KaHo Sint-Lieven Campus BNS-OLVP Plezantstraat 157 9100 Sint-Niklaas
Beveiliging & configuratie van een computerklas
Eindwerk voorgedragen tot het bekomen van het diploma leraar secundair onderwijs – groep 1 door Tom Bogman Academiejaar 2000 - 2001
Promotor: Dhr. Peter Van der Eedt
1. Voorwoord Het laatste jaar van een opleiding staat gekend als het jaar van afstuderen, maar daarnaast ook als het jaar waarin de student een scriptie, eindwerk of thesis maakt. Als student 3de jaar leraar secundair onderwijs – groep 1 was het dus dit jaar ook mijn beurt om deze klus te klaren. Eén van mijn keuzevakken is het vak informatica, een vak dat de laatste jaren een sterke opgang kent, zowel in de bedrijfswereld als in het onderwijs. Sinds enkel jaren interesseer ik mij enorm voor dit vakgebied, zowel in mijn studies als in mijn vrije tijd. Het onderwerp voor mijn eindwerk wou ik dan ook graag in dit deelgebied uitwerken. De taak van een leerkracht informatica bestaat niet enkel uit het geven van de lessen informatica, heel vaak wordt hij of zij ook verantwoordelijke voor het onderhoud van de computerklas. Tijdens verschillende stagelessen merkte ik echter dat bij aanvang van de les verschillende computers dienst weigerden. Als eindwerk besliste ik dan om de mogelijkheden te gaan onderzoeken om het onderhoud van een computerklas tot een minimum te herleiden. In dit eindwerk hoop ik hiervoor een aantal mogelijkheden en oplossingen aan te bieden. Ik zou hier dan ook graag een dankwoord willen richten tot alle mensen die bijgedragen hebben bij het tot stand komen van dit eindwerk. Allereerst mijn promotor, Dhr. Van der Eedt bij wie ik terecht kon met vragen. Ook onze school KaHo St. Lieven Campus BNS-OLVP wil ik bedanken voor de beschikbare infrastructuur en computerhardware waarop ik dingen kon uittesten. Dank ook aan ouders, vriendin en collega-studenten voor de steun tijdens mijn studies. Als laatste ook een woord van dank aan de mensen van de website http://www.nt-admin.com, specifiek Dhr. Sven De Troch die me op weg hielp en alle andere mensen die dagelijks – al dan niet vrijwillig - honderden pagina’s met nuttige informatie beschikbaar stellen via het World Wide Web.
Eindwerk Tom Bogman
1
2. Inhoudsopgave 1. Voorwoord.........................................................................................................................p. 1 2. Inhoudsopgave....................................................................................................................p.2 3 Bedoeling van het eindwerk ................................................................................................p.3 4. Voor elke leerling een account aanmaken op de server ..................................................p.3-6 5. Homedirectory aanmaken..............................................................................................p.7-11 6. Mandatory profiles aanmaken .....................................................................................p.11-14 7. System policies ............................................................................................................p.14-22 8. Norton Ghost 2001 ......................................................................................................p.22-25 9. Stop-It ..........................................................................................................................p.26-30 10. Service packs en patches ...........................................................................................p.30-31 11. Meer geavanceerde mogelijkheden ...........................................................................p.31-32 12. Het besluit......................................................................................................................p. 33 13. Literatuuropgave........................................................................................................p.34-35 14. Praktisch deel..................................................................................................................p.36
Eindwerk Tom Bogman
2
3. Bedoeling van het eindwerk Dat de computer en ICT-toepassingen in het algemeen steeds meer aan belang winnen hoef ik hier ongetwijfeld niet uit te leggen. Computers bieden ons heel wat extra mogelijkheden voor de verschillende vakken. De meest gekende zijn waarschijnlijk tekstverwerking en een rekenblad, maar ook een databank, grafische programma’s en vakspecifieke software (speciaal geprogrammeerde software voor vakken zoals fysica, wiskunde, talen e.d.) kunnen een grote toegevoegde waarde bieden aan ons onderwijs. De meest recente besturingssystemen bieden ons de mogelijkheid om de computer naar eigen believen te configureren: achtergronden aanpassen, kleuren instellen en nog een ontelbaar andere instellingen die kunnen gewijzigd worden. Juist hier kan het wel eens mislopen. Hoe vaak gebeurt het namelijk niet dat bij aanvang van de les een pc niet correct kan opstarten? In veel gevallen is de oorzaak het wijzigen van de standaardcomputerinstellingen. Voor de leerkracht die verantwoordelijk is voor het onderhoud van het computerpark wordt de belasting alleen maar groter. Het mag duidelijk zijn dat het onderhoud van de computerklas als een bijkomende taak van de informaticaleerkracht mag beschouwd worden. Ik ga trachten in dit eindwerk een aantal tips aan te bieden om een computernetwerk zodanig in te stellen dat leerlingen zo weinig mogelijk aan de instellingen kunnen ‘prutsen’ en een aantal mogelijkheden aanbieden om het onderhoud van een pc-klas eenvoudiger te laten verlopen. Ik vertrek hierbij van een computernetwerk met op de cliëntpc’s Windows98 als besturingssysteem en op de server WindowsNT 4.0. Er wordt ook vanuit gegaan dat de cliëntpc’s al verbonden zijn met de server (netwerkkaarten, UTP-kabels, switch e.d. zijn geïnstalleerd) . 4. Voor elke leerling een account aanmaken op de server. We gaan een gebruikersaccount aanmaken voor elke leerling op de server. Het is namelijk gewenst dat elke gebruiker van ons computerpark verplicht wordt om zich aan te melden op de server, op die manier kunnen we onder andere een logboek bijhouden van wie zich op welk tijdstip aangemeld heeft, dit zal ons ook nog andere extra’s bieden. We openen hiervoor het ‘gebruikersbeheer voor domeinen’ van WinNT, u kan dit vinden onder ‘start’, ‘programma’s’, ‘systeembeheer’, ‘gebruikersbeheer voor domeinen’.
