Introduzione

Configurare una rete scolastica a livello di condivisione sicuramente non richiede competenze tecniche avanzate: sono sufficienti alcune nozioni di base sulle reti con protocollo TCP/IP, sulla condivisione di stampanti e poco altro. In effetti, in molti abbiamo cominciato proprio così, anche perché, essendo in maggioranza docenti e non tecnici, non eravamo tenuti a studiare le reti in modo approfondito. Ci bastava che tutto funzionasse e che tutti riuscissero a stampare senza problemi.

Con l’andare del tempo, però, molti si sono resi conto che questo tipo di impostazione della rete crea diversi problemi e soprattutto non consente una sufficiente protezione dei dati. A parte il classico alunno smanettone, anche altri sono in grado di creare accidentalmente problemi al sistema, senza contare le cancellazioni involontarie di documenti.

I più avveduti hanno cercato di rimediare impostando politiche di accesso con il vecchio Poledit.exe, ma sempre con grande dispendio di energie e spesso con risultati poco soddisfacenti.

Presto si è arrivati alla conclusione che una rete scolastica richiede competenze tecniche e manutenzione non minori di quanto richiesto in un’azienda di medie dimensioni, dove risulta indispensabile la gestione di un server di rete.

Non è necessario essere ingegneri per gestire una rete a livello utente e nemmeno possedere una conoscenza totale del sistema, ma bastano un po’ di buona volontà e una conoscenza del server di rete sufficiente a gestire utenti e risorse.

Se poi vogliamo essere bravi amministratori di rete, è necessario uno studio continuo e approfondito. Ma non è questo lo scopo di questo corso che tende invece a fornire gli strumenti per gestire una tipica rete scolastica, chiarendo le operazioni passo passo, una alla volta.

Pianificazione

La prima cosa da fare è una corretta pianificazione sia delle esigenze, sia delle risorse disponibili. Per simulare una situazione tipo, ipotizziamo una scuola che richiede la messa in rete di due laboratori di informatica disposti in edifici diversi distanti circa 150 metri l’uno dall’altro, di una segreteria con diverse postazioni che comprende anche la dirigenza e di alcune postazioni docente nell’aula insegnanti.

Il nostro Istituto ospita circa 1000 alunni, 100 docenti e 10 applicati di segreteria; non essendo un Istituto superiore, ma un Comprensivo, deve fare i conti anche con un ridotto budget per le attrezzature. Neppure il responsabile IT è un tecnico, ma un docente che si presta per qualche ora settimanale alla manutenzione.

Questa è dunque una scuola come tante e in essa costruiremo la nostra rete scolastica.

Attrezzature

Il primo problema da risolvere è quello della distanza tra i due edifici che, non essendo eccessiva, non richiede l’utilizzo di costosi apparecchi radio, che oltretutto limitano la velocità di collegamento. Tuttavia, poiché la linea del cavo supera abbondantemente i 100 metri, non è possibile utilizzare un normale cavo di rete Utp Cat. 5.

Si è deciso allora di optare per un collegamento in fibra ottica, sostenuto da un cavo d’acciaio steso da un tetto all’altro.

A ogni capo del cavo è stato disposto uno Switch Hp Procurve da 24 porte con connessione per fibra ottica. Ora i due ambienti sono collegati.

Accertiamoci anche che tutte le macchine dispongano di schede di rete a 100 Mb, dato che schede con transfer rate inferiore sono ormai vivamente sconsigliate.

Ora procuriamoci il router. Servirà per collegare tutta la rete al provider Internet e a proteggerla da attacchi esterni. È preferibile quindi l’acquisto di un NAT router (Network Address Translation) che traduce in un solo indirizzo residente sul router tutti gli indirizzi locali della rete, nascondendoli quindi all’esterno.

Esiste un’offerta davvero molto ricca di router, motivata soprattutto dalla diffusione dalla linea ADSL. Infatti ora è possibile reperire router anche economici per piccole reti. Di norma un router dovrebbe avere come servizi minimi un DHCP server per poter assegnare alle macchine un indirizzo nel caso che queste siano state configurate con indirizzi dinamici, un controllo delle porte in modo da garantire chiamate dall’esterno a eventuali siti web, ftp server o altro, un http server per consentire la configurazione del router via browser e il già citato servizio NAT.

Servizi opzionali, ma certamente consigliati, sono il firewall integrato per il controllo degli accessi sia dall’interno, sia dall’esterno e la possibilità di collegarsi a un secondo router o altra apparecchiatura locale, ad esempio un modem satellitare.

