Назад | Перейти на главную страницу

Какие групповые политики вы применили?

Я установил около 10 групповых политик, и это работает хорошо. Хотя, было бы интересно посмотреть, какие меры преследуют IT-администраторы.

Если у вас есть масса правил, просто покажите некоторые, что вы чувствуете, что действительно что-то меняет.

Я думаю, вы могли бы избежать «разрешения по умолчанию» -> заблокировать все, что вы можете, и держать разблокированными только те вещи, которые непосредственно необходимы.

Этот вопрос относится к серверам Windows :) Хотя я не буду сторониться администраторов Mac и Linux.

Я люблю групповую политику. Это дает мне возможность выполнять свою работу и позволяет моей компании использовать коллективные таланты 3 человек на более чем 1000 ПК и серверных компьютерах на нескольких сайтах клиентов.

Почти каждый из моих клиентов имеет большинство следующих применений групповой политики:

  • Установите программное обеспечение с политикой установки программного обеспечения
  • Установить программное обеспечение со сценариями запуска
  • «Работайте над» заводскими установками Windows на машинах после их первоначального членства в домене с помощью одноразового сценария запуска (добавление / удаление компонентов Windows, очистка меню «Пуск», удаление нежелательного программного обеспечения, предоставленного поставщиком, и т. Д.)
  • Настройте «пользовательскую среду» (перенаправление папок, настройки групповой политики для вывода настроек реестра, ярлыки на рабочем столе и т. Д.)
  • При необходимости, "блокирование" пользовательской среды (для киосков, специализированных ПК и т. Д.)
  • Направление компьютеров на серверы WSUS и настройка политик обновления
  • Настройка параметров политики IPSEC
  • Развертывание настроек беспроводного Ethernet (корпоративный SSID, конфигурация безопасности и т. Д.)
  • Сценарии входа в систему для «сопоставления» «дисков»
  • Сценарии входа в систему для очистки «временных» каталогов для каждого пользователя и сценарии запуска для очистки «временных» каталогов для отдельных компьютеров.
  • Ограниченная групповая политика для заполнения локальных групп группами домена
  • Управляйте сторонними приложениями, которые используют параметры реестра, чтобы влиять на свое поведение, путем создания настраиваемых административных шаблонов.
  • Делать ЛЮБОЙ тип разн. обслуживание, как для каждой машины, так и для каждого пользователя, которое мне нужно выполнить с помощью сценариев запуска или входа в систему

Это мой список "вне головы". Я вернусь и исправлю, если придумаю больше.

Мы используем групповую политику, чтобы:

  1. Подключите рабочие станции к нашему серверу WSUS
  2. Запустите программу, которая проверяет, установлено ли антивирусное программное обеспечение, а если нет, установите его.
  3. Отключить редактирование реестра
  4. Установить уровень безопасности Office
  5. Установите соединения ODBC
  6. Перенаправить рабочий стол пользователя и Мои документы на файловый сервер
  7. Подключить сетевые диски
  8. Установите настройки энергосбережения (отключение мониторов, жестких дисков и компьютера до спящего режима после хх минут)
  9. Проверить версии собственных приложений
  10. Отключите iTunes, Windows Media Player, VLC и т. Д.
  11. Установить квоты дискового пространства

[EDIT] Добавлено следующее:

  1. Применять политику паролей
  2. Стандартизируйте обои рабочего стола и хранители экрана

И несколько других, которые я не могу припомнить, из головы.

Довольно много; они склонны играть в пинг-понг между маленькими и большими числами. В настоящий момент цифры высоки из-за ряда политик WSUS, которые необходимо консолидировать. Я не думаю, что объекты групповой политики когда-либо действительно «дорабатываются», но вместо этого получают постоянную тонкую настройку и уточнение с течением времени.

Основное использование включает:

  • Блокировка рабочего стола
  • Установка программы
  • Скрипты входа (и выхода)
  • Скрипты запуска (и выключения)
  • Конфигурация WSUS
  • Пароли / безопасность / и т. Д.
  • Перенаправление папки

Одно - возможно, новое использование - это сценарий входа в систему, который (1) проверяет, является ли компьютер сервером, (2) проверяет, является ли пользователь «чувствительным», которого мы хотим отслеживать, и (3) отправляет электронное письмо на наш администраторы, указывающие имя компьютера, имя пользователя и время, если выполняется одно из условий. Мы называем это «проактивной паранойей», и хотя это не совсем безопасность, это дополнительный уровень комфорта, поскольку мы знаем немного больше о том, что происходит.

Мы также поддерживаем некоторые фиктивные организационные единицы в нашей действующей AD, в которые мы время от времени бросаем некоторых пользователей и / или компьютеры для тестирования новых вещей, и имеем небольшую армию скриптов, которые мы можем добавлять где угодно для выполнения определенных разовых заданий (например, если мы чувствуем, что дефрагментация всех ПК в любое время, мы можем просто добавить для него сценарий выключения).

В планы на будущее входит перенос множества мерзких взломов реестра и, возможно, некоторых других вещей из нашего основного сценария входа в систему в Предпочтения.