cop*_*152 3 windows partition restore
有什么好的方法可以保护员工机器免受使用它们的员工的伤害?我正在寻找完全无缝的东西,用户不会注意到......不会影响机器性能并允许用户读/写访问我的文档,他/她的桌面,以及一些程序文件中的文件夹。
我目前的设置运行良好,但有一些我并不为之疯狂的东西:
我已经对员工机器上的驱动器进行了分区,并将所有静态文件夹存储在 D 分区上。C 分区受 Windows Steadystate 保护(仅限磁盘保护,尚无限制)并在每次重新启动时恢复。
正如我所说,这有效,但有没有更简单的方法?过去,我们在最糟糕的时候失去了一些关键员工的机器,因为恶意软件。
这真的很简单:不要给用户“管理员”权限,你就 95% 的方式来保持干净、快乐的机器。
也不要在 Windows XP 或更早版本下给他们“高级用户”,因为这实际上与“管理员”相同(从“高级用户”转到“管理员”非常非常容易)。
没有“管理员”权限对于 Microsoft Office 没有问题。对于任何带有“专为 Windows XP 设计”或更新的徽标标语牌的应用程序(因为以受限用户身份运行是徽标要求的一部分),这应该不是问题。您有责任确保其他应用程序正常运行,但是在您确保应用程序正常工作与稍后清理垃圾 PC 之间进行权衡是值得的。也有一些工具可以帮助您。Aaron Margosis "LUA Buglight" 是一个很好的例子(参见http://nonadmin.editme.com/LUABuglight)。
如果您发现需要应用安全权限更改才能使某些程序运行,请查看使用组策略的文件系统安全设置来完成您的脏活(假设您在 AD 域中)。然后,至少,您可以了解哪些权限需要设置一次,并让组策略始终如一地在新计算机上为您重新应用它们。
如果您还没有这样做,请将用户数据从 PC 上移到服务器计算机上。查看使用“文件夹重定向”和漫游用户配置文件来帮助您解决此问题(再次假设您位于 AD 域中)。理想情况下,PC 应该是无状态的,以便用户可以起床、登录到另一台 PC 并获得所有数据文件。(可用的应用程序软件是另一回事,但软件安装策略也有一个“故事”。)我不会在这里讨论这些项目的大链接,只是为了让这个答案有点切题.
如果您真的想阻止不需要的第三方软件,同时将“管理员”权限远离用户,您可以考虑使用“软件限制策略”(请参阅http://technet.microsoft.com/en-us/library/bb457006 .aspx和http://technet.microsoft.com/en-us/library/cc782792(WS.10).aspx )。有了软件限制策略,非管理员用户就不能在允许的路径之外(或基于数字签名)执行代码。像 Google Chrome 这样安装在每个用户位置的东西(以及类似的恶意软件)甚至都无法运行。这是一个很棒的功能,可以说是最未被充分利用的功能之一。
| 归档时间: |
|
| 查看次数: |
214 次 |
| 最近记录: |