我正在寻找一种方法,让加入域的 Windows 7 笔记本电脑在 90 天没有与域控制器联系后自行变砖。我不希望笔记本电脑自行清除数据或发生类似情况。理想情况下,我只希望它显示一条错误消息并拒绝登录,直到计算机被带回校园并有机会进行更新、SCCM 推送、GPO 刷新等。
需要帮助台干预的解决方案是可以的,只要它只影响离线的计算机(如果帮助台在现场,我不希望他们每 90 天就接触每台笔记本电脑)。
原因是我们这里笔记本电脑丢失的问题很严重。并不是说它们丢失了;员工只是把它们借出去,然后再也不归还。我们有几十台电脑找不到了;其中很多电脑已经一年多没有出现在网络上了。有几个人以自己的名义借走了多台笔记本电脑。
我还更喜欢一种内置有合理否认功能的解决方案,这样我们就可以争辩说它是一种标准的安全最佳实践,并抵制免除人们遵守该政策的压力。
我们已经让员工签署了一项适当使用政策,要求他们在笔记本电脑丢失或被盗时通知 IT。如果员工未能按照 IT 的要求上交设备,该政策还规定了纪律处分。问题是,高层管理人员是最大的滥用者,他们大多凌驾于法律之上。我们的执行团队缺乏执行力,这造成了一种企业文化,经理和董事们把一台“免费”电脑——内置“免费”技术支持——当成是他们福利待遇的一部分。
最近,一台计算机被带到了服务台,因为在用户在办公室启动它之后,它基本上爆炸了,并且下载了两年来缺少的更新和 SCCM 包。
由于我们无法通过低技术手段惩罚不遵守规则的人,所以我们只能使用技术手段来强制解决问题。我们只需要笔记本电脑定期检查,这样我们就可以跟踪他们。