Eindwerk Tom Bogman
3
Eindwerk Tom Bogman
4
We bevinden ons nu in het programma dat de gebruikers van ons netwerk zal beheren. We willen een nieuwe gebruiker aanmaken en dit doen we door in de menubalk ‘gebruiker’ te kiezen en vervolgens ‘nieuwe gebruiker’.
Na dit geselecteerd te hebben, krijgen we onderstaand venster. We moeten hier voor onze nieuwe gebruiker een aantal eigenschappen ingeven.
•
Gebruikersnaam: de naam waarmee de leerling gaat inloggen b.v. Tbogman (eerste letter voornaam + familienaam)
•
Volledige naam: volledige naam van de leerling b.v. Tom Bogman
•
Beschrijving: hier kan u een beschrijving invullen b.v. Leerling van klas 2B
•
Wachtwoord: het wachtwoord waarmee de leerling gaat inloggen
•
Bevestig wachtwoord: nogmaals het wachtwoord ingeven ter controle
Er zijn ook vier keuzevakjes die aangevinkt kunnen worden: •
gebruiker moet wachtwoord bij volgende aanmelding wijzigen: deze optie is aan te raden, zo kan de leerling een paswoord kiezen dat enkel gekend is door zichzelf
•
gebruiker kan wachtwoord niet wijzigen: deze optie is niet aan te raden
•
wachtwoord verloopt nooit: niet aan te raden, het is verstandig paswoorden regelmatig te wijzigen
•
account ontoegankelijk: met deze optie kan de systeembeheerder een gebruikersaccount tijdelijk blokkeren en zo een leerling de toegang tot het netwerk ontzeggen.
Eindwerk Tom Bogman
5
Onderaan vinden we nog zes opties: •
groepen: de leerling kan lid zijn van verschillende groepen. “Lid van domeingebruikers” geeft de leerling echter voldoende toegangsrechten.
•
profiel: hier wordt later dieper op ingegaan
•
tijden: leerlingen toestaan slechts op bepaalde tijdstippen aan te melden (b.v. enkel op de uren dat ze informaticales hebben). Selecteer de betreffende uren met de muis en klik vervolgens op ‘toestaan’ of ‘niet toestaan’
•
aanmelden op: u kan hier instellen op welke werkstations (cliënt) de leerling zich mag aanmelden, dit kan handig zijn wanneer de leerlingen elke les aan dezelfde pc zitten.
•
account: een account op een bepaalde datum laten verlopen, b.v. op het einde van het schooljaar. Na die dag zal een leerling zich niet meer kunnen aanmelden
•
inbellen: niet van toepassing!
Wanneer we dit alles ingesteld hebben en op ‘toevoegen’ klikken, merken we dat de nieuwe gebruiker aangemaakt is.
Eindwerk Tom Bogman
6
Nieuwe gebruikers aanmaken kan heel eenvoudig met F8, zo wordt er gewoon een kopie genomen en moeten enkel de gebruikersnaam en paswoord veranderd worden.
U kan deze nieuwe gebruikers ook onderbrengen in een specifieke groep b.v. ‘leerlingen’. Kies hiervoor in het venster ‘gebruikersbeheer’ voor ‘gebruiker’ en vervolgens ‘nieuwe lokale groep’ of ‘nieuwe globale groep’. In onze situatie kiezen we voor ‘nieuwe lokale groep’ omdat alle gebruikers inloggen op dezelfde fysieke locatie. 5. Homedirectory aanmaken De gebruikers zijn nu aangemaakt. We gaan voor elke gebruiker een map aanmaken op de server. Elke keer de gebruiker inlogt op zijn/haar account gaat er via een ‘login script’ een verbinding gemaakt worden met een map op de server waarvoor enkel die gebruiker toegangsrechten heeft (samen met de systeembeheerder). Dit heeft als voordeel dat de gebruiker zijn of haar bestanden steeds kan bewaren op de server en dat de persoonlijke instellingen ook bewaard worden in dezelfde map. We gaan hiervoor als volgt te werk: Controleer eerst de computernaam van de server en het domein waarvoor deze server bevoegd is. Klik op ‘Netwerkomgeving’ met de rechtermuisknop en selecteer ‘eigenschappen’. Onderstaand venster verschijnt: We merken hier dat de computernaam (=naam van de server in het netwerk) REGENTAAT is, de naam van ons netwerk (domein) is REGENT. Noteer dit, deze beide namen zijn nodig voor het aanmaken van de homedirectories. Verwar deze beide namen zeker niet!
Eindwerk Tom Bogman
7
Maak op de server een map aan met de naam ‘users’ (deze naam is vrij de kiezen), dit is de map waarin alle mappen van onze gebruikers gaan komen.
Maak in deze map ‘users’ een submap met de naam van de inlognaam van de gebruiker (in deze situatie maken we dus een map aan met de naam ‘leerling’) en deel deze door met de rechtermuisknop op de map ‘leerling’ te klikken en ‘delen’ te kiezen
Er verschijnt het volgende scherm Selecteer ‘gedeeld als’ en geef als ‘sharenaam’ dezelfde naam als die van de account, in dit geval dus ‘leerling’ Klik ‘ok’, we zien in Verkenner dat de map gedeeld is door het handje onder de map
Ga vervolgens terug naar ‘gebruikersbeheer’ via het menu Start en dubbelklik de gebruiker ‘leerling’, we gaan nu ook ‘profiel’ verder specifiëren.
