@WSGlebKavash

Временный доступ и особые права в Windows?

Проблема: Учащие образовательной организации дополнительного образования имеют бесконтрольный доступ как к интернету, так и к ресурсам отдельно ПК. Это приводит к очень печальным последствиям, таким как удаление личных файлов (даже если отдельная учётная запись под паролем), запуск неодобренных программ, запуск вирусов, приводящих к переустановки винды.
Что имеем: 100 стационарных ПК и 45 переносных. Стационарные ПК подключены к сети одним способом и на них задан статический IP. Переносные ПК могут подключаться в любую точку сети. Общих серверов нет, доменов нет.
Задача: Предоставлять доступ с временным паролем для каждого сеанса. Исключить права локального администратора. Отправлять запросы на запуск повышенных прав администратору. Организовать контейнеры для запуска программ, требующих права администратора. Создать пароль администратора для доверенных лиц. Ограничить доступ к сайтам для некоторых пользователей.

Как это всё правильно организовать? Как вообще делаются сети в образовательных организация для детей 10-18 лет? (мы принимаем с 8 лет, но маленькие под СТРОГИМ КОНТРОЛЕМ преподавателя)
  • Вопрос задан
  • 143 просмотра
Пригласить эксперта
Ответы на вопрос 3
shurshur
@shurshur
Сисадмин, просто сисадмин...
Лучше всего поднять домен. Можно даже на samba, не покупая WinServer (и да, AD позволит делать намного больше и намного круче, поэтому если есть возможность - ею лучше пользоваться). Пользователей заводить централизовано и обучать использованию сетевого диска для личных файлов.

Также у меня был опыт организации большого парка компьютеров в компьютерных классах для проведения олимпиад по программированию. Это очень специфическая задача разового использования системы, отличающаяся от регулярных занятий. В отличие от 90-х и нулевых, когда количество знакомых участникам сред разработки можно было пересчитать по пальцам, в наше время требуется установить десятки различных компиляторов и IDE. При этом к олимпиаде всё это должно стабильно работать. Ещё до меня просто на всех компах поставили VirtualBox с эталонным образом, который переимпортировали отдельно на каждой машине к каждой олимпиаде (весёлое занятие - бегать с пачкой флешек и везде это проделывать), но это было не слишком удобно, да и участников сбивает с толку, что надо что-то там делать в окошке виртуалки.

Я подготовил на всех машинах Linux, где у специального пользователя запускаются иксы без DE и WM с headless fullscreen VirtualBox с целевой системой из образа (Windows XP). Сам эталонный образ машины лежал на LVM, а в VirtualBox передавался снапшот LV с образом. Соответственно, перед олимпиадой все машины вместо дефолтной системы вручную загружали в Linux, с сервера скриптом выполняли (ssh с ключом) на всех машинах пересоздание снапшота, а потом можно было просто ввести имя нужного пользователя. После олимпиады снапшот можно было пересоздать, получив опять чистую эталонную систему.

До кучи, саму систему и эталонный образ я раскладывал udpcast'ом по igmp, это заметно ускорило дело, даже несмотря на неуправляемые свитчи. В первый раз всё это, конечно, потребовало кучу времени, но оно того стоило. Участники в большинстве своём даже не догадывались, что работают в виртулке :)
Ответ написан
@NortheR73
системный инженер
В идеале - домен и VDI
Ответ написан
Комментировать
Lopar
@Lopar
системный администратор
Если не хочется заморачиваться, купите недорогой NAS, который имеет удобный интерфейс и удобно закроет все ваши задачи. Какая-нибудь простая модель, вроде Synology DS118.

Получите как централизованное хранилище без головной боли, так и закрытие всех ваших хотелок связанных с хранением файлов, каждому человеку можно выдать по папке, можно наделать общих папок, можно шарить ресурсы даже по расписанию даже в интернет.

Для того, чтобы дети сами не запускали всё подряд, всего лишь стоит лишить пользователей административных прав, и запаролить административную учётную запись. Любое действие требующее повышения прав запросит явно пароль администратора, который можно подходить и вводить вручную. Если хочется заморочиться, в продаже можно найти дешевые токены (например Yubikey: недорого, практично), которые вставляются в USB и по нажатию кнопки заполняют поле ввода статической строкой. Один такой ключ у преподавателя, и пароли можно делать хоть очень сложными - лишь бы токен не потерять.

В качестве контейнера для приложений может идеально подойти Sandboxie - open source разработка для решения именно этих задач.

Варианты с поднятием домена указанные выше, без сомнений, решат все проблемы, но эти варианты получатся заметно дороже (сервер, серверная ОС, специалист, который всё настроит, или куча затраченного времени, если самостоятельно). А с бюджетами в системе образования, говорят, туго.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы