(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Как воспроизвести ограничения Windows Steady State на компьютерах с Windows 7 средствами GPO. Часть 1

Дмитрий Буланов

Введение

Относительно недавно я рассказывал о замечательном продукте Windows SteadyState от корпорации Microsoft, который позволяет устанавливать ограничения для компьютеров и пользователей, расположенных в школьных компьютерных классах и библиотеках. Также я в этой статье указывал, что данный продукт поддерживает только операционные системы Windows XP и Windows Vista, то есть, если в вашем компьютерном классе на ученических компьютерах развернуты операционные системы Windows 7, то для управления конфигурацией компьютеров и пользовательских учетных записей Вам нужно будет воспользоваться функционалом групповых политик. В этой статья я расскажу о том, как можно выполнять идентичные ограничения для компьютеров под управлением операционной системы Windows 7, то есть будет рассмотрено множество параметров политик, которые выполняют такие же действия, как и действия, выполняемые средствами продукта Windows SteadyState. Помимо этого, так как предыдущая статья имела обзорный характер, в данной статье будут подробно рассмотрены параметры продукта Windows SteadyState и, соответственно, параметры групповых политик. Также, в связи с тем, что параметров конфигурации пользователей и конфигурации компьютера в продукте Windows SteadyState довольно много, данная статья будет разбита на две части. В первой части я расскажу о параметрах групповых политик, которые относятся к глобальным параметрам компьютера, то есть изменения, которые вносятся в раздел HKEY_LOCAL_MACHINE системного реестра. Во второй части статьи мы с вами рассмотрим параметры групповой политики, при помощи которых вы сможете управлять настройками пользователей, то есть изменения, которые вносятся в раздел HKEY_CURRENT_USER.

Установка ограничений компьютера

Как я уже говорил в предыдущей статье, в состав "Установки ограничений компьютера" входят параметры конфиденциальности, параметры безопасности и прочие параметры. Параметры конфиденциальности предназначены для защиты конфиденциальности всех пользователей общего компьютера, параметры безопасности защищают компьютер от изменений или повреждений, связанных с действиями пользователей, а прочие параметры предназначены для отображения списка имен пользователей на экране приветствия при каждом запуске операционной системы Windows XP. Прежде всего, мы с вами рассмотрим параметры конфиденциальности. В эту группу входят следующие три параметра:

  • Не отображать имена пользователей в диалоговом окне "Вход в систему Windows". Так как в учебных заведениях одним компьютером могут пользоваться десятки учеников, хорошим ходом будет отключение отображения имени последнего пользователя, выполнившего вход на экране входа в систему. В операционной системе Windows 7 за этот параметр отвечает политика "Интерактивный вход в систему: не отображать последнее имя пользователя", которую вы можете найти в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности, что можно увидеть на следующей иллюстрации:

  • *

    Рис. 1. Отключение отображения имен пользователей на экране входа в систему

    Для того чтобы имя последнего пользователя, выполнявшего вход в систему не отображалось, следует включить данную политику безопасности;

  • Запретить вход в систему заблокированных или перемещаемых профилей, которые могут быть найдены на компьютере. Как вы все знаете, после выполнения входа в систему, в операционной системе создается профиль для этого пользователя. Этот параметр предназначен для того чтобы запрещать вход в систему пользователей, у которых не существует профиля;
  • Не кэшировать копии заблокированных или перемещаемых профилей пользователей, ранее вошедших в систему. Используя текущий параметр ограничений компьютера, вы можете существенно повысить конфиденциальность перемещаемых профилей ваших пользователей, тем самым запретив кэшировать данные тех пользователей, которые уже заблокированы. В принципе, в самой оснастке "Редактор локальных объектов групповой политики" вы не сможете найти отдельные параметры, позволяющие обеспечить данную функцию. В этом случае, вам необходимо настроить перемещаемые профили (управление перемещаемыми профилями было рассмотрено в статье "Пользовательские профили и их управление. Часть 2"), а также воспользоваться параметрами политик, которые расположены в узле Конфигурация компьютера\Административные шаблоны\Система\Профили пользователей. Например, используя параметр "Запретить передачу на сервер изменений в перемещаемом профиле", вы можете предотвратить внесение изменений, сделанных в перемещаемом профиле на конкретном компьютере, в копию компьютера на сервере. То есть, включив этот параметр политики, при входе пользователь получит свой перемещаемый профиль, но все изменения сделанные пользователем в своем профиле, не будут внесены в его перемещаемый профиль при выходе из системы.

