Nyissuk fel a motorháztetőt II.

5. Beállítások módosításának tiltása: ne tudják elállítgatni az időt, dátumot, képernyőfelbontást, gyakorlatilag semmit

Ehhez ismét a csoportházirend szerkesztőre, a gpedit.msc-re lesz szükségünk.

Ha megnyitottuk, menjünk a Felügyeleti sablonokban a Vezérlőpultba, és ott tiltsuk a Vezérlőpult elérését (Vezérlőpult elérésének tiltása).

Vezérlőpult és sok minden egyéb tiltása.

Ezzel gyakorlatilag egy raklapnyi beállítást máris tiltottunk, felsorolni is nehéz lenne. Ami most minket érdekel és fontos: ezután már sem az idő, sem a dátum nem módosítható, de már a képernyőfelbontást sem tudják elpiszkálni rögtönzött "rendszergazdáink", akik mondjuk 10 évesek és azt játsszák, hogy az ő feladatuk a számítógép elpiszkálása.

Nincs hatással viszont a vezérlőpult tiltása pl. a nyomtatók kezelésére, ezért a Nyomtató hozzáadását is célszerű tiltani a Nyomtatók mappán belül, ha szeretnénk elkerülni, hogy illetéktelenek a hálózaton található megosztott nyomtató valamelyikét telepítsék és oda nem engedélyezett nyomtatást küldjenek. Ez sajnos néha megesik, gyerekek szeretnek ezzel játszani nagyobb intézményekben, ahol nincs ez normálisan belőve, és így egy-egy nyilvános gépen hozzáadják az elérhető összes megosztott nyomtatót, amik ráadásul nincsenek jelszóval védve, aztán mindenféle szépségeket küldenek pl. a titkárnő, vagy akár az igazgatónő nyomtatójára.

6. Parancssorhoz való hozzáférés tiltása: parancssorból sok minden okosság végezhető

Tiltsuk a parancssorhoz való hozzáférést a már megismert Csoportházirend szerkesztőben. A Rendszer címszó alatt találjuk. Sok hozzáfűzni valóm nincs, sok kellemetlenségtől megmenthetjük magunkat, ha tiltjuk.

Ha letiltott parancssort akarunk indítani, ez azt üzenetet kapjuk:

7. Feladatkezelő elérésének tiltása: innen is futtatható sok minden és egyéb visszaélések melegágya lehet

Egyik legfontosabb oka a tiltásnak, hogy nem kell, hogy lássák idegen, utcáról betérő emberek, hogy mik futnak a gépeinken. Futhatnak olyan alkalmazásaink, amihez senkinek semmi köze, vagy ami szükséges a mi egyedi, akár speciális programokat futtató netkávézós gépeinkhez. Ilyen ez a korábban bemutatott saját alkalmazásom (LINK), amihez szükség van egy kliensprogramra, ami fut minden gépen. Ennek processze látható a feladatkezelőben, és mivel csak úgy tudtam megoldani, hogy sima felhasználói jogokkal fusson, így a feladatkezelőben ki is lehetne lőni, ha engedném a feladatkezelő futtatását. De mivel nem engedélyezem és mivel a program semmilyen egyéb életjelet nem mutat (sem a tálcán, sem az óra mellett sincs ikonja), így már nem tudják a felhasználók kilőni.

Továbbá, ami miatt fontos a tiltása, hogy ne tudja bárki kedvére állítgatni a processzek prioritását, amivel esetleg instabillá válna a rendszerünk.

8. Megadott időben automatikusan leálljanak a gépek: véletlenül se maradjon éjszakára bekapcsolt gép

Ehhez a Feladatütemező alkalmazásra lesz szükségünk, ami megtalálható alapból a Windowsban. A Feladatütemező használatára most nem térek ki, annak használata azért kíván némi "előképzettséget", de viszonylag egyszerű és egyértelmű.

Ami a lényeg, hogy kell egy bat fájlt készítenünk hozzá, azt fogja meghívni a Feladatütemező a megadott idő(k)ben.

Ehhez készítsünk a gépünkön egy shutdown.bat fájl, a tartalma legyen ez:

shutdown -s -f -t 60 -c "Az Internetkávézó most bezár! Köszönjük, hogy vendégünk volt"

Mentsük el, majd a Feladatütemezőben a szükséges időpontokra beállítva elkészíthetjük az ütemezést. Nálunk minden nap 19:05-kor állnak le így a gépek.

Fontos! Csak akkor működik, ha rendszergazdai fiókkal hozzuk létre a jobot, hiába sima felhasználóval bejelentkezett gépet akarunk lelőni.

Megszakítható-e a leállítás folyamata?

Röviden: igen. Hosszabban: nem olyan egyszerűen. Vagyis: néha van olyan, hogy épp ott ülünk a gép előtt és dolgozunk rajta, amikor az orrunk elő böki a gép a leállítás ablakát. A parancsfájlban a "-t 60" kapcsolóval megadtuk ugyanis, hogy 60 másodperc után le fog állni a gép, a leállítás folyamata nem szakítható meg a párbeszéd panelon gomb segítségével.

Kétségbe azért nem kell esni, ha elég gyorsak vagyunk, egy parancssorban elejtett "shutdown -a" parancs leállítja a leállítás folyamatát. Ehhez viszont rendszergazdai jogokkal rendelkező parancssorra van szükségünk.

TIPP: az is jó, ha fut épp egy Total Commander rendszergazdai joggal, abban is kiadhatjuk a fenti parancsot.

9. Minden gép egy helyre dolgozzon: a gépek Dokumentumok mappája egy szerverre van irányítva

Ez kényelmi szempontból előnyös. Ha tíznél több gépünk van, nagyon kényelmetlen és időigényes, ha egyesével kell végigböngésznünk a gépeket, fizikailag odaülve eléjük, hogy miket töltögettek le, stb. Ha viszont minden gép egy adott helyre dolgozik, persze egymástól elkülönítve, akkor egy admin gép előtt ülve láthatjuk az összes gép "tartalmát". Szépen végigtallózhatjuk a gépek Dokumentum mappáit és a felesleges dolgokat törölhetjük. Arra kell csak ügyelnünk, hogy azért egymás mappáit ne lássák a gépek: nem kell, hogy Józsika az 1-es számú gépen lássa, hogy Pistike a 2-es számú gépen miket töltögetett le, vagy épp milyen dokumentumokkal dolgozik. Ehhez egy megfelelően konfigurált Samba szerver kell csak, vagy ha Windows a fájlszerverünk, akkor ott megfelelő jogosultságokat kell beállítanunk. Ennek részletezésére ezen cikk keretein belül most sajnos nem tudok kitérni.

Nálam valahogy így néz ki (Total Commanderrel nézve) a nyilvános gépek listája, illetve azok Dokumentumait és letöltéseit tartalmazó mappái:

Amelyik gép fájljaira kíváncsi vagyok, egyszerűen csak "belelépek",
mintha egy helyi mappám lenne a saját gépemen.

Ahogy fentebb írtam, így ömlesztve az összes gépet korlátlanul csak én tudom böngészni, a gépeknél ülők csak a saját fájljaikat, mappáikat látják, illetve a szándékosan megosztott, egyéb helyen lévő tartalmakat.

A cikk még nem ért véget, kérlek, lapozz!