Per quanto riguarda la configurazione del router, ogni produttore propone il proprio sistema, quindi non è possibile presentare una configurazione standard, ma è necessario fare riferimento al manuale a corredo del router.

Il router che va per la maggiore consente il collegamento a una linea ISDN e alla linea ADSL, ma in caso di collegamento ADSL in molti casi già il modem stesso fa da router. Disponendo di collegamento a una linea dedicata CDN, il router sarà collegato al DCE fornito dal gestore della linea.

Sarebbe ottimale che i gruppi segreteria, docenti e alunni avessero ognuno a disposizione un proprio router o meglio un proprio server, in modo da separare le risorse dei diversi gruppi. Ma il ridotto budget a disposizione ci obbliga a utilizzare un solo server e un solo router per tutti. Vedremo poi come proteggere le risorse di ogni gruppo.

Indirizzi e sottoreti

Statici o dinamici? Gli utilizzatori di NetSupport School o di programmi simili di collegamento remoto tra computer non hanno dubbi: statici. Assegnare un indirizzo statico facilita il collegamento di NetSupport che non sarà costretto ad aggiornare l’elenco dei computer conosciuti ad ogni avvio del programma. Nella nostra configurazione gli indirizzi saranno statici, ma niente impedisce di utilizzare indirizzi statici nei laboratori e dinamici per la segreteria e docenti.

Nell’indirizzare le macchine il nostro obiettivo dovrà tenere conto del fatto che si vuole collegare tutti i computer allo stesso router, tutti i computer devono appartenere alla stessa classe di indirizzamento. Abbiamo a disposizione 254 indirizzi, visto che lo 0 e il 255 non vengono accettati, ne abbiamo quindi a sufficienza.

Due parole su reti e sottoreti.

L’indirizzo IP comprende 4 numeri intervallati da un punto che sono compresi da 0 a 255.

Es. 192.168.0.1

La classe di indirizzo viene calcolata sulla base del primo numero.

Classe

Numero di reti

Numero di nodi

Range

A

127

16.777.214

0/126

B

16.383

65.534

128/191

C

2.097.151

254

192/223

D

 

 

224/239

E

 

 

240/247

Notare che manca il numero 127, il quale è usato come looback address, ovvero come indirizzo fisso della macchina. Anche i numeri oltre il 247 sono riservati. La classe D è utilizzata per speciali protocolli per la messaggistica di sistema, la classe E per usi futuri.

L’indirizzo 192.168.X.X è un indirizzo privato tipicamente usato nelle reti locali ed appartiene alla classe C.

Tutte le macchine dovranno appartenere alla stessa classe ed avere l’ultimo numero compreso tra l’1 e il 254, e questo limite a causa della scelta fatta di utilizzare un NAT router; per i router che non offrono questo servizio l’inidirizzamento è più semplice, ma meno protetto.

L’indirizzo IP è poi accompagnato da una Subnet Mask, ovvero maschera di sottorete, tramite cui è possibile suddividere una intera classe in sottoreti, che pur appartenendo alla stessa classe non si vedono l’un l’altra.

Una sottorete di tipo 255.255.255.0 assegna tutti gli indirizzi disponibili alla stessa sottorete quindi tutti i computer si vedono. Se si varia l’ultimo numero impostandolo per esempio a 240 avremo la classe C suddivisa in 16 sottoreti da 16 indirizzi ciascuna (256 - 240). Se lo impostiamo a 224 avremo 8 sottoreti da 32 indirizzi.

Durante la configurazione del router abbiamo assegnato tra i suoi parametri l’indirizzo 192.168.0.1 e questo è l’indirizzo che deve essere specificato nel campo Gateway nelle impostazioni di rete. In questo modo ogni macchina punta al router per connettersi a Internet.

Ma non è sufficiente. Impostando gli indirizzi statici vengono richiesti anche gli indirizzi di DNS per il riconoscimento dei nomi di dominio in indirizzi: in una rete a livello di condivisione si potranno inserire l’indirizzo primario e secondario del provider internet. Se il provider richiede indirizzo IP e DNS dinamici allora si potrà utilizzare un qualunque numero fornito da altri provider, come ad esempio gli indirizzi di tin.it.

