我将为新手用户 (3) 安装 Windows 2008 Server R2 并运行桌面应用程序 (MS Office、Autocad)。
我想禁止以下事情
- 能够更改 Outlook、Firefox 等设置
- 能够更改网络设置、时间设置、打印机等
- 能够更改从控制面板完成的任何设置
- 安装新软件的能力
- 编辑注册表的能力
- 还要别的吗?
我怎样才能做到这一点?
我模糊地知道我需要学习编辑组策略,但我不确定它是否能涵盖以上所有要点。
如果组策略可以解决上述所有问题,请推荐一本简单/好的书来了解它。
短暂性脑缺血发作
答案1
我不确定这是否是您要找的答案,但我想说的是:几乎所有与 Windows 相关的内容(例如网络设置、时间设置、打印机、注册表、软件安装)都可以锁定。大多数 Microsoft 软件还会有组策略模板(如 Office),允许您锁定或预定义大多数设置。
您将无法对 Firefox 和第三方软件之类的东西采取任何措施。
至于编辑组策略,其实很简单;只需启动组策略管理控制台并开始浏览 [大量] 设置即可。大多数设置都会有描述,告诉您它们到底起什么作用,通常还会告诉您各个选项是什么。
对于办公室之类的东西,您将需要一个“管理模板”,您可以随便在 Google 上搜索类似的东西,发现它非常简单。抱歉,我不知道有什么书可以推荐。
编辑:我还要指出,jscott 的评论也是一个很好的建议。
答案2
哇,这可能是一项相当艰巨的任务,而且肯定有很多事情需要解决。我没有时间或精力去讲解所有内容,但这里有一些基本建议可以帮助您入门:
确保将适用于您的 Office 版本的 Microsoft Office ADM 或 ADMX 模板添加到您的 GPO。
将所有终端服务器移至其自己的 OU。
将所有终端服务器用户移至他们自己的 OU 或使用环回策略处理。
为终端服务器和 TS 用户创建特定的 GPO,并将它们链接到上面描述的 OU。
在 TS GPO 和 TS 用户 GPO 上使用安全过滤,以确保 GPO 仅适用于 TS 和 TS 用户(如果将 TS 和 TS 用户移动到他们自己的 OU,这有点多余)。
编辑 TS 和 TS 用户 GPO 以反映您想要的设置。要查看和编辑的项目列表太长,无法在此处发布,因此我的建议是逐一检查设置并配置您认为相关的设置。
利用软件限制策略将允许用户运行的应用程序列入“白名单”。
答案3
上面的答案是正确的,我只是想补充一点,一些非 Microsoft 应用程序确实有您可以使用的 GPO。特别是,Frontmotion 提供了能够使用 Frontmotion 提供的 GPO 的 Firefox 版本(http://www.frontmotion.com/Firefox/)以我的经验来看,它的效果非常好。