科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道路由交换公司笔记本用户的管理

公司笔记本用户的管理

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

公司内部的笔记本用户基本上都是公司的高层或因工作关系需要移动办公的用户,设备自从发到用户手中,基本上是“公用”“家用”不分的,想对这类用户加以管理绝非易事。

来源:vlan9 2010年6月6日

关键字: 网络技术 局域网管理 网络管理

  • 评论
  • 分享微博
  • 分享邮件

  公司内部的笔记本用户基本上都是公司的高层或因工作关系需要移动办公的用户,设备自从发到用户手中,基本上是“公用”“家用”不分的,想对这类用户加以管理绝非易事。最直接的阻力可能来自于用户的不配合,小编以为在任何公司都有这样的情况,IT做为弱势,非生产部门,确切说做为支持服务部门,几乎在所有人眼中,服务输出方应完全适应服务需求方,如果前者对后者提出诸多“限制”,最直接的情况可能就是实施起来比较困难,更麻烦的情况就不在此多说了,我想做过IT维护的读者大家心里都有数。享受权利(便利)的同时必须履行相应的义务,这样才是平衡的,不然肯定会出问题,道理人人都懂,但实际做起来每个人都会本能的回避履行义务。

  对于公司高层人员,IT对其提供的服务级别一般相对普通职员要高,在IT外包管理模式下,对高层人员的服务响应时间一般都非常短,如果是公司内部IT,也肯定需要IT人员尽快出现在用户面前。小编曾遇到过这样一件事,一天早上,某总经理说他的笔记本无法收发邮件了,而且桌面上的文件也都不见了,到现场后发现,他的笔记本居然退出了“域”,而且不是那种客户机与域控制器验证失败的情况,而是通过正规操作后退出了域。坦白说小编对此还是比较吃惊的,因为在以往的经验中,用户充其量能做的可能只是安装一些与工作无关的软件、按一些网上的资料“优化”一下系统,基本上就到这个程度,用户自行退出“域”还是第一次遇到。询问用户做过什么?答复是昨天家中孩子想玩一个游戏,于是在网上按照说明把WINDOWS退出了域,再开机后发现出了问题……。当然也有很“朴素”的笔记本用户,小编就曾见过一位,从最初笔者将设备发到用户手中,到一年半后因其离职将设备交还,整个系统干干净净,没有自行安装过任何软件,甚至不用重做WINDWOS就可以发给后继的用户使用,但这类用户必竟是少之又少。

  公司为员工配备笔记本是为了满足员工移动办公的需求,再进一步讲,其基本需求可能只是为了能在不同的网络环境中收发邮件而已,虽说现在很多网络环境都是通DHCP为设备分配IP、DNS等,但可能用户还是会遇到一此情况,需要手动自行改变网络设置。而对于此需求,可能很多IT维护人员选择开放管理员权限给用户,这其实是很不明智的作法,如果开放权限,用户将直接面对来自INTERNET的威胁,在公司内部,因为有防火墙,代理服务器等,可以在一定程度上保护用户系统的安全,但如果在其它网络环境中,比如家中、酒店,用户都是直接访问INTERNET,此时来自INTERNET的威胁就要大的多。

  小编曾从事过IT维护工作,在此总结出一些经验,希望对各位看官有所帮助,当然,以下内容属一家之言,仅供参考。

  对于是否开放管理员权限给用户,这点本人绝对反对!原因很简单,就不该这样做!具体到每位用户他们的需求其实是很有限的,可能仅是想多装几个私人会用到的软件,小编以为应该不会有用户找IT说帮忙装一下某某游戏(当然如果开放权限给用户,用户肯定会在公司设备上自行安装游戏),如果需求得到满足,用户还都是比较Nice的。对于安装软件,我的意见是由IT人员来帮用户安装,这一过程中可能会有几种不同的情况,小编将分开来说:

