Que políticas de grupo você aplicou?

7

Eu defini cerca de 10 diretivas de grupo e funciona OK . Embora, seria interessante ver que tipo de coisas os administradores de TI impõem.

Se você tem uma tonelada de políticas, mostre apenas algumas, que você realmente acha que mudou alguma coisa.

Eu acho que você poderia evitar "permissão padrão" - > bloqueie tudo o que puder e mantenha apenas as coisas desbloqueadas, que são diretamente necessárias.

Esta questão refere-se aos Windows Servers :) Embora eu não fuja dos administradores de Mac e Linux.

    
por caspert 06.03.2010 / 01:33

3 respostas

7

Adoro a Política de Grupo. Isso me faz capaz de fazer meu trabalho e permitir que minha empresa aproveite os talentos coletivos de três pessoas em mais de 1.000 PCs e servidores em vários sites do Cliente.

Quase todos os meus clientes têm a maioria dos seguintes usos da Diretiva de Grupo:

  • Instalar software com a política de instalação de software
  • Instalar software com scripts de inicialização
  • Instalações de fábrica de computadores "trabalhadas" de fábrica após sua associação inicial ao domínio com um script de inicialização única (Adicionar / Remover componentes do Windows, limpar o menu Iniciar, incluir software indesejado fornecido pelo fornecedor, etc.)
  • Configure o "ambiente do usuário" (Redirecionamento de Pastas, preferências da Diretiva de Grupo para exibir preferências do registro, atalhos da área de trabalho, etc.)
  • Quando apropriado, "bloquear" o ambiente do usuário (para quiosques, PCs de finalidade especial, etc.)
  • Direcionando computadores para servidores WSUS e definindo políticas de atualização
  • Definindo configurações de política IPSEC
  • Implantando configurações de Ethernet sem fio (o SSID corporativo e a configuração de segurança, etc.)
  • Scripts de logon para "mapear" "unidades"
  • Scripts de logon para limpar diretórios "temporários" por usuário e scripts de inicialização para limpar diretórios "temporários" por máquina
  • Política de grupo restrita para preencher grupos locais com grupos de domínio
  • Controle aplicativos de terceiros que usam configurações de registro para influenciar seu comportamento por meio da criação de modelos administrativos personalizados
  • Fazendo QUALQUER tipo de misc. manutenção, por máquina ou por usuário, que eu preciso fazer por meio de scripts de inicialização ou logon

Essa é a minha lista "fora do topo da minha cabeça". Eu voltarei e revisarei se pensar em mais.

    
por 25.09.2009 / 14:39
4

Usamos a política de grupo para:

  1. Aponte estações de trabalho para o nosso servidor WSUS
  2. Execute um programa que verifique se o software antivírus está instalado e, caso contrário, instale-o
  3. Desativar a edição do registro
  4. Definir o nível de segurança do Office
  5. Definir conexões ODBC
  6. Redirecionar a área de trabalho de um usuário e Meus documentos para um servidor de arquivos
  7. Mapear unidades de rede
  8. Defina as configurações de economia de energia (monitores, discos rígidos e computador para dormir depois de xx minutos)
  9. Verificar versões de aplicativos internos
  10. Desativar o iTunes, o Windows Media Player, o VLC, etc.
  11. Definir cotas de espaço em disco

[EDIT] Adicionado o seguinte:

  1. Aplicar política de senha
  2. Padronize papéis de parede e proteções de tela

E alguns outros que não consigo lembrar do topo da minha cabeça.

    
por 16.09.2009 / 22:48
2

Muito poucos; eles tendem a pingue-pongue entre números baixos e números altos. Neste momento, os números são altos devido a uma série de políticas do WSUS que precisam ser consolidadas. Eu não acho que os GPOs são o tipo de coisa que está realmente "acabada", mas ao invés disso, obtém um ajuste fino e refinamento à medida que o tempo passa.

Os principais usos incluem:

  • Bloqueio de área de trabalho
  • Instalação de software
  • Scripts de logon (e logoff)
  • Scripts de inicialização (e desligamento)
  • Configuração do WSUS
  • Senhas / segurança / etc
  • Redirecionamento de pastas

Um - talvez - o novo uso é um script de logon que (1) verifica se o computador é um servidor, (2) verifica se o usuário é "sensível" e deseja rastrear e (3) envia um e-mail para nossos administradores, fornecendo nome do computador, nome de usuário e hora, se qualquer condição for atendida. Chamamos isso de "paranóia proativa" e, embora não seja exatamente segurança, é uma camada extra de conforto, pois sabemos um pouco mais sobre o que está acontecendo.

Também mantemos algumas UOs fictícias em nosso AD ao vivo que ocasionalmente colocamos alguns usuários e / ou computadores em testes de novos itens e temos um pequeno exército de scripts que podemos adicionar em qualquer lugar para determinados trabalhos off (por exemplo, nós sentimos como desfragmentar todos os PCs a qualquer momento, podemos apenas colocar em um script de desligamento para isso).

Planos futuros incluem a transferência de muitos dos hacks de registro vil e talvez outras coisas do nosso script de logon principal para Preferências.

    
por 16.09.2009 / 23:14