主页 / server / 问题 / 66049
In Process
caspert
Asked: 2009-09-17 11:58:28 +0800 CST

您应用了哪些组策略?

  • 772

我已经设置了大约 10 个组策略,并且工作正常。不过,看看 IT 管理员执行什么样的事情会很有趣。

如果你有很多政策,就展示一些,你觉得真的改变了一些东西。

我想您可以避免“默认许可”->尽可能阻止所有内容,并且只保持解锁状态,这是直接需要的。

这个问题指的是 Windows 服务器 :) 虽然我不会回避 Mac 或 Linux 管理员。

group-policy

3 个回答

  1. 我喜欢组策略。它使我能够完成我的工作,并使我的公司能够利用 3 人的集体才能,在多个客户站点的 1,000 多台 PC 和服务器计算机上。

    几乎我的每一位客户都有以下组策略的大部分用途:

    • 使用软件安装策略安装软件
    • 使用启动脚本安装软件
    • 使用一次性启动脚本(添加/删除 Windows 组件、清理开始菜单、删除不需要的供应商提供的软件等)在初始域成员身份之后“修复”机器的工厂 Windows 安装
    • 设置“用户环境”(文件夹重定向、组策略首选项以输出注册表首选项、桌面快捷方式等)
    • 适当时,“锁定”用户环境(用于信息亭、专用 PC 等)
    • 将计算机定向到 WSUS 服务器并设置更新策略
    • 设置 IPSEC 策略设置
    • 部署无线以太网设置(企业 SSID 和安全配置等)
    • 登录脚本以“映射”“驱动器”
    • 用于清除每个用户的“临时”目录的登录脚本,以及用于清除每个机器的“临时”目录的启动脚本
    • 使用域组填充本地组的受限组策略
    • 通过创建自定义管理模板来控制使用注册表设置来影响其行为的第三方应用程序
    • 任何类型的杂项。我需要通过启动或登录脚本进行的维护,无论是每台机器还是每用户

    那是我的“头顶”清单。如果我想到更多,我会回来修改。

    • 7

  2. 我们使用组策略来:

    1. 将工作站指向我们的 WSUS 服务器
    2. 运行一个程序,检查是否安装了防病毒软件,如果没有,安装它
    3. 禁用注册表编辑
    4. 设置 Office 安全级别
    5. 设置 ODBC 连接
    6. 将用户的桌面和我的文档重定向到文件服务器
    7. 映射网络驱动器
    8. 设置省电设置(在xx分钟后将显示器、硬盘驱动器和计算机休眠)
    9. 检查内部应用程序的版本
    10. 禁用 iTunes、Windows Media Player、VLC 等。
    11. 设置磁盘空间配额

    [编辑] 添加了以下内容:

    1. 执行密码策略
    2. 标准化桌面壁纸和屏幕保护程序

    还有一些我不记得了。

    • 4

  3. 很少几个; 他们倾向于在低数字和高数字之间来回切换。由于需要整合许多 WSUS 策略,目前这个数字很高。我不认为 GPO 是那种真正“完成”的东西,而是随着时间的推移不断进行微调和改进。

    主要用途包括:

    • 桌面锁定
    • 软件安装
    • 登录(和注销)脚本
    • 启动(和关闭)脚本
    • WSUS 配置
    • 密码/安全/等
    • 文件夹重定向

    一个 - 也许 - 新颖的用途是一个登录脚本,它 (1) 检查计算机是否是服务器,(2) 检查用户是否是我们想要跟踪的“敏感”用户,以及 (3) 向我们的如果满足任一条件,管理员会给出计算机名称、用户名和时间。我们称之为“主动妄想症”,虽然它不完全是安全的,但它是一种额外的安慰,因为我们对正在发生的事情有了更多的了解。

    我们还在我们的实时 AD 中维护了一些虚拟 OU,我们偶尔会将一些用户和/或计算机放入其中以测试新内容,并拥有一小部分脚本,我们可以在任何地方添加某些临时工作(例如,如果我们觉得任何时候我们都可以对所有 PC 进行碎片整理,只需为其添加关机脚本即可)。

    未来的计划包括将许多卑鄙的注册表黑客以及其他一些东西从我们的主登录脚本转移到首选项。

    • 2

相关问题