  一:有些软件可能是用户私人使用到的,与工作并没有关系,比如股票软件,对此,小编以为装也就装了,并不会触及什么原则性的问题(例如版权问题),在这里有一个技巧希望对各看官有所帮助,目前一般用户使用的是WINDOWS XP操作系统,XP系统内置了数个不同权限级别的用户组,包括Users、Power Users、administrators,Users权限有很多限制,如果用户为此级别权限,对XP所能做的改动非常少,是很安全的,正常情况下也应当为公司员工分配此级别的权限,但在此用户组中,有些软件由于设计缺陷可能无法正常运行,如果遇到这个问题,各看官可以试着将程序安装目录的读写权限改为Users Change或Full Control。QQ我想大家都用过,默认QQ会被安装在C:\Program Files目录中,而Users组的成员是无法修改此目录中的内容的,这就带来一个问题——用Administrators安装,在Users下无法使用。各看官可以试着将QQ目录修改为Users Change或Full Control,注意,只需修改QQ目录的读写权限,之后QQ就可以使用了,与MSN不同,MSN可以将聊天记录保存在当前用户的Profile中,而在这方面QQ做的就不好,需要在安装目录创建各用户的聊天记录。

  再说一个稍复杂点的情况,有些软件可能需要在某目录中创建一些文件才可运行,而软件本身并不安装的此目录中,比如有些软件运行时需要在C:\WINDOWS下创建一个abc.log文件,这里问题同样出在权限上,Users无法修改C:\WINDOWS中的内容,而如果改变整个C:\WINDOWS目录的读写权限显然非常不明智,这时各看官可以试着只单独修改某个或某几个文件的读写权限试试,也许问题就解决了。

  对于上述情况看似很麻烦,其实不然,来自用户的这类需求其实是很少的,而且对用户提供这类“特殊”的服务也能很大程度上与用户建立起良好的关系,对于IT服务,这点是很重要的。换一种做法会怎样,试想如果只是将管理员权限开放给用户,用户虽然方便了,但并不会再有其它“正面“的东西在用户与IT人员之间建立。

  说到WINDOWS用户权限,在此提一下“某某卡卡”,做为一个安全软件,确无法正常运行在Users权限下,实在让人不解,笔者曾使用过一段时间,但最后还是删掉了,难道商家鼓励用户的电脑都使用administrators权限?小编以为对病毒的防范绝对重于对病毒的查杀,不管商家所提供的软件多么有效。有时在一些问题上,商家所扮演的是一个比较权威的角色,大众对一些问题的理解与认识是受商家影响的。

  二:这类软件依然和工作没什么关系,用户的要求也不像使用股票软件那么强烈,比如视频音频播放软件。说了这么多,看官也许会觉得,小编怎么都在说一些“出格”的事情,但在我看来,IT维护也很是有很多技巧的,做为IT维护我想单纯的做“电脑守卫”或“救火队员”都是不应该的,而应该尽可能的为用户提供高质量服务,建立良好的与用户间的关系,就像在给用户装股票软件时遇到的问题,如果IT人员能用一种比较易懂的方式告诉用户,我想此时用户一定会非常耐心的听取,此时可以再给用户提出一额外的建议,比如上网安全方面的,一定能达到事半功倍的效果,“双赢”这个词用在此处可能挺合适的。好,言归正转,对于安装视频音频播放软件,我也是认为,装就装了,还是那句话,建立良好的用户关系。不过我建议IT人员自己手上要储备些比较经典且易用的软件,以备不时之需。像暴风影音,Foobar2000。

  三:有些软件是绝对禁止的,比如没有正式授权的软件(盗版软件)。以前在一家公司实习时,听人说过这样一幕,某软件公司人员冲进了T公司的办公室,因为他很肯定T公司的某台PC上装了未经他们公司授权的软件,T公司员工当时反应非常快,将正在运行着的PC一脚从桌子上踹下,并在地上又踩了几脚,电脑彻底坏掉了……。且不说这件荒唐的事最终如何收场,IT人员一定程度上做为公司PC的“看守”,对盗版软件的问题应该给予绝对的重视,如果用户真的因为工作原因需要某一软件,一定要通过正规的途径去申请,这时如果给用户制造“便利”是存在很大风险的,包括开放管理员权限,默许用户自行安装盗版软件的方式,最终,IT人员都免不了责任。

