ISI-LOGON | ||||||||
Line: 9 to 9 | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
Changed: | ||||||||
< < |
| |||||||
> > |
| |||||||
| ||||||||
Line: 17 to 17 | ||||||||
Installazione del pacchettoCome al solito, l'installazione si esegue con i seguenti comandi | ||||||||
Added: | ||||||||
> > |
| |||||||
# apt-get update # apt-get install isi-logon | ||||||||
Changed: | ||||||||
< < |
||||||||
> > |
||||||||
Logica di funzionamento di ISI-LogonLe componenti di ISI-Logon sono le seguenti: | ||||||||
Line: 97 to 98 | ||||||||
ExcludeProfileDirs = Impostazioni locali;Temporary Internet Files;Cronologia;Temp;Documenti;Cookies;SendTo
### WinSet sezione 'sync' (solo XP) | ||||||||
Changed: | ||||||||
< < |
### per disabilitare la sincronizzazione delle cartelle non in linea ### è necessario porre a 1 la seguente variabile | |||||||
> > |
###per disabilitare la sincronizzazione delle cartelle non in linea ###è necessario porre a 1 la seguente variabile | |||||||
_NoSync = 1
### WinSet sezione 'document_folder' | ||||||||
Line: 109 to 110 | ||||||||
### WinSet sezione 'last-user' (solo per XP, non personalizzare per gruppo) _NoDispLastUser = 1 | ||||||||
Changed: | ||||||||
< < |
### WinPol9x sezione 'last-user' (solo per Win9X e solo se è installata l'utility TweakUI?) | |||||||
> > |
### WinPol9x sezione 'last-user' (solo per Win9X e solo se è installata l'utility TweakUI?) | |||||||
_NoDispLastUser9X = 1 | ||||||||
Changed: | ||||||||
< < |
### parametri validi per Win9x - default molto restrittivo | |||||||
> > |
### parametri validi per Win9x - default molto restrittivo | |||||||
### con la seguente variabile si impostano le cartelle che vengono messe in nei roaming profiles degli utenti ### se una cartella è inserita nella lista, è possibile assegnarle un percorso diverso da quello standard ### e se la destinazione è il server allora l'aggiornamento dei contenuti avviene in tempo reale e non alla disconnessione ###Per default tutte le cartelle sono inserite nel roaming profile con il percorsto standard | ||||||||
Changed: | ||||||||
< < |
_ProfileDirs = AppData;Cache;Cookies;Desktop;Favorites;History;NetHood;Programs;Recent;Start Menu;Startup | |||||||
> > |
_ProfileDirs = AppData;Cache;Cookies;Desktop;Favorites;History;NetHood;Programs;Recent;Start Menu;Startup | |||||||
###Cache = H:\.profili\Win95\Internet Temporary Files ###Cookies=H:\.profili\Win95\Cookies | ||||||||
Line: 178 to 179 | ||||||||
_RestrictOldApp = 0 _RestrictOldApp[admins] = 0 | ||||||||
Changed: | ||||||||
< < |
### WinPol9x sezione 'nodrive' - fa sparire le periferiche dalle risorse del computer | |||||||
> > |
### WinPol9x sezione 'nodrive' - fa sparire le periferiche dalle risorse del computer | |||||||
_RestrictDrive = 0 _RestrictDrive[admins] = 0 | ||||||||
Changed: | ||||||||
< < |
### WinPol9x sezione 'nodrivec' - fa sparire il disco C dalle risorse del computer | |||||||
> > |
### WinPol9x sezione 'nodrivec' - fa sparire il disco C dalle risorse del computer | |||||||
_RestrictDriveC = 0 _RestrictDriveC[admins] = 0 | ||||||||
Changed: | ||||||||
< < |
### WinPol9x sezione 'nofind' - fa sparire la voce trova dal menu avvio | |||||||
> > |
### WinPol9x sezione 'nofind' - fa sparire la voce trova dal menu avvio | |||||||
_RestrictFind = 0 _RestrictFind[admins] = 0 | ||||||||
Changed: | ||||||||
< < |
### WinPol9x sezione 'noactivedesktop' - disattiva l'Active Desktop | |||||||
> > |
### WinPol9x sezione 'noactivedesktop' - disattiva l'Active Desktop | |||||||
_RestrictActiveDesktop =1
### (solo Win9X) | ||||||||
Changed: | ||||||||
< < |
### se OkParanoia? = 1 vengono ripuliti ad ogni logon il Desktop e il cestino di default _OkParanoia = 0 | |||||||
> > |
### se _OkParanoia = 1 vengono ripuliti ad ogni logon il Desktop e il cestino di default _OkParanoia = 0 | |||||||
Changed: | ||||||||
< < |
### WinPol9x Disabilita salvataggio delle impostazioni all'uscita | |||||||
> > |
