| ||||||||
| Added: | ||||||||
| > > |
 ATTENZIONE: ISI-LOGON è stato riscritto e potenziato in abbinamento alla uscita di Debian Sarge, la nuova versione è documentata qui
| |||||||
ISI-LOGONIl pacchetto ISI-LOGON rivoluziona completamente il modo di gestire il logon di un client windows qualsiasi su un server samba che svolga funzioni di PDC con autenticazione LDAP. | ||||||||
| Line: 7 to 9 | ||||||||
|---|---|---|---|---|---|---|---|---|
Attualmente esso permette, in modo assolutamente semplice di
| ||||||||
| Changed: | ||||||||
| < < |
| |||||||
| > > |
| |||||||
| ||||||||
| Line: 75 to 77 | ||||||||
|
### NOTA: Le variabili sono *case sensitive* | ||||||||
| Deleted: | ||||||||
| < < |
### DEBUG (1,2,4,8) _DebugLevel = 1 _DebugFile = C:\isidbg.txt | |||||||
|
### WinSet sezione 'start_page' Start__Page = *home page di default* Start__Page[admins] = www.google.it | ||||||||
| Line: 92 to 90 | ||||||||
|
### WinSet sezione 'no_profile' (solo XP) ExcludeProfileDirs = Impostazioni locali;Temporary Internet Files;Cronologia;Temp;Documenti;Cookies;SendTo | ||||||||
| Deleted: | ||||||||
| < < |
### WinSet sezione 'sync' (solo XP) ### per disabilitare la sincronizzazione delle cartelle non in linea ### è necessario porre a 1 la seguente variabile _NoSync = 1 | |||||||
|
### WinSet sezione 'document_folder' Personal = H:\Documenti My__Picture = My__Music = My__Video = | ||||||||
| Changed: | ||||||||
| < < |
### WinSet sezione 'last-user' (solo per XP, non personalizzare per gruppo) _NoDispLastUser = 1 ### WinPol9x sezione 'last-user' (solo per Win9X) _NoDispLastUser9X = 1 | |||||||
| > > |
### WinSet sezione 'last-user' (non personalizzare per gruppo) _NoDispLastUser = 1 | |||||||
|
### parametri validi per Win9x - default molto restrittivo | ||||||||
| Line: 162 to 153 | ||||||||
|
_RestrictOldApp = 0 _RestrictOldApp[admins] = 0 | ||||||||
| Deleted: | ||||||||
| < < |
### WinPol9x sezione 'nodrive' - fa sparire le periferiche dalle risorse del computer _RestrictDrive = 0 _RestrictDrive[admins] = 0 ### WinPol9x sezione 'nodrivec' - fa sparire il disco C dalle risorse del computer _RestrictDriveC = 0 _RestrictDriveC[admins] = 0 ### WinPol9x sezione 'nofind' - fa sparire la voce trova dal menu avvio _RestrictFind = 0 _RestrictFind[admins] = 0 ### WinPol9x sezione 'noactivedesktop' - disattiva l'Active Desktop _RestrictActiveDesktop =1 | |||||||
|
### connessioni di rete oltre a quelle attivate ### automaticamente, che sono: | ||||||||
| Line: 230 to 207 | ||||||||
| ||||||||
| Deleted: | ||||||||
| < < |
Esempio di configurazione N° 1In questo esempio si vuole che gli utenti windows abbiano a disposizione un ambiente personalizzato, ma che i dati siano il più possibile protetti in ottemperanza alla legge sulla privacy. Mentre questo è garantito (almeno in parte) da WindowsXP? che impedisce l'accesso alle cartelle personalizzate degli utenti, la stessa cosa non avviene per Windows9X, infatti in questo sistema operativo le cartelle sono salvate generalmente in c:\windows\profiles\nomeutente e sono accessibili a chiunque. Il risultato è che se un utente decide di salvare il proprio profilo sul client (e questo avviene quasi sempre) i suoi dati sono accessibili a chiunque abbia accesso al client stesso. In questo esempio si cercherà di risolvere questo problema. La premessa è che su ogni client, ad esempio mediante poledit, si sia scelto di non personalizzare nessuna cartella (tutti gli utenti usano le stesse cartelle). In realtà, mediante la rimappatura di alcune di queste si otterrà comunque la personalizzazione, limitandoci però a cose veramente essenziali: Documenti, Preferiti, Cookies. La cartella documenti, sia per WinXP? che per Win9x viene rimappata sul server, in modo che i dati che l'utente salva in questa cartella, non siano mai salvati sul client, ma solo sul server. E' da notare che questa impostazione ha anche un altro vantaggio: al momento del logout non si ha il caso di 25 client (ad esempio in una classe alla fine della lezione) che tentano di salvare i dati sul server, essendo questi già salvati sul server durante la lezione stessa, se poi i client tentano di salvare anche altre cartelle e se i laboratori collegati al server sono più di uno si potrebbero osservare dei notevoli rallentamenti. Dunque: Personal = H:\DocumentiMy__Picture = My__Music = My__Video = A questo punto, essendo rimappata la cartella Documenti, siccome WindowsXP? cerca di sincronizzare anche le cartelle rimappate (cosa quasi inutile perchè le cartelle sono scritte e salvate direttamente sul server), per evitare una serie di errori, è necessario: _NoSync = 1 Gli utenti non devono poter vedere chi ha utilizzato precedentemente sul sistema, sia in WindowsXP? che in Windows9x: _NoDispLastUser[admins] = 1 _NoDispLastUser9X = 1 Gli utenti di Win9x sono obbligati