未來公司會逐漸使用Win10,所以會先做公司內應用軟體測試在Win10下是否運作正常
另因為Win10中很多功能與APP都是公司中無須讓同事使用,像是APP市集、內建的APP、微
軟帳戶、One drive、Skype..等等,所以得透過GPO來限制這些功能,
首先為了管理Win10,得先在DC中增加管理Win10用的GPO admx (目前用2.0,還沒有看到
有繁體中文版本),
在GPO下逐一找尋要針對APP做限制的物件原則,
發現很多物件原則要求Win10企業版下才會套用原則限制或停用,專業版則不會套用這些
原則,微軟似乎是在1607版以後才做這限制的,
你真好樣的,微軟!
谷哥了一下,雖然還是有方式能透過GPO或某些方式來做限制或停用物件
但有些方式既費工夫,也不確定未來是否會有後遺症
而且有些方式會讓event log持續記錄錯誤訊息
像是直接把市集的程式所在資料夾作拒絕存取原則,event log就會發瘋似的狂刷
如我們小公司之前採購的電腦都是市售商用電腦內建Win7 pro,一年了不起汰換個幾台
現在市售商用Win10電腦都是內建專業版以下版本,沒有企業版機型
要企業版的話得額外找微軟買授權,跟老闆提購買授權肯定會被打槍
“明明電腦購買時就已經內建Win10 專業版了,為何現在還要買企業版授權?”
另外發現,沒安裝權限的一般網域帳戶居然可以在市集下成功安裝APP
我也不知道該說什麼了,
有前輩有什麼好建議的嗎?
如果有用到RDP,別更新到1703,不然一般User沒辦法連
可以查一下win10 Applocker看是不是符合你的需求
作者: dou0228 (7777) 2017-06-09 15:37:00
用 Win 10 不用 Entr. LTSB 會不會太大膽了點?
win10最好ad 由2016控管,之前用2008r2一堆pc 無故網域自動失聯無解 (重新加退doamin無效,退了就加不回了),更換後就沒再出現這問題,加上2016才能完全控管到win10的policy,經驗分享。