### WinPol9x Disabilita salvataggio delle impostazioni all'uscita | |||||||
Changed: | ||||||||
< < |
_RestrictSaveSettings = 0 | |||||||
> > |
_RestrictSaveSettings = 0 | |||||||
### WinPol9x sezione 'nohistory' - cancella e/o non attiva le cronologie dei documenti aperti | ||||||||
Changed: | ||||||||
< < |
_RestrictHistory = 0 | |||||||
> > |
_RestrictHistory = 0 | |||||||
Changed: | ||||||||
< < |
### se _SetIECache è impostato a 1 è possibile modificare i giorni della permanenza nella cache delle pagine visitate ### ad esempio se _SetIECache è impostato a 1 e DaysToKeep? = 0x00000000 le pagine non vengono mai salvate (solo per Win9x) | |||||||
> > |
### se _SetIECache è impostato a 1 è possibile modificare i giorni della permanenza nella cache delle pagine visitate ### ad esempio se _SetIECache è impostato a 1 e DaysToKeep? = 0x00000000 le pagine non vengono mai salvate (solo per Win9x) | |||||||
Changed: | ||||||||
< < |
_SetIECache = 0 | |||||||
> > |
_SetIECache = 0 | |||||||
Changed: | ||||||||
< < |
DaysToKeep? = 0x00000000 | |||||||
> > |
DaysToKeep = 0x00000000 | |||||||
### Disabilita il salvataggio delle password digitate per accedere a siti web | ||||||||
Changed: | ||||||||
< < |
_RestrictIEPasswordCaching = 0 | |||||||
> > |
_RestrictIEPasswordCaching = 0 | |||||||
### connessioni di rete oltre a quelle attivate ### automaticamente, che sono: | ||||||||
Line: 253 to 254 | ||||||||
Quello che si vuole fare è garantire che l'utente abbia sempre disponibili sul desktop (o nel Menu Avvio) le icone relative ai programmi che l´amministratore ha installato sui client, anche qualora l´utente si sia divertito ad eliminarle. Ci sono sostanzialmente due modi per arrivare a questo risultato, dipendentemente fra l´altro dalla versione di Windows in funzione sul client: usare le policies di CONFIG.POL (solo Win9x) oppure usare la cartella di sistema All Users. Si è adottata la seconda strategia. | ||||||||
Changed: | ||||||||
< < |
Le operazioni da fare sono le seguenti (simili per tutte le versioni di Windows, con la differenza che per Win2K e WinXP gli utenti di dominio - authenticated users - non hanno, per questa cartella, i privilegi di scrittura, per cui l'amministratore dovrà provvedere a darglieli): | |||||||
> > |
Le operazioni da fare sono le seguenti (simili per tutte le versioni di Windows, con la differenza che per Win2K e WinXP gli utenti di dominio - authenticated users - non hanno, per questa cartella, i privilegi di scrittura, per cui l'amministratore dovrà provvedere a darglieli): | |||||||
1. installa le applicazioni desiderate su un client 2. trasferire le icone corrispondenti sul server all´interno di cartelle appositamente predisposte nella share netlogon. In pratica basta trasferire le cartelle di sistema Desktop e Menu Avvio ripulendo poi la copia da tutto quello che non riguarda le applicazioni installate. |
ISI-LOGON | ||||||||
Line: 296 to 296 | ||||||||
---|---|---|---|---|---|---|---|---|
Gli utenti di Win9x sono obbligati ad autenticarsi sul server, in questo modo non è possibile accedere a Win9x semplicemente con ESC:
_RestrictLogon = 1 | ||||||||
Deleted: | ||||||||
< < |
_RestrictLogon[admins] = 0 | |||||||
Gli utenti di Win9x potrebbero controllare le cronologie dei file aperti e dei siti web visitati dagli altri utenti. Questo si evita cancellandole ad ogni logout: | ||||||||
Line: 312 to 311 | ||||||||
La seguente impostazione interviene su vari punti (sempre riguardo a Win9x): ripulire il cestino (dove gli utenti potrebbero andare a rovistare, trovando anche i files eliminati dagli altri utenti) | ||||||||
Changed: | ||||||||
< < |
