Как использовать Групповую политику для принуждения пользовательского соответствия
Мне нужны рекомендации для использования групповой политики для ограничения компьютера/доступа к сети пользователя, пока пользователь не принимает меры в этом случае, подтверждая, что он считал политику допустимого использования.
Пользователь будет в группе, содержащей пользователей, которые не соответствовали. После завершения он будет удален.
Что такое хорошие идеи для использования Групповой политики для ограничения то, что этот пользователь может сделать, или раздражать их из-за всплывающих окон, 'вынудить' пользователя соответствовать? Ссылка на соответствующий код значительно ценилась бы, или сам код, если это возможно.
Спасибо
Общепринятые методы:
- Используйте баннер для входа в систему. Это должно быть несколько кратко, но пользователь не может войти в систему, пока не нажмет «ОК». Юридическая сила этого (или любого всплывающего окна) может варьироваться в зависимости от юрисдикции.
- Заставьте их подписать Политику допустимого использования, прежде чем им сообщат свое имя пользователя / пароль. Это имеет высокую юридическую силу, поскольку это в основном подписанный контракт. Если это новый AUP, сбросьте их пароль и не давайте им новый, пока они не подпишут его.
Групповая политика предназначена не для этого.
Я думаю, что наиболее близким к тому, о чем вы просите, является контроль доступа к сети / контроль доступа к сети / 802.1x. Эти решения зависят от производителя. Один есть у Microsoft, у Cisco ... у других поставщиков тоже.
Вы можете делать изящные вещи, например помещать пользователя в «карантинную сеть», если только у этого пользователя нет определенного флага в своей учетной записи, например атрибута, или, может быть, ключ реестра на их клиенте или что-то в этом роде ... в вашем случае этот «флаг» будет означать, что пользователь принял ваши условия использования. Затем они будут автоматически включены в обычную политику доступа к сети.
Опять же, это не то, что вы никогда не сможете сделать с помощью одной только групповой политики.
Как уже упоминалось, логин баннера сделает часть того, что вы просите. Он передаст им сообщение, но на самом деле у них нет возможности "отменить". Они получают только "хорошо". Другая вещь, которую вы могли бы сделать, но требует больше работы, это написать скрипт во время входа, который даст им всплывающее сообщение с да или нет и, возможно, займет весь экран. Затем в зависимости от выбранного варианта он может записать в файл и записать выбор. Если они сказали "да", то в следующий раз сценарий будет игнорировать давая сообщение снова. Если они нажмут кнопку "нет" сценарий может выйти из ПК.