Une autre solution consiste à leur laisser l'accès. Nous avons fini par limiter leur comportement (enfin, leur comportement destructeur) en utilisant Deep Freeze de Faronics ; il vous permet de "geler" le disque dur et, au redémarrage, il revient à son état par défaut. Ce fut une expérience cathartique lorsque nous l'avons testé en effaçant le sous-répertoire Windows jusqu'à ce que Windows se mette à trembler et à tomber... puis nous avons redémarré et tout est revenu à la normale.
Cela permet aux étudiants de faire ce qu'ils veulent sans détruire votre configuration ; nous avons également constaté que cela éliminait de nombreux problèmes de corruption des profils et des caches.
Je pense qu'il existe quelques autres alternatives, mais je n'ai utilisé que DeepFreeze. Une console centrale est utilisée pour surveiller les postes de travail et peut les dégeler et les geler à distance. Nous l'utilisons également pour obtenir les adresses IP de certains postes de travail.
J'ai travaillé dans des laboratoires qui étaient verrouillés au point d'être presque inutilisables pour quoi que ce soit. Même en classe, nous ne pouvions pas, par exemple, ouvrir certains documents ou utiliser le bloc-notes pour lire le code source parce que l'administrateur système, qui se trouvait à deux heures de route sur un site central, ne l'autorisait pas, et l'administrateur local se plaignait de ne pas pouvoir résoudre certains problèmes sans s'entendre au préalable avec les administrateurs centraux. Et c'était une université. Deep Freeze a donné plus de liberté pour effectuer le travail sans interférence (sur notre site, il permet également à certaines personnes d'obtenir des privilèges plus élevés sur la machine locale puisque tout logiciel malveillant ou toute modification est effacé au redémarrage ; s'ils font des efforts pour installer des logiciels "personnels", ils se lassent de devoir constamment les réinstaller à chaque redémarrage ; c'est du moins ce que nous avons constaté).
Nous avons essayé de verrouiller des éléments par le biais de la politique lorsque nous avons exécuté les services de terminal 2000 ; nous avons constaté que la politique ne verrouillait l'accès qu'à certains éléments comme l'explorateur. Il semble que certains programmes (comme une ancienne copie du gestionnaire de fichiers de l'époque 3.x) pouvaient toujours parcourir le lecteur C :, ainsi que certains gestionnaires de fichiers freeware ! À moins que cela ne soit corrigé, il semble que certaines API permettent encore aux utilisateurs d'accéder à des lecteurs locaux qui sont censés être bloqués par la politique. De plus, nous avons des systèmes qui, pour des raisons que nous n'avons jamais comprises, n'obtiennent parfois pas la politique immédiatement ou agissent comme s'ils ne recevaient aucune mise à jour de la politique avant un ou deux redémarrages, de sorte que nous avions parfois des personnes qui pouvaient contourner les verrouillages de configuration et faire des choses qu'elles n'étaient pas censées faire.
0 votes
NTFS perms, peut-être ? Peut-être que je ne comprends pas votre objectif ici.
0 votes
L'objectif est de donner un faux sentiment de "sécurité" en faisant en sorte que l'interface graphique de l'explorateur cache des choses. Ce que l'auteur de l'affiche cherche vraiment, c'est à limiter la capacité de l'utilisateur à exécuter du code arbitraire, ce qui pourrait être satisfait par des "politiques de restriction logicielle" de manière réelle et substantielle. Cacher des choses, c'est de la sécurité par l'obscurité et c'est contre-productif (puisque vous vous sentirez en sécurité sans l'être réellement).