ripulire il desktop, che in questo esempio è comune a tutti gli utenti e dove l'utente potrebbe aver salvato dei dati personali. Attenzione: ripulendo il desktop si eliminano anche le icone aggiunte dall'utente e restano solo quelle presenti nella cartella c:\windows\All users\Desktop (che potrebbero essere quelle “importate” con la procedura presentata nel precedente paragrafo) Come abbiamo visto le uniche cartelle che vengono salvate obbligatoriamente nella cartella c:\windows\profiles\nomeutente sono le cartelle Favorites e Cookies, queste due cartelle però possono essere rimappate sul server in modo che localmente non venga salvato niente (i cookies contengono parecchie informazioni personali) e gli utenti mantengano comunque la possibilità di aggiungere ai segnalibri di Internet Explorer i loro siti favoriti: | |||||||
> > |
ripulire il desktop, che in questo esempio è comune a tutti gli utenti e dove l'utente potrebbe aver salvato dei dati personali. Attenzione: ripulendo il desktop si eliminano anche le icone aggiunte dall'utente e restano solo quelle presenti nella cartella c:\windows\All users\Desktop (che potrebbero essere quelle “importate” con la procedura presentata nel precedente paragrafo in modo che ad ogni accesso il Desktop sia sempre ben configurato) Facciamo ora in modo che le uniche cartelle che vengono messe nel roaming profile siano:AppData,Preferiti e Cookies, inoltre le ultime due cartelle vengono rimappate sul server in modo che localmente non venga salvato niente di personale (i cookies contengono parecchie informazioni personali) e gli utenti mantengano comunque la possibilità di aggiungere ai segnalibri di Internet Explorer i loro siti favoriti: | |||||||
_OkParanoia = 1 | ||||||||
Added: | ||||||||
> > |
_ProfileDirs = AppData;Cookies;Favorites;
Cookies = H:\.profili\Win95\Cookie | |||||||
Favorites =H:\.profili\Win95\Favorites | ||||||||
Changed: | ||||||||
< < |
Cookies =H:\.profili\Win95\Cookies | |||||||
> > |
||||||||
Le prossime impostazioni non intervengono sulla privacy, infatti con le politiche descritte sopra, sul client non ci dovrebbero più essere dati dell'utente presenti (caso win9x) o facilmente accessibili (caso WinXP?). Restano però delle impostazioni che possono rendere più difficile (impossibile non lo sarà mai) manomettere il sistema e obbligare l'amministratore ad intervenire per ripristinare il client. Ribadisco che le seguenti impostazioni servono più a proteggere il sistema da un utente inesperto che può compromettere la stabilità del sistema stesso, che a fermare un utente esperto che voglia divertirsi a causare danni, infatti per far questo è sufficiente usare uno dei mille programmi a disposizione, tra i quali poledit. | ||||||||
Line: 370 to 375 | ||||||||
_RestrictActiveDesktop =1 | ||||||||
Added: | ||||||||
> > |
Disabilitiamo il salvataggio delle impostazioni all'uscita _RestrictSaveSettings = 0 | |||||||
Gli utenti non possono accedere al disco fisso dalle risorse del computer, in modo da non poter raggiungere e magari cancellare importanti file del sistema:
_RestrictDriveC = 1 | ||||||||
Line: 382 to 390 | ||||||||
Alcune osservazioni finali:
Le opzioni presentate riguardano solo l'aspetto sicurezza/privacy. A queste impostazioni se ne possono aggiungere anche altre, come la scelta del messaggio di benvenuto, la sincronizzazione dell'orologio, l'uso di un proxy e l'uso delle cartelle Env e l'aggiunta di altre connessioni di rete oltre al percorso personale H:\ | ||||||||
Changed: | ||||||||
< < |
Infine è da ricordare che agli utenti va assolutament segnalato che ogni file salvato sul Desktop andrà perso e che la cartella dove devono salvare i loro dati è la cartella Documenti. Si sarebbe potuto benissimo personalizzare anche la cartella Desktop per poi rimapparla sul server, in questo modo ognuno avrebbe avuto la sua cartella Desktop personalizzata e messa al sicuro sul server, ma possibili malfunzionamenti della rete potrebbero rendere instabile il funzionamento dei clients. | |||||||
> > |