Se invece la rete è a livello utente, e la nostra lo è, allora l’indirizzo di DNS sarà quello che abbiamo assegnato al nostro server, che abbiamo deciso essere il 192.168.0.10. Il server stesso poi provvederà a dirottare la richiesta sul DNS del provider.

Una rete Microsoft che si rispetti non dovrebbe mai avere come client dei sistemi inferiori a Windows 2000 Professional, ma la realtà è ben diversa. Le macchine con sistemi Win9x/Me sono ancora molto diffuse e Windows XP Home Edition non si connette ad un dominio ma solo ad un gruppo di lavoro; questo è un problema visto che tali macchine non possono essere impiegate per le politiche di gruppo di cui parleremo più avanti. Questo limite riduce parecchio le potenzialità di Windows 2000 Server che invece da Professional in poi vengono recepite appieno.

 L’ultimo passo da compiere sui client consiste nell’impostare le proprietà di rete in modo da configurare l’accesso a livello utente, il gruppo di lavoro, l’indirizzo IP, Gateway e DNS ma questo punto sarà trattato dopo l’installazione di Windows 2000 Server.

Installazione e configurazione di Windows 2000 Server

Presupponendo di aver già effettuato la prima installazione di Windows 2000 Server e di averlo installato su una partizione NTFS, ci troviamo di fronte alla finestra Configura il Server, che ci invita a concludere il Setup.

Clicchiamo su Active Directory e scorriamo la finestra fino a cliccare su Start.

Verrà richiesto il nome da assegnare al dominio. Scriviamo nella nostra ipotesi "nomescuola.it", completo di suffisso. Il collegamento NetBios tra il computer client e il server si limiterà al nome "nomescuola".

Non ha importanza se il dominio è riconosciuto dalla rete Internet; lo sarà comunque dalla rete locale.

Alla fine della procedura, il sistema dovrebbe aver installato Active Directory, il controller di dominio e il server DNS.

Le unità organizzative

Per prima cosa creiamo una console di Microsoft Management Console semplicemente digitando "mmc" sul campo Esegui del menu di avvio o dal prompt dei comandi.

Salviamo con nome la console che si posizionerà direttamente nel menu degli strumenti di amministrazione.

Clicchiamo su Console/Add-Remove Snap-in, poi Add, Active Directory Users and Computers, Add, infine clic su Ok.

La directory di console contiene la sottodirectory nomescuola.it, che a sua volta contiene le cartelle di sistema.

Clic destro su nomescuola.it, poi New/Organizational Unit. Chiameremo questa unità Amministratori. Con lo stesso metodo creiamo le unità Docenti, Alunni e Segreteria.

Procediamo alla creazione degli utenti.

Qui sorge un problema che affligge parecchi amministratori di rete. Finché il numero degli utenti è limitato, il lavoro dell’amministratore è sopportabile; ma il nostro istituto ha 1000 studenti e oltretutto molti alunni cambiano tutti gli anni. È quindi impensabile procedere manualmente, ma come vedremo è possibile automatizzare questa operazione in modo tutto sommato agevole.

Creazione automatica di utenti

Esistono alcuni tool da linea di comando che opportunamente organizzati costituiscono uno strumento potente di creazione e cancellazione utenti, oltre che di condivisione cartelle, assegnazione permessi, ecc., il tutto leggendo i dati da un file di tipo csv (Comma Separated Values, ovvero valori separati da virgole), prodotto dal nostro database preferito, direttamente da Excel o ancora meglio da una procedura proprietaria che risponde alle nostre esigenze.

Prima di creare gli utenti, è bene fare una riflessione sulla loro organizzazione.

Di norma in una azienda ogni utente è associato a un nome utente e a una password, ma si tratta di utilizzatori in massima parte stabili. In una scuola è diverso: ogni anno ci sono studenti che entrano e altri che escono, insegnanti che si trasferiscono, supplenti temporanei, persino la segreteria non garantisce annualmente la stabilità degli applicati.

In una situazione così variabile, si possono mantenere gli account nominali per 10 utenti, ma non per 100 e tanto meno per 1000.

È consigliabile allora preconfigurare una struttura di utenti fissa, che non risente dei cambiamenti o della variabilità delle persone che utilizzano l’account.

Esempio.

Alla segreteria si possono assegnare 20 account del tipo segre01, segre02, ecc., ai docenti gli account doc01, doc02, ecc., agli alunni alun01, alun02, ecc.

