Мы используем файлы cookie для анализа событий на нашем веб-сайте.
Оставаясь на сайте, вы даете согласие на работу с этими файлами в соответствии с Политикой конфиденциальности
При создании
среды следуйте соглашениям по именованию, с помощью которых по именам политик
можно легко понять их функции.
Как можно реже
применяйте опции блокировки наследования политик (BlockPolicyInheritance) и запрета переопределения (NoOverride). Эти возможности являются замечательными
инструментами для применения групповых политик, но только в организациях со
строгой иерархической структурой и в организациях с распределенным
администрированием. Кроме того, они могут затруднить устранение неполадок в
политиках.
Отключайте
неиспользуемые части объектов групповых политик. Если в политике применяется
только конфигурация пользователя, то конфигурацию компьютера нужно отключить.
И наоборот: если проводятся изменения только в конфигурации компьютера, можно
отключить конфигурацию пользователям. Это может ускорить процесс загрузки и
входа в систему для сетевых клиентов, к которым относится эта политика.
Избегайте
междоменных назначений политик. Опять-таки, для ускорения процесса загрузки и
входа в систему пользователи должны получать свои назначения политик из своего
собственного домена. Этот совет особенно важен для управления удаленными
пользователями.
Назначайте или
публикуйте программное обеспечение в высокоуровневых объектах Active Directory.
Поскольку по умолчанию настройки групповой политики применяются и к дочерним
контейнерам, то проще назначить или опубликовать приложения, привязав объект
групповой политики к родительской организационной единице или домену.
Назначайте или
публикуйте программное обеспечение лишь один раз для каждого объекта групповой
политики. Для упрощения управления и устранения неполадок знание того, что
каждый инсталляционный пакет связан с одной групповой политикой и, наоборот,
каждая политика связана с одним программным пакетом, поможет в дальнейшем
избежать путаницы. Также не назначайте и не публикуйте программное обеспечение
одновременно и в конфигурации компьютера, и в конфигурации пользователя
объекта групповой политики.
Переупаковывайте
существующее программное обеспечение. Поскольку программы устанавливаются
через групповые политики с помощью пакетов инсталлятора Microsoft Windows (MSI), необходимо переупаковать программы,
скомпилированные с помощью Setup.exe.
Возложите
создание папок на систему. Если вы создаете папки самостоятельно, им не будут
назначены корректные права доступа.
Не
перенаправляйте папку My Documents в домашний каталог. Это возможно, однако эту
возможность необходимо применять, только если в организации развернуты домашние
каталоги. Перенаправление в домашний каталог доступно только для обратной
совместимости.
Включите
кэширование на стороне клиента. Это необходимо для пользователей с
портативными компьютерами.
Синхронизируйте
автономные файлы перед входом в систему. Эта возможность перенаправления папок
должна быть всегда активной, чтобы обеспечить доступность текущих файлов
автономно работающим пользователям.
Используйте
полностью определенные (UNC) пути,
например, \\сервер\общий_ресурс. Хотя можно использовать и пути наподобие с:\имя папки, этот путь
может не существовать на всех целевых сетевых клиентах, и перенаправление не
сможет быть выполнено.
Используйте
возможность работы с автономными файлами с помощью технологии IntelliMirror для упрощения управления мобильными пользователями,
позволяя им работать с сетевыми файлами, когда они реально не подключены к
сети.
Настройте
автономные файлы на синхронизацию при входе пользователей и периодическую
фоновую синхронизацию. Подобным образом можно обеспечить постоянную актуальность
файлов пользователей.
Реализуйте сервер
виртуальной частной сети (Virtual
Private Network — VPN), если для сетевых подключений удаленных
пользователей требуется дополнительная защита.
Реализуйте жестко
управляемую конфигурацию, не требующую, чтобы жестко управляемые пользователи
имели навыки управления данными, установки программ или настройки системы.
Если все жестко управляемые пользователи хранят данные на одном и том же томе
сервера, то для них можно также реализовать дисковые квоты на общих сетевых
ресурсах.
Реализуйте
политику слабо управляемого рабочего стола для управления сетевыми клиентами
разработчиков программного обеспечения. Эти пользователи работают с
полномочиями PowerUsers
(Опытные пользователи). Членство в группе PowerUsers позволяет
реализовать эту политику, если не была применена групповая политика,
ограничивающая доступ к системным каталогам рабочей станции.
Для
пользователей, которым нужна повышенная безопасность, реализуйте групповые
политики IPSec и используйте файловую систему
EFS.
Администраторы
для выполнения своих повседневных задач должны использовать стандартные
учетные записи и применять учетные записи администраторов только тогда, когда
это требуется. На их рабочих станциях должны быть установлены хранители экрана.
Версия сайта для слабовидящих