Infine è da ricordare che agli utenti va assolutamente segnalato che ogni file salvato sul Desktop andrà perso e che la cartella dove devono salvare i loro dati è la cartella Documenti. Si sarebbe potuto benissimo personalizzare anche la cartella Desktop per poi rimapparla sul server, in questo modo ognuno avrebbe avuto la sua cartella Desktop personalizzata e messa al sicuro sul server, ma possibili malfunzionamenti della rete potrebbero rendere instabile il funzionamento dei clients. Infine si è scelto di avere un solo menu avvio per tutti gli utenti per semplificare la sua gestione, ma anche in questo caso si sarebbe potuto benissimo mettere in roaming anche Menu Avvio e Programmi. | |||||||
ISI-LOGON | ||||||||
Line: 75 to 75 | ||||||||
---|---|---|---|---|---|---|---|---|
### NOTA: Le variabili sono *case sensitive* | ||||||||
Added: | ||||||||
> > |
### Numero di versione (va aggiornato ogni volta che si modifica questo file) ### Serve per attivare lo script logonupd.pl che aggiorna i files User.dat degli utenti _Versione =0 | |||||||
### DEBUG (1,2,4,8) _DebugLevel = 1 _DebugFile = C:\isidbg.txt | ||||||||
Line: 105 to 109 | ||||||||
### WinSet sezione 'last-user' (solo per XP, non personalizzare per gruppo) _NoDispLastUser = 1 | ||||||||
Changed: | ||||||||
< < |
### WinPol9x sezione 'last-user' (solo per Win9X) | |||||||
> > |
### WinPol9x sezione 'last-user' (solo per Win9X e solo se è installata l'utility TweakUI?) | |||||||
_NoDispLastUser9X = 1
### parametri validi per Win9x - default molto restrittivo | ||||||||
Added: | ||||||||
> > |
### con la seguente variabile si impostano le cartelle che vengono messe in nei roaming profiles degli utenti ### se una cartella è inserita nella lista, è possibile assegnarle un percorso diverso da quello standard ### e se la destinazione è il server allora l'aggiornamento dei contenuti avviene in tempo reale e non alla disconnessione ###Per default tutte le cartelle sono inserite nel roaming profile con il percorsto standard _ProfileDirs = AppData;Cache;Cookies;Desktop;Favorites;History;NetHood;Programs;Recent;Start Menu;Startup ###Cache = H:\.profili\Win95\Internet Temporary Files ###Cookies=H:\.profili\Win95\Cookies ###Favorites=H:\.profili\Win95\Favorites | |||||||
### WinPol9x sezione 'nocpan' - fa sparire il pannello di controllo da *Start,Impostazioni* _RestrictCpan = 0 | ||||||||
Line: 177 to 193 | ||||||||
### WinPol9x sezione 'noactivedesktop' - disattiva l'Active Desktop _RestrictActiveDesktop =1 | ||||||||
Added: | ||||||||
> > |
### (solo Win9X) ### se OkParanoia? = 1 vengono ripuliti ad ogni logon il Desktop e il cestino di default _OkParanoia = 0 ### WinPol9x Disabilita salvataggio delle impostazioni all'uscita _RestrictSaveSettings = 0 ### WinPol9x sezione 'nohistory' - cancella e/o non attiva le cronologie dei documenti aperti _RestrictHistory = 0 ### se _SetIECache è impostato a 1 è possibile modificare i giorni della permanenza nella cache delle pagine visitate ### ad esempio se _SetIECache è impostato a 1 e DaysToKeep? = 0x00000000 le pagine non vengono mai salvate (solo per Win9x) _SetIECache = 0 DaysToKeep? = 0x00000000 ### Disabilita il salvataggio delle password digitate per accedere a siti web _RestrictIEPasswordCaching = 0 | |||||||
### connessioni di rete oltre a quelle attivate ### automaticamente, che sono: ### H: -> homedir | ||||||||
Line: 248 to 288 | ||||||||
_NoSync = 1 | ||||||||
Changed: | ||||||||
< < |
Gli utenti non devono poter vedere chi ha utilizzato precedentemente sul sistema, sia in WindowsXP? che in Windows9x: | |||||||
> > |
Gli utenti non devono poter vedere chi ha utilizzato precedentemente sul sistema, sia in WindowsXP? che in Windows9x (con TweakUI? installato): | |||||||
_NoDispLastUser[admins] = 1 _NoDispLastUser9X = 1 | ||||||||
Line: 262 to 302 | ||||||||
_RestrictHystory = 1 | ||||||||
Added: | ||||||||
> > |