Eindwerk Tom Bogman
8
Bij ‘naam aanmeldingsscript’ vult u in ‘syslog.bat’ (deze naam is alweer vrij te kiezen, maar de extensie moet wel .bat zijn), dit is het aanmeldingscript dat de gebruiker gaat laden bij het aanlogen om verbinding te maken met zijn/haar persoonlijke map op de server. Bij basismap kiezen we om te verbinden met H: (vrij te kiezen, let wel op dat u niet gaat proberen verbinden met een reeds bestaande driveletter!) en in het vak na ‘met’ vult u in \\REGENTAAT\leerling. Dit is: \\naam_server\%username% , waarbij u ‘naam_server’ moet vervangen door de naam van de server (verwar servernaam niet met domeinnaam!). %username% mag u gebruiken, de computer vervangt dit dan zelf door de naam van de gebruiker. Klik ok. Ga nu terug naar de gedeelde map ‘leerling’ in Verkenner en kies opnieuw ‘delen’, selecteer het tabblad ‘beveiliging’. Klik ‘Machtigingen’. We moeten nu toegangsrechten specifiëren voor de verschillende gebruikers. Het is namelijk niet wenselijk dat iedereen toegang heeft tot die persoonlijke map. Voeg de ‘leerling’ toe als gemachtigde voor deze map, met als toegangsrecht ‘wijzigen’ via ‘toegangstype’(leerling kan bestanden openen en wijzigen). Geef ook (indien nodig) de beheerders alle rechten. Dit kan via de knop ‘toevoegen’. Klik op ‘ok’ en sluit het ‘domeinbeheer’.
Eindwerk Tom Bogman
9
Verdere mogelijkheden: Via het “gebruikersbeheer” kiest u voor “Beleid”, enkele opties zijn hier weer mogelijk: -
accountbeleid
•
wachtwoorden - Maximale wachtwoordduur: instellen na welke tijd het wachtwoord verloopt. Het is aangeraden paswoorden regelmatig te wijzigen. - Minimale wachtwoordlengte: instellen uit hoeveel tekens een paswoord minimaal moet bestaan. - Uniekheid van het wachtwoord: paswoordgeschiedenis bijhouden.
•
account vergrendelen - aantal inlogpogingen instellen + duur van de vergrendeling: ontgrendelen door beheerder is aangeraden.
•
Gebruikers van server verwijderen als aanmeldingstijd is verlopen: aanbevolen.
•
Gebruikers moeten zich aanmelden om paswoord te wijzigen: aanvinken !
-
controlebeleid
•
aanduiden welke gebeurtenissen moeten gelogd worden in de logfile, enkel geslaagde pogingen, enkel mislukte pogingen of beide.
-
gebruikersrechtenbeleid
•
aantal rechten die kunnen verleend worden aan bepaalde groepen of gebruikers, dit heeft echter enkel invloed op de gebruikers van de server en we gaan er van uit dat leerlingen niet op de server werken.
Eindwerk Tom Bogman
10
We moeten nog enkel het loginscript aanmaken om de cliëntpc te verbinden met de map op de server bij het aanmelden. Maak hiervoor een bestandje aan met ‘Kladblok’ of ‘Notepad’. De woorden “net use H: /home” zorgen ervoor dat alles correct verloopt, vervang de driveletter H: eventueel door een andere letter, afhankelijk welke driveletter u gekozen heeft bij “profiel” in het gebruikersbeheer. Sla het bestand op als syslog.bat, let erop dat Kladblok niet automatisch de extensie .txt toevoegt, om dit te vermijden, typ “syslog.bat” . Sla dit bestand op in de map WinNT\system32\Repl\Import\Scripts van de server. Ga via Verkenner kijken of het syslog.bat bestand er effectief staat, onderstaand icoon zou zichtbaar moeten zijn.
Log in op de cliënt, geef als inlognaam ‘leerling’, geef het correcte paswoord en log in op het domein “REGENT”. Ga naar Verkenner en u merkt dat de map aangemaakt is. De leerling kan in deze map zijn/haar bestand bewaren, later zullen
hier
ook andere bestanden bewaard worden. Het $-teken wordt gebruikt opdat andere gebruikers deze map niet kunnen zien in de netwerkomgeving.
6. Mandatory profiles aanmaken We gaan verder met het configureren van onze cliëntcomputers. In Windows9x kan u o.a. gebruik maken van ‘profielen’, namelijk ‘roaming profiles’ en ‘mandatory profiles’. Ik ga hier verder enkel in op de zogenaamd ‘mandatory profiles’. Wat mogen we hier onder verstaan? We gaan een computer configureren zoals die voor ons perfect is, nl. een achtergrond kiezen, de gewenste schermbeveiliging kiezen, de snelkoppelingen in het menu Start kiezen en schikken, de snelkoppelingen op het bureaublad aanmaken, kleurinstellingen voor de windowsvensters aanpassen e.d. . Al deze gegevens zullen worden opgeslagen in een bepaald profiel. Eindwerk Tom Bogman
11
Telkens de leerling gaat inloggen op het netwerk, zal de cliëntpc dit profiel opvragen bij de server en de desktop aan dat profiel aanpassen. Het profiel is in deze situatie ‘mandatory’, d.w.z. de gebruiker neemt dit profiel aan en kan hier niets aan wijzigen. De gebruiker kan zijn desktop aanpassen, maar bij een volgende aanmelding door die gebruiker zal de oorspronkelijke desktop teruggeplaatst worden. Het profiel is namelijk een ‘enkel-lezen’ bestand waaraan geen wijzigingen kunnen worden aangebracht. Later zullen we de gebruiker ook verhinderen effectief wijzigingen aan de desktop aan te brengen. Stap 1: de computer voorbereiden om ‘mandatory profiles’ te kunnen gebruiken. We moeten eerst een aantal zaken controleren en eventueel aanpassen. Ga naar het ‘configuratiescherm’ van de cliëntpc via ‘Deze computer’ en kies ‘beveiliging’.
