Hvis du er en typisk liten bedrift eier, du har ikke en sentralisert klargjøring system som kan enkelt og automatisk distribuere hver stasjonære eller bærbare system. Du har kanskje ikke engang har en egen ansatt, enn si en hel avdeling, for å administrere dine IT-ressurser. Og har du sannsynligvis gi hver bruker sin egen lokale innlogging, i stedet for å bruke en sentralisert godkjenningsserveren. Med andre ord, dine ansatte har nøklene til sine lokale data riker. Og det betyr at de kan gjøre omtrent hva som helst på sine maskiner. Installere nye programmer, installere uønskede programmer, endre innstillinger, og kanskje til og med utilsiktet korrupt registret eller laste ned malware
Å gi de ansatte frihet til å prøve nye verktøy , lytte til musikk mens de jobber, eller besøke sosiale medier i sin off tid vil forbedre deres moral og styrke deres produktivitet. Men at fleksibilitet kan raskt føre til katastrofe hvis de ender opp med å ødelegge sine datamaskiner, bogging dem ned med søppel apps, eller verre.
Så hvordan kan du balansere holde dine ansatte fornøyd med å opprettholde kontroll over selskapets eiendeler?
The Decision
En strategi er å nekte de ansatte all administrativ kontroll over sine datamaskiner. En slik begrensning vil redusere risikoen for datamaskinene blir tatt tilfange av buggy apps og malware, fordi ingen ville være i stand til å installere noe som helst. Ulempen er at du - eller din utpekt - ville ha å gjøre alt av installasjon for dem. Som kan være en tidkrevende prosess, spesielt hvis du distribuere en ny søknad til hele arbeidsstokken - selv om det bare er en håndfull ansatte. Da må du vurdere periodiske sikkerhetsoppdateringer, feilrettinger, driveroppdateringer og oppgraderinger. Og ikke glem å måtte installere drivere og programvare for nye enheter, for eksempel skrivere og skannere.
Utdeling av Administrator Tilgang
I stedet for å administrere alt selv, kan du ta en rekke skritt å skjenke administrative rettigheter til de ansatte uten å miste fullstendig kontroll over datamaskiner du har gitt.
Før du åpner opp alles datamaskin for uhemmet bruk, etablere en baseline software miljø som vil være standard for hver ansatt. Sett en politikk som gjør det mulig for de ansatte å øke sine datamaskiner med nye programmer, men forbyr dem fra å avinstallere eller deaktivere baseline programmer - spesielt antivirus og antimalware verktøy, en sikker nettleser, en kontorpakke (med mindre du bruker en sky app, som for eksempel Google Docs), og hva proprietær programvare småbedrifter trenger for å fungere
Deretter bruker et program som Driveimage XML (gratis for privat bruk,. en fem-user kommersiell lisens koster $ 100) for å klone systemdisken på hver klasse av datamaskin vil du distribuere. Ditt mål er å skape et bilde av hver type desktop system på kontoret, fra standard administrative maskiner til å fungere spesifikke stasjonære (videoredigerings arbeidsstasjoner, for eksempel). Hvis katastrofen inntreffer eller en ansatt gjør datamaskinen ubrukelig, kan du raskt gjenopprette den til den opprinnelige konfigurasjonen.
Du bør også etablere retningslinjer og prosedyrer som ansatte må følge for å minimere sjansene for at de vil forstyrre normal forretningsdrift . For det første, etablere en politikk at alle ansatte må opprette en brukerkonto i Windows, i tillegg til sin administratorkonto, og at de må logge seg under den brukerkontoen til enhver tid, med mindre de oppnår funksjoner som krever administratorrettigheter. Denne politikken vil bidra til å forhindre useriøse programmer fra å få privilegert tilgang til operativsystemet. Du bør også passe på at alle ansatte lagre sine arbeidsrelaterte filer på en delt nettverksstasjon (ligger på en server eller NAS-boksen), og at de holder personlige filer i sin personlige nettskyen (Dropbox, SkyDrive og lignende). Informere dem om at personopplysninger ikke vil bli inkludert i de obligatoriske planlagte sikkerhetskopier.
