Definizione di una politica globale di rete

  

Di solito in una scuola la gestione delle dotazioni informatiche è affidata ad un docente. Spesso questo docente è quello che, nella scuola, ha le competenze maggiori, ma non è certo un sistemista professionale. Questo limite non può e non deve scoraggiare, ma se il responsabile è dotato di buona volontà e di un po' di tempo disponibile, la gestione della rete può rilevarsi un'attività interessante.

Diverso è il discorso delle scuole che affidano ad esterni la gestione delle dotazioni informatiche e, quindi della rete. Questa è, a mio avviso, una situazione assolutamente da evitare, in quanto ogni piccolo intervento o modifica sarà oneroso per la scuola, oltre per il fatto che così si è in mano a persone che, spesso, si rivelano molto inaffidabili.

Meglio provare a fare da sè.

La prima cosa da fare è definire chiaramente quale debba essere la politica di gestione ed utilizzo della rete. Questo processo, che deve essere proposto dal docente amministratore di rete e condiviso dai docenti utilizzatori, è fondamentale e, in un certo senso, irreversibile, in quanto è spesso difficile cambiare aspetti sostanziali in corso d'opera.

Il mio consiglio è quello di prevedere:

  • Che tipologie di utenti implementare

  • Quali permessi concedere ai diversi tipi di utente

  • Quali attività verranno svolte in rete ?

  • Quale livello di sicurezza implementare ?

Tipologie di utenti e permessi

In una rete scolastica, di norma, esistono tre livelli di utenti: gli amministratori, i docenti (definizione qui estendibile al personale ATA) e gli studenti.

Gli amministratori

Gli amministratori sono utenti necessari e predefiniti e inseriti in un gruppo globale (Domain Admins) ed in un gruppo locale al dominio (Administrators). Buone regole, valide anche in ambiente scolastico, sono:

  • Che l'Amministratore sia preferibilmente uno solo, che il suo account sia estremamente protetto, partendo dal rinominare l'account Administrator, a regole di password complesse.

  • Che l'Amministratore utilizzi l'accesso amministrativo solo per questo scopo e non, ad esempio, per le sue attività di docente.

I Docenti

Ogni docente deve essere dotato di account personalizzato. La convenzione per definire tale account potrebbe essere quella nome.cognome. Al docente possono essere concessi alcuni privilegi, quali ad esempio la modifica del proprio desktop, ma negate alcune funzioni superiori, quali ad esempio l'installazione di software, la modifica di configurazioni delle macchine.

L'esperienza insegna che molti colleghi, in modo assolutamente colposo, hanno recato gravi danni alla rete o a singoli computer magari solo installando qualche software che abbia interferito col sistema. Ugualmente problemi sono stati rilevati perchè alcuni hanno modificato impostazioni dei client in modo improvvido.

L'installazione di software ed, eventualmente, di hardware deve essere competenza esclusiva dell'Amministratore che, eventualmente, può delegarla dei power users che possono essere definiti.

Gli Studenti

Qui non ci sono dubbi: gli studenti devono avere il minimo di permessi possibile, anzi se possibile anche meno...

Non potranno, quindi, ad esempio:

  • Installare software ed hardware.

  • Accedere al pannello di controllo e alle impostazioni del desktop.

  • Accedere in locale alle macchine, ma solo attraverso validazione da parte del server.

  • Sfogliare la rete, ma solo vedere le unità o le cartelle appositamente mappate dall'Ammnistratore.

  • Accedere a condivisioni del server che non siano quelle strettamente necessarie.

  • Utilizzare il prompt di MSDOS, il comando Cerca ed il comando Esegui.

  • Modificare le impostazioni della o delle stampanti.

  • Utilizzare l'editor di registro (Regedit).

Essi dovranno:

  • Avere un accesso personalizzato, ovvero ogni studente con il proprio account e password segreta

  • Avere un profilo comune bloccato.

  • Avere un desktop ed un Menu Avvio comune e non modificabile.