_SetIECache = 1 DaysToKeep? = 0x00000000 Evitiamo che gli utenti possano salvare delle password (attenzione la richiesta, a questo punto inutile, "Vuoi salvare la password...." viene fatta comunque , per evitare questa domanda bisogna intervenire sulle impostazione del browser) _RestrictIEPasswordCaching = 1 | |||||||
La seguente impostazione interviene su vari punti (sempre riguardo a Win9x): ripulire il cestino (dove gli utenti potrebbero andare a rovistare, trovando anche i files eliminati dagli altri utenti) ripulire il desktop, che in questo esempio è comune a tutti gli utenti e dove l'utente potrebbe aver salvato dei dati personali. Attenzione: ripulendo il desktop si eliminano anche le icone aggiunte dall'utente e restano solo quelle presenti nella cartella c:\windows\All users\Desktop (che potrebbero essere quelle “importate” con la procedura presentata nel precedente paragrafo) |
Line: 1 to 1 | ||||||||
---|---|---|---|---|---|---|---|---|
Added: | ||||||||
> > |
ISI-LOGONIl pacchetto ISI-LOGON rivoluziona completamente il modo di gestire il logon di un client windows qualsiasi su un server samba che svolga funzioni di PDC con autenticazione LDAP. Attualmente esso permette, in modo assolutamente semplice di
Installazione del pacchettoCome al solito, l'installazione si esegue con i seguenti comandi # apt-get update # apt-get install isi-logonLogica di funzionamento di ISI-LogonLe componenti di ISI-Logon sono le seguenti:
:: LOGON.BAT----------------------------------------------- :: attenzione WIN98 non consente un logon.bat con parametri :: e non fornisce la variabile d'ambiente %LOGONSERVER% :: per cui e' necessario arrangiarsi.... :: -------------------------------------------------------- @echo off set SRV=****nome samba del server***** \\%SRV%\perl\bin\perl \\%SRV%\perl\logon.pl %SRV% :: se non si hanno client Win9x le due istruzioni precedenti :: possono essere sostituite da quella qui sotto :: %LOGONSERVER%\perl\bin\perl %LOGONSERVER%\perl\logon.pl %1Come si vede logon.bat sfolge l´unica funzione di lanciare l´esecuzione dello script perl logon.pl. logon.pl leggerà il file di configurazione /etc/isi/logon.bat e userà quanto messo a disposizione dal package perl ISI::Logon per ottenere dalle direttive di configurazione le funzionalità desiderate. Tutto quello che l'amministratore dovrà fare è personalizzare /etc/isi/logon.conf Il file di configurazione### quelle che iniziano con un _ sono variabili interne e servono### ad abilitare (1) o disabilitare (0) la funzionalita`corrispondente ### oppure a passare variabili di configurazione specifiche di ### ISI-logon; le altre DEVONO corrispondere a voci di registro a cui ### si vuole assegnare il valore scritto di seguito (es. 0x00000001). ### Per ottenere una differente impostazione per uno specifico gruppo ### basta specificare il gruppo come nell'esempio: ### Start__Page[alunni] = www.google.com ### Quando i nomi usati per le variabili sono quelli del registro di ### windows, se il nome della variabile di registro contiene uno ### spazio, sostituirlo con due _ (.Es "Start Page" = Start__Page) ### sulle variabili prefissate con underscore in generale ### 1 applica la restrizione ### 0 rimuove la restrizione ### il valore delle variabili di registro va espresso ### coerentemente con il TIPO (se REG_DWORD, 0x......) ### NOTA: Le variabili sono *case sensitive* ### DEBUG (1,2,4,8) _DebugLevel = 1 _DebugFile = C:\isidbg.txt ### WinSet sezione 'start_page' Start__Page = *home page di default* Start__Page[admins] = www.google.it Start__Page[alunni] = *home page alunni* ### WinSet sezione 'proxy' (le porte indicate sono quelle di default, controllare la propria configurazione) ProxyServer = ip_del_server_DG_Squid:8080 # DansGuardian ProxyServer[admins] = ip_del_server_DG_Squid:3128 # Squid (FW permettendo) ProxyOverride = lista url fuori proxy ### WinSet sezione 'no_profile' (solo XP) ExcludeProfileDirs = Impostazioni locali;Temporary Internet