Appunti Configurazione Group Policy
Ultima modifica: 01/12/06
Richieste:
1) Gestire dinamicamente l’ accesso ad Internet per le Aule
2) Impedire l’ utilizzo del floppy
3) Impedire l’ utilizzo del CD-rom
4) Impedire l’ utilizzo del Pannello di Controllo
5) Impedire l’ installazione di nuove applicazioni
6) Impedire di apportare modifiche HW
7) Impedire di apportare modifiche SW
8) Impedire la modifica della struttura delle directory
9) Limitare l’ esecuzione dei programmi
10) Limitare la navigazione sulle cartelle del Server e limitare lo spazio a disposizione
11) Impedire la modifica dei profili utente
Struttura di Active Directory
[AZIENDA]
[AULA_A]
(Utenti dell’aula)
(Computers dell’aula)
[AULA_B]
..
[AULA_C]
..
[AULA_D]
..
(Utenti AZIENDA)
(Computers AZIENDA)
NOTA: Con parentesi [] faccio riferimento alle entità che in AD vengono chiamate “Organizational Unit”. Con Parentesi () mi riferisco alle entità “User” e “Computer”.
Implementazione mediante Group Policy Object di Active Directory:
1) Gestire dinamicamente l’ accesso ad Internet per le Aule
Proxy impostato su 192.168.100.1:80
Configurazione Utente – Impostazioni Windows – Manutenzione di IE – Connessione – Impostazione Proxy
Impedire la modifica delle impostazioni proxy
Configurazione utente – Modelli Amministrativi – Modelli Amministrativi - Internet Explorer – Impedisci la modifica delle impostazioni proxy
2) Impedire l’ utilizzo del floppy
Nascondi Periferiche (A,B)
Configurazione Utente – Modelli Amministrativi – Componenti di Windows - Esplora Risorse – Nascondi le unità specificate
Limita Accesso (A,B)
Configurazione Utente – Modelli Amministrativi – Componenti di Windows - Esplora Risorse – Limita Accesso alle unità specificate
3) Impedire l’ utilizzo del CD-rom
Vedere il punto 2, a patto che tutti i PC siano configurati alla stessa maniera.
A: Floppy
C: Partizione su Disco Fisso (Nascosta)
D: Partizione su Disco Fisso da 1GB (Visibile)
E: CD-ROM
NOTA: Verificare che sia impostabile un elenco di unità diverso da quelli proposti dalla policy.
4) Impedire l’ utilizzo del Pannello di Controllo
Disabilita Pannello di Controllo
Configurazione Utente – Modelli Amministrativi – Pannello di Controllo – Disabilita il pannello di controllo
5) Impedire l’ installazione di nuove applicazioni
Disattiva origine supporto per ogni installazione
Configurazione Utente – Modelli Amministrativi – Componenti di Windows – Windows Installer - Disattiva origine supporto per ogni installazione
6) Impedire di apportare modifiche HW
Nascondi la scheda Hardware
Configurazione Utente – Modelli Amministrativi – Componenti di Windows – Esplora risorse -
7) Impedire di apportare modifiche SW
8) Impedire la modifica della struttura delle directory
Il disco C è Nascosto.
9) Limitare l’ esecuzione dei programmi
Blocco accesso a cartelle tramite Protezione FileSystem
Configurazione Computer – Impostazione di Windows – File System –
Aggiungi i percorsi e modifica i diritti a livello di file system (es: nessun utente ha accesso)
10) Limitare la navigazione sulle cartelle del Server e limitare lo spazio a disposizione
Tutta la Rete non presente (escludi quelli dello stesso dominio + escludi tutti gli altri)
Configurazione Utente – Modelli Amministrativi – Componenti di Windows - Esplora Risorse – Tutta la rete non presente + Esclusione di Tutta la Rete da Risorse di Rete
NOTA: All’ utente sarà permesso accedere esclusivamente ad uno spazio a lui riservato sul server, mappando un’ unità U: sulla cartella a lui dedicata sul server con uno script di avvio.
