<<O>>  Difference Topic IsiLogon (r1.6 - 11 Jun 2005 - MarcoVaninetti)
META TOPICPARENT IsiClient

ISI-LOGON

Line: 7 to 7

 Attualmente esso permette, in modo assolutamente semplice di

  • eseguire le personalizzazioni del browser (start page e configurazione proxy)
Changed:
<
<
  • imporre ai client win9x le politiche di sicurezza tradizionalmente gestite via poledit e config.pol.
>
>
  • imporre ai client win9x le politiche di sicurezza tradizionalmente gestite via poledit e config.pol aggiungendone delle altre

  • provvedere alla sincronizzazione dell'orologio del client su quello del server
  • creare connessioni con cartelle condivise in modo da renderle immediatamente disponibili all'utente ([er i client Win9x viene connessa naturalmente la home sul server)
  • garantire che il client connesso abbia sempre disponibile l'ambiente di default (Desktop e Menu' avvio) deciso dall'amministratore,
Line: 75 to 75

### NOTA: Le variabili sono *case sensitive*

Added:
>
>		 ### DEBUG (1,2,4,8)
_DebugLevel = 1
_DebugFile = C:\isidbg.txt

 ### WinSet sezione 'start_page'
Start__Page = *home page di default*
Start__Page[admins] = www.google.it
Line: 88 to 92

 ### WinSet sezione 'no_profile' (solo XP)
ExcludeProfileDirs = Impostazioni locali;Temporary Internet Files;Cronologia;Temp;Documenti;Cookies;SendTo
Added:
>
>		 ### WinSet sezione 'sync' (solo XP)
### per disabilitare la sincronizzazione delle cartelle non in linea
### è necessario porre a 1 la seguente variabile
_NoSync = 1

### WinSet sezione 'document_folder'
Personal = H:\Documenti
My__Picture =
My__Music =
My__Video =
Changed:
<
<		 ### WinSet sezione 'last-user' (non personalizzare per gruppo)
_NoDispLastUser = 1
>
>		 ### WinSet sezione 'last-user' (solo per XP, non personalizzare per gruppo)
_NoDispLastUser = 1
### WinPol9x sezione 'last-user' (solo per Win9X)
_NoDispLastUser9X = 1

### parametri validi per Win9x - default molto restrittivo

Line: 151 to 162

 _RestrictOldApp = 0
_RestrictOldApp[admins] = 0
Added:
>
>		 ### WinPol9x sezione 'nodrive' - fa sparire le periferiche dalle risorse del computer
_RestrictDrive = 0
_RestrictDrive[admins] = 0

### WinPol9x sezione 'nodrivec' - fa sparire il disco C dalle risorse del computer
_RestrictDriveC = 0
_RestrictDriveC[admins] = 0

### WinPol9x sezione 'nofind' - fa sparire la voce trova dal menu avvio
_RestrictFind = 0
_RestrictFind[admins] = 0

### WinPol9x sezione 'noactivedesktop' - disattiva l'Active Desktop
_RestrictActiveDesktop =1


### connessioni di rete oltre a quelle attivate
### automaticamente, che sono:

Line: 204 to 229

  1. preparare sul server la cartella env_Win98_test
  2. aggiungere nel file /etc/isi/logon.conf una riga con la direttiva _EnvWin98test = 1
Added:
>
>

Esempio di configurazione N° 1

In questo esempio si vuole che gli utenti windows abbiano a disposizione un ambiente personalizzato, ma che i dati siano il più possibile protetti in ottemperanza alla legge sulla privacy. Mentre questo è garantito (almeno in parte) da WindowsXP? che impedisce l'accesso alle cartelle personalizzate degli utenti, la stessa cosa non avviene per Windows9X, infatti in questo sistema operativo le cartelle sono salvate generalmente in c:\windows\profiles\nomeutente e sono accessibili a chiunque. Il risultato è che se un utente decide di salvare il proprio profilo sul client (e questo avviene quasi sempre) i suoi dati sono accessibili a chiunque abbia accesso al client stesso. In questo esempio si cercherà di risolvere questo problema. La premessa è che su ogni client, ad esempio mediante poledit, si sia scelto di non personalizzare nessuna cartella (tutti gli utenti usano le stesse cartelle). In realtà, mediante la rimappatura di alcune di queste si otterrà comunque la personalizzazione, limitandoci però a cose veramente essenziali: Documenti, Preferiti, Cookies.

La cartella documenti, sia per WinXP? che per Win9x viene rimappata sul server, in modo che i dati che l'utente salva in questa cartella, non siano mai salvati sul client, ma solo sul server. E' da notare che questa impostazione ha anche un altro vantaggio: al momento del logout non si ha il caso di 25 client (ad esempio in una classe alla fine della lezione) che tentano di salvare i dati sul server, essendo questi già salvati sul server durante la lezione stessa, se poi i client tentano di salvare anche altre cartelle e se i laboratori collegati al server sono più di uno si potrebbero osservare dei notevoli rallentamenti. Dunque:

Personal = H:\Documenti
My__Picture =
My__Music =
My__Video =

A questo punto, essendo rimappata la cartella Documenti, siccome WindowsXP? cerca di sincronizzare anche le cartelle rimappate (cosa quasi inutile perchè le cartelle sono scritte e salvate direttamente sul server), per evitare una serie di errori, è necessario:

_NoSync = 1

Gli utenti non devono poter vedere chi ha utilizzato precedentemente sul sistema, sia in WindowsXP? che in Windows9x:

