Jest to kolejna (i zarazem ostatnia) część cyklu artykułów dotyczących narzędzia firmy z Redmond - Steady State. W niniejszym opracowaniu napiszę o jego konkretnym zastosowaniu w kilku różnych od siebie środowiskach. Nie omówię jednak ich funkcji i działania, gdyż o tym można przeczytać w poprzedniej części (link na dole artykułu), natomiast tutaj skupię się na opisaniu tego, co najlepiej wybrać w danej sieci.

Biblioteka

Moim zdaniem omawiane oprogramowanie będzie miało naprawdę duże zastosowanie na "komputerach publicznych", takich jak choćby te, z których można swobodnie korzystać np. w bibliotekach miejskich. Oczywiście, jego wykorzystanie nie będzie miało znaczenia dla pani bibliotekarki, ale będzie miało dla komputerów, które zostają ustawiane w tych pomieszczeniach coraz częściej obok książek, umożliwiając dostęp do Internetu. Korzystają z nich znaczne ilości osób w celu sprawdzenia poczty przez WWW, w poszukiwaniu informacji do pracy, itd.

Z punktu widzenia osoby, która będzie przygotowywała takie środowisko do działania, mają to być komputery, które powinny się tylko i wyłącznie włączyć/wyłączyć i zapewniać możliwość przeglądania zasobów Internetu przy zachowaniu maksymalnego poziomu bezpieczeństwa oraz uruchomienia edytora tekstu czy arkusza kalkulacyjnego i zapisaniu danych - tylko do czasu restartu.

Na komputerach na pewno przyda się włączenie wszystkich ustawień z menu Set Computers Restrictions. No może nie wszystkich, nie powinniśmy zaznaczać blokowania urządzeń USB (Prevent write access to USB storage devices), bo co przyjdzie użytkownikowi takiej maszyny, jeżeli napisze coś w Wordzie, później sformatuje tekst, po czym okaże się że nie może tego nigdzie zapisać? Nic. Ale na 100% musimy zaznaczyć Prevent users from creating folders and files on drive C:\ myślę, że z wiadomych względów.

Następną zakładką jest Schedule Software Updates, jednak tutaj przy instalowaniu aktualizacji pojawi się problem związany z następnym menu Protect the Hard Disk. Niestety, aktualizacje muszą być instalowane „ręcznie" przez administratora, ponieważ ochrona dysku, która zostanie włączona, będzie cofała wszystkie zmiany - w tym również aplikowane poprawki. Moim zdaniem lepiej jest włączyć ochronę dysku niż instalować aktualizacje, a jeżeli admin będzie pamiętał o aktualizowaniu, to nie będzie problemu.

Podsumowując, nie należy włączać instalowania aktualizacji, ponieważ wszystkie zmiany, które zostaną wykonane przez poprawki (jak i inne operacje, które uda się wykonać pomimo obostrzeń), zostaną cofane. Aby uruchomić ochronę dysku, wybieramy opcję Remove all changes at restart. Przed rozpoczęciem instalowania poprawek oraz aplikacji administrator powinien tymczasowo wybrać opcję Retain all changes permamently. Wszystkie zmiany wykonywane w trybie Retain all... pozostaną, nawet jeżeli później z powrotem włączymy Remove all...

A więc Global Computer Settings mamy już omówione. Teraz przejdziemy do skonfigurowania idealnie ograniczonego użytkownika, a potem - zgodnie ze wskazówkami z pierwszej części artykułu - jeżeli mamy więcej komputerów w naszej sieci, należy wyeksportować to konto do pliku i załadować je na innych komputerach. Global Computer Settings nie zostaną przeniesione, należy je ponownie ustawić na każdym komputerze!

Po utworzeniu użytkownika odznaczamy Log off after,

gdyż komputery w bibliotece będą najprawdopodobniej włączone przez cały czas otwarcia, a przyda się zaznaczenie Lock profile to prevent the user from making permanent changes. W następnej zakładce wybieramy High restrictions, jednak dokonujemy małej modyfikacji i odznaczamy Prevent AutoPlay on CD, DVD, and USB driver, aby ułatwić użytkownikom odczyt i zapis danych na pendrive.

Drugą modyfikacją, jaka powinna zostać wykonana, to Remove the shutdown button. Następnie w menu Hide Drives odznaczamy nasze dyski lokalne.

Sądzę, że w karcie Feature Restrictions najodpowiedniejszą opcją będzie High restrictions.

