ต้องการความช่วยเหลือในการล็อคคอมพิวเตอร์สาธารณะเครือข่ายหลายเครื่อง

1

ใครบ้างที่รู้ว่าซอฟต์แวร์ระบบควบคุมการล็อก / การควบคุมโดยผู้ปกครองที่จะทำงานกับเครื่องเครือข่ายหรือไม่กับผู้ใช้ที่อาจหรืออาจยังไม่ได้ตั้งค่าบัญชีในเครื่องท้องถิ่น

ฉันทำงานให้กับแผนกสาธารณะที่ค่อนข้างใหญ่และฉันต้องการป้องกันการเข้าถึงอินเทอร์เน็ตที่สำคัญที่สุดทั้งหมด แต่มีเพียงไม่กี่เว็บไซต์ โดยรวมฉันต้องการ จำกัด เครื่องเฉพาะแอปพลิเคชัน

ฉันพยายามติดตั้ง Microsoft Family Safety แต่ฉันคิดว่าคุณต้องตั้งค่าด้วยตนเองสำหรับบัญชีที่ได้เข้าสู่ระบบแล้วในเครื่องที่กำลังติดตั้งและปัญหาคือเครื่องของเราทุกเครือข่ายและเรามีผู้ใช้จำนวนมากผ่าน Active Directory .

ขณะนี้เราใช้ "Fortres 101" / "Fortres Grand" แต่มันใช้งานไม่ได้และทำให้เกิดปัญหามากเกินไปมันเป็นเวอร์ชั่นเดโม / ทดลอง เรากำลังใช้งาน Windows XP และ Windows 7 ผสมผสานกัน แต่ถ้ามันใช้งานได้กับ Windows 7 เท่านั้นมันก็เจ๋งเหมือนกัน

windows-7  networking  active-directory  restrictions 
TheFrack
แหล่งที่มา
@ScottChamberlain: "ทุกเครื่องของเรามีเครือข่ายและเรามีผู้ใช้จำนวนมากผ่านทาง Active Directory"
SLaks
ไม่ใช่ทุกเครือข่ายฉันหมายถึง "ส่วนใหญ่" ขอโทษและฉันต้องการล็อคบัญชีที่ไม่ใช่เครือข่ายอื่น ๆ
TheFrack

คำตอบ:

0

ฉันใช้ pfsense ร่วมกับ Dansguardian เพื่อกรองอินเทอร์เน็ตได้สำเร็จ เป็นการตั้งค่าที่ไม่เจ็บปวดและนี่เป็นตัวเลือกฟรี ฉันไม่ได้ตั้งค่ารายการที่อนุญาต แต่ดูเหมือนว่าเป็นสิ่งที่คุณต้องการและเป็นตัวเลือกที่เสนอโดย Dansguardian

หรือคุณควรมีไฟร์วอลล์บางประเภทอยู่แล้วและหากเป็นเช่นนั้นคุณอาจใช้ผลิตภัณฑ์กรองเฉพาะไฟร์วอลล์ของคุณ

คุณมีสิทธิ์เข้าถึงเกตเวย์เริ่มต้นสำหรับเครื่องเหล่านี้หรือไม่ ถ้าเป็นเช่นนั้นคุณสามารถตั้งค่าพร็อกซีแบบโปร่งใสใน pfsense หากไม่มีคุณสามารถใช้นโยบายกลุ่มเพื่อตั้งค่ากล่อง pfsense เป็นพร็อกซีเซิร์ฟเวอร์

คุณควรมีซอฟต์แวร์ป้องกันไวรัสในสถานที่ นั่นจะเป็นสถานที่ที่ดีในการตั้งค่าข้อ จำกัด ของแอปพลิเคชัน ถ้าไม่คุณสามารถใช้นโยบายกลุ่มเพื่อตั้งค่าเหล่านั้นได้เช่นกัน นโยบายกลุ่มไม่ใช่ที่ที่ดีที่สุดในการพยายามกำหนดค่ารายการเว็บไซต์ที่อนุญาต คุณต้องการแยกพร็อกซีและข้อ จำกัด ของแอปพลิเคชันจริงๆ

Quinten
แหล่งที่มา
0

ไมโครซอฟท์มีรายชื่อของนโยบายกลุ่มสถานการณ์ทั่วไปใช้ GPMC นี่เป็นนโยบายแม่แบบบางอย่างที่คุณสามารถใช้ในโดเมนไดเรกทอรีที่ใช้งานของคุณเพื่อใช้เป็นจุดเริ่มต้นสำหรับล็อคเครื่องของคุณ จากสิ่งที่คุณ decribe ดูเหมือนว่าคุณต้องการMulti-Userแม่แบบ