_NoDispLastUser[admins] = 1
_NoDispLastUser9X = 1

Gli utenti di Win9x sono obbligati ad autenticarsi sul server, in questo modo non è possibile accedere a Win9x semplicemente con ESC:

_RestrictLogon = 1
_RestrictLogon[admins] = 0

Gli utenti di Win9x potrebbero controllare le cronologie dei file aperti e dei siti web visitati dagli altri utenti. Questo si evita cancellandole ad ogni logout:

_RestrictHystory = 1

La seguente impostazione interviene su vari punti (sempre riguardo a Win9x): ripulire il cestino (dove gli utenti potrebbero andare a rovistare, trovando anche i files eliminati dagli altri utenti) ripulire il desktop, che in questo esempio è comune a tutti gli utenti e dove l'utente potrebbe aver salvato dei dati personali. Attenzione: ripulendo il desktop si eliminano anche le icone aggiunte dall'utente e restano solo quelle presenti nella cartella c:\windows\All users\Desktop (che potrebbero essere quelle “importate” con la procedura presentata nel precedente paragrafo) Come abbiamo visto le uniche cartelle che vengono salvate obbligatoriamente nella cartella c:\windows\profiles\nomeutente sono le cartelle Favorites e Cookies, queste due cartelle però possono essere rimappate sul server in modo che localmente non venga salvato niente (i cookies contengono parecchie informazioni personali) e gli utenti mantengano comunque la possibilità di aggiungere ai segnalibri di Internet Explorer i loro siti favoriti:

_OkParanoia = 1
Favorites =H:\.profili\Win95\Favorites
Cookies =H:\.profili\Win95\Cookies

Le prossime impostazioni non intervengono sulla privacy, infatti con le politiche descritte sopra, sul client non ci dovrebbero più essere dati dell'utente presenti (caso win9x) o facilmente accessibili (caso WinXP?). Restano però delle impostazioni che possono rendere più difficile (impossibile non lo sarà mai) manomettere il sistema e obbligare l'amministratore ad intervenire per ripristinare il client. Ribadisco che le seguenti impostazioni servono più a proteggere il sistema da un utente inesperto che può compromettere la stabilità del sistema stesso, che a fermare un utente esperto che voglia divertirsi a causare danni, infatti per far questo è sufficiente usare uno dei mille programmi a disposizione, tra i quali poledit.

Niente pannello di controllo per gli utenti comuni

_RestrictCpan = 1
_RestrictCpan[admins] = 0

Niente proprietà delle risorse di rete per gli utenti comuni

_RestrictNet[alunni] = 1
_RestrictNet[admins] = 0

Gli utenti non possono “giocare” con le impostazioni dello schermo:

_RestrictScreen = 1
_RestrictScreen[admins] = 0
NoDispAppearancePage? = 0x00000001
NoDispBackgroundPage? = 0x00000001
NoDispCPL? = 0x00000001
NoDispScrSavPage? = 0x00000001
NoDispSettingsPage? = 0x00000001

Niente impostazioni delle stampanti (la limitazione non impedisce all'utente di scegliere e/o impostare la stampante che vuole usare, semplicemente non le può installare/cancellare/modificare i drivers):

_RestrictPrinter = 1
_RestrictPrinter[admins] = 0

Restrizioni varie sul sistema:

_RestrictSystem = 1
_RestrictSystem[admins] = 0

L'utente comune non può lanciare un comando con il comando esegui:

_RestrictRun = 1
_RestrictRun[admins] = 0

L'utente comune non può modificare il registro di configurazione

_RestrictRegTools = 1
_RestrictRegTools[admins] = 0

Attenzione a non impedire l'esecuzione di programmi dos, altrimenti non funzionano alcune delle politiche descritte sopra:

_RestrictOldApp = 0

Disattiviamo l'active desktop, un'inutile orpello, che può esser fonte di instabilità:

_RestrictActiveDesktop =1

Gli utenti non possono accedere al disco fisso dalle risorse del computer, in modo da non poter raggiungere e magari cancellare importanti file del sistema:

_RestrictDriveC = 1
_RestrictDriveC[admins] = 0

Allo stesso modo disabilitiamo la possibilità di ricercare i files sul computer con il menu trova:

_RestrictFind = 1
_RestrictFind[admins] = 0

Alcune osservazioni finali: Le opzioni presentate riguardano solo l'aspetto sicurezza/privacy. A queste impostazioni se ne possono aggiungere anche altre, come la scelta del messaggio di benvenuto, la sincronizzazione dell'orologio, l'uso di un proxy e l'uso delle cartelle Env e l'aggiunta di altre connessioni di rete oltre al percorso personale H:\
Infine è da ricordare che agli utenti va assolutament segnalato che ogni file salvato sul Desktop andrà perso e che la cartella dove devono salvare i loro dati è la cartella Documenti.
Si sarebbe potuto benissimo personalizzare anche la cartella Desktop per poi rimapparla sul server, in questo modo ognuno avrebbe avuto la sua cartella Desktop personalizzata e messa al sicuro sul server, ma possibili malfunzionamenti della rete potrebbero rendere instabile il funzionamento dei clients.

View topic | Diffs | r1.7 | > | r1.6 | > | r1.5 | More
Revision r1.5 - 16 Sep 2021 - 03:46 - MassimoMancini
Revision r1.6 - 11 Jun 2021 - 14:27 - MarcoVaninetti