Какие best practices при настройке компьютерного класса под рабочими группами?

Question

Александр Синицын @a_u_sinitsin

Системное администрирование

Какие best practices при настройке компьютерного класса под рабочими группами?

Система Win7Pro

Пока список такой:
- закрыть биос паролем
- Админ с паролем и правами админа
- Ученик без пароля с правами пользователя (грузится автоматом при старте системы)
- Предустановленный набор программ

Групповые политики:
- Запрет всех настроек рабочего стола (обои, цвета, шрифты, курсоры...)
- Запрет подключения и удаления принтера
- Закрепление и запрет всех настроек панели задач (изменение состава ярлыков, ресайз, перетаскивание)

Диски:
- диск D: только просмотр
- диск Z (30 мб) для выгрузки экзешников паскаля (надеюсь перейдут на Python)

(добавлено) Политика ограниченного использования программ (SRP):
- запрет запуска программ кроме: Windows, ProgramFiles, ProgramFiles (x86), диск Z

Папки:
- папка "Файлы учащихся" на D с правами изменения
- "Рабочий стол" со снятием прав на изменение (чтобы не превращали стол в помойку)

Не нашел как запретить перетаскивание закрепленных приложений по панели задач и ярлыков на рабочем столе.

Может ещё что подскажете?

Вопрос задан более трёх лет назад
246 просмотров

21 комментарий

Подписаться 3 Простой 21 комментарий

Akina @Akina

Ещё как-то надо побороть CS1.6 который копируется без установки
Есть в политиках такая штука, как список разрешённых к запуску программ.

Может ещё что подскажете?
Угу... прекратить маяться фигнёй с рабгруппами и организовать нормальный домен. И заблокировать любую возможность загрузки со стороннего носителя.

Написано более трёх лет назад
Александр Синицын @a_u_sinitsin Автор вопроса

Akina,
Есть в политиках такая штука, как список разрешённых к запуску программ.

А толку... через cmd запустить не проблема, переименовать не проблема...

Угу... прекратить маяться фигнёй с рабгруппами и организовать нормальный домен.

Для этого надо WinServer и выделенный сервер, а кто на них денег даст )

Написано более трёх лет назад
Александр Синицын @a_u_sinitsin Автор вопроса

Akina,
Ещё как-то надо побороть CS1.6...

Была идея с квотами на папки, но они только на диск...

Написано более трёх лет назад
Дмитрий @Tabletko

Александр Синицын, есть такая штука как SRP. Настраиваете запуск только из доверенных каталогов и запрещаете ученикам запись туда

Написано более трёх лет назад
Akina @Akina

Для этого надо WinServer и выделенный сервер, а кто на них денег даст

В классе должен быть компьютер преподавателя. И сто пудов он будет мощнее, чем рабстанции. Вот он вполне и может изобразить из себя контроллер домена. А чтобы не покупать WinServer - на Самбе-4, можно даже виртуализировать.

Написано более трёх лет назад
Александр Синицын @a_u_sinitsin Автор вопроса

Дмитрий, Спасибо, нравится, почитаю есть ли это в семерке

Написано более трёх лет назад
АртемЪ @Jump Куратор тега Системное администрирование

Александр Синицын,
А толку... через cmd запустить не проблема, переименовать не проблема...
Это как?
Если запуск запрещен политикой - никак не запустите.

Написано более трёх лет назад
АртемЪ @Jump Куратор тега Системное администрирование

Александр Синицын,
Была идея с квотами на папки, но они только на диск...
Да в общем то квоты вашу задачу не решают.
Но если нужны квоты - в чем проблема указать квоту на диск?

Написано более трёх лет назад
Александр Синицын @a_u_sinitsin Автор вопроса

АртемЪ, В той же политике написано, что запрет распространяется на запуск из проводника, но если запустить из cmd, то запустится все... Хотел сегодня попробовать, но сначала гляну srp.

Написано более трёх лет назад
АртемЪ @Jump Куратор тега Системное администрирование

Александр Синицын,
В той же политике написано, что запрет распространяется на запуск из проводника, но если запустить из cmd, то запустится все...
Где это написано???

SRP работает очень просто - главное где лежит программа.
Если запуск программ из этого каталога разрешен - запуститься, если нет -не запустится.
А как именно вы будете пытаться запустить - из командной строки или мышкой по ярлыку совершенно не важно.
В любом случае проверяется разрешен ли запуск из этого каталога.