Una volta creati tutti gli account, le cartelle e le condivisioni (poi vedremo come fare), si assegneranno gli account degli alunni in uscita agli alunni in entrata, così come si daranno ai nuovi docenti gli account di coloro che si sono trasferiti. Sarà loro sufficiente impostare il cambiamento della password al prossimo logon.

Sarà poi compito di ogni alunno fare pulizia dei documenti lasciati dai vecchi proprietari dell’account.

Lo stesso metodo può essere utilizzato per docenti e segreteria.

È bene allora tenere traccia degli account assegnati, magari in un file Excel. Sarà facile ottenere dalla segreteria gli elenchi su file dei docenti e degli alunni, per poterli comodamente copiare e incollare.

Per creare utenti, gruppi, condivisioni e permessi, si è creato un file CreaUtenti.bat che svolge tutte le operazioni in modo automatico. Scarica il file CreaUtenti.zip.

Nella stessa cartella dove viene lanciato CreaUtenti.bat, devono essere presenti i file AddUsers.exe e RmtShare.exe.

AddUsers.exe è in grado di creare gli utenti leggendoli da un file che contiene valori separati da virgole. L’aspetto del file deve avere la seguente forma:

[Users]
User Name,Full name, Password, Description, HomeDrive, Homepath, Profile, Script

[Global]
Global Group Name, Comment, UserName, ...

[Local]
Local Group Name, Commen>, UserName, ...

Per maggiori informazioni su AddUser vi rimando a http://support.microsoft.com/?kbid=199878.

Sia AddUser che RmtShare si possono reperire facilmente sul Windows 2000 Server Resource Kit, oppure scaricare da http://www.petri.co.il/download_free_reskit_tools.htm.

CreaUtenti.bat

///////////////////////////////////////

@echo off

REM USO: crea <drive> <cartellautenti> <tipoutente> <descrizioneutente> <nomeserver> <script>

REM Gli utenti vengono creati aggiungendo il suffisso contenuto tra le parentesi e separato da spazi

REM CREA LA <cartellautenti>

if not exist %1:\%2 md %1:\%2

REM CONDIVIDE <cartellautenti> E IMPOSTA I PERMESSI FULL CONTROL ALL'AMMINISTRATORE. RIMUOVE EVERYONE

net share %2$="%1:\%2" > nul

rmtshare \\%5\%2$ /grant Administrator:f /remove everyone

REM CREA UNA CARTELLA PER OGNI UTENTE E LA CONDIVIDE

for %%f in (01 02 03 04 05) do if not exist %1:\%2\%3%%f md %1:\%2\%3%%f > nul

for %%f in (01 02 03 04 05) do net share %3%%f="%1:\%2\%3%%f" > nul

REM CREA UN FILE TEMPORANEO PER ADDUSER CON [User] NELLA PRIMA RIGA

echo [User] > utenti.txt

REM CREA UNA RIGA PER OGNI UTENTE

REM NB:INSERIRE IL NOME DI DOMINIO AL POSTO DI NomeDominio

REM Userid,Nome completo,Password,Descrizione,Home Drive,Home path,Profilo,Script

for %%f in (01 02 03 04 05) do echo %3%%f,,123456,,%1:\,\\%5\%3%%f,\\%5\%3%%f,\\NomeDominio\Util\sinc.bat >> utenti.txt

REM INSERISCE LA RIGA [GLOBAL]

echo [Global] >> utenti.txt

REM CREA IL GRUPPO GLOBALE ADMIN, SEGRETERIA,DOCENTI E ALUNNI INSERENDO L'AMMINISTRATORE

REM AGGIUNGERE POI I RELATIVI UTENTI MANUALMENTE

echo Admin,Gruppo amministratori,Administrator, >> utenti.txt

echo Segreteria,Gruppo segreteria e dirigenza,Administrator, >> utenti.txt

echo Docenti,Gruppo docenti,Administrator, >> utenti.txt

echo Alunni,Gruppo alunni,Administrator, >> utenti.txt

REM ADDUSERS LEGGE IL FILE UTENTI.TXT E CREA GLI UTENTI E I GRUPPI

AddUsers /c utenti.txt > nul

REM GARANTISCE AD OGNI CARTELLA I PERMESSI FULL CONTROL AD AMMINISTRATORE E UTENTE. RIMUOVE EVERYONE

for %%f in (01 02 03 04 05) do rmtshare \\%5\%3%%f /grant %3%%f:f /grant administrator:f /remove everyone > nul

//////////////////////////////////

Lo script crea tanti utenti quanti numeri trova tra le parentesi. Nel caso di mille utenti, auguri!: sono da aggiungere manualmente. Conviene ovviamente creare copie diverse per le diverse tipologie di utenti.