The Power of Group Policy Editor
Lokale administratorrettigheter synes ustoppelig, men det er et middel som du kan utøve god kontroll over Windows-operativsystemet. Hemmeligheten er å bruke Windows 7 Group Policy Editor. Logg på med brukerens admin legitimasjon, og skriv inn gpedit.msc i Windows søkeboksen (du finner den i Start-menyen) og trykk på Enter-tasten. Herfra kan du deaktivere tilgang til kritiske Windows elementer helt - inkludert Kontrollpanel - eller du kan velge hvilke komponenter du ønsker å tillate ansatte å endre. For eksempel kan du gi dem muligheten til å bytte skjermsparere, men ikke til å endre skrivere eller avinstallere programmer.
Ikke rabatt kraften i Group Policy Editor. Hvis du er det minste litt i tvil om å la ansatte løpe løpsk på sine systemer, denne hendige Windows-funksjonen tilbyr unse av kontroll du trenger for å holde systemene fungerer optimalt. Du finner alt av innstillinger verdt surfing og redigering under Group Policy Editor er "Administrative maler" -mappen i User Configuration menyen
Du kan også blokkere tilgang til bestemte programmer installert på en Windows-maskin.; bare åpne Group Policy Editor og naviger til System-mappen under Administrative maler i innstillingen User Configuration. Dobbeltklikk Ikke kjør spesifisert Windows applikasjoner alternativet, aktivere policyen, klikker du på Vis-knappen (det er i nærheten av 'Liste over underkjent Applications'), og skriv inn navn på kjørapplikasjonsfiler (for eksempel uTorrent.exe) som verdier.
Denne metoden vil ikke hindre flittige medarbeidere fra døpe sine favoritt peer-to-peer programmer til, si, "hatemyboss.exe" og kjører dem, noe som er grunnen til at du kanskje ønsker å kombinere din Group Policy edits med noen flere endringer på nettverksmaskinvarenivå. Du kan for eksempel gå inn i konfigurasjonspanelet for din primære ruteren og endre brannmurinnstillingene for å blokkere tilgang til alle porter for de ansattes systemer, unntatt dem som kreves for datamaskinene til faktisk fungerer - for eksempel trafikk på port 110 , 53, 25, og 80, for å nevne noen. Dette er et kjernefysiske alternativet for å hindre ansatte fra å slå små-business miljø til å laste ned sentralt, men det er verdt å vurdere om peer-to-peer dårlig oppførsel er et problem på arbeidsplassen din.
Finer administrativ kontroll Anmeldelser
Hvis dine systemer kjører enten Windows 7 Ultimate eller Windows 7 Enterprise, kan du benytte deg av operativsystemets innebygde AppLocker funksjonen. Tilgjengelig via Group Policy Editor, gir AppLocker enda bedre kontroll over elementene som systembrukere kan kjøre på sine maskiner. For eksempel, i stedet for bare å blokkere apps ved kjørbar navn, kan du gå inn og blokk apps av utgiver, filbane, eller filnummeret. Filen-banen valget er spesielt nyttig hvis du vil blokkere all tilgang til en digital nedlasting tjeneste - for eksempel Steam -. Som setter alle nedlastede programmer i en bestemt katalog
Har du behov for en tredjeparts program for å kontrollere brukernes aktivitet på sine systemer? Ikke egentlig. Men hvis du oppdager at gjenstridige ansatte med administratorrettigheter omgå dine Windows-baserte tilgangskontroller, kan det være lurt å se nærmere på sterkere løsninger. For eksempel, hvis du installerer Faronics 'Deep Freeze ($ 35,50 per år) på de ansattes maskiner, vil programmet gjenopprette hvert system til en identisk snapshot hver gang PCen startes på nytt. Eller du kan gi medarbeidere med en virtuell desktop som ville gi dem frihet til å installere deres personlige programmer i en sandboxed miljø.
Så lenge du er villig til å investere litt tid å sette opp de riktige konfigurasjoner, gi dine ansatte administratorrettigheter på sine små bedrifts PCer vil ikke nødvendigvis føre til kaos. Du kan selv styre admins uten å gjøre de ansatte føler at de arbeider under foreldrekontroll 9-5. Anmeldelser