测试其工作方式。在了解设置如何工作和相互交互,并确信您已经获得了一些良好的基准设置之前,不要将真实用户和真实计算机移入此结构。
最后,记录你所做的一切。GPO 在某种程度上是自我记录的,但做些记录仍然是明智之举。