Hallo PcWereld,
Voor school ben ik samen met de leerkrachten bezig het netwerk van de school te beveiligen.
Momenteel is het gewoon een rommelige werkgroep van computers verspreid over verschillende lokalen.
Het plan is om tijdens de vakantie(s) het netwerk een beetje deftig in te richten, omdat er de laatste tijd veel misbruik is (van onder andere het remote shutdown commando). Ook circuleert er een programma genaamd "Admin Hack" dat het paswoord van de Administrator kraakt... Het is inmiddels ook in mijn handen terecht gekomen :s. Ook gaan leerlingen op het internet wanneer dit niet mag en wordt er onophoudelijk gebruik gemaakt van verschillende sociale netwerk-sites.
In elk geval, om dit soort dingen tegen te gaan is er sprake van het opzetten van een domein, samen met een domeincontroller (ja duh) gebaseerd op Windows Server 2003 aangezien de school daar reeds een licentie voor heeft. De computers zijn allen Windows XP.
Ons oog is ook al gevallen op dit artikel: Verbinding met Internet toestaan of weigeren voor gebruikers in
Active Directory met Squid proxy server. Hiermee gaan we het netwerkverkeer controleren, en dat zal ons wel lukken dankzij deze zeer uitgebreide handleiding.
Maar dat even terzijde, het belangrijkste is het beperken van de permissies van de leerlingen... Hoe krijgen we dat gedaan in Windows Server 2003? Bijvoorbeeld het beperken van het uitvoeren van commando's?
Ook dit: is er een mogelijkheid om elke leerling een netwerkshare toe te kennen op basis van gebruikersnaam?
Ik ben er van overtuigd dat er hier al mensen zijn die ervaring hebben met een Active Directory in een schoolomgeving. Ik dus niet... Dus schiet alle tips & trucs maar mijn richting uit!
Betreft de toegang
Na het joinen v/e computer(xp), zal je (uiteraard) met groepen moeten werken.
Leerlingen komen in een algemene groep (bv domain users).
Deze groep link je dan lokaal op de xp aan de groep gebruikers.
(typ maar even het commando net localgroup gebruikers op je xp machine in).
Domain Administrators komen dan weer in de lokale groep Administrators.
netwerkshare
Je kan voor iedere leerling een netwerkmap aanmaken.
Vervolgens kan je werken met een logonscript, die mbv een net use de netwerkshare gaat mappen.
Voorbeelden zijn er genoeg, bv deze link.
Het is wel belangrijk om de rechten altijd goed te zetten, zodat gebruikers niet aan elkaars persoonlijke netwerkmap kunnen(behalve als je juist een gemeenschappelijk drive wil maken).
De gebruikersnaam kan je bij de variabelen vinden (typ SET in dos en zoek op gebruiker/user).
Of je kan een echt script maken, zie voorbeeld op deze link.
Enfin, tot dusver enkele lossen gedachten om je op gang te helpen.
groeten,
Weazle
Vraagje: Moet je voor alle honderden leerlingen handmatig een share aanmaken, of kan dat ook automatisch op basis van gebruikersnaam ofzo?
En hoe doe je dit in de praktijk, lokale groepen met groepen in de AD linken?
Ik veronderstel dat de school wel één of andere database heeft met de namen van alle leerlingen erin, dus het lijkt me het handigst als je op basis daarvan een routine implementeert die dat doet. Op die manier worden nieuw ingeschreven leerlingen dan ook automatisch "toegevoegd" aan het netwerk.
In een volgende stap kan je dan controleroutines toevoegen die bv. nagaan wat voor types bestanden leerlingen opslaan, of die gebruikte capaciteit niet uit de hand loopt enz.
Als leerlingen andere sites bezoeken als bedoeld dan kan je daar vrees ik weinig aan doen. Het aantal niet-educatieve sites is onmogelijk te tellen laat staan hun ip's te blokkeren, en zelfs dan nog is het erg eenvoudig te omzeilen via webproxy's.
- Je computer moet in je domain gejoined zijn(dus uit de werkgroep)
- Wanneer je dan bij Gebruikers gaat kijken op de lokale machine(in computermanagment), dan kan je een groep toevoegen
- Je zal merken dat de 'locatie' je active directory domein is
Omdat één beeld meer dan 1000 woorden zegt.. Kijk eens op deze link.
De gui voor Xp/2003 is lichtjes anders maar het principe is hetzelfde.
Vele zaken ga je wel kunnen scripten, of zelfs gewoon voorgedefinieërde script voor kunnen gebruiken.
Kijk hiervoor even op http://www.microsoft.com/techn...x?mfr=true
groeten,
Weazle
Bedankt voor de reactie.
We hebben besloten een testomgeving van 1 lokaal op te zetten en wat te proberen met deze methodes.
Eventueel gaan we ook de hulp van de auteur van bovenstaand artikel inroepen aangezien hij hier zeer veel ervaring mee heeft, vooral met het opzetten van een proxy.