ad autenticarsi sul server, in questo modo non è possibile accedere a Win9x semplicemente con ESC: _RestrictLogon = 1 _RestrictLogon[admins] = 0 Gli utenti di Win9x potrebbero controllare le cronologie dei file aperti e dei siti web visitati dagli altri utenti. Questo si evita cancellandole ad ogni logout: _RestrictHystory = 1 La seguente impostazione interviene su vari punti (sempre riguardo a Win9x): ripulire il cestino (dove gli utenti potrebbero andare a rovistare, trovando anche i files eliminati dagli altri utenti) ripulire il desktop, che in questo esempio è comune a tutti gli utenti e dove l'utente potrebbe aver salvato dei dati personali. Attenzione: ripulendo il desktop si eliminano anche le icone aggiunte dall'utente e restano solo quelle presenti nella cartella c:\windows\All users\Desktop (che potrebbero essere quelle “importate” con la procedura presentata nel precedente paragrafo) Come abbiamo visto le uniche cartelle che vengono salvate obbligatoriamente nella cartella c:\windows\profiles\nomeutente sono le cartelle Favorites e Cookies, queste due cartelle però possono essere rimappate sul server in modo che localmente non venga salvato niente (i cookies contengono parecchie informazioni personali) e gli utenti mantengano comunque la possibilità di aggiungere ai segnalibri di Internet Explorer i loro siti favoriti: _OkParanoia = 1 Favorites =H:\.profili\Win95\Favorites Cookies =H:\.profili\Win95\Cookies Le prossime impostazioni non intervengono sulla privacy, infatti con le politiche descritte sopra, sul client non ci dovrebbero più essere dati dell'utente presenti (caso win9x) o facilmente accessibili (caso WinXP?). Restano però delle impostazioni che possono rendere più difficile (impossibile non lo sarà mai) manomettere il sistema e obbligare l'amministratore ad intervenire per ripristinare il client. Ribadisco che le seguenti impostazioni servono più a proteggere il sistema da un utente inesperto che può compromettere la stabilità del sistema stesso, che a fermare un utente esperto che voglia divertirsi a causare danni, infatti per far questo è sufficiente usare uno dei mille programmi a disposizione, tra i quali poledit. Niente pannello di controllo per gli utenti comuni _RestrictCpan = 1 _RestrictCpan[admins] = 0 Niente proprietà delle risorse di rete per gli utenti comuni _RestrictNet[alunni] = 1 _RestrictNet[admins] = 0 Gli utenti non possono “giocare” con le impostazioni dello schermo: _RestrictScreen = 1 _RestrictScreen[admins] = 0 NoDispAppearancePage? = 0x00000001 NoDispBackgroundPage? = 0x00000001 NoDispCPL? = 0x00000001 NoDispScrSavPage? = 0x00000001 NoDispSettingsPage? = 0x00000001 Niente impostazioni delle stampanti (la limitazione non impedisce all'utente di scegliere e/o impostare la stampante che vuole usare, semplicemente non le può installare/cancellare/modificare i drivers): _RestrictPrinter = 1 _RestrictPrinter[admins] = 0 Restrizioni varie sul sistema: _RestrictSystem = 1 _RestrictSystem[admins] = 0 L'utente comune non può lanciare un comando con il comando esegui: _RestrictRun = 1 _RestrictRun[admins] = 0 L'utente comune non può modificare il registro di configurazione _RestrictRegTools = 1 _RestrictRegTools[admins] = 0 Attenzione a non impedire l'esecuzione di programmi dos, altrimenti non funzionano alcune delle politiche descritte sopra: _RestrictOldApp = 0 Disattiviamo l'active desktop, un'inutile orpello, che può esser fonte di instabilità: _RestrictActiveDesktop =1 Gli utenti non possono accedere al disco fisso dalle risorse del computer, in modo da non poter raggiungere e magari cancellare importanti file del sistema: _RestrictDriveC = 1 _RestrictDriveC[admins] = 0 Allo stesso modo disabilitiamo la possibilità di ricercare i files sul computer con il menu trova: _RestrictFind = 1 _RestrictFind[admins] = 0 Alcune osservazioni finali: Le opzioni presentate riguardano solo l'aspetto sicurezza/privacy. A queste impostazioni se ne possono aggiungere anche altre, come la scelta del messaggio di benvenuto, la sincronizzazione dell'orologio, l'uso di un proxy e l'uso delle cartelle Env e l'aggiunta di altre connessioni di rete oltre al percorso personale H:\ Infine è da ricordare che agli utenti va assolutament segnalato che ogni file salvato sul Desktop andrà perso e che la cartella dove devono salvare i loro dati è la cartella Documenti. Si sarebbe potuto benissimo personalizzare anche la cartella Desktop per poi rimapparla sul server, in questo modo ognuno avrebbe avuto la sua cartella Desktop personalizzata e messa al sicuro sul server, ma possibili malfunzionamenti della rete potrebbero rendere instabile il funzionamento dei clients. | |||||||
Revision r1.6 - 11 Jun 2021 - 14:27 - MarcoVaninetti
Revision r1.7 - 12 Jun 2021 - 07:16 - WebMaster
Revision r1.7 - 12 Jun 2021 - 07:16 - WebMaster