  笔记本用户由于他们要工作在不同的网络环境中,对改变网络参数确实需要一些控制权,WINDOWS XP中内置了Network Configuration Operators用户组,该组内的用户可以在客户端执行一般的网络设置任务,例如更改IP地址,但是不可以安装/删除驱动程序与服务。IT人员可以将用户加入到此组中,并简单培训一下用户,这样其在出差期间基本上就不会遇到网络配置方面的问题了。

  下面再说一下浏览INTERNET时安全方面的问题,IE是很不好用的,时下流行的Firefox也没觉得有何改善,我这里所指的只是易用性方面,而非软件本身有什么问题,小编忠情于MAXTHON 1 Classic,主要是因为它可以非常方便的自定义很多功能。在游览INTERNET时,很多数据都会通过Browser下载的本地PC中,有用的,没用的,正常的,恶意的,MAXTHON有个很方便设置的“内容过滤”功能,可以轻意的将一些内容过滤掉,比如EXE、SCR、COM、BAT、PIF、TMP、DLL等,这些类型的数据在浏览网页时肯定是没有用的,完全可以将其过滤掉,具体设置方法如下:

  MAXTHON – Options – maxthon options – AD hunter – Content filter

  

公司笔记本用户的管理(图一)

  解决了上网安全问题,还有一个比较严重的问题,U盘的使用,U盘是很让IT人员头疼的东西,对于笔记本用户,一般都是需要开放USB存储权限的。现在有很多工具都可以防御U盘病毒的传播,像360安全卫士之类,但对于一些场所可能并不适用,原因很简单——版权问题,在公司不愿支出这笔费用的前题下,IT人员只能想其它的办法,用批处理的方法把所有电脑根目录都创建autorun.inf目录是个方法,但不足也同样明显——你不可能在用户的移动设备上也使用此方法。

  “U盘病毒”的发作依赖两个条件,一是驱动器根目录存在恶意内容的autorun.inf文件,另一个是因为用户“双击”了该驱动器。如果能阻止其一,便可以让“U盘病毒”无法被激活。小编这里有一个方法可以阻止后者。将下面的内容倒入注册表:

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum]

  "{20d04fe0-3aea-1069-a2d8-08002b30309d}"=dword:00000001

  “我的电脑”图标将被隐藏,并且处于“不可用”状态,如下图:

  

公司笔记本用户的管理(图二)

  这时要如何浏览电脑中的内容?用户可以使用“资源管理器”,在桌面上点击 右键 – 新建 – 快捷方式,填上以下内容:

  %windir%\explorer.exe /e, f:

  双击此“快捷方式”时会以“资源管理器”的方式打开F盘,当然此处的“F”可以任意修改,主要是为了方便用户使用,如果用户的数据都在D盘,将F改为D就可以了,双击打开的就是D盘。这样用户就没有机会“双击”打开驱动器了。

  还有一种情况,当我们将一张光盘放入光驱,关闭仓门后,光盘中的内容可能会自动运行,呈现给用户一个交互界面,WINDOWS的这一功能设计得很人性化也很方便,例如装机时使用的驱动光盘,光盘插入,安装界面(向导)便会自动运行,指引用户完成相关的操作,但此功能也有很大的风险,试想,如果向导程序被替换成了恶意程序会如何?当便利与安全发生冲突时,小编以为应优先考虑安全,放弃所谓的便利。

  Shell Hardware Detection服务,WINDOWS XP描述为“为自动播放硬件事件提供通知。”小编发现,如果将此服务禁用,在放入光盘时光盘中的内容便不会被自动运行,同样当用户在插入U盘时,系统也不会“主动”去运行U盘上的任何程序。

  关于对用户应用Users组权限,可参见:WINDOWS下使用管理帐户的风险及使用受限帐户的优点

  用户将“公家”的笔记本私用,这在公司中是不可避免的,而公司内任何IT策略的实施,尤其是回收用户权限的策略,如果没有总公司IT老板的大力推动也都是非常困难的。作为基层的IT维护人员,往往是游离在公司IT策略与用户之间,左右都不逢源,如何能处理好与用户的关系,既让用户满意又不触及原则问题,这确实是需要IT维护人员动动脑筋的,以上之言,希望对各看官有些许帮助。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章