Задать вопрос

Какие best practices при настройке компьютерного класса под рабочими группами?

Система Win7Pro

Пока список такой:
- закрыть биос паролем
- Админ с паролем и правами админа
- Ученик без пароля с правами пользователя (грузится автоматом при старте системы)
- Предустановленный набор программ

Групповые политики:
- Запрет всех настроек рабочего стола (обои, цвета, шрифты, курсоры...)
- Запрет подключения и удаления принтера
- Закрепление и запрет всех настроек панели задач (изменение состава ярлыков, ресайз, перетаскивание)

Диски:
- диск D: только просмотр
- диск Z (30 мб) для выгрузки экзешников паскаля (надеюсь перейдут на Python)

(добавлено) Политика ограниченного использования программ (SRP):
- запрет запуска программ кроме: Windows, ProgramFiles, ProgramFiles (x86), диск Z

Папки:
- папка "Файлы учащихся" на D с правами изменения
- "Рабочий стол" со снятием прав на изменение (чтобы не превращали стол в помойку)

Не нашел как запретить перетаскивание закрепленных приложений по панели задач и ярлыков на рабочем столе.

Может ещё что подскажете?
  • Вопрос задан
  • 243 просмотра
Подписаться 3 Простой 21 комментарий
Пригласить эксперта
Ответы на вопрос 2
Jump
@Jump Куратор тега Системное администрирование
Системный администратор со стажем.
Вы забыли одну существенную деталь.
Есть множество программ которые не требуют установки, либо устанавливаются прямо в профиль пользователя.

Поэтому следует настроить политики ограниченного использования программ - Software Restriction Policy.
Вот пример настройки.
В итоге пользователь у вас сможет запустить только указанные в политиках программы.
Другие исполняемые файлы даже если он скачает - запустить не сможет вообще.

По поводу запрета на файлы - запись должна быть разрешена только в свою папку и в свой профиль.
Остальные места - запретить.
Рабочий стол - да пусть пишут, это удобно для многих, просто удаляйте все лишнее скриптом при логине пользователя. В итоге каждый раз чистый стол.

Можете так же сделать бэкап профилей пользователей и восстанавливать их при необходимости.
Ответ написан
Комментировать
@MadLor
1. Запретить в BIOS загрузку со сменных носителей(USB и т.п.).
2. Обязательно задать пароль на встроенную учетную запись "Администратор", даже если она не используется и выключена.
3. Отключить "Восстановление системы" или удалить точки восстановления, а то возможен "сюрприз".
4. Запретить флешки на запись/чтение в Windows если это не мешает учебному процессу. Например в папку "Windows\tracing" можно скопировать любые файлы без прав администратора и соответственно... ну да Вы поняли))
5. Если есть выход в интернет, то запретить установку расширений в браузер... Я бы использовал Chrome и ограничил его возможности через GPO.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы