我发布了一些类似的“最佳实践”问题。
问题说明了一切。当前的做法是为每个用户/计算机组合映射驱动器并在计算机上安装打印机。我想使用 GPO 自动化此过程。
小型网络(80 个用户)、11 个部门、95% 的用户每天都登录同一台 PC,没有理由不这样做。一些用户在多个部门工作,还有几台浮动笔记本电脑,每个人都用于不同的目的。这是我的想法:
根据用户映射驱动器。这将防止某些用户可以访问而其他用户无权访问的敏感数据。根据计算机映射打印机。这将确保打印机分配既合乎逻辑又距离最近。
对我来说,这似乎是显而易见的答案。这是标准和被认为是最佳实践吗?我是否忽略了什么?
答案1
我通常将驱动器映射到用户,将打印机映射到计算机......
用户经常坐在不同的地方甚至不同的办公室,因此想要使用任何本地打印机进行打印。
他们还想知道 Z:无论如何都会给他们相同的文件夹,否则他们必须了解网络和服务器以及所有那些令人讨厌的技术东西......
答案2
如果您将驱动器映射到计算机,但共享/文件夹已设置权限,则无论谁登录都无所谓。他们都无法访问。
如果你希望资源与特定系统绑定,那么人们只有在使用时才能访问它(或需要特定驱动器的程序)那工作站,然后映射到系统。
如果您希望它无论用户去哪里都能跟随他们,就将其与用户绑定。
您可以根据情况将其绘制出来,将其视为资源问题。资源是否与用户或特定系统绑定(例如在实验室中,如果您只希望将打印机绑定到工作站,那么当 Bob 在另一栋建筑或另一层楼时,他不会在十分钟路程外的打印机上打印。)
我不知道是否真的存在最佳做法,因为它是根据具体情况而定的。
在大多数情况下,我会将驱动器/共享映射到用户,并将打印机(因为它依赖于位置)映射到机器。除非在您的环境中,您的应用程序仅安装在必须具有 XYZ 驱动器的特定位置。
答案3
您的网络听起来和我们的非常相似。以下是我们所做的。
我们根据用户使用驱动器的登录脚本和打印机的部署打印机 GPO 来映射驱动器和打印机。每个人都有相同的部门驱动器 K,但每个部门都将其映射到不同的共享。
在我们的 AD 中,这是最简单的,因为所有用户都按部门划分为 OU,而计算机则按操作系统划分为 OU。由于我们没有移动员工,所以这对我们来说很合适,而且麻烦最少。
如果您想在驱动器上执行所有组策略,则可以使用组策略首选项来映射驱动器。我们一直都有自己的小批处理脚本,所以我们没有用过它,但我听说它很好用。
答案4
问题是您希望您的功能是什么?如果您希望用户无论使用哪台机器都能打印到相同的打印机,那么您应该按计算机而不是用户映射打印机。您的驱动器映射应该是用户映射,也应该基于组成员身份进行映射。您还应该将安全组添加到文件夹 ACL。