Хотел сегодня попробовать, но сначала гляну srp.
Не понял, что значит сначала гляну SRP?
Политика ограниченного использования программ -Software Restriction Policy или сокращенно SRP. Про нее вроде и шел разговор.

Написано более трёх лет назад
Александр Синицын @a_u_sinitsin Автор вопроса

АртемЪ, Я писал не про srp. В политиках есть еще запрет запуска указанных приложений, а srp - рулез )

Написано более трёх лет назад
Александр Синицын @a_u_sinitsin Автор вопроса

АртемЪ, Осталось понять, как подружить это дело с паскалем... потому как экзешники паскаля, совсем не рулез, но запускаться должны )

Написано более трёх лет назад
АртемЪ @Jump Куратор тега Системное администрирование

Александр Синицын, Это где такое?
Запрет запуска указанных приложений это и есть SRP - указываете разрешенные каталоги, указываете типы разрешенных исполняемых файлов, и.т.п.
gpedit.msc - Computer Configuration - Windows Settings - Security Settings - Software Restriction Policies

Написано более трёх лет назад
Александр Синицын @a_u_sinitsin Автор вопроса

АртемЪ, административные шаблоны, система

Написано более трёх лет назад
АртемЪ @Jump Куратор тега Системное администрирование

Александр Синицын, Я так понимаю экзешники паскаля это скомпилированные работы учеников?
Например можно компилировать в указанную папку, из которой будет разрешен запуск программ.
Компилятор можно запускать от имени специального пользователя которому будет разрешена запись в эту папку.

Написано более трёх лет назад
АртемЪ @Jump Куратор тега Системное администрирование

Александр Синицын,
административные шаблоны, система
Не нашел там ничего похожего, разве что запрет запуска из справки, но это совсем не по теме.

Написано более трёх лет назад
Александр Синицын @a_u_sinitsin Автор вопроса

АртемЪ, ничегр кроме ранаса не нашел, но как через него запустить именно компилятор, а не сам редактор паскаля?

Написано более трёх лет назад
АртемЪ @Jump Куратор тега Системное администрирование

Александр Синицын, Ну как вариант можно и редактор вместе с компилятором и пусть работают в нем.
Запускать можно через runas или с помощью планировщика при входе в систему.

У вас компилятор умеет работать с командной строки? Можно написать скрипт который будет компилировать исходники при появлении их в определенной директории.

В общем тут уже надо думать что именно применить к конкретной ситуции, все зависит от того как у вас организована работа с учениками.

Можно например заставить компилятор компилировать и подписывать сразу. А сертификат подписи в доверенные добавить.

Написано более трёх лет назад
Александр Синицын @a_u_sinitsin Автор вопроса

АртемЪ, PascalABC.NET
Если дать права на редактор, то можно сделать Файл/Открыть и натолкать в папку откуда будут запускаться экзешники чего угодно...

Написано более трёх лет назад
АртемЪ @Jump Куратор тега Системное администрирование

Александр Синицын,
PascalABC.NET
Ну я с таким не сталкивался.
Но вы можете прочитать документацию к нему или запустить с ключом /? посмотреть какие консольные команды он поддерживает.
Наверняка там есть компиляция.

Написано более трёх лет назад
Александр Синицын @a_u_sinitsin Автор вопроса

АртемЪ, Сделал ход конем... отрезал ещё диск на 30 метров, добавил его в исключения SRP и указал его в настройках как целевой для компиляции, там же указал "удалять EXE после выполнения", поглядим что будет )

Написано более трёх лет назад

Ещё как-то надо побороть CS1.6 который копируется без установки
Есть в политиках такая штука, как список разрешённых к запуску программ.

Может ещё что подскажете?
Угу... прекратить маяться фигнёй с рабгруппами и организовать нормальный домен. И заблокировать любую возможность загрузки со стороннего носителя.
Akina,
Есть в политиках такая штука, как список разрешённых к запуску программ.

А толку... через cmd запустить не проблема, переименовать не проблема...

Угу... прекратить маяться фигнёй с рабгруппами и организовать нормальный домен.

Для этого надо WinServer и выделенный сервер, а кто на них денег даст )
Akina,
Ещё как-то надо побороть CS1.6...