Stap 2: Selecteer de tweede optie zodat gebruikers hun eigen voorkeuren en instellingen kunnen gebruiken. Check ook de twee keuzevakjes zodat bureaubladpictogrammen, netwerkomgeving, het menu Start en programmagroepen opgenomen worden in de gebruikersinstellingen.
Stap 3: Opgelet als u werkt in het register! Open via Start
‘uitvoeren’ de registereditor:
Eindwerk Tom Bogman
12
Controleer of de sleutel de waarde 1 heeft.
Indien niet, wijzig dan deze sleutel in de waarde 1
In het register van Windows worden namelijk alle noodzakelijke waarden bewaard die nodig zijn om Windows correct te laten werken. Wijzig dan ook NOOIT zomaar een waarde! Regel is: als u niet weet wat u aan het doen bent, blijf er dan af ! De computer moet nu opnieuw opgestart worden om de nieuwe registerinstellingen toe te passen. Als de computer opnieuw opgestart is, kan u beginnen met de instellingen naar believen aan te passen. Maak of verwijder snelkoppelingen op het bureaublad en het menu Start, schik ze, stel andere Windowskleuren in, … totdat u de gewenste desktop heeft.
Eindwerk Tom Bogman
13
Als u de gewenst desktop heeft, ga dan op zoek naar het bestand “user.dat”, dit is het bestand waar het profiel in bewaard wordt. Kopieer dit bestand naar de homedirectory van de gebruiker. Ga vervolgens naar de server en wijzig de naam “user.dat” in “user.man”, op die manier wordt dit profiel ‘mandatory’.
Log nu opnieuw in op de cliëntpc zodat het ‘mandatory’ profiel geladen kan worden, wijzig de desktop en log opnieuw af en aan zodat u kan zien of het ‘mandatory’ profiel werkt. 7. System policies We hebben de pc’s al zodanig ingesteld dat de gebruiker bij elke nieuwe aanmelding terug een standaarddesktopomgeving gaat inladen, ongeacht de wijzigingen die hij/zij bij de laatste sessie heeft aangebracht. We gaan verder door de gebruikers de rechten tot bepaalde functies te weigeren, zodat hij/zij niet meer in staat zal zijn om bepaalde wijzigingen aan te brengen. We gebruiken hiervoor een programma dat standaard op elke Windows9x Cd-rom staat, namelijk de System Policy Editor. Met dit programma kunnen we system policies aanmaken, dit zijn bestanden waarin een aantal registerinstellingen staan beschreven die de computer gaat toepassen op de pc telkens de gebruiker zich gaat aanmelden. -
installatie van de System Policy Editor
Ga via ‘Deze computer’ naar het ‘configuratiescherm’ en vervolgens naar ‘software’, na dubbelklikken krijgt u volgend venster: Selecteer het tabblad ‘Windows Set-up’ en klik onderaan op ‘Diskette…’
Eindwerk Tom Bogman
14
U moet vervolgens de locatie opgeven waar de computer de bestanden van de Policy Editor kan terugvinden, klik hiervoor op ‘Bladeren’ en selecteer de directory ‘poledit’ (ik kan hier geen exacte locatie geven aangezien dit op de verschillende Win9x Cd-rom’s kan verschillen, u heeft de bestanden ‘grouppol.inf’ en ‘poledit.inf’ nodig, dus die kan u d.m.v. een zoekfunctie eenvoudig terugvinden).
Als u de correcte locatie heeft ingegeven, klikt u ‘ok’ en volgend venster zal verschijnen: Selecteer zowel ‘groepsbeleid’ als ‘systeembeleid-editor’ en klik op ‘installeren’. Windows zal vervolgens de System Policy Editor installeren, u kan een snelkoppeling terugvinden bij ‘accessoires’, ‘systeemgereedschap’ .
Start de policy editor op. We gaan een nieuwe system policy aanmaken dus we kiezen via ‘file’ (bestand) de optie ‘new policy’ Volgend venster verschijnt:
Binnen een system policy maakt men een onderscheid tussen registerinstellingen specifiek van toepassing op de computer en specifiek op het gebruik ervan. De belangrijkste registerinstellingen zullen hierna besproken worden.
Eindwerk Tom Bogman
15
We beginnen bij de “default computer” door erop te dubbelklikken.
Binnen ‘default computer’ wordt er gewerkt met een boomstructuur. We krijgen hier ‘Windows98 network’ en ‘Windows98 System’ die nog verder zullen onderverdeeld worden in onderliggende lagen. Klik op het + teken om het menu uit te rollen, klik op – om het terug in te rollen. Onder ‘logon’ vinden we instellingen i.v.m. het inloggen, zo kan u b.v. door “Require validation from network for Windows acces” aan te vinken, afdwingen dat de gebruiker zich moet aanmelden op het netwerk om toegang te krijgen tot de computer. Deze optie moet zeker aangevinkt worden. Door “Don’t show last user at logon” aan te vinken, zal de gebruiker niet kunnen zien wie zich vóór hem/haar heeft aangemeld. Met deze optie kan u de cliëntpc enkel laten aanmelden op het opgegeven domein, in dit geval het domein REGENT. Onderaan kan u kiezen om paswoorden te ‘cachen’ of niet, aanvinken wordt aangeraden.