Esempi d’uso:

creautenti c Utenti doc Docente MioDominio \\MioDominio\Util\sinc.bat

creautenti c Utenti segre Segreteria MioDominio \\MioDominio\Util\sinc.bat

creautenti c Utenti alun Alunno MioDominio \\MioDominio\Util\sinc.bat

 

CreaUtenti.bat in sostanza

  • crea la cartella <drive>:\<cartellautenti>, la condivide assegnando il permesso full control all’amministratore, rimuovendo everyone

  • crea al suo interno una cartella per ogni utente, assegnando il permesso full control sia all’amministratore che all’utente, rimuovendo everyone

  • crea gli utenti costruendo il nome utente con il <tipoutente> e come suffisso i numeri contenuti nelle parentesi. È ovvio che i numeri devono corrispondere in tutte le parti tra parentesi

  • imposta la password 123456 per ogni utente, che dovrà poi cambiarla al primo logon

  • assegna a ogni utente un profilo roaming del tipo \\MioDominio\CartellaUtente, assegna lo script sinc.bat che sarà avviato a ogni logon e serve a sincronizzare l’orologio del computer con quello del dominio. È necessario adeguare il percorso di questo file in CreaUtenti. Teniamo conto però che l’utente non potrà far funzionare lo script finchè non avrà il permesso "Log on locally", che potrà essere impostato nelle politiche di gruppo. In buona sostanza questo file è utilizzato a scopo dimostrativo, infatti, come vedremo con le group policy, sarà il computer stesso ad aggiornare l’orologio automaticamente a ogni riavvio, mentre per l’utente hanno più senso altri tipi di script, come messaggi o apertura di applicazioni, ecc.

  • Crea i gruppi Admin, Segreteria, Docenti e Alunni, inserendovi l’utente Administrator.

A questo punto gli utenti sono creati e quindi possiamo tornare alla nostra console.

La console MMC

Gli utenti sono tutti configurati immaginando che le macchine client siano dotate di sistemi NT, 2000 Professional, XP Professional o superiori, ma anche con i sistemi precedenti gli utenti avranno accesso al dominio, eccetto con Windows XP Home Edition, come già detto. Non saranno però funzionanti le politiche di gruppo.

Anche gli script che potrebbero essere avviati a ogni avvio logon utente o avvio del computer non saranno funzionanti.

Il consiglio che viene spontaneo dare è senz’altro quello di optare per 2000 Professional o XP Professional per i nuovi acquisti.

Abbiamo già creato le unità organizzative e a queste dobbiamo aggiungere gli utenti e i gruppi relativi.

Apriamo la cartella Users, selezioniamo gli utenti docxx, poi clic destro su Move e selezioniamo l’unità Docenti. Tutti gli utenti verranno trasferiti da Users all’unità.

Clic destro sul gruppo Docenti e trasferire anche questo nell’unità Docenti.

Portarsi sull’unità Docenti, selezionare tutti gli utenti (clic sul primo, poi sull’ultimo con lo shift premuto) e cliccare su Add Members to a group, poi selezionare il gruppo Docenti e Ok.

Ora doppio clic sul gruppo Docenti, clic su Members, giusto per notare che oltre a tutti gli utenti aggiunti c’è anche Administrator, clic su Member Of e su Add. Aggiungere Users con un doppio clic poi Ok.

Ora bisogna muovere i computer che sono stati riconosciuti dal server di dominio come computer validi nelle loro rispettive unità. Questi si trovano nella cartella Computers.

C’è da notare che i computer riconosciuti come validi possono essere amministrati direttamente dalla console tramite il comando Manage, che si ottiene con un clic destro sul nome computer.

Il computer può essere amministrato solo se l’amministratore in questione ha già un account amministrativo su quella data macchina. In questo caso si creerà automaticamente una trust relationship bidirezionale.

Tutte le precedenti operazioni sono da ripetere per il gruppo Segreteria e Alunni.

Il gruppo Admin è stato aggiunto nell’eventualità che ci siano più amministratori nella scuola, oppure che ci sia un solo amministratore, ma coadiuvato da collaboratori esperti ai quali si vorrebbero assegnare vari diritti di amministrazione, senza assegnare loro la totalità dei permessi.