ภาพรวมของสถานการณ์

ต่อไปนี้เป็นรายการสถานการณ์จำลองพร้อมกับตัวอย่างการใช้งานทั่วไป

จัดการเบา ๆ

ใช้สถานการณ์จำลองนี้สำหรับผู้ใช้ระดับสูงหรือนักพัฒนาที่ต้องการการควบคุมคอมพิวเตอร์เป็นจำนวนมาก นอกจากนี้คุณยังสามารถใช้สถานการณ์นี้ในองค์กรที่ผู้ใช้เดสก์ท็อปที่มีการจัดการอย่างแน่นหนาไม่ยอมรับหรือการจัดการเดสก์ท็อปได้รับมอบหมายอย่างสูง พร้อมกับสถานการณ์อื่น ๆ สถานการณ์จำลองที่ได้รับการจัดการที่เบานั้นสนับสนุนความปลอดภัยที่เพิ่มขึ้นและส่งเสริมความสอดคล้องของประสบการณ์ผู้ใช้ซึ่งทั้งสองอย่างนี้จะมีประโยชน์แม้ในกรณีที่เดสก์ท็อปที่มีการจัดการไม่แน่น

ภาพจำลองการจัดการที่เบามีลักษณะดังต่อไปนี้:

  • มีการจัดการน้อยที่สุดในทุกสถานการณ์
  • อนุญาตให้ผู้ใช้ปรับแต่งการตั้งค่าส่วนใหญ่ที่มีผลต่อพวกเขา แต่ป้องกันไม่ให้พวกเขาทำการเปลี่ยนแปลงระบบที่เป็นอันตราย
  • มีการตั้งค่าที่ช่วยลดค่าใช้จ่ายของแผนกช่วยเหลือและการหยุดทำงานของผู้ใช้
  • รองรับที่นั่งฟรีซึ่งหมายความว่าผู้ใช้สามารถนั่งลงที่คอมพิวเตอร์เครื่องใดก็ได้และเข้าถึงทรัพยากรแอปพลิเคชันและข้อมูลทั้งหมดราวกับว่าพวกเขานั่งอยู่ที่คอมพิวเตอร์ของตัวเอง สิ่งนี้ยังช่วยให้สถานการณ์การสำรองไฟล์ของคุณง่ายขึ้นเพราะไฟล์ของผู้ใช้จะถูกเก็บไว้ในเซิร์ฟเวอร์ไฟล์ที่กำหนด
  • โดยทั่วไปจะมีชุดแกนหลักของแอปพลิเคชันที่กำหนดให้กับผู้ใช้หรือคอมพิวเตอร์ซึ่งมีให้ใช้งานเสมอ ผู้ใช้ยังสามารถติดตั้งแอปพลิเคชันที่เผยแพร่ให้พวกเขาซึ่งพวกเขาสามารถเลือกที่จะติดตั้ง

โทรศัพท์มือถือ

สถานการณ์มือถือเกี่ยวข้องกับคอมพิวเตอร์พกพา / แล็ปท็อปและผู้ใช้ สถานการณ์นี้ให้ความสนใจเป็นพิเศษกับผู้ใช้ที่ถูกตัดการเชื่อมต่อซึ่งบ่อยครั้งต้องการทำงานออฟไลน์และ "ซิงโครไนซ์" ซ้ำอีกครั้งกับเครือข่ายองค์กร

สถานการณ์มือถือมีลักษณะดังต่อไปนี้:

  • สามารถใช้งานได้โดยผู้ใช้ที่อยู่นอกสำนักงานส่วนใหญ่เวลาที่เข้าสู่ระบบโดยใช้ลิงค์ความเร็วต่ำผ่านสายโทรศัพท์ แต่บางครั้งก็เข้าสู่ระบบโดยใช้ลิงค์เครือข่ายความเร็วสูง
  • นอกจากนี้ยังสามารถใช้งานโดยผู้ใช้ที่อยู่ห่างจากสำนักงานเป็นครั้งคราวเท่านั้นและผู้ที่เข้าสู่ระบบโดยใช้การเข้าถึงระยะไกลหรือการเชื่อมโยงเครือข่ายระยะไกล
  • อนุญาตให้ผู้ใช้เข้าถึงข้อมูลและการตั้งค่าการกำหนดค่าอย่างต่อเนื่องไม่ว่าจะเชื่อมต่อคอมพิวเตอร์หรือยกเลิกการเชื่อมต่อจากเครือข่าย
  • สนับสนุนบางส่วนที่นั่งฟรี (สามารถเลือกที่จะรองรับที่นั่งฟรีเต็มรูปแบบ) เพื่ออำนวยความสะดวกในการสำรองข้อมูลจากส่วนกลางและเพื่อให้ผู้ใช้สามารถเข้าถึงข้อมูลและการตั้งค่าที่สำคัญจากคอมพิวเตอร์เพิ่มเติม
  • ช่วยให้ผู้ใช้สามารถตัดการเชื่อมต่อจากเครือข่ายโดยไม่ต้องออกจากระบบหรือปิด

