iT邦幫忙

0

公司決定開始使用AD的GPO管理

想詢問各位前輩的管理方式及維護方面

用gpo管理是很方便,但是每當想到 如果突然否為user說要開那開這(如讀usb.cd...等)

各位前輩是如何迅速給予權利使用?

我目前想到方式是..寫幾個最基本都會套用 然後再額外寫幾個是要讀cd或usb等地gpo放著

如果突然誰要用在把它用強制方式蓋掉原先的gpo 不知是否可行?

希望前輩們指點一下GPO的管理及建置經驗病

萬分感激..

2
jazozazo
iT邦高手 1 級 ‧ 2012-09-03 13:51:31

你要不要先弄個模擬環境
確認一下目前的需求
然後考慮未來的需求

看更多先前的回應...收起先前的回應...

目前大頭意思就是希望能先把所有人接軌(網域)

然後該封的封一封...如遇到問題在解決- -

規劃這詞...大頭根本不理會...

說了很多 大頭決議要先做...所以才來這邊問問些前輩管理經驗> <

jazozazo iT邦高手 1 級 ‧ 2012-09-03 14:04:56 檢舉

那就按照大頭所需要的先修改default GPO
然後就像樓主說的
該封的封一封
之後再建立其他的gpo
調整開放的功能
不曉得樓主是否可以理解

問問些前輩管理經驗> <

設定下去了,被User罵.... 是種經驗~~ 翻桌
愈改愈亂... 也是種經驗~~ Orz
最後亂中有序... 它就個有價值的經驗了~~ 哭
我承認我是來亂的..呵...毆飛

jazozazo iT邦高手 1 級 ‧ 2012-09-03 14:31:24 檢舉

還是建議樓主先弄個測試環境
然後把gpo建立完畢
找台電腦加入網域 等套用規則之後
看看是不是貴司目前急需的限制功能
等到調整完畢之後 再將其他user的電腦加入到網域即可

目前我手邊就是在建環境 測試一個禮拜多了

基本設定該封該檔的很快就OK

我比較怕之後單個user要穿插開放某種權限會不會大亂= =

雖然就像 kaku0419 大哥說的一樣 菜鳥必走的過程....

所以也是想說能不能有前輩指點一下 不會陷太深哭

想到封這些 哪天大頭哪條筋不對 就開始東點西點 誰誰誰開甚麼權利...

那我可能....病

jazozazo iT邦高手 1 級 ‧ 2012-09-03 15:24:38 檢舉

那應該也算是微調喔
拿人薪水聽人辦事
要是被user罵 也只能說是大頭同意的
至少我都是這樣對同事說
有意見找老闆 老闆同意我就修改設定

言歸正傳...想請問一下各位大人哭

如果你們GPO都設定好 突然有某位USER要開單一權限 都是怎麼指向的...?

jazozazo iT邦高手 1 級 ‧ 2012-09-03 16:52:07 檢舉

只能把使用者的電腦同時指派2個以上gpo群組規則
再試試看吧

jamesfisher iT邦研究生 5 級 ‧ 2012-09-03 18:59:01 檢舉

公司的管理部要夠硬,IT部門要不怕黑.
不然設定好的策略,沒多久就一直開特例了...
最後會發現,不如不要設定.

ak02 iT邦研究生 3 級 ‧ 2012-09-04 09:12:43 檢舉

別做傻事了~
管太嚴格都沒什麼好下場
到最後二面不是人

2
sunrandy
iT邦新手 1 級 ‧ 2012-09-05 09:07:39

粗淺經驗分享:

  1. 善用[群組結果原則],問題處理的幫手
  2. GPO跟著OU套用,管理上盡量簡化
  3. GPO不是萬能,除非自己有能力製做範本
  4. 善用[禁止繼承],但水能載舟,亦能覆舟
  5. gpupdate /force 強制更新必用
2
u8526425
iT邦大師 1 級 ‧ 2012-09-05 13:15:09

很多中控式防毒已經內建行為監控與週邊設備使用管理的功能
使用也很方便
若單位已經在使用中控式防毒了
可以考慮看看此功能是否適用

0
cpj2028
iT邦新手 4 級 ‧ 2016-05-26 15:44:12

直接將該使用者設定為不套用即可

我要發表回答

立即登入回答