Ad esempio, si vuole dare al docente con account "doc01" il permesso di creare account, e solo quello, sul computer di dominio o su altri computer.

  • Creare un’unità Amministratori

  • muovere il computer di dominio dalla cartella Domain Controllers all’unità amministratori, oppure altre macchine dalla cartella Computers

  • aggiungere all’unità il gruppo Admin; ma attenzione: ricordatevi di togliere da questo gruppo l’utente Administrator

  • muovere l’utente doc01 dall’unità Docenti all’unità Amministratori

  • selezionare l’unità Amministratori, poi clic destro e clic su Delegate Control, Add, doppio clic sul gruppo Admin, poi Ok e Next

  • spuntare Create, delete, and manage user accounts e su Create, delete, and manage groups

  • Premere Finish

Il docente doc01 ha il permesso di impostare account e gruppi sui computer specificati nell’unità Amministratori. Anche a questa cartella è possibile assegnare le politiche di gruppo, ma in questo caso è bene escludere il server di dominio dall’unità.

È arrivato il momento di impostare le politiche di gruppo

Group Policy

Le politiche di gruppo con Windows 2000 server sono estremamente accurate e ricche di combinazioni. Si applicano a computer e utenti.

Applichiamo le politiche ad esempio all’unità Alunni, ciccando col tasto destro sull’unità. Cliccare su Properties, poi su Group Policy. Premere il pulsante New e assegnare il nome AlunniPol, per distinguere questo oggetto da altri che possono essere creati per i docenti e per la segreteria.

Doppio clic sul nome, oppure premere Edit.

Appare un insieme di cartelle suddivise per Computer Configuration e User Configuration.

Sono così numerose le possibilità di intervento che elencarle richiederebbe un tempo eccessivo. Prenderemo ad esempio solo alcune di queste possibilità, lasciando a voi il gusto di scoprirle tutte.

Nell’unità Alunni abbiamo già provveduto a inserire, oltre agli utenti, anche le macchine dei laboratori.

Funzioni applicabili ai computers

  • Software Settigs

    •

    • Software installation - Installando in questa cartella un pacchetto di installazione compatibile con Windows Installer (*.msi), si otterrà il piacevole effetto di installare automaticamente su tutte le macchine comprese in questa unità il suddetto programma. Nel caso che l’applicazione sia assegnata, l’installazione avverrà quando l’utente cercherà di aprire un file che richiede quel programma, oppure quando l’utente cliccherà sul menu per avviare il programma. Se l’applicazione viene invece pubblicata, si dà la possibilità all’utente di installarla o meno dal pannello Installazione Applicazioni. Dato che all’utente però verrà tolto il pannello di controllo, è necessario nel nostro caso assegnare le applicazioni, anziché pubblicarle. Le applicazioni tipiche potrebbero essere Office, Acrobat, ecc. Visto che l’installazione viene effettuata via rete, è necessario creare una cartella, condividerla e inserirvi i file di installazione che comprendono il file con estensione msi. Per creare il pacchetto, cliccare col tasto destro su Software installation, poi New e Package, raggiungere via My Network Places la cartella condivisa e selezionare il file *.msi. Scegliere se si vuole pubblicare o assegnare l’applicazione, poi Ok. Appaiono le proprietà del pacchetto: nella scheda Security aggiungiamo Users, con permesso Read.

  • Windows Settings

    •

    • Scripts (Startup/Shutdown) - Qui è possibile inserire lo script sinc.bat per sincronizzare le macchine con l’ora del server. Doppio clic su Startup, premere Add e nello Script Name digitare il percorso completo di nome dominio e cartella condivisa, es: \\MioDominio\Scripts\sinc.bat, tenendo conto che il percorso deve essere di rete, visto che è dalla rete che ci si collega. Questo file verrà lanciato ad ogni avvio su ogni macchina contenuta nell’unità.

    • Security Settings
      •

      • Local Policies

        •

        • User Rights Assignment - Qui è possibile tra molte cose impostare per il gruppo Alunni il permesso di "Log on locally" per permettere all’utente che si collega alla macchina di eseguire i vari script o applicazioni comandati dal server. Doppio clic su "Log on locally", spuntare Define these policy settings, Add poi Browse, doppio clic su Users, ovvero tutti gli utenti, Ok tre volte.

      • Event log

        •

        • Settings for Event Logs - É possibile definire il numero di KB massimo dei file di log per applicazioni, sicurezza e sistema.