Как я уже упомянул, параметры безопасности продукта Windows SteadyState предназначены для защиты компьютера от изменений и повреждений. Здесь вы можете найти следующие семь параметров:

  • Удалить администраторов с экрана приветствия. До появления операционной системы Windows Vista на экране входа в систему можно было с легкостью найти учетную запись администратора. В таких операционных системах, как Windows Vista и Windows 7 экран входа в систему сделан так, что по умолчанию на нем не отображена учетная запись администратора и, соответственно, нет смысла рассматривать отдельный параметр групповой политики, который отвечал бы за данную опцию;
  • Удалить варианты выключения с экрана приветствия и диалогового окна "Вход в Windows". Эту опцию имеет смысл использовать для того, чтобы ваши пользователи случайно не выключили компьютер из экрана входа в систему. Для того чтобы исключить эти кнопки у пользователей Windows 7, вам нужно в редакторе объектов групповой политики, в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности, выбрать параметр политики "Завершение работы: разрешить завершение работы системы без выполнения входа в систему" и установить переключатель на опцию "Отключить". Теперь, для того чтобы выключить компьютер, пользователю необходимо успешно выполнить вход в систему и этот пользователь должен обладать правами на завершение работы системы;
  • Запретить Windows вычислять и сохранять пароли с помощью хэш-значений LAN Manager. При указании этой опции в продукте Windows SteadyState, вы тем самым существенно повышаете безопасность хранения паролей в связи с отключением хэшированной формы механизма шифрования LanMan для всех паролей. Для того чтобы воспользоваться этой опцией на компьютере, с установленной операционной системой Windows 7, вам нужно в диалоговом окне параметра политики "Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля" установить переключатель на опцию "Включен". Этот параметр политики вы можете найти в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности, что можно увидеть ниже:

  • *

    Рис. 2. Запрещаем ОС вычислять и сохранять пароли с помощью хэш-значений LAN Manager

    Начиная с операционной системы Windows Vista, текущий параметр по умолчанию включен;

  • Не сохранять имена пользователей и пароли, применявшиеся для входа в Windows Live ID или домен. Я думаю, что ни для кого не окажется новостью, что злонамеренными пользователями могут даже посредственные школьники, причем не только в столичных учебных заведениях. И, как многие из вас знают, в операционных системах Windows, диспетчер учетных данных позволяет сохранять локально учетные данные и пароли аккаунтов Windows Live, а также учетные данные доменных пользователей. При помощи этого параметра вы можете запретить локальное сохранение паролей. Для того чтобы запретить диспетчеру учетных данных сохранять пароли пользователей в операционной системе Windows 7 при помощи функционала групповых политик, вам нужно следовать следующим инструкциям. Откройте параметр политики "Сетевой доступ: не разрешать хранение паролей или учетных данных для сетевой проверки подлинности", который расположен в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности и установите переключатель на опцию "Включить";
  • Запретить пользователям создавать папки и файлы на диске С:\. Во многих учебных программах выделяется по меньшей мере один урок для того, чтобы дети учились создавать файлы и папки и во время проведения урока могут быть созданы десятки папок только одним учеником. Удалять после них весь мусор может быть крайне неудобно, так как компьютеров в классе может быть много, а время на перемену не такое уж и большое, да и помимо чистки компьютеров у учителей есть еще другие обязанности. Этот параметр изменяет список контроля доступа (ACL) в корне системного диска и запрещает пользователям создавать файлы и папки. Для того чтобы установить этот параметр в Windows 7, вам нужно будет вручную изменить список ACL для ваших пользователей;
  • Запретить пользователям открывать документы Microsoft Office из обозревателя Internet Explorer. В целях безопасности, при помощи текущего параметра вы можете запретить своим пользователям открывать файлы Microsoft Office из браузера Internet Explorer. К сожалению, штатными средствами групповых политик вы не можете указать такие настройки, так что для этого вам нужно будет изменить несколько параметров системного реестра, а затем вы можете эти параметры указать в ADMX файле. Для этого, вам нужно в созданном вами ADMX файле, указать для DWORD-параметров BrowserFlags разделов реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.5], [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.8] и [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.12] значение 8. В этом случае я указал разделы реестра, значения которых нужно изменить только для запрета открытия файлов электронных таблиц Microsoft Office Excel в браузере Internet Explorer;
  • Запретить запись на USB-накопители. Практически на каждом уроке, каждый ученик норовит вставить в компьютер свой USB-накопитель, чтобы записать себе какие-либо файлы для последующей работы над ними. В некоторых случаях на это можно закрыть глаза, но иногда данную возможность необходимо пресекать сразу и для этого вы можете воспользоваться текущим параметром. Чтобы внести такое же изменение в операционную систему Windows 7, вам нужно в оснастке редактора объектов групповых политик открыть узел Конфигурация компьютера\Административные шаблоны\Система\Доступ к съемным запоминающим устройствам, а затем открыть свойства параметра политики "Съемные диски: запретить запись". В отобразившемся диалоговом окне установите опцию на команду "Включить".