Het gebruik van gebruikersprofielen al dan niet toestaan. Aangezien we ook gebruik maken van “mandatory profiles” moet deze optie aangevinkt worden. Hierboven werden de belangrijkste mogelijkheden voor de “default computer” besproken. Uiteraard zijn er nog andere mogelijkheden aanwezig. Op de diverse websites die bij “referenties” vermeld staan achteraan in dit werk, kan u ongetwijfeld nog meer hierover te weten komen. Denk er wel aan dat u met registerinstellingen bezig bent, dus voorzichtigheid is vereist !
Eindwerk Tom Bogman
16
We gaan vervolgens verder met de instellingen specifiek voor de gebruiker, klik hiervoor op het icoon “default user”.
We merken hier onmiddellijk de gelijkenis met “default computer” op, opnieuw krijgen we een boomstructuur met “Windows98 Network” en “Windows98 System”.
Werken met gedeelde printers (netwerk printer) en/of bestandsdeling al dan niet toestaan.
Eén van de belangrijkste onderdelen: hier kan u o.a. het menu ‘instellingen’ (settings) verwijderen uit het menu Start. Het volledige Startmenu, netwerkomgeving en delen van “deze computer” kan u hier verbergen.
Hier kan u het volledige ‘configuratiescherm’ of delen ervan verbergen. Achtergrond, schermbeveiliging, weergave en instellingen kunnen apart verborgen worden.
Eindwerk Tom Bogman
17
Idem voor de optie “netwerk” in het venster “deze computer” U bepaalt of deze optie volledig of gedeeltelijk verborgen wordt.
Idem voor de optie “beveiliging” (passwords) in het configuratiescherm van Windows9x.
Idem voor de optie “printers”. Bepaal of de gebruikers de instellingen van de printer kunnen bekijken, een printer kunnen toevoegen of verwijderen. Het is aangeraden om printers toevoegen of verwijderen aan de beheerders over te laten.
De optie “systeem” gedeeltelijk of volledig verbergen. De optie is eigenlijk voor ervaren computergebruikers, dus mag zeker aangevinkt worden.
Eindwerk Tom Bogman
18
Een standaardbureaublad instellen en het gewenste kleurenschema voor de Windows-vensters instellen. Kies onderaan in het rolmenu de gewenste instelling.
De gebruiker de toegang tot registerprogramma’s (regedit) ontzeggen, enkel slechts een aantal programma’s instellen die de gebruiker mag gebruiken en Dos-prompt (C:\) uitschakelen, … .
Tot zover alle belangrijke instellingen voor de ‘Default user” (standaard gebruiker). De system policy is aangemaakt en moet opgeslagen worden. Klik hiervoor bij File/Bestand voor Save as/Opslaan als en geef de policy de naam config.pol
Opmerkingen: •
het register bevat uiteraard nog veel meer mogelijke registerinstellingen. De System Policy Editor werkt op basis van *.adm bestanden, hierin staan de verwijzingen naar de desbetreffende registerinstellingen. Wil u bijvoorbeeld ook de Schermbeveiliginginstellingen toevoegen aan de policy editor dan kan u zelf hiervoor een *.adm bestand gaan schrijven.
Eindwerk Tom Bogman
19
Ik heb hieronder b.v. de regels geprogrammeerd die het bestand scrsaver.chm vormen, zodat we een standaardschermbeveiliging kunnen instelling via de policies. CLASS USER CATEGORY !!Screen_Saver_Policy POLICY !!Screen_Saver KEYNAME "Control Panel\Desktop" PART !!Screen_Saver_Location EDITTEXT DEFAULT !!DEF_SCREEN_SAVER VALUENAME SCRNSAVE.EXE END PART END POLICY POLICY !!ENABLE_SCREEN_SAVER KEYNAME "Control Panel\Desktop" VALUENAME ScreenSaveActive VALUEON "1" VALUEOFF "0" END POLICY POLICY !!ENABLE_Password KEYNAME "Control Panel\Desktop" VALUENAME ScreenSaverIsSecure VALUEON "1" VALUEOFF "0" END POLICY END CATEGORY [strings] Screen_Saver_Policy="Screen Saver Policies" Screen_Saver="Screen Saver" ENABLE_SCREEN_SAVER="Enable Screen Saver" Screen_Saver_Location="Enter the location of the Screen Saver" DEF_Screen_Saver="%SYSTEMROOT%\system32\logon.scr" ENABLE_Password=Enable Password Plaats de regels in het rood in een gewoon tekstbestand en sla het op onder de naam scrsaver.adm in de map c:\windows\inf. Om dit bestand nu ook te importeren in de policy editor moet u de policy editor openen en ‘options’, ‘policy templates’ klikken. Eindwerk Tom Bogman
20
Zorg er wel voor dat geen enkele policy geopend is (dus dat er geen icoontjes “default user” of “default computer” te zien zijn, gewoon een donkergrijs vlak). Klik “add” of “toevoegen” en selecteer c:\windows\inf\scrsaver.adm. De volgende malen dat u de System Policy Editor gaat opstarten wordt ook de screansaver-template geladen.
Wenst u een aantal registerinstellingen te doen die permanent zijn, dan kan u hiervoor ook de System Policy Editor gebruiken. Selecteer hiervoor File/Bestand en Open registry/Open register.
-
System Policy naar de server kopiëren:
We moeten nu nog de config.pol naar de server verplaatsen. Zorg dat u als beheerder bent aangemeld op de server en plaats te config.pol gewoon in dezelfde map als het logon script, namelijk c\WinNT\system32\Repl\Import\Scripts (of %systemroot%\Repl\Import\Scripts).
Zorg er zeker voor dat uw bestand de naam config.pol heeft! Opmerking: policy bestanden die werken op WindowsNT (Ntconfig.pol) gaan niet werken op Windows9x en omgekeerd !!!