11) Impedire la modifica dei profili utente
Questo è possibile rinominando il NTUSER.DAT in NTUSER.MAN presente nella cartella del profilo utente. Tutti i profili si troveranno nella cartella \\server\profili.utente\
Articolo Microsoft KB 302082
Altre impostazioni configurate
1) Esplora risorse modalità classica
Configurazione Utente – Modelli Amministrativi – Componenti di Windows - Esplora Risorse – Attiva Shell Classica
2) Nascondi Icone sul Desktop
Configurazione Utente – Modelli Amministrativi – Desktop – Nascondi tutte le icone sul desktop
3) Titolo del browser
Configurazione Utente – Impostazioni Windows – Manutenzione di IE – Interfaccia Utente – Titolo Browser
4) Nasconde la voce Gestisci dal menù di scelta rapida Espora Risorse (DA AGGIUNGERE !)
Configurazione Utente – Modelli Amministrativi – Componenti di Windows – Esplora risorse –
5) Rimuovere la voce Opzioni Cartella dal menu strumenti
Configurazione Utente – Modelli Amministrativi – Componenti di Windows – Esplora risorse –
6) Gestione dello script di accesso
Configurazione Utente – Impostazioni di Windows – Script di accesso – ACCESSO
Su questa finestra è possibile aggiungere uno script (.CMD) che venga eseguito al logon dell’utente sulla macchina client.
Comandi da utilizzare per mappare le cartelle di rete:
NET USE U: /delete
NET USE U: \\SERVER\CARTELLACORSO
Comandi per aggiornare la copia locale delle policy del dominio (il resfresh automatico per le macchine non PDC è impostato di default a 90 min.):
Windows 2000: SECEDIT /REFRESHPOLICY
Windows XP: gpupdate
http://www.jsifaq.com/SUBE/tip2100/rh2184.htm
Richieste:
1) Gestire dinamicamente l’ accesso ad Internet per le Aule
2) Impedire l’ utilizzo del floppy
3) Impedire l’ utilizzo del CD-rom
4) Impedire l’ utilizzo del Pannello di Controllo
5) Impedire l’ installazione di nuove applicazioni
6) Impedire di apportare modifiche HW
7) Impedire di apportare modifiche SW
8) Impedire la modifica della struttura delle directory
9) Limitare l’ esecuzione dei programmi
10) Limitare la navigazione sulle cartelle del Server e limitare lo spazio a disposizione
11) Impedire la modifica dei profili utente
Struttura di Active Directory
[AZIENDA]
[AULA_A]
(Utenti dell’aula)
(Computers dell’aula)
[AULA_B]
..
[AULA_C]
..
[AULA_D]
..
(Utenti AZIENDA)
(Computers AZIENDA)
NOTA: Con parentesi [] faccio riferimento alle entità che in AD vengono chiamate “Organizational Unit”. Con Parentesi () mi riferisco alle entità “User” e “Computer”.
Implementazione mediante Group Policy Object di Active Directory:
1) Gestire dinamicamente l’ accesso ad Internet per le Aule
Proxy impostato su 192.168.100.1:80
Configurazione Utente – Impostazioni Windows – Manutenzione di IE – Connessione – Impostazione Proxy
Impedire la modifica delle impostazioni proxy
Configurazione utente – Modelli Amministrativi – Modelli Amministrativi - Internet Explorer – Impedisci la modifica delle impostazioni proxy
2) Impedire l’ utilizzo del floppy
Nascondi Periferiche (A,B)
Configurazione Utente – Modelli Amministrativi – Componenti di Windows - Esplora Risorse – Nascondi le unità specificate
Limita Accesso (A,B)
Configurazione Utente – Modelli Amministrativi – Componenti di Windows - Esplora Risorse – Limita Accesso alle unità specificate
3) Impedire l’ utilizzo del CD-rom
Vedere il punto 2, a patto che tutti i PC siano configurati alla stessa maniera.