Files;Cronologia;Temp;Documenti;Cookies;SendTo ### WinSet sezione 'sync' (solo XP) ### per disabilitare la sincronizzazione delle cartelle non in linea ### è necessario porre a 1 la seguente variabile _NoSync = 1 ### WinSet sezione 'document_folder' Personal = H:\Documenti My__Picture = My__Music = My__Video = ### WinSet sezione 'last-user' (solo per XP, non personalizzare per gruppo) _NoDispLastUser = 1 ### WinPol9x sezione 'last-user' (solo per Win9X) _NoDispLastUser9X = 1 ### parametri validi per Win9x - default molto restrittivo ### WinPol9x sezione 'nocpan' - fa sparire il pannello di controllo da *Start,Impostazioni* _RestrictCpan = 0 ### sezione 'access' _RestrictLogon = 1 _RestrictLogon[admins] = 0 # valori di registro UserProfiles = 0x00000001 # si vogliono i roaming profiles UseHomeDirectory = 0x00000001 MustBeValidated = 0x00000001 # si vuole l'autenticazione ldap MustBeValidated[admins] = 0x00000000 LegalNoticeCaption = Avvertenza LegalNoticeText = accesso riservato agli utenti autorizzati. ### sezione 'screen' - abilita le restrizioni dello schermo _RestrictScreen = 1 _RestrictScreen[admins] = 0 # opzioni restrizioni screen NoDispAppearancePage = 0x00000000 NoDispBackgroundPage = 0x00000000 NoDispCPL = 0x00000000 NoDispScrSavPage = 0x00000000 NoDispSettingsPage = 0x00000001 ### sezione 'net' - Risorse di rete Proprietá _RestrictNet[alunni] = 1 _RestrictNet[admins] = 0 ### sezione 'passwd' = Pannello di controllo Password _RestrictPasswd = 1 _RestrictPasswd[admins] = 0 ### sezione 'printer' - Impostazioni stampanti _RestrictPrinter = 1 _RestrictPrinter[admins] = 0 ### sezione 'system' - Restrizioni varie sul sistema _RestrictSystem = 1 _RestrictSystem[admins] = 0 ### sezione 'shell-run' - Start Esegui _RestrictRun = 1 _RestrictRun[admins] = 0 ### sezione 'shell-noregtools' - tools per la modifica del registro _RestrictRegTools = 1 _RestrictRegTools[admins] = 0 ### sezione 'shell-winoldapp' - vecchie applicazioni _RestrictOldApp = 0 _RestrictOldApp[admins] = 0 ### WinPol9x sezione 'nodrive' - fa sparire le periferiche dalle risorse del computer _RestrictDrive = 0 _RestrictDrive[admins] = 0 ### WinPol9x sezione 'nodrivec' - fa sparire il disco C dalle risorse del computer _RestrictDriveC = 0 _RestrictDriveC[admins] = 0 ### WinPol9x sezione 'nofind' - fa sparire la voce trova dal menu avvio _RestrictFind = 0 _RestrictFind[admins] = 0 ### WinPol9x sezione 'noactivedesktop' - disattiva l'Active Desktop _RestrictActiveDesktop =1 ### connessioni di rete oltre a quelle attivate ### automaticamente, che sono: ### H: -> homedir ### L: -> classe (solo per gli alunni) ### la sintassi e'la seguente: ### NetFolder[unita'] = nome della condivisione [ , gruppo] _NetFolder[W] = mioweb _NetFolder[S] = scambio ### sincronizzazione orologio _NetTime = 1 ### forzatura ambiente di default (desktop, menu avvio ecc.ecc.) ### la si ottiene copiando la seguente cartella ### [netlogon]\env_$os_$gruppo\* -> C:\Windows\All Users (Win9x) ### [netlogon]\env_$os_gruppo\* -> C:\Documents and Settings\All Users (WinXP) ### dove os = $ENV{OSCLIENT} e'la versione di windows che gira sul client ### cioe'una delle seguenti: Win95,Win98,WinME,WinNT,Win2K,WinXP _EnvWin98 = 1 _EnvWin98[admins] = 0 ### ATTENZIONE: per WinXP,Win2K occorre che la cartella di destinazione sia ### scrivibile dagli utenti di dominio il che normalmente non e' _EnvWinXP = 0 La preparazione degli ambienti di default (cartelle ENV)Quello che si vuole fare è garantire che l'utente abbia sempre disponibili sul desktop (o nel Menu Avvio) le icone relative ai programmi che l´amministratore ha installato sui client, anche qualora l´utente si sia divertito ad eliminarle. Ci sono sostanzialmente due modi per arrivare a questo risultato, dipendentemente fra l´altro dalla versione di Windows in funzione sul client: usare le policies di CONFIG.POL (solo Win9x) oppure usare la cartella