Я разработчик, а не системный администратор, но недавно меня попросили заблокировать рабочие станции - чтобы пользователи не могли добавлять программное обеспечение. Я следил за онлайн-статьями о добавлении администраторов домена и конкретных пользователей в категорию групп с ограниченным доступом в GPO, и теперь все, черт возьми, сломалось. У меня есть пользователи, которые не могут изменить время, получить доступ к моим документам и серверные службы, которые не могут запуститься. Серверы вызывают наибольшее недоумение, поскольку службы настроены для работы с учетными записями, которые являются членами администраторов домена.
Сейчас я сталкиваюсь с регрессом политики GPO, которая, похоже, не оказывает долгосрочного влияния, и затем снова обращаюсь к этой проблеме.
Хорошо, вам нужно подходить к этому осторожно, а не просто прыгать внутрь. Вы не будете просто сидеть и писать код, не думая о том, чего вы пытаетесь достичь, и не стали бы вы развертывать непроверенный код в корпоративной среде? Это ничем не отличается. После того, как вы удалили / отменили все внесенные вами изменения ...
Во-первых, не меняйте политику домена по умолчанию. Единственное, что вы, возможно, захотите изменить здесь, это настройки безопасности паролей (и я уверен, что кто-то скоро придет и скажет вам, что я тоже ошибаюсь, и вам тоже не следует этого делать ...).
Я предлагаю вам не блокировать вещи, если они вам действительно не нужны. Вам нужно подумать, в чем именно заключается проблема, которую вас попросили решить, когда вам сказали «заблокировать рабочие станции» и сосредоточиться только на вещах, которые помогут решить эту проблему, а не отключать все на сайте; что, простите меня, похоже, вы сделали. Если вы не уверены, каковы цели «блокировки рабочих станций», то получите разъяснения ... помимо всего прочего, людям на разных должностях нужны разные уровни «открытости» - есть большая разница между тем, что подходит для торгового агента в например, большая компания, у которой есть только веб-браузер, почтовый клиент и индивидуальный пакет продаж, и разработчик.
Создайте структуру OU, которая отражает бизнес, в том направлении, в котором было бы логично сгруппировать машины и, возможно, пользователей. Подумайте и спланируйте, чего вы пытаетесь достичь, как это можно применить к различным группам компьютеров и пользователей, подумайте о любых «исключениях». Уделите этому немного времени.
Установите объекты групповой политики на этих уровнях и используйте отдельные объекты групповой политики для пользовательских настроек и параметров компьютера, например у вас может быть такая структура
Моя организация
....... Продажи
....... Административная
....... ЭТО
............. Разработчики
............. Сетевые администраторы
Да, я знаю, паршивая диаграмма, но, надеюсь, понятная?
Таким образом, вы можете применить настройки, которые должны быть у всех на уровне «Моя организация», настройки, которые вы хотите, чтобы все сотрудники ИТ-отдела имели на уровне «ИТ», а также на уровне «Продажи» и «Разработчики», которые у вас могут быть. несколько машинных GPO, которые устанавливают программное обеспечение, используемое на машинах этого отдела.
Не усложняйте вещи слишком сильно; структура, которую я описываю выше, явно избыточна для малого бизнеса с 8 людьми в ней, 4 из которых все разработчики и у которой нет отдельной функции "сетевых администраторов" ... но она дает представление о том, как все может быть разумно выложен.
Настроив все так, как вы хотите, создайте тестового пользователя и тестовый компьютер (виртуализация - ваш друг) для размещения в различных подразделениях, чтобы вы могли проверить, как все работает. Не перемещайте реальных пользователей и реальные компьютеры в эту структуру, пока вы не поймете, как настройки работают и взаимодействуют друг с другом, и пока вы не будете достаточно уверены, что у вас есть хорошие базовые настройки.
Наконец, документируйте все, что вы делаете. Объекты групповой политики в некоторой степени самодокументируются, но все же целесообразно иметь примечания.