Eindwerk Tom Bogman
21
Test nu de cliëntpc uit, u zal merken dat u b.v. het opstartmenu volledig kan aanpassen. Zo ziet u b.v. dat de optie ‘uitvoeren’ uit het menu start is verdwenen, ook de link naar het configuratiescherm is verdwenen
Als u dan toch zou proberen om op één of andere manier b.v. het configuratiescherm te openen, krijgt u deze melding: “De systeembeheerder heeft het configuratiescherm voor het beeldscherm uitgeschakeld”.
Op voorgaande pagina’s werden verschillende mogelijkheden beschreven om restricties op de pc’s toe te passen. Verder in mijn scriptie wil ik nog een aantal programma’s toelichten die u kunnen helpen mocht het toch fout gaan. 8. Norton Ghost 2001 Het eerste softwarepakket dat ik zou willen toelichten is Norton Ghost van het softwarebedrijf Symantec (www.symantec.com). Dit programma maakt een exacte kopie van uw volledige harde schijf, dus niet enkel een back-up van belangrijke bestanden maar elke bit wordt gekopieerd naar een bestand met de extensie *.gho . Stel nu dat het een leerling lukt om belangrijke bestanden te beschadigen zodat de pc niet meer kan opstarten, dan kan u heel eenvoudig de “foto” die Norton Ghost maakte van uw harde schijf terugplaatsen en heeft de computer zijn originele configuratie terug. Al wat u hiervoor hoeft te doen is het pakket op de computer installeren en een bootdiskette maken zodat Ghost altijd de computer kan opstarten. Hierna de verschillende stappen om deze diskette aan te maken. Kies “Norton Ghost Boot Wizard” uit het startmenu in de map van Norton Ghost. Norton Ghost zelf is een MS-DOS programma en kan enkel worden opgestart met de bootdiskette die we nu gaan aanmaken.
Eindwerk Tom Bogman
22
Afhankelijk van de situatie waarin u verkeert, moet u kiezen welk soort imagebestand u wenst aan te maken. In een netwerk is het bijvoorbeeld belangrijk te kiezen voor een optie met netwerkondersteuning. Indien u niet weet welke optie te kiezen, kies dan de eerste mogelijkheid, namelijk een standaard bootdiskette.
Norton Ghost Boot Wizard vraagt naar de locatie van het hoofdbestand. In principe vult het programma dit zelf in, indien niet kan u bladeren en zo het programma ghostpe.exe zelf gaan opzoeken. Klik Next om verder te gaan.
Selecteer het diskettestation voor de bootdiskette en geef in hoeveel diskettes u wenst aan te maken. Standaard zal de drive A zijn en 1 diskette is voldoende. Het wordt ook aangeraden om de diskette eerst nog eens te formatteren.
Norton Ghost geeft een overzicht van de belangrijkste systeembestanden en –instellingen Klik Next om verder te gaan.
Eindwerk Tom Bogman
23
Door de belangrijke bestanden - die nodig zijn om het systeem op te starten - naar de opstartdiskette te kopiëren, wordt de diskette aangemaakt. Op het gekleurde balkje kan u de vooruitgang volgen, wacht tot deze actie voltooid is.
Wanneer de diskette aangemaakt is, verschijnt dit scherm. Kies Finish om het programma gewoon af te sluiten, kies Start Again om de computer opnieuw op te starten en te booten via de Ghost opstartdiskette en zo in het eigenlijke programma Ghost te gaan werken.
Aangezien Norton Ghost een MS-DOS programma is, heb ik slechts twee schermafdrukken kunnen maken van het eigenlijke programma en kan ik spijtig genoeg niet aantonen hoe dat imagebestand aangemaakt wordt. Ook in de officiële handleiding die bij het programma zit, heb ik geen schermafdrukken teruggevonden. Om het programma op te starten, hoeft u enkel de pc op te starten met de speciaal door Ghost aangemaakte opstartdiskette.
Eindwerk Tom Bogman
24
Dit is de interface van het programma:
U merkt onder andere dat Norton Ghost een imagebestand kan maken van een volledige schijf of van enkel een bepaalde partitie. Mogelijke werkwijze: stel één computer in naar wens, dus met alle instellingen zoals u die wenst en maak van deze pc een imagebestand. Dit imagebestand kan opgeslagen worden op een aparte partitie op dezelfde computer, maar wanneer u een Cd-rom schrijver heeft, kan u met Norton Ghost 2001 rechtstreeks op cd schrijven. Hou er wel rekening mee dat wanneer u een image maakt van een harde schijf van 2gb, uw imagebestand ook 2gb zal zijn. Echter, Norton Ghost ondersteund ook compressietechnieken om uw imagebestand kleiner te maken, dit zal dan wel ten koste gaan van de werksnelheid van het aanmaken en terugplaatsen van het imagebestand. Als u dan één image heeft kan u die heel eenvoudig op alle andere pc’s plaatsen en hebben alle computers identiek dezelfde configuratie. Hou er ook rekening mee dat hardware niet te sterk mag verschillen tussen de verschillende computers.
Eindwerk Tom Bogman
25
9. Stop-IT Een ander handig programma is Stop-It. Met dit stukje software kan u het printen van de leerlingen onder controle houden zodanig dat situaties waarin één leerling dagelijks 1000 pagina’s afprint kunnen vermeden worden. De gebruiker moet zich aanmelden op de server om te kunnen printen. Hieronder zal ik de mogelijkheden van het programma uit te doeken doen. Bij het opstarten verschijnt volgend schermpje:
en het eigenlijke hoofdvenster van Stop-It ziet er als volgt uit:
Alle gebruikers die via de server gebruik kunnen maken van de (netwerk)printer worden weergegeven in het hoofdvenster, merk de gelijkenis op met het Gebruikersbeheer in WindowsNT
Eindwerk Tom Bogman
26
Wanneer we nu een gebruiker gaan selecteren, kunnen we het aantal credits (= het aantal pagina’s dat hij/zij mag printen) gaan instellen. Hiernaast ziet u het aantal credits van de gebruiker 9890130 en kan u merken dat deze persoon nog 108 pagina’s kan printen. Eventueel kan er een kostprijs aan een credit toegekend worden, handig als de gebruikers b.v. 2BEF per blad moeten betalen. Het aantal toegestane credits kan ook automatisch aan iedereen toegekend worden in dit venster.