Karta Block Programs pozostaje do skonfigurowania według konkretnego specyficznego środowiska.

Mała firma

Steady State znajdzie też zastosowanie w małych firmach i środowiskach, gdzie koszt wdrożenia Windows Server jest zbyt duży, a wysoki poziom stabilności systemu oraz występujących incydentów i problemów musi pozostać na niskim poziomie. Jest to środowisko zupełnie inne od wspomnianej przykładowej biblioteki. Tutaj użytkownik musi mieć prawo do zapisu danych na pulpicie, w katalogach na dysku, dostępu do RSS w przeglądarce, a dane nie powinny być usuwane przy każdym restarcie maszyny. Wyjątek stanowią na przykład pracownicy zatrudnieni na dany okres czasu do pracy przy jakimś projekcie - w takim wypadku powinno się zastosować opcję wyczyszczenia i przywrócenia danych z określoną datą (opcja Retain changes temporarily).

W menu Set Computer Restrictions możemy wyłączyć ekran powitalny i zastąpić go klasycznym CTRL+ALT+DEL - posłuży do tego odznaczenie opcji Turn on the Welcome screen (Windows XP only). Odnośnie opcji dotyczącej pamięci masowych USB, to zależy, czy użytkownik ma dostęp do danych, które nie powinny zostać wyniesione z firmy, ale należy pamiętać, że zawsze można je wysłać mailem, itd.

W menu dotyczącym aktualizacji systemu najlepiej będzie wybrać instalowanie aktualizacji codziennie o wybranej przez nas godzinie, a jeżeli nasz program antywirusowy jest kompatybilny z SS, to zaleca się ustawienie Security Program Updates. Custom Updates przyda się, jeżeli w systemie wystąpi jakieś oprogramowanie, a producent dodaje do niego na przykład skrypt w *.bat odpowiedzialny za aktualizacje.

Jak już wspomniałem, opcję Protect the Hard Disk raczej pozostawiamy wyłączoną.

Po utworzeniu użytkownika powinniśmy odznaczyć Log off after. W Windows Restrictions zastosowałbym Custom restrictions, ponieważ żaden z predefiniowanych trybów pracy moim zdaniem nie jest optymalny dla tego środowiska. High wprowadziłby zbyt duże ograniczenia, Medium oraz Low ograniczają na przykład dostęp do ikony Moich Dokumentów, która jest używana przez znaczną liczbę użytkowników. Tryb Custom pozwoli nam na zadecydowanie, czy użytkownicy mogą korzystać z nagrywania płyt, dostępu do Panelu Sterowania, Menadżera Zadań, konsoli MMC, itd. Przy menu Hide Drives najlepiej będzie, aby w systemie były dwie partycje. Taka konfiguracja pozwoli nam na ukrycie C, a Moje Dokumenty można przenieść na drugą partycję - na przykład D.

Przedostatnia karta Feature Restrictions pozwala nam na dostosowanie ustawień Internet Explorera i Office'a. Należałoby zablokować dostęp do opcji w IE, a zezwolić na przykład na dostęp do RSS (oczywiście tylko jeżeli na komputerze Internet Explorer jest w wersji 7). Dokładne opcje powinny zostać dostosowane do konkretnego środowiska. W Home Page można ustawić stronę naszej firmy lub jeżeli taka występuje - witrynę intranetową.

W szkole

Trzecim środowiskiem, w którym można zastosować Steady State może być szkoła. W szkołach na poziomie podstawówki i gimnazjum, gdzie zazwyczaj występują dwie sale komputerowe, a uczniowie nie mają własnych profili, to SS okaże się niezastąpiony.

Restrykcje dotyczące Global Computer Settings moim zdaniem powinny być takie same, jak w przypadku scenariusza „Mała firma". Co do pozostałych opcji, powinniśmy zablokować dostęp do urządzeń USB - chodzi tutaj głównie o przynoszenie nielegalnych gier, itd. Z pozostałych opcji możemy ukryć dysk C, zablokować dostęp edycji ustawień przeglądarki itp. według uznania administratora.

Linki

Steady State jako pomoc w środowisku bez Active Directory cz.1

Podsumowanie

Jest to ostatnia część cyklu artykułów dotyczących Microsoft Steady State. Jak można zauważyć, jest to narzędzie bardzo pomocne i nie do zastąpienia w niektórych środowiskach.

Autor:

Krystian Kleiber
Traktujący informatykę jako hobby oraz przyszły zawód. Uczeń Technikum Komunikacji w Poznaniu.