Какие best practices при настройке компьютерного класса под рабочими группами?

Question

[Александр Синицын]

Система Win7Pro

Пока список такой:
- закрыть биос паролем
- Админ с паролем и правами админа
- Ученик без пароля с правами пользователя (грузится автоматом при старте системы)
- Предустановленный набор программ

Групповые политики:
- Запрет всех настроек рабочего стола (обои, цвета, шрифты, курсоры...)
- Запрет подключения и удаления принтера
- Закрепление и запрет всех настроек панели задач (изменение состава ярлыков, ресайз, перетаскивание)

Диски:
- диск D: только просмотр
- диск Z (30 мб) для выгрузки экзешников паскаля (надеюсь перейдут на Python)

(добавлено) Политика ограниченного использования программ (SRP):
- запрет запуска программ кроме: Windows, ProgramFiles, ProgramFiles (x86), диск Z

Папки:
- папка "Файлы учащихся" на D с правами изменения
- "Рабочий стол" со снятием прав на изменение (чтобы не превращали стол в помойку)

Не нашел как запретить перетаскивание закрепленных приложений по панели задач и ярлыков на рабочем столе.

Может ещё что подскажете?

Comments

[Akina]

Ещё как-то надо побороть CS1.6 который копируется без установки

Есть в политиках такая штука, как список разрешённых к запуску программ.

Может ещё что подскажете?

Угу... прекратить маяться фигнёй с рабгруппами и организовать нормальный домен. И заблокировать любую возможность загрузки со стороннего носителя.

[Александр Синицын]

Akina,

Есть в политиках такая штука, как список разрешённых к запуску программ.

А толку... через cmd запустить не проблема, переименовать не проблема...

Угу... прекратить маяться фигнёй с рабгруппами и организовать нормальный домен.

Для этого надо WinServer и выделенный сервер, а кто на них денег даст )

[Александр Синицын]

Akina,

Ещё как-то надо побороть CS1.6...

Была идея с квотами на папки, но они только на диск...

[Дмитрий]

Александр Синицын, есть такая штука как SRP. Настраиваете запуск только из доверенных каталогов и запрещаете ученикам запись туда

[Akina]

Для этого надо WinServer и выделенный сервер, а кто на них денег даст

В классе должен быть компьютер преподавателя. И сто пудов он будет мощнее, чем рабстанции. Вот он вполне и может изобразить из себя контроллер домена. А чтобы не покупать WinServer - на Самбе-4, можно даже виртуализировать.

[Александр Синицын]

Дмитрий, Спасибо, нравится, почитаю есть ли это в семерке

[АртемЪ]

Александр Синицын,

А толку... через cmd запустить не проблема, переименовать не проблема...

Это как?
Если запуск запрещен политикой - никак не запустите.

[АртемЪ]

Александр Синицын,

Была идея с квотами на папки, но они только на диск...

Да в общем то квоты вашу задачу не решают.
Но если нужны квоты - в чем проблема указать квоту на диск?

[Александр Синицын]

АртемЪ, В той же политике написано, что запрет распространяется на запуск из проводника, но если запустить из cmd, то запустится все... Хотел сегодня попробовать, но сначала гляну srp.

[АртемЪ]

Александр Синицын,

В той же политике написано, что запрет распространяется на запуск из проводника, но если запустить из cmd, то запустится все...

Где это написано???

SRP работает очень просто - главное где лежит программа.
Если запуск программ из этого каталога разрешен - запуститься, если нет -не запустится.
А как именно вы будете пытаться запустить - из командной строки или мышкой по ярлыку совершенно не важно.
В любом случае проверяется разрешен ли запуск из этого каталога.

Хотел сегодня попробовать, но сначала гляну srp.

Не понял, что значит сначала гляну SRP?
Политика ограниченного использования программ -Software Restriction Policy или сокращенно SRP. Про нее вроде и шел разговор.

