Utenti locali bloccati

Come visto negli articoli relativi alla sicurezza di un dominio, in una rete scolastica è quanto mai auspicabile dotare gli studenti di profili bloccati, in modo che, ad ogni accesso, l'utente ritrovi sempre le stesse impostazioni.

A tale profilo bloccato dovranno afferire i profili di ciascun utente ed essere implementate policy di gruppo, secondo quanto scelto dall'Amministratore.

Se la scuola non dispone di un dominio, ma di una rete paritetica basata su client Windows 2000 professional o XP professional (non Windows XP Home Edition, per le note limitazioni), è possibile anche in questo caso creare un utente con profilo bloccato ed, eventualmente, inserirlo in un gruppo per il quale attivare una policy di gruppo locale.

Naturalmente l'operazione deve essere effettuata su tutti i client, per cui è fortemente consigliabile ragionare se sia il caso di attivare un server ed un dominio Windows 2000/2003 per razionalizzare la situazione.

Qualora ciò non fosse possibile, le procedure per la creazione di un utente con profilo bloccato sono simili a quelle utilizzabili in un dominio.

La prima cosa da fare è creare un nuovo utente. Per farlo è necessario cliccare col tasto destro sull'icona "Risorse del computer" e sceglierà il comando "Gestione".

Si aprirà la console di gestione del computer. Cliccando su "Utenti e gruppi locali" appariranno le voci "Users" e "Gruppi". Aprendo Users nella sezione destra della console appariranno gli utenti esistenti. Cliccando col tasto destro si potrà scegliere il comando "Nuovo utente".

A questo punto si creerà un utente con un nome a piacere, ad es. User1, e password a scelta. Una volta che l'utente creato apparirà sulla lista si cliccherà col tasto destro sul suo nome e si sceglierà il comando "Proprietà" e, di conseguenza, l'etichetta "Profilo".

In questa finestra si potrà indicare il percorso scelto per il profilo. Ad esempio se avremo precedentemente  creato una cartella "Profili" nel disco C:, indicheremo come percorso

C:\profili\%USERNAME%

ricordando che la variabile %USERNAME% significa "nome dell'utente".

Le procedure di cui sopra sono visualizzabili in questo filmato:

Cliccare per visualizzare il filmato

Completata la procedura si farà accesso come User1 e si modifichernno il desktop, il menu avvio e quant'altro, secondo le proprie necessità.

Al termine si disconnetterà l'utente User1 e si farà accesso con un utente Amministratore. Nella cartella "Profili" si troverà la cartella "User1" alla quale non si potrà fare accesso.

Infatti la cartella è di esclusivo accesso per l'utente, ma l'Amministratore può prenderne il possesso da "Proprietà" e "Protezione":

 e dando quindi permessi in lettura ad User1 e completi al gruppo Administrators:

In ultimo si tratterà di rendere "mandatory", ovvero bloccato, il profilo. Per questo è necessario cambiare l'estensione del file ntuser.dat in ntuser.man:

prestando la massima attenzione al fatto che, di solito, le estensioni dei file registrati non sono visibili. Il file NTUSER.DAT che appare non è il file da rinominare, in quanto è un file di log il cui nome esteso è NTUSER.DAT.LOG. Il file giusto è quello indicato nell'immagine.

A questo punto il profilo di User1 è bloccato e a ciascun riavvio si avrà la situazione di partenza.

Naturalmente questo è solo il punto di inizio. Il profilo creato può essere copiato in altra cartella e reso disponibile per un eventuale gruppo "studenti" che raccolga tutti gli studenti locali utenti. Questa procedura è simile a quella da utilizzare in un dominio, ma appare fortemente sconsigliabile a meno che un Amministratore non voglia replicare più utenti su diversi client.

Una seconda fase potrebbe essere la definizione di un criterio di gruppo locale per la gestione della sicurezza del computer, procedura praticamente simile a quella da seguire in un dominio.