服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 需要帮助locking许多联网的公共计算机
Intereting Posts
是否有支持与Active Directory集成的IRC服务器/客户端? 如何将sensu-client作为独立应用程序运行? (不依赖于rabbitmq) 如何在A / Btesting模式下部署Web应用程序 SBS报表显示严重错误事件,但在事件查看器中不显示 DS中有一个不一致的地方,build议你在一段时间内运行dcdiag,也许在不同的DC上运行 卷标和档案卷之间有什么区别? iRedmail,端口465 smtp不工作,似乎closures Apache mod_proxy将/位置更改为端口 mdadm:UUID的磁盘configuration SAS磁盘,红灯表示失败? SQLpipe理工作室无法连接到数据库—微软修复失败 即使进程明确运行,进程的CPU利用率秒数不会增加,这是什么意思? 我怎样才能用Amanda备份备份FreeNAS? 负载平衡器,EC2 – HTTPS连接 如何创build一个无权访问域控制器的受限“域pipe理员”?

需要帮助locking许多联网的公共计算机

有没有人知道任何types的系统locking/家长控制软件,将联网机器的用户可能或可能还没有在本地机器上设置帐户?

我正在为一个相对较大的公共部门工作,我需要阻止最重要的互联网访问,但只有less数网站。 作为一个加号,我也想限制机器到特定的应用程序。

我尝试安装微软家庭安全,但是我认为你必须手动设置它已经login在它正在安装的计算机上的帐户,问题是我们所有的机器都联网,我们有许多用户通过Active Directory 。

目前我们使用“Fortres 101”/“Fortres Grand”,但它不实用,而且带来太多的问题,它也是一个演示/试用版本。 我们正在使用Windows XP和Windows 7的组合,但是如果它只与Windows 7一起工作,那也是很酷的。

我已成功将pfsense与Dansguardian结合使用来进行Internet过滤。 是一个非常无痛的设置,这是一个免费的select。 我没有设置白名单,但是这听起来就是你想要的,而这是Dansguardian提供的一个选项。

或者,您应该已经安装了某种防火墙,如果有的话,您可以使用特定于防火墙的过滤产品。

你有权访问这些机器的默认网关? 如果是这样,你可以在pfsense中设置一个透明代理。 如果没有,您可以使用组策略将pfsense框设置为代理服务器。

你应该有反病毒软件。 这将是一个设置应用程序限制的好地方。 如果没有,您可以使用组策略来设置这些。 组策略不是尝试configuration允许网站列表的最佳位置。 你真的想分开代理和应用程序的限制。

Microsoft提供了使用GPMC的组策略常见scheme的列表。 这有几个模板策略,您可以在您的活动目录域中使用作为locking您的机器的起点。 从你描述的听起来就像你想要的Multi-User模板。

scheme概述

以下是与典型使用示例一起的场景列表。

轻松pipe理

对于需要对其计算机进行大量控制的高级用户或开发人员,请使用此scheme 您还可以在严格pipe理的桌面不被用户接受或桌面pipe理得到高度委派的组织中使用此scheme。 与其他情况一起,轻度pipe理scheme支持更高的安全性并提高用户体验的一致性,即使在pipe理严密的桌面不合适的情况下,这两种方法都可能是有益的。

轻度pipe理scheme具有以下特点:

  • 是所有情况下pipe理最less的。
  • 允许用户自定义影响他们的大多数设置,但防止他们进行有害的系统更改。
  • 包括减less帮助台成本和用户停机时间的设置。
  • 支持免费座位 ,这意味着用户可以坐在任何一台计算机上访问所有资源,应用程序和数据,就像坐在自己的电脑上一样。 这也简化了您的文件备份scheme,因为用户的文件都存储在指定的文件服务器上。
  • 通常有一组核心应用程序分配给用户或计算机,这些应用程序始终可用。 用户也可以安装为他们发布的应用程序,他们可以select安装。

移动

移动场景与移动/笔记本电脑及其用户有关。 这种情况下特别注意断断续续的用户,他们经常需要脱机工作,偶尔会与企业networking“重新同步”。

移动场景具有以下特点:

  • 可以由大多数时间不在办公室的用户使用,他们使用低速拨号链接login,但也偶尔使用高速networking链接login。
  • 也可以由仅偶尔离开办公室的用户使用,也可以使用远程访问或远程networking链接login。
  • 无论计算机连接到networking还是与networking断开,都允许用户连续访问其数据和configuration设置。
  • 部分支持免费座位(可以select支持全部免费座位),以方便集中数据备份,并使用户能够从其他计算机访问重要的数据和设置。
  • 允许用户在不注销或closures的情况下从networking断开连接。

多用户

在大学计算机实验室或库中使用此scheme,用户可以在其中保存一些自定义设置,如桌面墙纸和配色scheme首选项,但不允许更改硬件或连接设置。

多用户场景具有以下特征:

  • 允许对桌面环境进行基本的自定义。 用户可以保存桌面configuration,但不能自定义networking,硬件和系统设置。
  • 支持自由座位; 用户可以login到任何计算机并获取他们的数据和设置。 计算机离开时不保存caching状态。
  • 用户限制了对本地计算机的写入权限,只能将数据写入其用户configuration文件和redirect的文件夹。
  • 有一组始终可用(分配)的应用程序,以及可根据需要安装和删除(已发布)的应用程序。
  • 非常安全。

AppStation

只有less数应用程序需要高度受限制的configuration时才使用AppStationscheme。 在“垂直”应用程序中使用此业务情景,例如市场营销,理赔和贷款处理以及客户服务scheme。

AppStationscheme具有以下特征:

  • 允许用户最小的定制。
  • 允许用户访问less量适合其工作angular色的应用程序。
  • 不允许用户添加或删除应用程序。
  • 支持自由座位。
  • 提供简化的桌面和开始菜单。
  • 用户限制了对本地计算机的写入权限,只能将数据写入其用户configuration文件和redirect的文件夹。
  • 非常安全。

TaskStation

如果需要计算机专用于运行单个应用程序(如生产车间)作为订单的inputterminal或在呼叫中心,则可以使用TaskStationscheme。

TaskStationscheme与AppStationscheme类似,但有以下更改:

  • 它只安装了一个应用程序,在用户login时自动启动。
  • 没有桌面或“开始”菜单。

在公共场所使用此场景,例如在乘客登记并查看航class信息的机场。 由于计算机通常无人值守,因此需要非常安全。

信息亭场景具有以下特点:

  • 是一个公共工作站。
  • 只运行一个应用程序。
  • 仅使用一个用户帐户并自动login。 系统会在每个会话开始时自动重置为默认状态。
  • 运行无人看pipe。
  • 非常安全。
  • 操作简单,无需login程序。
  • 不允许用户更改默认用户或系统设置。
  • 不将数据保存到磁盘。
  • 始终打开(用户无法注销或closures计算机)。

使用Kiosk场景的工作站类似于TaskStation,但用户是匿名的,因为他们都共享一个用户帐户,可以在计算机启动时自动login。 这可以通过本文稍后介绍的方式修改Kiosk机器来实现。 不能进行自定义,也不保存用户状态。

虽然用户会话通常是匿名的,但用户可以通过Internet Explorer(假设Internet Explorer是在启动时启动的“kiosk应用程序”)login到特定于应用程序的帐户,例如到基于Web的应用程序。

专用应用程序可以是业务线(LOB)应用程序,在Internet Explorer中托pipe的应用程序或其他应用程序(如Microsoft Office中提供的应用程序)。 默认应用程序不应该是Windows资源pipe理器或任何其他类似shell的应用程序。 Windows资源pipe理器允许更多访问计算机比适合Kiosk计算机。 确保命令提示符被禁用,并且无法通过任何用于此目的的应用程序访问Windows资源pipe理器。

应该仔细检查用于信息亭场景的应用程序,以确保它们不包含允许用户规避系统策略的“后门”。 例如,他们不应该允许用户访问访问文件系统的应用程序。 理想情况下,您只能使用符合“Windows 2000应用程序规范”的应用程序,已通过Windowsauthentication,并在授予用户访问禁用function之前检查组策略设置。 旧的应用程序通常不会被组策略感知,因此请尝试禁用任何允许用户绕过pipe理策略的function。

通过关联的策略设置,在Kiosk场景中禁用registry项RunRunOnce