Так как группа другие параметры содержит изменения, связанные с экраном приветствия для операционной системы Windows XP, в данной статье не рассматривается текущий параметр.

Планирование обновлений

Если у вас в вашем учебном заведении развернут WSUS-сервер, а все клиентские компьютеры входят в домен Active Directory, то можете считать, что у вас отлично спроектирована инфраструктура ваших рабочих мест. В этом случае вам нужно настроить клиентские компьютеры на автоматическую загрузку и установку обновлений непосредственно с сервера обновлений, который у вас развернут на базу WSUS-сервера. В этом случае, вы можете следовать инструкциям, которые я описывал в статье "Настройка клиентских компьютеров WSUS". Если же у вас не развернут WSUS-сервер, то вам следует настроить некоторые параметры групповой политики в оснастке "Редактор управления групповыми политиками", которые расположены в узле Конфигурация компьютера\Политики\Административные шаблоны\Конфигурация Windows\Центр обновления Windows. В этом случае вам следует выполнить следующие действия:

*

Увеличить рисунок

Рис. 3. Параметры политики, отвечающие за настройку обновлений операционной системы

  1. Откройте политику "Настройка автоматического обновления", установите переключатель на опцию "Включить", в раскрывающемся списке выберите опцию "4 - Автоматическая загрузка и установка по расписанию" и установите в соответствующих полях дни недели и время для установки обновлений по расписанию. Например, ежедневно в 11 часов дня;
  2. Откройте политику "Не отображать параметр "Установить обновления и завершить работу" в диалоговом окне "Завершение работы Windows"" и установите переключатель опции "Включить". Нажмите на кнопку "ОК";
  3. Откройте политику "Включить уведомления о наличии программ" и установите переключатель на опции "Включить". Нажмите на кнопку "ОК";
  4. Откройте политику "Включить рекомендуемые обновления через автоматическое обновление" и установите переключатель на опции "Включить". Нажмите на кнопку "ОК";
  5. Откройте политику "Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи" и установите переключатель на опции "Включить". Нажмите на кнопку "ОК".

Продолжение следует.



 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 29.03.2011 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Microsoft Office 365 Персональный 32-bit/x64. 1 ПК/MAC + 1 Планшет + 1 Телефон. Все языки. Подписка на 1 год.
Microsoft Office 365 для Дома 32-bit/x64. 5 ПК/Mac + 5 Планшетов + 5 Телефонов. Подписка на 1 год.
Microsoft 365 Apps for business (corporate)
Microsoft Windows Professional 10, Электронный ключ
Microsoft 365 Business Standard (corporate)
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
Новости ITShop.ru - ПО, книги, документация, курсы обучения
Программирование на Microsoft Access
CASE-технологии
СУБД Oracle "с нуля"
Новости мира 3D-ускорителей
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
 



    
rambler's top100 Rambler's Top100