Использование групповых политик для «укрощения» работников по контракту

Менеджер call-центра нашей компании недавно рассказал мне о проблеме, с которой он столкнулся при работе с компьютерами центра. Дело в том, что сall-центр периодически нанимает на работу сроком от одного дня до нескольких месяцев временных сотрудников для целей электронной коммерции. Многие из этих сотрудников являются студентами колледжей, имеющими достаточный уровень знаний для приведения системы в такое состояние, чтобы следующие пользователи компьютера потратили немало времени на поиски стандартных программных средств, таких как Microsoft Internet Explorer (IE). На компьютерах присутствовали основные механизмы регистрации, но при этом пользователи могли устанавливать на них любые программы, что они и делали. Производительность труда оставляла желать лучшего, ибо большую часть времени эти сотрудники проводили либо за играми, загруженными из Internet, либо за прогулками по Сети. Дополнительные неприятности были связаны с конфликтами драйверов, устанавливаемых сотрудниками, что приводило к нарушению работы как бизнес-приложений, так и персональных компьютеров.

Подход менеджера к решению описанных проблем состоял в том, что он при помощи утилиты Ghost выполнял восстановление утративших работоспособность систем из подготовленных файлов образов. Должен сказать, что мне известно более изящное решение. Поскольку все эти компьютеры работают под управлением операционной системы Windows XP, причем в среде Active Directory (AD), можно попробовать решить проблему путем применения групповых политик (Group Policy).

Поиск решения

Поскольку я не склонен изобретать велосипед, мне подумалось, что, наверное, существуют какие-нибудь средства, которые избавили бы нас от процедуры настройки «с нуля» групповой политики, применяемой к компьютерам. Я припомнил прочитанную в TechNet статью, в которой обсуждалось использование групповой политики для реализации различных уровней ограничений на системах компании. В результате быстрого поиска в TechNet по термину kiosk был обнаружен нужный документ.

В этой статье, которая называется «Implementing Common Desktop Management Scenarios with the Group Policy Management Console», наряду с просто полезными в ряде случаев сведениями содержится информация о последних обновлениях, касающихся Group Policy Management Console (GPMC), и о новых версиях операционных систем. Но главная ценность данной статьи состоит в том, что в ней приведена ссылка, которая позволяет загрузить образцы объектов групповых политик (GPO) для обсуждаемых сценариев и документацию в формате книги Microsoft Excel, содержащую описание настроек по каждому из этих GPO. Статья опубликована по адресу http://www.microsoft.com/technet/ prodtechnol/windowsserver2003/technologies/ management/csws2003.mspx.

Данная статья содержит образцовые GPO в виде сохраненных файлов для GPMC, а также командный файл, с помощью которого можно импортировать все эти объекты в тестовый домен. Но я не стал импортировать все объекты, а выбрал те из них, что наилучшим образом соответствовали тем требованиям, которые мы хотели бы реализовать в отношении компьютеров call-центра.

Я распечатал отчеты по настройкам параметров, после чего мы с менеджером call-центра решили обсудить цели и задачи, а также перевести значения параметров GPO на понятный ему английский язык. После примерно часовой беседы мы пришли к выводу, что для call-центра наилучшим образом подходят параметры настройки, соответствующие объектам типа lightly managed computer и lightly managed user. Также стало понятно, что в нашем случае в стандартные настройки выбранных GPO придется внести незначительные изменения путем удаления и добавления некоторых настроек.

Реализация

Я принялся за работу. Сначала я создал с помощью GPMC два пустых объекта GPO, один для настройки пользовательских параметров, другой — для настройки параметров компьютеров, и импортировал в них настройки из загруженных мной GPO lightly managed computer и lightly managed user. В настройки этих объектов, которые были названы Call Center User и Call Center Computer, я внес незначительные изменения, добавив некоторые настройки и удалив те, которые в данном случае не требуются или могут привести к проблемам в работе пользователей call-центра. Для того чтобы запретить пользователям установку несанкционированного программного обеспечения, а также изменение домашней страницы и местоположения папки Favorites браузера IE, я применил блокирующие настройки.

Поскольку компьютеры call-центра находятся в весьма жестких условиях эксплуатации и довольно сильно отличаются по конфигурации от типовых пользовательских рабочих мест нашей компании, я создал для них отдельную организационную единицу OU с именем Call Center. С помощью оснастки Active Directory Users and Computers консоли MMC (Microsoft Management Console) я переместил эти компьютеры в новую OU. Мы не хотели применять к ним некоторые стандартные настройки GPO, используемые в нашей компании, такие как переназначение папок, поэтому я применил блокировку наследования политик. Затем я привязал модифицированный объект Call Center Computer к OU Call Center. Я определил также несколько других GPO, которые нужно было применить к этим системам, но все они были блокированы из-за установок наследования, поэтому я аналогичным образом привязал них к данной OU.

Для того чтобы применить объект групповой политики Call Center User к соответствующим пользователям, я создал в AD новую OU с именем Call Center Users ниже стандартного контейнера Users, в которую переместил учетные записи сотрудников call-центра. После чего я создал ссылку объекта Call Center User на OU Call Center Users, и все новые настройки пользовательской политики стали применяться ко всем содержащимся в данной OU учетным записям.

Результаты

Впоследствии мною в целях удобства были внесены небольшие изменения в начальные настройки GPO, но в целом те ограничения, которые были наложены на компьютеры с помощью объектов групповых политик Call Center User и Call Center Computer, позволили решить описанные выше проблемы. В течение нескольких месяцев я общался с менеджером call-центра и выяснил, что время простоя сотрудников сократилось наполовину, а время, которое он тратил на решение возникших проблем, уменьшилось более чем в два-три раза. Мне кажется, что это неплохая отдача от тех трех или четырех часов, которые я провел, работая над данным проектом.


Pедактор Windows IT Pro. С ним можно связаться по адресу: eroth@winnetmag.com