A: Floppy
C: Partizione su Disco Fisso (Nascosta)
D: Partizione su Disco Fisso da 1GB (Visibile)
E: CD-ROM
NOTA: Verificare che sia impostabile un elenco di unità diverso da quelli proposti dalla policy.
4) Impedire l’ utilizzo del Pannello di Controllo
Disabilita Pannello di Controllo
Configurazione Utente – Modelli Amministrativi – Pannello di Controllo – Disabilita il pannello di controllo
5) Impedire l’ installazione di nuove applicazioni
Disattiva origine supporto per ogni installazione
Configurazione Utente – Modelli Amministrativi – Componenti di Windows – Windows Installer - Disattiva origine supporto per ogni installazione
6) Impedire di apportare modifiche HW
Nascondi la scheda Hardware
Configurazione Utente – Modelli Amministrativi – Componenti di Windows – Esplora risorse -
7) Impedire di apportare modifiche SW
8) Impedire la modifica della struttura delle directory
Il disco C è Nascosto.
9) Limitare l’ esecuzione dei programmi
Blocco accesso a cartelle tramite Protezione FileSystem
Configurazione Computer – Impostazione di Windows – File System –
Aggiungi i percorsi e modifica i diritti a livello di file system (es: nessun utente ha accesso)
10) Limitare la navigazione sulle cartelle del Server e limitare lo spazio a disposizione
Tutta la Rete non presente (escludi quelli dello stesso dominio + escludi tutti gli altri)
Configurazione Utente – Modelli Amministrativi – Componenti di Windows - Esplora Risorse – Tutta la rete non presente + Esclusione di Tutta la Rete da Risorse di Rete
NOTA: All’ utente sarà permesso accedere esclusivamente ad uno spazio a lui riservato sul server, mappando un’ unità U: sulla cartella a lui dedicata sul server con uno script di avvio.
11) Impedire la modifica dei profili utente
Questo è possibile rinominando il NTUSER.DAT in NTUSER.MAN presente nella cartella del profilo utente. Tutti i profili si troveranno nella cartella \\server\profili.utente\
Articolo Microsoft KB 302082
Altre impostazioni configurate
1) Esplora risorse modalità classica
Configurazione Utente – Modelli Amministrativi – Componenti di Windows - Esplora Risorse – Attiva Shell Classica
2) Nascondi Icone sul Desktop
Configurazione Utente – Modelli Amministrativi – Desktop – Nascondi tutte le icone sul desktop
3) Titolo del browser
Configurazione Utente – Impostazioni Windows – Manutenzione di IE – Interfaccia Utente – Titolo Browser
4) Nasconde la voce Gestisci dal menù di scelta rapida Espora Risorse (DA AGGIUNGERE !)
Configurazione Utente – Modelli Amministrativi – Componenti di Windows – Esplora risorse –
5) Rimuovere la voce Opzioni Cartella dal menu strumenti
Configurazione Utente – Modelli Amministrativi – Componenti di Windows – Esplora risorse –
6) Gestione dello script di accesso
Configurazione Utente – Impostazioni di Windows – Script di accesso – ACCESSO
Su questa finestra è possibile aggiungere uno script (.CMD) che venga eseguito al logon dell’utente sulla macchina client.
Comandi da utilizzare per mappare le cartelle di rete:
NET USE U: /delete
NET USE U: \\SERVER\CARTELLACORSO
Comandi per aggiornare la copia locale delle policy del dominio (il resfresh automatico per le macchine non PDC è impostato di default a 90 min.):
Windows 2000: SECEDIT /REFRESHPOLICY
Windows XP: gpupdate
http://www.jsifaq.com/SUBE/tip2100/rh2184.htm
Commenti