[Александр Синицын]

АртемЪ, Я писал не про srp. В политиках есть еще запрет запуска указанных приложений, а srp - рулез )

[Александр Синицын]

АртемЪ, Осталось понять, как подружить это дело с паскалем... потому как экзешники паскаля, совсем не рулез, но запускаться должны )

[АртемЪ]

Александр Синицын, Это где такое?
Запрет запуска указанных приложений это и есть SRP - указываете разрешенные каталоги, указываете типы разрешенных исполняемых файлов, и.т.п.
gpedit.msc - Computer Configuration - Windows Settings - Security Settings - Software Restriction Policies

[Александр Синицын]

АртемЪ, административные шаблоны, система

[АртемЪ]

Александр Синицын, Я так понимаю экзешники паскаля это скомпилированные работы учеников?
Например можно компилировать в указанную папку, из которой будет разрешен запуск программ.
Компилятор можно запускать от имени специального пользователя которому будет разрешена запись в эту папку.

[АртемЪ]

Александр Синицын,

административные шаблоны, система

Не нашел там ничего похожего, разве что запрет запуска из справки, но это совсем не по теме.

[Александр Синицын]

АртемЪ, ничегр кроме ранаса не нашел, но как через него запустить именно компилятор, а не сам редактор паскаля?

[АртемЪ]

Александр Синицын, Ну как вариант можно и редактор вместе с компилятором и пусть работают в нем.
Запускать можно через runas или с помощью планировщика при входе в систему.

У вас компилятор умеет работать с командной строки? Можно написать скрипт который будет компилировать исходники при появлении их в определенной директории.

В общем тут уже надо думать что именно применить к конкретной ситуции, все зависит от того как у вас организована работа с учениками.

Можно например заставить компилятор компилировать и подписывать сразу. А сертификат подписи в доверенные добавить.

[Александр Синицын]

АртемЪ, PascalABC.NET
Если дать права на редактор, то можно сделать Файл/Открыть и натолкать в папку откуда будут запускаться экзешники чего угодно...

[АртемЪ]

Александр Синицын,

PascalABC.NET

Ну я с таким не сталкивался.
Но вы можете прочитать документацию к нему или запустить с ключом /? посмотреть какие консольные команды он поддерживает.
Наверняка там есть компиляция.

[Александр Синицын]

АртемЪ, Сделал ход конем... отрезал ещё диск на 30 метров, добавил его в исключения SRP и указал его в настройках как целевой для компиляции, там же указал "удалять EXE после выполнения", поглядим что будет )

Answer 1

[АртемЪ]

Вы забыли одну существенную деталь.
Есть множество программ которые не требуют установки, либо устанавливаются прямо в профиль пользователя.

Поэтому следует настроить политики ограниченного использования программ - Software Restriction Policy.
Вот пример настройки.
В итоге пользователь у вас сможет запустить только указанные в политиках программы.
Другие исполняемые файлы даже если он скачает - запустить не сможет вообще.

По поводу запрета на файлы - запись должна быть разрешена только в свою папку и в свой профиль.
Остальные места - запретить.
Рабочий стол - да пусть пишут, это удобно для многих, просто удаляйте все лишнее скриптом при логине пользователя. В итоге каждый раз чистый стол.

Можете так же сделать бэкап профилей пользователей и восстанавливать их при необходимости.

Answer 2

[Виктор]

1. Запретить в BIOS загрузку со сменных носителей(USB и т.п.).
2. Обязательно задать пароль на встроенную учетную запись "Администратор", даже если она не используется и выключена.
3. Отключить "Восстановление системы" или удалить точки восстановления, а то возможен "сюрприз".
4. Запретить флешки на запись/чтение в Windows если это не мешает учебному процессу. Например в папку "Windows\tracing" можно скопировать любые файлы без прав администратора и соответственно... ну да Вы поняли))
5. Если есть выход в интернет, то запретить установку расширений в браузер... Я бы использовал Chrome и ограничил его возможности через GPO.

Comments

[Александр Синицын]

Что можно сделать с Windows\tracing без последствий для системы?

[Виктор]

Эта папка вроде как используется "Центром обновлений". Если он у Вас выключен, то просто запретить запись на уровне NTFS разрешений. Ну или накидать скрипт и повесить его в "Планировщик заданий"... чтобы он удалял(перемещал) все файлы из данной папки.
P.S. только сначала это протестировать на одной машине... дабы сюрпризы не вылезли.