Была идея с квотами на папки, но они только на диск...
Александр Синицын, есть такая штука как SRP. Настраиваете запуск только из доверенных каталогов и запрещаете ученикам запись туда
Для этого надо WinServer и выделенный сервер, а кто на них денег даст

В классе должен быть компьютер преподавателя. И сто пудов он будет мощнее, чем рабстанции. Вот он вполне и может изобразить из себя контроллер домена. А чтобы не покупать WinServer - на Самбе-4, можно даже виртуализировать.
Дмитрий, Спасибо, нравится, почитаю есть ли это в семерке
Александр Синицын,
А толку... через cmd запустить не проблема, переименовать не проблема...
Это как?
Если запуск запрещен политикой - никак не запустите.
Александр Синицын,
Была идея с квотами на папки, но они только на диск...
Да в общем то квоты вашу задачу не решают.
Но если нужны квоты - в чем проблема указать квоту на диск?
АртемЪ, В той же политике написано, что запрет распространяется на запуск из проводника, но если запустить из cmd, то запустится все... Хотел сегодня попробовать, но сначала гляну srp.
Александр Синицын,
В той же политике написано, что запрет распространяется на запуск из проводника, но если запустить из cmd, то запустится все...
Где это написано???

SRP работает очень просто - главное где лежит программа.
Если запуск программ из этого каталога разрешен - запуститься, если нет -не запустится.
А как именно вы будете пытаться запустить - из командной строки или мышкой по ярлыку совершенно не важно.
В любом случае проверяется разрешен ли запуск из этого каталога.

Хотел сегодня попробовать, но сначала гляну srp.
Не понял, что значит сначала гляну SRP?
Политика ограниченного использования программ -Software Restriction Policy или сокращенно SRP. Про нее вроде и шел разговор.
АртемЪ, Я писал не про srp. В политиках есть еще запрет запуска указанных приложений, а srp - рулез )
АртемЪ, Осталось понять, как подружить это дело с паскалем... потому как экзешники паскаля, совсем не рулез, но запускаться должны )
Александр Синицын, Это где такое?
Запрет запуска указанных приложений это и есть SRP - указываете разрешенные каталоги, указываете типы разрешенных исполняемых файлов, и.т.п.
gpedit.msc - Computer Configuration - Windows Settings - Security Settings - Software Restriction Policies
АртемЪ, административные шаблоны, система
Александр Синицын, Я так понимаю экзешники паскаля это скомпилированные работы учеников?
Например можно компилировать в указанную папку, из которой будет разрешен запуск программ.
Компилятор можно запускать от имени специального пользователя которому будет разрешена запись в эту папку.
Александр Синицын,
административные шаблоны, система
Не нашел там ничего похожего, разве что запрет запуска из справки, но это совсем не по теме.
АртемЪ, ничегр кроме ранаса не нашел, но как через него запустить именно компилятор, а не сам редактор паскаля?
Александр Синицын, Ну как вариант можно и редактор вместе с компилятором и пусть работают в нем.
Запускать можно через runas или с помощью планировщика при входе в систему.

У вас компилятор умеет работать с командной строки? Можно написать скрипт который будет компилировать исходники при появлении их в определенной директории.

В общем тут уже надо думать что именно применить к конкретной ситуции, все зависит от того как у вас организована работа с учениками.

Можно например заставить компилятор компилировать и подписывать сразу. А сертификат подписи в доверенные добавить.
АртемЪ, PascalABC.NET
Если дать права на редактор, то можно сделать Файл/Открыть и натолкать в папку откуда будут запускаться экзешники чего угодно...
Александр Синицын,
PascalABC.NET
Ну я с таким не сталкивался.
Но вы можете прочитать документацию к нему или запустить с ключом /? посмотреть какие консольные команды он поддерживает.
Наверняка там есть компиляция.
АртемЪ, Сделал ход конем... отрезал ещё диск на 30 метров, добавил его в исключения SRP и указал его в настройках как целевой для компиляции, там же указал "удалять EXE после выполнения", поглядим что будет )

Answer 1 · 2021-08-10 08:23:20

Вы забыли одну существенную деталь.
Есть множество программ которые не требуют установки, либо устанавливаются прямо в профиль пользователя.

Поэтому следует настроить политики ограниченного использования программ - Software Restriction Policy.
Вот пример настройки.
В итоге пользователь у вас сможет запустить только указанные в политиках программы.
Другие исполняемые файлы даже если он скачает - запустить не сможет вообще.

По поводу запрета на файлы - запись должна быть разрешена только в свою папку и в свой профиль.
Остальные места - запретить.
Рабочий стол - да пусть пишут, это удобно для многих, просто удаляйте все лишнее скриптом при логине пользователя. В итоге каждый раз чистый стол.

Можете так же сделать бэкап профилей пользователей и восстанавливать их при необходимости.

Какие best practices при настройке компьютерного класса под рабочими группами?

Войдите на сайт