Welche Gruppenrichtlinien haben Sie angewendet?

7

Ich habe ungefähr 10 Gruppenrichtlinien festgelegt und es funktioniert in Ordnung . Es wäre jedoch interessant zu sehen, welche Art von Dingen IT-Administratoren durchsetzen.

Wenn Sie eine Menge Richtlinien haben, zeigen Sie einfach einigen, dass Sie das Gefühl haben, etwas wirklich zu ändern.

Ich denke, Sie könnten "Standardgenehmigung" vermeiden -> alles blockieren, was Sie können, und nur Dinge entsperren, die direkt benötigt werden.

Diese Frage bezieht sich auf Windows-Server :) Obwohl ich weder Mac- noch Linux-Administratoren meide.

group-policy Caspert
quelle
Sie sollten dies zu einem Community-Wiki machen.
Squillman
Du hast recht. Guter Punkt.
Caspert

Antworten:

7

Ich liebe Gruppenrichtlinien. Dadurch kann ich meine Arbeit erledigen und meinem Unternehmen ermöglichen, die kollektiven Talente von 3 Personen auf mehr als 1.000 PCs und Servercomputern an mehreren Kundenstandorten zu nutzen.

Nahezu jeder meiner Kunden hat die meisten der folgenden Verwendungszwecke von Gruppenrichtlinien:

  • Installieren Sie die Software mit der Softwareinstallationsrichtlinie
  • Installieren Sie die Software mit Startskripten
  • "Überarbeiten" der werkseitigen Windows-Installationen von Computern nach ihrer ersten Domänenmitgliedschaft mit einem einmaligen Startskript (Hinzufügen / Entfernen von Windows-Komponenten, Bereinigen des Startmenüs, Entfernen unerwünschter, vom Hersteller bereitgestellter Software usw.)
  • Richten Sie die "Benutzerumgebung" ein (Ordnerumleitung, Gruppenrichtlinieneinstellungen zum Löschen von Registrierungseinstellungen, Desktopverknüpfungen usw.)
  • Gegebenenfalls "Sperren" der Benutzerumgebung (für Kioske, Spezial-PCs usw.)
  • Weiterleiten von Computern an WSUS-Server und Festlegen von Aktualisierungsrichtlinien
  • Festlegen der IPSEC-Richtlinieneinstellungen
  • Bereitstellen von WLAN-Einstellungen (SSID und Sicherheitskonfiguration des Unternehmens usw.)
  • Anmeldeskripte zum "Zuordnen" von "Laufwerken"
  • Anmeldeskripte zum Bereinigen von "temporären" Verzeichnissen pro Benutzer und Startskripte zum Bereinigen von "temporären" Verzeichnissen pro Computer
  • Eingeschränkte Gruppenrichtlinie zum Auffüllen lokaler Gruppen mit Domänengruppen
  • Steuern Sie Anwendungen von Drittanbietern, die Registrierungseinstellungen verwenden, um ihr Verhalten durch die Erstellung benutzerdefinierter Verwaltungsvorlagen zu beeinflussen
  • JEDE Art von Verschiedenem tun . Wartung, entweder pro Computer oder pro Benutzer, die ich über Start- oder Anmeldeskripte durchführen muss

Das ist meine Liste "ganz oben auf meinem Kopf". Ich werde zurückkommen und überarbeiten, wenn ich an mehr denke.

Evan Anderson
quelle
4

Wir verwenden Gruppenrichtlinien, um:

  1. Zeigen Sie Workstations auf unseren WSUS-Server
  2. Führen Sie ein Programm aus, das überprüft, ob die Antivirensoftware installiert ist, und installieren Sie es, falls nicht
  3. Deaktivieren Sie die Registrierungsbearbeitung
  4. Legen Sie die Office-Sicherheitsstufe fest
  5. ODBC-Verbindungen einstellen
  6. Leiten Sie den Desktop eines Benutzers und Eigene Dateien auf einen Dateiserver um
  7. Ordnen Sie Netzwerklaufwerke zu
  8. Stellen Sie die Energiespareinstellungen ein (Monitore, Festplatten und Computer werden nach xx Minuten in den Ruhezustand versetzt ).
  9. Überprüfen Sie die Versionen der internen Anwendungen
  10. Deaktivieren Sie iTunes, Windows Media Player, VLC usw.
  11. Festlegen von Speicherplatzkontingenten

[BEARBEITEN] Folgendes hinzugefügt:

  1. Kennwortrichtlinie erzwingen
  2. Standardisieren Sie Desktop-Hintergrund und Bildschirmschoner

Und ein paar andere, an die ich mich nicht mehr erinnern kann.

user17642
quelle
2

Schon ein paar; Sie neigen dazu, zwischen niedrigen und hohen Zahlen zu ping-pong. Derzeit sind die Zahlen aufgrund einer Reihe von WSUS-Richtlinien hoch, die konsolidiert werden müssen. Ich denke nicht, dass GPOs die Art von Dingen sind, die jemals wirklich "fertig" sind, sondern dass sie im Laufe der Zeit ständig verfeinert und verfeinert werden.

Zu den Hauptverwendungen gehören:

  • Desktop-Sperrung
  • Software Installation
  • Anmelde- (und Abmelde-) Skripte
  • Startskripte (und Herunterfahren)
  • WSUS-Konfiguration
  • Passwörter / Sicherheit / etc.
  • Ordnerumleitung

Eine - vielleicht - neuartige Verwendung ist ein Anmeldeskript, das (1) prüft, ob der Computer ein Server ist, (2) prüft, ob der Benutzer ein "sensibler" Benutzer ist, den wir verfolgen möchten, und (3) eine E-Mail an unsere sendet Administratoren, die Computernamen, Benutzernamen und Uhrzeit angeben, wenn eine der beiden Bedingungen erfüllt ist. Wir nennen es "proaktive Paranoia" und obwohl es nicht gerade Sicherheit ist, ist es eine zusätzliche Komfortschicht, da wir ein bisschen mehr darüber wissen, was los ist.

Wir unterhalten auch einige Dummy-Organisationseinheiten in unserer Live-AD, in die wir gelegentlich einige Benutzer und / oder Computer einbinden, um neue Inhalte zu testen, und verfügen über eine kleine Armee von Skripten, die wir für bestimmte einmalige Jobs überall hinzufügen können (z. B. wenn wir Lust dazu haben) Defragmentierung aller PCs jederzeit, wenn wir einfach ein Shutdown-Skript dafür einfügen können).

Zukünftige Pläne beinhalten die Verlagerung vieler abscheulicher Registrierungs-Hacks und möglicherweise anderer Dinge aus unserem Hauptanmeldeskript in die Einstellungen.

Maximus Minimus
quelle