In de menubalk bij opties kan u nog een aantal instellingen maken. Zo kan u hier instellen dat wanneer een quota niet handmatig is ingesteld, er automatisch x aantal credits worden toegekend en wat er moet gebeuren als een bepaalde gebruiker zijn/haar credits op zijn.
Alle acties van de gebruiker kunnen ook bijgehouden worden in een logboek, er zijn 4 verschillende acties nl. :
Eindwerk Tom Bogman
-
het aantal afdruktaken
-
het aantal verwijderde afdruktaken
-
het aantal creditwijzigingen
-
het aantal gebruikers zonder quotum
27
Verder kan u ook nog een prijs instellen voor een credit, b.v. 1 BEF per geprinte pagina. Het programma kan ook boodschappen doorgeven aan de gebruiker door middel van b.v. het programma WinPopup dat standaard bij Windows9x geleverd wordt.
Met Stop-It is het heel eenvoudig om gegevens in verband met de printgebeurtenissen te bekijken. Zo kan u b.v. een verslag laten samenstellen van de meest recente printacties, Stop-It heeft hierover heel wat informatie zoals: -
de gebruikte printer (indien er b.v. meerdere printers in het netwerk aanwezig zijn)
-
de gebruikersnaam
-
de titel van de pagina
-
status (al dan niet geprint)
-
een reden als een bepaalde taak verwijderd is, b.v. onvoldoende credits
-
het aantal geprinte pagina’s
-
het aantal gebruikte credits
-
het aantal bytes van het werkstuk
-
tijd en datum
U kan ook meer specifiek gaan werken en een rapport maken van een specifieke gebruiker. Hiervoor gaat u als volgt te werk: Selecteer de “report generator” via de icoontjes bovenaan het programma, selecteer het “user report”.
Eindwerk Tom Bogman
28
Selecteer in het volgende venster de specifieke gebruiker:
Selecteer welke acties u wenst te bekijken uit het logboek voor die specifieke gebruiker:
Selecteer of u alle informatie wenst te bekijken of slechts de informatie van een bepaalde periode:
Eindwerk Tom Bogman
29
Het rapport zal vervolgens samengesteld worden en u krijgt een overzicht van de printacties van gebruiker 9890130.
10. Service packs en patches Heel vaak duiken er na het uitbrengen van een bepaald softwarepakket fouten op in die software. De fabrikant brengt dan een ‘patch’ uit, dit is een stukje programmacode die de bepaalde fout gaat verhelpen. Bij Microsoft kan u die patches onmiddellijk bij het uitbrengen ervan downloaden of wachten totdat er meerdere patches gebundeld worden in een ‘service pack’ (meer info op www.microsoft.com/security). U kan ook wachten tot de “WindowsUpdate” functie u waarschuwt dat er updates verkrijgbaar zijn, voor Office kan u die vinden op http://officeupdate.microsoft.com , voor Windows kan u die vinden op http://windowsupdate.microsoft.com . Symantec heeft voor al haar programma’s een ingebouwd “LiveUpdate” programma, wanneer u dit programma start, wordt er verbinding gemaakt met de server van Symantec en worden de meest recente versies gedownload van het Internet. Elke softwarefabrikant biedt deze updates aan, al kunnen de manieren waarop verschillen. Indien de systeemvereisten van de computer het toelaten om, wanneer er nieuwe versies van bepaalde softwarepakketten verschijnen, deze te installeren is dit zeker aan te raden. U kan dan best éénmalig het programma in een gedeelde map op de server plaatsen en de cliënts de software vanop de server laten installeren. Eindwerk Tom Bogman
30
Schermafdruk WindowsUpdate en LiveUpdate:
11. meer geavanceerde mogelijkheden In dit eindwerk werden enkel de mogelijkheden in een Win9x-WinNT netwerk besproken (ik denk te mogen veronderstellen dat dit de meest voorkomende situatie in secundaire scholen is). Echter, wanneer u ook op de cliënts met WindowsNT kan werken (Workstation) worden de mogelijkheden om de klas te beveiligen aanzienlijk groter. In eerste instantie zijn cliënt en server van de NT-familie waardoor ze beter kunnen samenwerken. Een ander groot voordeel is dat het NT bestandssysteem NTFS een pak meer mogelijkheden te bieden heeft dan het Windows9x bestandssysteem FAT16/32. Met NTFS is het namelijk mogelijk om ook op de verschillende mappen en bestanden rechten toe te kennen. Op die manier kan u gebruikers (leerlingen) toegang tot bepaalde mappen en/of bestanden ontzeggen, dit is zeker en vast handig om b.v. de systeemmappen af te schermen voor onbevoegden. Ook de mogelijkheden van profielen en policies zijn uitgebreider in WindowsNT. Ondertussen is er ook al Windows2000 en binnenkort zelfs WindowsXP. Vanaf deze generatie heeft Microsoft de “Active Directory” ingevoerd, een totaal andere aanpak waar ik hier niet verder op in ga, wegens te complex. Uiteraard is het de vraag in hoeverre scholen met deze evolutie zullen meegaan, Windows2000 en zeker WindowsXP zullen heel wat hogere systeemvereisten nodig hebben om vlot te werken en dergelijke apparatuur kost veel geld.