  • Avere una cartella personale su un fileserver, al quale possa fare accesso solo lo studente stesso, l'Amministratore ed eventualmente qualche docente.

  • Avere una quota disco per la cartella personale, ovviamente posta in un volume NTFS.

  • Essere responsabilizzato al massimo ed informato che tutte le attività verranno registrate nei log di sistema ed utilizzate, eventualmente, in caso di non rispetto delle regole.
     

Quali attività verranno svolte in rete ?

La definizione delle attività in rete è anch'essa prioritaria per definire la struttura del dominio e i livelli di sicurezza da implementare. In questo bisogna tener anche conto della tipologia di scuola. In una scuola elementare o media inferiore le problematiche sono ben diverse rispetto una scuola superiore, sia per l'età dell'alunno, sia per le attività che deve svolgere.

Parimenti la tipologia di scuola superiore ha importanza. Un liceo classico avrà necessità diverse rispetto un ITIS ad indirizzo informatico e, di conseguenza, i livelli di sicurezza ed i permessi concedibili agli utenti sono ben diversi.

Compito dell'Amministratore, di concerto con i docenti utilizzatori, è proprio quello di definire il modello pertinente alla propria scuola.
 

Quale livello di sicurezza implementare ?

Stabilito il modello di cui sopra, è necessario definire gli standard di sicurezza. La sicurezza è uno degli aspetti più importanti di una rete, ma paradossalmente, potrebbe essere ignorata. Le reti a dominio Windows 2000/2003, infatti, partono dal concetto che tutto è permesso e che solo restringendo questi permessi è possibile alzare il livello di sicurezza.

Se il dominio è creato, se sono definiti un certo numero di utenti, ma non è applicata alcuna politica di sicurezza, ognuno potrà fare quello che vuole a livello dei client, al limite demolirne le impostazioni.

Un'altra considerazione preliminare è che un modello di sicurezza valido può essere implementato solo se i client sono con sistema operativo Windows 2000 professional, Windows XP professional, entrambi con file system NTFS. Un livello minore, anche se già accettabile può essere attivato per client Windows NT4 workstation.

Client Windows 95, 98 e Me non soddisfano i requisiti minimi di sicurezza, per cui è possibile solo attivare alcune impostazioni di base, utili ma, comunque, facilmente superabili da un pur modesto smanettone.

Non ho citato Windows XP Home edition in quanto questa versione del sistema operativo non può essere client di un dominio Windows 2000/2003. Purtroppo capita anche che qualche scuola, magari per risparmiare poche decine di euro, acquisti computer con preinstallato Windows XP home per metterli in rete.

Lo schema di come costruire uno o più modelli di sicurezza, ovvero quali siano i tools da utilizzare, è questo:

Sistema operativo Tool
Windows 95 Poledit (per Windows 9x)
Windows 98 Poledit (per Windows 9x)
Windows Me Poledit (per Windows 9x)
Windows NT4 Workstation Poledit (per Windows NT4)
Windows 2000 professional Criteri di gruppo
Windows 2000/2003 server
(come server membro)		 Criteri di gruppo
Windows XP professional Criteri di gruppo

Poledit è un tools che si trova nei CD di Windows 98 o in quello di Windows NT4 e consente la definizione di una policy semplice ma pur sempre utile. La creazione di policy per client Windows 9x è trattata in altro documento presente inq uesto sito.

Criteri di gruppo o group policy è uno strumento di Windows 2000/2003 server estremamente robusto che consente di definire, per i client Windows 2000 professional o Windows XP professional o per server membri delle policy estremamente granulari e robuste.

Di questo tratterò nelle pagine seguenti.

Indice Argomento

 

Aggiornato il: 18/11/2005 17.13.40

Istituto e Liceo Tecnico Statale di Chiavari - Dipartimento di ICT
 Via Castagnola 15A - Chiavari (Genova - Italia) 
tel. +390185324590  fax. +390185370106

 Informazioni legali