ผู้ใช้หลายคน

ใช้สถานการณ์นี้ในห้องปฏิบัติการคอมพิวเตอร์ในมหาวิทยาลัยหรือห้องสมุดที่ผู้ใช้สามารถบันทึกการปรับแต่งบางอย่างเช่นภาพพื้นหลังเดสก์ทอปและการตั้งค่าโทนสี แต่ไม่ได้รับอนุญาตให้เปลี่ยนการตั้งค่าฮาร์ดแวร์หรือการเชื่อมต่อ

สถานการณ์จำลองผู้ใช้หลายคนมีลักษณะดังต่อไปนี้:

  • อนุญาตการปรับแต่งพื้นฐานของสภาพแวดล้อมเดสก์ทอป ผู้ใช้สามารถบันทึกการกำหนดค่าเดสก์ท็อป แต่ไม่สามารถกำหนดการตั้งค่าเครือข่ายฮาร์ดแวร์และระบบได้เอง
  • รองรับที่นั่งฟรี ผู้ใช้สามารถเข้าสู่คอมพิวเตอร์เครื่องใดก็ได้และรับข้อมูลและการตั้งค่า ไม่มีการเก็บแคชไว้ในคอมพิวเตอร์เมื่อออกไป
  • ผู้ใช้มีการ จำกัด การเข้าถึงเขียนในคอมพิวเตอร์เฉพาะที่และสามารถเขียนข้อมูลไปยังโปรไฟล์ผู้ใช้และไปยังโฟลเดอร์ที่ถูกเปลี่ยนเส้นทาง
  • มีชุดแอปพลิเคชั่นที่พร้อมใช้งาน (มอบหมาย) ตลอดจนแอปพลิเคชันที่สามารถติดตั้งและลบออกได้ตามต้องการ (เผยแพร่)
  • มีความปลอดภัยสูง

AppStation

สถานการณ์ของ AppStation จะใช้เมื่อคุณต้องการการกำหนดค่าที่ จำกัด อย่างมากด้วยแอปพลิเคชั่นเพียงไม่กี่ตัว ใช้ภาพจำลองนี้ในแอปพลิเคชัน "แนวตั้ง" เช่นการตลาดการอ้างสิทธิ์และการประมวลผลสินเชื่อและสถานการณ์การบริการลูกค้า

สถานการณ์ของ AppStation มีลักษณะดังต่อไปนี้:

  • อนุญาตให้ผู้ใช้กำหนดเองได้น้อยที่สุด
  • อนุญาตให้ผู้ใช้เข้าถึงแอปพลิเคชันจำนวนเล็กน้อยที่เหมาะสมกับบทบาทงาน
  • ไม่อนุญาตให้ผู้ใช้เพิ่มหรือลบแอปพลิเคชัน
  • รองรับที่นั่งฟรี
  • จัดเดสก์ท็อปและเมนูเริ่มอย่างง่าย
  • ผู้ใช้มีการ จำกัด การเข้าถึงเขียนในคอมพิวเตอร์เฉพาะที่และสามารถเขียนข้อมูลไปยังโปรไฟล์ผู้ใช้และไปยังโฟลเดอร์ที่ถูกเปลี่ยนเส้นทาง
  • มีความปลอดภัยสูง

TaskStation

ใช้สถานการณ์ของ TaskStation เมื่อคุณต้องการคอมพิวเตอร์เพื่อใช้งานแอพพลิเคชั่นเดียวเช่นบนพื้นการผลิตเป็นเทอร์มินัลสำหรับป้อนคำสั่งซื้อหรือในศูนย์บริการ

สถานการณ์ของ TaskStation คล้ายกับสถานการณ์ของ AppStation โดยมีการเปลี่ยนแปลงดังต่อไปนี้:

  • ติดตั้งแอปพลิเคชั่นเดียวเท่านั้นซึ่งจะเริ่มโดยอัตโนมัติเมื่อผู้ใช้เข้าสู่ระบบ
  • ไม่มีเดสก์ท็อปหรือเมนูเริ่มปรากฏขึ้น

ร้านเล็ก

ใช้สถานการณ์นี้ในพื้นที่สาธารณะเช่นในสนามบินที่ผู้โดยสารเช็คอินและดูข้อมูลเที่ยวบินของพวกเขา เนื่องจากโดยทั่วไปจะไม่ต้องใช้คอมพิวเตอร์จึงต้องมีความปลอดภัยสูง