    • System Services - Qui si comandano i servizi di ogni macchina dell’unità e si decide chi può far avviare i servizi. Ad esempio, se si vuole disabilitare il servizio di Smart Card, non essendo utilizzato nelle macchine dei laboratori e dei docenti, ma solo in quelle della segreteria, è sufficiente farlo qui una volta per tutte le macchine degli alunni. C’è da ricordare che un servizio occupa memoria anche se il suo caricamento è manuale; per liberare memoria è necessario disabilitare il servizio.

  • Administrative Templates

    •

    • Windows Components

      •

      • Internet Explorer - Sicuramente si può impostare "Don’t allow users to change policies" su enabled. Gli utenti non potranno cambiare le impostazioni di sicurezza.

    • System
      •

      • Disk Quotas

        •

        • Enable disk quota - L’abilitazione è consigliata.

        • Enable disk quota limit - Se il limite è disabilitato gli utenti ricevono il messaggio di avere esaurito il loro spazio a disposizione, ma possono continuare a scrivere sul disco. Meglio abilitarlo.

        • Default quota limit e warning level - Qui si definisce quanto spazio su disco hanno a disposizione gli utenti, con messaggio di avvertimento alla prima scrittura. Per le macchine Alunni 2/3 MB per ciascuno dovrebbero bastare. Si potrà sempre modificare questa quota.

        • Log event when quota limit exceeded - É bene sapere quale utente ha finito il proprio spazio e perché.

    • Printers - Per default le stampanti vengono pubblicate in Active Directory dopo la condivisione quindi verificare se è il caso di disabilitare questa funzione.

Funzioni applicabili agli utenti
  • Software Settigs
    •
    • Software installation - Avendo già applicato questa funzione alla macchina, non è necessario ripeterla per gli utenti.

  • Windows Settings
    • Internet Explorer Maintenance
      • Connection - Ogni macchina sarà configurata automaticamente con le impostazioni presenti in Import the Connection Settings/Modify Settings. È possibile configurare la Protezione e il tipo di Connessione.
      • URLs - Questa funzione assegna agli tutti gli utenti un elenco degli indirizzi preferiti. Si possono aggiungere indirizzi e cartelle. La struttura può anche essere importata.
      • Important URLs - È bene impostare una homepage predefinita dal server per evitare spiacevoli sorprese quando si avvia il browser.
    • Scripts
      • Logon/logoff - Qui si può definire quali script o applicazioni devono essere avviati al logon o al logoff di ogni utente. Esempio: doppio clic su logon, premere Add poi Browse, selezionare il file, Ok. È possibile aggiungere più di un file.
    • Folder Redirection - Per ognuna delle quattro cartelle presenti si può definire con un clic destro/Properties la definizione delle cartelle di ogni utente. Nel menu a discesa scegliere Advanced - Specify locations for various user groups, premere Add, in Security Group MemberShip premere Browse e selezionare il gruppo, in Target Folder Location inserire \\MioDominio\CartellaUtenti\%username%. L’uso del tag predefinito %username% consente di assumere il nome del nome utente. Nel nostro caso ogni utente ha già una cartella con nome uguale al nome utente. L’operazione può essere ripetuta per tutte le quattro cartelle.
  • Administrative Templates
    • Windows Components
      • Internet Explorer - Disabilitare le proprietà del browser può salvarci da molto lavoro inutile.
      • Toolsbar
        • Configure Toolsbar Button - Cliccare su Enabled e selezionare I bottoni che devono apparire sul menu.
      • Microsoft Management Console
        • Restrict the user from entering author mode - Enabled
    • Starts Menu & Taskbar
      • Remove Run menu from Start Menu - Enabled
    • Control Panel
      • Disable Control Panel - Enabled
    • System -
      • Don’t run specified Windows applications - Qui è possibile disabilitare l’esecuzione di determinati programmi. Enabled, premere Show, poi Add e scrivere il nome completo del programma da disabilitare. Es. freecell.exe, winmine.exe, ecc.
      • Disable the command prompt - Enabled
      • Logon/logoff
        • Disable Lock Computer - Enabled
      • Run these programs at user logon - Offre la facoltà di avviare automaticamente un programma al logon. Enabled, premere Show, poi Add e scrivere il nome completo del programma da avviare. Es. winword.exe, iexplore.exe, ecc.