di sistema All Users. Si è adottata la seconda strategia. Le operazioni da fare sono le seguenti (simili per tutte le versioni di Windows, con la differenza che per Win2K e WinXP gli utenti di dominio - authenticated users - non hanno, per questa cartella, i privilegi di scrittura, per cui l'amministratore dovrà provvedere a darglieli): 1. installa le applicazioni desiderate su un client 2. trasferire le icone corrispondenti sul server all´interno di cartelle appositamente predisposte nella share netlogon. In pratica basta trasferire le cartelle di sistema Desktop e Menu Avvio ripulendo poi la copia da tutto quello che non riguarda le applicazioni installate. Le cartelle sul server predisposte a ricevere la configurazione dei client si trovano all´interno della share netlogon e hanno obbligatoriamente un nome fatto così:
Esempio di configurazione N° 1In questo esempio si vuole che gli utenti windows abbiano a disposizione un ambiente personalizzato, ma che i dati siano il più possibile protetti in ottemperanza alla legge sulla privacy. Mentre questo è garantito (almeno in parte) da WindowsXP? che impedisce l'accesso alle cartelle personalizzate degli utenti, la stessa cosa non avviene per Windows9X, infatti in questo sistema operativo le cartelle sono salvate generalmente in c:\windows\profiles\nomeutente e sono accessibili a chiunque. Il risultato è che se un utente decide di salvare il proprio profilo sul client (e questo avviene quasi sempre) i suoi dati sono accessibili a chiunque abbia accesso al client stesso. In questo esempio si cercherà di risolvere questo problema. La premessa è che su ogni client, ad esempio mediante poledit, si sia scelto di non personalizzare nessuna cartella (tutti gli utenti usano le stesse cartelle). In realtà, mediante la rimappatura di alcune di queste si otterrà comunque la personalizzazione, limitandoci però a cose veramente essenziali: Documenti, Preferiti, Cookies. La cartella documenti, sia per WinXP? che per Win9x viene rimappata sul server, in modo che i dati che l'utente salva in questa cartella, non siano mai salvati sul client, ma solo sul server. E' da notare che questa impostazione ha anche un altro vantaggio: al momento del logout non si ha il caso di 25 client (ad esempio in una classe alla fine della lezione) che tentano di salvare i dati sul server, essendo questi già salvati sul server durante la lezione stessa, se poi i client tentano di salvare anche altre cartelle e se i laboratori collegati al server sono più di uno si potrebbero osservare dei notevoli rallentamenti. Dunque: Personal = H:\DocumentiMy__Picture = My__Music = My__Video = A questo punto, essendo rimappata la cartella Documenti, siccome WindowsXP? cerca di sincronizzare anche le cartelle rimappate (cosa quasi inutile perchè le cartelle sono scritte e salvate direttamente sul server), per evitare una serie di errori, è necessario: _NoSync = 1 Gli utenti non devono poter vedere chi ha utilizzato precedentemente sul sistema, sia in WindowsXP? che in Windows9x: _NoDispLastUser[admins] = 1 _NoDispLastUser9X = 1 Gli utenti di Win9x sono obbligati ad autenticarsi sul server, in questo modo non è possibile accedere a Win9x semplicemente con ESC: _RestrictLogon = 1 _RestrictLogon[admins] = 0 Gli utenti di Win9x potrebbero controllare le cronologie dei file aperti e dei siti web visitati dagli altri utenti. Questo si evita cancellandole ad ogni logout: _RestrictHystory = 1 La seguente impostazione interviene su vari punti (sempre riguardo a Win9x): ripulire il cestino (dove gli utenti potrebbero andare a rovistare, trovando anche i files eliminati dagli altri utenti) ripulire il desktop, che in questo esempio è comune a tutti gli utenti e dove l'utente potrebbe aver salvato dei dati personali. Attenzione: ripulendo il desktop si eliminano anche le icone aggiunte dall'utente e restano solo quelle presenti nella