Eindwerk Tom Bogman
31
Schermafdruk Windows2000 en de nog te verschijnen WindowsXP.
Eindwerk Tom Bogman
32
12. Het besluit Ik hoop dat ik in voorgaande pagina’s een aantal mogelijkheden heb kunnen aanbieden om het onderhoudswerk aan een computerklas tot een minimum te herleiden. Men mag echter naar mijn mening niet 100% op de technologie vertrouwen. Window9x is er namelijk niet op voorzien om een volledige oplossing te bieden, leerlingen die al enige computerkennis hebben, vinden misschien al snel gaten in deze aangeboden beveiligingsmethoden. Dit probleem zou kunnen opgelost worden door meer geavanceerde besturingssystemen te gebruiken zoals WindowsNT, Windows2000 of Linux/Unix-varianten. Dit lijkt mij echter een probleem daar deze systemen enerzijds hogere hardwarevereisten stellen en ook meer kennis van zaken van de netwerkbeheerder veronderstellen en anderzijds doordat in de leerplannen en handboeken steeds gebruikt gemaakt wordt van Windows95/98. De technologie is één punt, afspraken en regels een ander punt. Bij aanvang van het schooljaar kunnen er met de leerlingen b.v. afspraken gemaakt worden i.v.m. het gebruik van de computerinfrastructuur en eventuele sancties bij het niet naleven ervan. Leerlingen respect leren hebben voor het werk van de leerkracht en voor het materiaal waarmee ze werken moet naar mijn mening ook zeker een doelstelling zijn in elke les. Wanneer men merkt dat bepaalde leerlingen heel geïnteresseerd zijn en ook heel wat kennis hebben wat betreft computergebruik (en die zijn er zeker, onderzoek heeft uitgewezen dat de meeste ‘hackers’ jongeren zijn tussen 14 en 20 jaar oud), kan het ook een uitdaging zijn voor de leerkracht om deze jongeren te betrekken bij het onderhoud van de computerklas. Ik heb deze opdracht als enorm interessant ervaren. Bij aanvang had ik slechts een kleine kennis over het onderwerp en alles wat er met samenhangt, maar hoe meer artikels, boeken en info ik las, hoe groter mijn interesse werd. Laat mij echter stellen dat dit onderwerp nooit “af” is, nu niet en hoogst waarschijnlijk ook nooit. Naarmate alles in de ICT-sector evolueert, zal ook dit onderwerp evolueren. De grootste bekroning op dit werk zou uiteraard zijn dat dit effectief een handige gids kan zijn in de praktijk. Alle opmerkingen, vragen, aanvullingen e.d. zijn dan ook steeds van harte welkom ! Tom Bogman - 11 mei 2001
[email protected]
Eindwerk Tom Bogman
33
13. Literatuuropgave: •
http://www.nt-admin.com
Vlaamse site van WindowsNT-gebruikers •
http://www.microsoft.com/ntserver
De website van Microsoft over hun NTServer – software •
http://support.microsoft.com/search
Enorme databank van Microsoft met onder andere de “Knowledge Database” waar u een schat aan informatie kan vinden i.v.m. allerhande Microsoft-problemen •
http://www.microsoft.com/ntserver/management/deployement/planguide/prof_policies.asp
Guide to Microsoft Windows NT 4.0 Profiles en Policies – een 96-pagina’s tellende ‘white paper’ over profielen en policies (zeker het lezen waard!) •
http://www.windows2000faq.com
website over Windows2000 die ook heel wat info te bieden heeft over WindowsNT •
http://www.win2000mag.com
website van het gelijknamige tijdschrift met heel wat artikels over Microsoft-netwerken •
http://www.winsupersite.com/
Bruikbare artikels en nieuwtjes over Windows •
http://www.wininformant.com
Overzicht van de nieuwste Windows-software •
http://kixtart.org
Handige tool voor de meer gevorderde netwerkbeheerder •
Nieuwsgroep : news:be.comp.windows
Nederlandstalige nieuwsgroep over Windows Producten: Microsoft: http://www.microsoft.com Ghost: http://www.symantec.com/ghost Stop-It: http://www.flocs.com
Eindwerk Tom Bogman
34
Boeken: SANNA P., Beveiliging van Windows2000 voor Dummies, IDG Books, 2000.
Boek bedoeld voor grote onderneming met heel wat diepgaande informatie, maar waar toch ook bruikbare dingen voor computernetwerken op kleiner niveau instaan.
Eindwerk Tom Bogman
35
Bijlage: praktisch deel: De praktische realisatie van mijn eindwerk bestaat uit een aantal geconfigureerde computers en een geconfigureerde WindowsNT Server. Deze toestellen zijn allemaal zodanig ingesteld zodat, indien er leerlingen zouden op werken, ze niet in staat zouden zijn een aantal cruciale instellingen aan te passen. Tijdens mijn voorstelling zullen aanwezige leden van de commissie, 2de lezer(s) en promotor deze zaken ook kunnen uittesten op één van de computers. Al deze instellingen zijn echter softwarematig en kunnen jammer genoeg niet op papier weergegeven worden, tenzij via schermafdrukken wat ik ook zo duidelijk mogelijk heb trachten te doen in dit eindwerk. Waar het in dit eindwerk op aankomt, is het maken van een aantal registerinstellingen. Ik zou een afdruk kunnen maken van het register van een computer, maar dit zou een stapel papier opleveren van een tiental A4-pagina’s! Dit lijkt mij geen nuttig werk, ook al omdat enkel computerexperts hier iets zouden aan hebben. Ter ondersteuning aan dit eindwerk heb ik ook een website gemaakt, waar u steeds terecht kan met vragen en/of opmerkingen. De website is te vinden op http://www20.brinkster.com/tbogman
Eindwerk Tom Bogman
36