Questa configurazione delle politiche di gruppo riduce di parecchio il lavoro di manutenzione e soprattutto la riparazione di danni anche accidentali che spesso occorrono in un laboratorio di informatica.

Per curiosità e soprattutto per studiare la configurazione di Windows 2000 Server, rimando all’indirizzo

http://www.microsoft.com/windows2000/it/server/help/default.asp?url=/windows2000/it/server/help/ntcmds.htm

Proprietà di rete

Veniamo ora alla configurazione delle proprietà di rete.

  • Router
    • Indirizzo IP 192.168.0.1
    • Subnet Mask 255.255.255.0
    • DNS Primario fornito dal provider (nulla se fornito come dinamico)
    • DNS Secondario fornito dal provider (nulla se fornito come dinamico)

Clic destro su My Network Places, Properties, clic destro su Local Area Connection, Properties

Doppio clic su Internet Protocol (TCP/IP)

  • Server
    • Indirizzo IP 192.168.0.10
    • Subnet Mask 255.255.255.0
    • Gateway 192.168.0.1
    • DNS Primario 212.216.112.122 (tin.it se non fornito dal provider)
    • DNS Secondario 212.216.172.162 (tin.it se non fornito dal provider)
  • Client
    • Indirizzo IP 192.168.0.x
    • Subnet Mask 255.255.255.0
    • Gateway 192.168.0.1
    • DNS Primario 192.168.0.10
    • DNS Secondario vuoto

Ora è necessario aggiungere il client al dominio.

Per sistemi Win9x/Me

Clic destro su Risorse di rete, aprire la scheda Controllo di accesso, ciccare su "Controllo di accesso a livello utente", digitare il nome del dominio. Riavviare.

Per sistemi 2000 Professional/XP Professional

Clic destro su Risorse del Computer, Proprietà, Identificazione di Rete, Proprietà, ciccare su Dominio e digitare il nome netbios del dominio (escludendo il suffisso .it).

Per sistemi XP Professional

Clic destro su Risorse del Computer, Proprietà, Cambia, ciccare su Dominio e digitare il nome netbios del dominio (escludendo il suffisso .it).

Protezione

Data la sempre più larga diffusione di Internet, navigare senza protezione vuol dire accorgersi ben presto di essere esposti ad attacchi di tutti i tipi. Se si dispone poi di un collegamento 24h, si è esposti a ogni tipo di virus, spamming, spyware, messaggistica su Messenger e continua violazione della privacy.

Il primo strumento di cui dotarsi è sicuramente un buon antivirus su ogni macchina, possibilmente con funzioni di server di rete, cioè solo il server fa l’aggiornamento e i client si aggiornano in locale. Norton Corporate Edition è una buona soluzione, anche se un po’ pesante e invasivo. Costo 40/50 euro a macchina.

In secondo luogo è necessario munirsi di un firewall che sia in grado di bloccare sia gli attacchi dall’esterno che chiamate indesiderate dalla rete locale. Se non è installato sul router, esso dovrebbe essere installato su un computer che fa da filtro alla rete locale. Il firewall può esistere anche come dispositivo hardware posto tra il router e la rete locale, come ad esempio Firewall 3Com. Se proprio non ci sono fondi, scaricate Zone Alarm, gratuito per uso personale, ma è da installare su ogni macchina.

Non deve mancare in ogni computer un antispyware, Ad-aware è ottimo e gratuito.

Veniamo adesso al backup dei dati. Pare che il programma di backup fornito con Windows, prodotto da Veritas, sia considerato il migliore dei programmi di backup forniti gratuitamente.

Allora usiamolo. Il problema è il supporto dove copiare i dati: una unità a nastro è sicuramente la soluzione migliore, ma ha un costo notevole e richiede manutenzione. Un masterizzatore dvd potrebbe risolvere il problema, ma per loro natura i supporti ottici non sono affidabili: basta un graffio e i dati sono persi.

Una buona soluzione al problema potrebbe essere Network Address Storage.

Il NAS in pratica non è che un disco raggiungibile tramite indirizzo IP, che oltretutto con il cavo usb può essere facilmente connesso e disconnesso a caldo, solo per i periodi di backup, oppure lasciato sempre connesso. Purtroppo un disco di rete costa intorno ai 300 euro, ma è una spesa che si ripaga per la comodità d’uso e per l’affidabilità. Ovviamente ne esistono di molto più costosi, con tecnologia RAID e quant’altro, ma un semplice disco a una scuola forse può bastare.

Buon lavoro a tutti.