cartella c:\windows\All users\Desktop (che potrebbero essere quelle “importate” con la procedura presentata nel precedente paragrafo) Come abbiamo visto le uniche cartelle che vengono salvate obbligatoriamente nella cartella c:\windows\profiles\nomeutente sono le cartelle Favorites e Cookies, queste due cartelle però possono essere rimappate sul server in modo che localmente non venga salvato niente (i cookies contengono parecchie informazioni personali) e gli utenti mantengano comunque la possibilità di aggiungere ai segnalibri di Internet Explorer i loro siti favoriti: _OkParanoia = 1 Favorites =H:\.profili\Win95\Favorites Cookies =H:\.profili\Win95\Cookies Le prossime impostazioni non intervengono sulla privacy, infatti con le politiche descritte sopra, sul client non ci dovrebbero più essere dati dell'utente presenti (caso win9x) o facilmente accessibili (caso WinXP?). Restano però delle impostazioni che possono rendere più difficile (impossibile non lo sarà mai) manomettere il sistema e obbligare l'amministratore ad intervenire per ripristinare il client. Ribadisco che le seguenti impostazioni servono più a proteggere il sistema da un utente inesperto che può compromettere la stabilità del sistema stesso, che a fermare un utente esperto che voglia divertirsi a causare danni, infatti per far questo è sufficiente usare uno dei mille programmi a disposizione, tra i quali poledit. Niente pannello di controllo per gli utenti comuni _RestrictCpan = 1 _RestrictCpan[admins] = 0 Niente proprietà delle risorse di rete per gli utenti comuni _RestrictNet[alunni] = 1 _RestrictNet[admins] = 0 Gli utenti non possono “giocare” con le impostazioni dello schermo: _RestrictScreen = 1 _RestrictScreen[admins] = 0 NoDispAppearancePage? = 0x00000001 NoDispBackgroundPage? = 0x00000001 NoDispCPL? = 0x00000001 NoDispScrSavPage? = 0x00000001 NoDispSettingsPage? = 0x00000001 Niente impostazioni delle stampanti (la limitazione non impedisce all'utente di scegliere e/o impostare la stampante che vuole usare, semplicemente non le può installare/cancellare/modificare i drivers): _RestrictPrinter = 1 _RestrictPrinter[admins] = 0 Restrizioni varie sul sistema: _RestrictSystem = 1 _RestrictSystem[admins] = 0 L'utente comune non può lanciare un comando con il comando esegui: _RestrictRun = 1 _RestrictRun[admins] = 0 L'utente comune non può modificare il registro di configurazione _RestrictRegTools = 1 _RestrictRegTools[admins] = 0 Attenzione a non impedire l'esecuzione di programmi dos, altrimenti non funzionano alcune delle politiche descritte sopra: _RestrictOldApp = 0 Disattiviamo l'active desktop, un'inutile orpello, che può esser fonte di instabilità: _RestrictActiveDesktop =1 Gli utenti non possono accedere al disco fisso dalle risorse del computer, in modo da non poter raggiungere e magari cancellare importanti file del sistema: _RestrictDriveC = 1 _RestrictDriveC[admins] = 0 Allo stesso modo disabilitiamo la possibilità di ricercare i files sul computer con il menu trova: _RestrictFind = 1 _RestrictFind[admins] = 0 Alcune osservazioni finali: Le opzioni presentate riguardano solo l'aspetto sicurezza/privacy. A queste impostazioni se ne possono aggiungere anche altre, come la scelta del messaggio di benvenuto, la sincronizzazione dell'orologio, l'uso di un proxy e l'uso delle cartelle Env e l'aggiunta di altre connessioni di rete oltre al percorso personale H:\ Infine è da ricordare che agli utenti va assolutament segnalato che ogni file salvato sul Desktop andrà perso e che la cartella dove devono salvare i loro dati è la cartella Documenti. Si sarebbe potuto benissimo personalizzare anche la cartella Desktop per poi rimapparla sul server, in questo modo ognuno avrebbe avuto la sua cartella Desktop personalizzata e messa al sicuro sul server, ma possibili malfunzionamenti della rete potrebbero rendere instabile il funzionamento dei clients. |