如果你是一个典型的小型企业的所有者,且企业没有一个集中供应系统,一般会选择自动部署台式机或笔记本电脑系统。你甚至可能不会有一个专门的员工,或者一个部门去管理你的IT资源。身为企业管理者,你和你的员工一样,都是通过本地登录系统,而不是使用一个集中的身份验证服务器。换句话说,你的员工拥有这样一把钥匙,他可以打开本地计算机任何的一个“门”。这意味着你的任何一个员工可以在你的系统中做任何事情:他们的机器上安装新的应用程序,安装不受欢迎的应用程序,更改设置,甚至无意破坏注册表或下载恶意软件。
事实上,适当的时候允许员工登录社交媒体网站,听听音乐,根据工作时间的安排,浏览网页等等,可以有效提高员工士气,提高公司生产力。但是灵活的办公方式也有可能给公司带来灾难。如果他们使用垃圾应用,不幸打开恶意软件,这种灾难带来的效果会更糟。
那么,我们该如何平衡二者关系,既能保持员工高兴情绪又能对公司的资产以控制?
如何给予员工最好的上网体验?
这是一个“决定”
一种策略可以有效管理所有员工的计算机。这样的限制会减少你的电脑被木马和恶意程序伏击的风险,因为没有人有权利安装这些程序。但是毫无疑问,他的缺点也很明显。公司不得不设定特定的人,来管理员工的上网行为,以及他们安装的应用。显然,这是一个耗时的过程,特别是如果你正在部署新的应用程序,对于您的全体员工或者是少数员工来说,你必须要考虑定期的安全补丁,驱动程序更新和升级。此外,我们的安装新的外设,如打印机和扫描仪,驱动程序和软件也是需要做更新和升级的。
授予管理员权限
采取一些步骤,赋予员工一定的管理权限,完全安全控制你的计算机。
之前,你打开每个人的电脑,随意使用,建立一个基准软件环境,这将是为每个职员的标准。设置权限制度,监控员工添加的新的应用,可以禁止他们卸载或禁用的基线方案。小型企业需要防病毒和反恶意软件工具,安全的网络浏览器,办公套件(除非你使用云应用程序,如谷歌文件),和任何专有软件等功能。
然后,你会部署这样的应用。使用如Drive lmage XML的应用程序(免费供私人使用),以克隆系统驱动器上每个计算机应用。目标是建立各类型桌面系统的形象,在你的办公室,从标准的行政机特定功能的桌面(例如,视频编辑工作站)。如果发生灾难,其员工自己都无法使用计算机的话,也可以迅速恢复到原来的配置。
公司建立政策、制度和程序员必须遵守,以尽量减少的扰乱正常的业务的机会。对于初学者来说,每一位员工必须创建一个Windows用户帐户,除了他们的管理员帐户,他们必须签署用户协议,在任何时候,除非他们履行职责,都需要进过管理员的审核。如此做法将有助于防止恶意应用程序获得操作系统的特权访问。公司也应该规定所有员工建立一个与工作相关的文件存储的网络驱动盘。这些文件将保持他们个人的云存储的个人文件(例如Dropbox、SkyDrive),并告知他们的个人数据将不会被列入强制性预定备份。
组策略编辑器的控制
本地管理员特权目前似乎势不可挡,但有一种手段,通过它可以在Windows操作系统中发挥很好的控制。其中的诀窍就是使用Windows 7的组策略编辑器。登录用户的管理凭据,并在Windows搜索框中输入gpedit.msc(你会发现它在开始菜单)类型,然后按回车键。从这里,你可以禁止访问重要的Windows完全元素,包括“控制面板” ,或者你可以选择你要允许你的员工修改的组件。例如,你可以给他们屏保切换的能力,但能卸载程序。
您还可以阻止访问Windows机器上安装的具体方案;只需打开组策略编辑器,然后导航到系统文件夹下在用户配置设置的管理模板。双击“不要运行指定的Windows应用程序的选项,启用该策略,单击”显示“按钮(它附近的”不允许的应用程序列表“),然后可执行程序文件的名称(如uTorrent.exe)值。你可以去到你的主路由器的配置面板,并改变防火墙设置阻止访问所有员工的系统端口,保存所需的数据。
更好的管理控制
如果您的系统正在运行的是Windows 7旗舰版或Windows 7,你可以使用操作系统的内置的AppLocker功能。通过组策略编辑器,AppLocker提供更精细的控制项目,该系统用户可以在他们的机器上运行。例如,而不只是阻止应用程序的可执行文件的名称,你可以去和阻止应用程序的出版商,文件路径。如果你想阻止所有的数字下载服务的访问,放入一个特定的目录中的所有下载的程序文件路径选项是特别有用的。
你需要一个第三方的应用程序来控制用户的活动呢?不是真的。但是,如果你发现管理员权限的员工绕过基于Windows的访问控制,你可能想寻找到更强的解决方案。只要你愿意投资一点时间,建立正确的配置,给予您的员工以及电脑系统管理员权限。如此这样,你的员工可能都不会觉得,他们朝九晚五的工作其实是在管理员的控制之下。