สถานการณ์จำลอง Kiosk มีคุณสมบัติดังต่อไปนี้:

  • เป็นเวิร์กสเตชันสาธารณะ
  • รันแอปพลิเคชันเดียวเท่านั้น
  • ใช้บัญชีผู้ใช้เดียวและเข้าสู่ระบบโดยอัตโนมัติ ระบบจะรีเซ็ตเป็นสถานะเริ่มต้นโดยอัตโนมัติเมื่อเริ่มต้นแต่ละเซสชัน
  • ทำงานแบบอัตโนมัติ
  • มีความปลอดภัยสูง
  • ใช้งานง่ายไม่มีขั้นตอนการเข้าสู่ระบบ
  • ไม่อนุญาตให้ผู้ใช้ทำการเปลี่ยนแปลงการตั้งค่าเริ่มต้นของผู้ใช้หรือระบบ
  • ไม่บันทึกข้อมูลลงดิสก์
  • เปิดอยู่เสมอ (ผู้ใช้ไม่สามารถออกจากระบบหรือปิดเครื่องคอมพิวเตอร์)

เวิร์กสเตชันที่ใช้สถานการณ์จำลอง Kiosk นั้นคล้ายกับ TaskStation แต่ผู้ใช้ไม่ระบุชื่อซึ่งพวกเขาทั้งหมดแชร์บัญชีผู้ใช้เดียวที่เข้าสู่ระบบโดยอัตโนมัติเมื่อเริ่มต้นคอมพิวเตอร์ สิ่งนี้สามารถทำได้โดยการปรับเปลี่ยนเครื่อง Kiosk ในลักษณะที่อธิบายไว้ในเอกสารนี้ ไม่สามารถกำหนดเองได้และไม่มีสถานะผู้ใช้ใด ๆ

แม้ว่าโดยปกติเซสชันผู้ใช้จะไม่ระบุชื่อผู้ใช้สามารถเข้าสู่ระบบบัญชีเฉพาะแอปพลิเคชันเช่นแอปพลิเคชันบนเว็บผ่าน Internet Explorer (สมมติว่า Internet Explorer เป็น "แอปพลิเคชันคีออสก์" ที่เปิดตัวเมื่อเริ่มต้น)

แอปพลิเคชันเฉพาะอาจเป็นแอปพลิเคชัน Line of Business (LOB) แอปพลิเคชันที่โฮสต์ใน Internet Explorer หรือแอปพลิเคชันอื่นเช่นแอปพลิเคชันที่มีอยู่ใน Microsoft Office แอปพลิเคชันเริ่มต้นไม่ควรเป็น Windows Explorer หรือแอปพลิเคชันที่คล้ายกับเชลล์อื่น ๆ Windows Explorer อนุญาตให้เข้าถึงคอมพิวเตอร์ได้มากกว่าที่เหมาะสมสำหรับคอมพิวเตอร์ Kiosk ตรวจสอบให้แน่ใจว่าพรอมต์คำสั่งถูกปิดใช้งานและไม่สามารถเข้าถึง Windows Explorer จากแอปพลิเคชันที่คุณใช้เพื่อจุดประสงค์นี้

แอปพลิเคชันที่ใช้สำหรับสถานการณ์ของคีออสก์ควรได้รับการตรวจสอบอย่างรอบคอบเพื่อให้แน่ใจว่าไม่มี "ประตูหลัง" ที่อนุญาตให้ผู้ใช้หลีกเลี่ยงนโยบายระบบ ตัวอย่างเช่นพวกเขาไม่ควรอนุญาตให้ผู้ใช้เข้าถึงแอพพลิเคชั่นที่เข้าถึงระบบไฟล์ ตามหลักการแล้วคุณควรใช้แอปพลิเคชันที่สอดคล้องกับ“ ข้อกำหนดแอปพลิเคชันสำหรับ Windows 2000” ได้รับการรับรองสำหรับ Windows และการตรวจสอบการตั้งค่านโยบายกลุ่มก่อนที่จะอนุญาตให้ผู้ใช้เข้าถึงคุณลักษณะที่ต้องห้าม แอปพลิเคชันที่เก่ากว่าจะไม่รับรู้นโยบายกลุ่มดังนั้นพยายามปิดใช้งานคุณลักษณะใด ๆ ที่อนุญาตให้ผู้ใช้ข้ามนโยบายการดูแลระบบ

รายการรีจิสทรีRunและRunOnceถูกปิดใช้งานในสถานการณ์ Kiosk ผ่านการตั้งค่านโยบายที่เกี่ยวข้อง

สกอตต์แชมเบอร์เลน
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.