Временный доступ и особые права в Windows?

Question

[WSGlebKavash]

Проблема: Учащие образовательной организации дополнительного образования имеют бесконтрольный доступ как к интернету, так и к ресурсам отдельно ПК. Это приводит к очень печальным последствиям, таким как удаление личных файлов (даже если отдельная учётная запись под паролем), запуск неодобренных программ, запуск вирусов, приводящих к переустановки винды.
Что имеем: 100 стационарных ПК и 45 переносных. Стационарные ПК подключены к сети одним способом и на них задан статический IP. Переносные ПК могут подключаться в любую точку сети. Общих серверов нет, доменов нет.
Задача: Предоставлять доступ с временным паролем для каждого сеанса. Исключить права локального администратора. Отправлять запросы на запуск повышенных прав администратору. Организовать контейнеры для запуска программ, требующих права администратора. Создать пароль администратора для доверенных лиц. Ограничить доступ к сайтам для некоторых пользователей.

Как это всё правильно организовать? Как вообще делаются сети в образовательных организация для детей 10-18 лет? (мы принимаем с 8 лет, но маленькие под СТРОГИМ КОНТРОЛЕМ преподавателя)

Answer 1

[shurshur]

Лучше всего поднять домен. Можно даже на samba, не покупая WinServer (и да, AD позволит делать намного больше и намного круче, поэтому если есть возможность - ею лучше пользоваться). Пользователей заводить централизовано и обучать использованию сетевого диска для личных файлов.

Также у меня был опыт организации большого парка компьютеров в компьютерных классах для проведения олимпиад по программированию. Это очень специфическая задача разового использования системы, отличающаяся от регулярных занятий. В отличие от 90-х и нулевых, когда количество знакомых участникам сред разработки можно было пересчитать по пальцам, в наше время требуется установить десятки различных компиляторов и IDE. При этом к олимпиаде всё это должно стабильно работать. Ещё до меня просто на всех компах поставили VirtualBox с эталонным образом, который переимпортировали отдельно на каждой машине к каждой олимпиаде (весёлое занятие - бегать с пачкой флешек и везде это проделывать), но это было не слишком удобно, да и участников сбивает с толку, что надо что-то там делать в окошке виртуалки.

Я подготовил на всех машинах Linux, где у специального пользователя запускаются иксы без DE и WM с headless fullscreen VirtualBox с целевой системой из образа (Windows XP). Сам эталонный образ машины лежал на LVM, а в VirtualBox передавался снапшот LV с образом. Соответственно, перед олимпиадой все машины вместо дефолтной системы вручную загружали в Linux, с сервера скриптом выполняли (ssh с ключом) на всех машинах пересоздание снапшота, а потом можно было просто ввести имя нужного пользователя. После олимпиады снапшот можно было пересоздать, получив опять чистую эталонную систему.

До кучи, саму систему и эталонный образ я раскладывал udpcast'ом по igmp, это заметно ускорило дело, даже несмотря на неуправляемые свитчи. В первый раз всё это, конечно, потребовало кучу времени, но оно того стоило. Участники в большинстве своём даже не догадывались, что работают в виртулке :)

Comments

[WSGlebKavash]

shurshur,

Я подготовил на всех машинах Linux, где у специального пользователя запускаются иксы без DE и WM с headless fullscreen VirtualBox с целевой системой из образа (Windows XP).

Этот вариант подходит для ЕГЭ. Там строжайший контроль за списыванием, поэтому запретить нужно много. Для регулярного использования лучше использовать нативную ОС и настроить управление правами.
Будем думать над доменами и контент-фильтрацией. Большое спасибо за ответ.

Answer 2

[Роман Безруков]

В идеале - домен и VDI

Answer 3

[Ивор Барханский]

Если не хочется заморачиваться, купите недорогой NAS, который имеет удобный интерфейс и удобно закроет все ваши задачи. Какая-нибудь простая модель, вроде Synology DS118.

Получите как централизованное хранилище без головной боли, так и закрытие всех ваших хотелок связанных с хранением файлов, каждому человеку можно выдать по папке, можно наделать общих папок, можно шарить ресурсы даже по расписанию даже в интернет.

Для того, чтобы дети сами не запускали всё подряд, всего лишь стоит лишить пользователей административных прав, и запаролить административную учётную запись. Любое действие требующее повышения прав запросит явно пароль администратора, который можно подходить и вводить вручную. Если хочется заморочиться, в продаже можно найти дешевые токены (например Yubikey: недорого, практично), которые вставляются в USB и по нажатию кнопки заполняют поле ввода статической строкой. Один такой ключ у преподавателя, и пароли можно делать хоть очень сложными - лишь бы токен не потерять.

В качестве контейнера для приложений может идеально подойти Sandboxie - open source разработка для решения именно этих задач.

Варианты с поднятием домена указанные выше, без сомнений, решат все проблемы, но эти варианты получатся заметно дороже (сервер, серверная ОС, специалист, который всё настроит, или куча затраченного времени, если самостоятельно). А с бюджетами в системе образования, говорят, туго.

Comments

[WSGlebKavash]

Игорь,

Если не хочется заморачиваться, купите недорогой NAS, который имеет удобный интерфейс и удобно закроет все ваши задачи. Какая-нибудь простая модель, вроде Synology DS118.

NAS уже есть. Но он доступен только для преподавателей. Ученики не имею право им пользоваться. Доступ может быть предоставлен ученикам только для выполнения задания под полным присмотром руководителя.

Для того, чтобы дети сами не запускали всё подряд, всего лишь стоит лишить пользователей административных прав, и запаролить административную учётную запись.

Опыт был был и очень печальный. Adobe Media Encoder, Unity, SteamVR SDK хорошо себя чувствуют только с правами администратора. В результате для запуска данных программ надо вводить пароль. Иногда это очень неудобно и приводит к лишнему рассекречиванию.
Вот если бы выдавать расширенные права только определённой программе (что-то подобное используется в Android), то было бы круто. Об этом и вопрос. Можно ли так сделать?

[Ивор Барханский]

WSGlebKavash,

Вот если бы выдавать расширенные права только определённой программе

И потом через окно "открыть\сохранить как" ученик может мониторить всю структуру директорий с правами администратора и запускать любые приложения с правами администратора. Между удобством и безопасностью - пропасть. Выбирайте что важнее.

[WSGlebKavash]

Игорь, Поэтому пока остановились на привинтивных методах. Есть балланс работа/развлечения. За выполненный проект можно и в игры поиграть. При этом есть контроль за действиями пользователей. А если нет физического контроля - то что-то типа R.Admin, и просмотр действий учеников. Ответственность поэтапная.
Доступ к интернету будет контролироваться на аппаратном файерволле.

[Ивор Барханский]

WSGlebKavash, что-то я не понимаю сути спора. Вы сказали, что вам не нравится то, что у вас, спросили вариантов организации. Вам предложили. Вы взамен рассказываете, что это ерунда, и варианты уже внедрённые у вас - круче и практичнее.

Так если у вас всё офигенно, зачем вопрос спрашивать? О_о

[WSGlebKavash]

Игорь,

Так если у вас всё офигенно, зачем вопрос спрашивать? О_о

Узнать, как на практике обстоят дела. Какие есть примеры реализации сетей в подобных ситуациях. Спросить про опыт.
Но по итогам ответов - из-за 2-3 человек подвергать страданиям 12 - не рационально. Да и в последнее время подобные случаи давольно редки. С 8 сентября 2021 по нынешнее время был один выпеющий случай.
А личные файлы мы попросим хранить в Program Files, System32 и таких местах, куда никто не додумается дотянуться.