|
|||||||||||||||||||||
Definizione di una politica globale di rete
Di solito in una scuola la gestione delle dotazioni informatiche è affidata ad un docente. Spesso questo docente è quello che, nella scuola, ha le competenze maggiori, ma non è certo un sistemista professionale. Questo limite non può e non deve scoraggiare, ma se il responsabile è dotato di buona volontà e di un po' di tempo disponibile, la gestione della rete può rilevarsi un'attività interessante. Diverso è il discorso delle scuole che affidano ad esterni la gestione delle dotazioni informatiche e, quindi della rete. Questa è, a mio avviso, una situazione assolutamente da evitare, in quanto ogni piccolo intervento o modifica sarà oneroso per la scuola, oltre per il fatto che così si è in mano a persone che, spesso, si rivelano molto inaffidabili. Meglio provare a fare da sè. La prima cosa da fare è definire chiaramente quale debba essere la politica di gestione ed utilizzo della rete. Questo processo, che deve essere proposto dal docente amministratore di rete e condiviso dai docenti utilizzatori, è fondamentale e, in un certo senso, irreversibile, in quanto è spesso difficile cambiare aspetti sostanziali in corso d'opera. Il mio consiglio è quello di prevedere:
Tipologie di utenti e permessiIn una rete scolastica, di norma, esistono tre livelli di utenti: gli amministratori, i docenti (definizione qui estendibile al personale ATA) e gli studenti. Gli amministratoriGli amministratori sono utenti necessari e predefiniti e inseriti in un gruppo globale (Domain Admins) ed in un gruppo locale al dominio (Administrators). Buone regole, valide anche in ambiente scolastico, sono:
I DocentiOgni docente deve essere dotato di account personalizzato. La convenzione per definire tale account potrebbe essere quella nome.cognome. Al docente possono essere concessi alcuni privilegi, quali ad esempio la modifica del proprio desktop, ma negate alcune funzioni superiori, quali ad esempio l'installazione di software, la modifica di configurazioni delle macchine. L'esperienza insegna che molti colleghi, in modo assolutamente colposo, hanno recato gravi danni alla rete o a singoli computer magari solo installando qualche software che abbia interferito col sistema. Ugualmente problemi sono stati rilevati perchè alcuni hanno modificato impostazioni dei client in modo improvvido. L'installazione di software ed, eventualmente, di hardware deve essere competenza esclusiva dell'Amministratore che, eventualmente, può delegarla dei power users che possono essere definiti. Gli StudentiQui non ci sono dubbi: gli studenti devono avere il minimo di permessi possibile, anzi se possibile anche meno... Non potranno, quindi, ad esempio:
Essi dovranno:
Quali attività verranno svolte in rete ?La definizione delle attività in rete è anch'essa prioritaria per definire la struttura del dominio e i livelli di sicurezza da implementare. In questo bisogna tener anche conto della tipologia di scuola. In una scuola elementare o media inferiore le problematiche sono ben diverse rispetto una scuola superiore, sia per l'età dell'alunno, sia per le attività che deve svolgere. Parimenti la tipologia di scuola superiore ha importanza. Un liceo classico avrà necessità diverse rispetto un ITIS ad indirizzo informatico e, di conseguenza, i livelli di sicurezza ed i permessi concedibili agli utenti sono ben diversi. Compito dell'Amministratore, di concerto con i
docenti utilizzatori, è proprio quello di definire il modello pertinente alla
propria scuola. Quale livello di sicurezza implementare ?Stabilito il modello di cui sopra, è necessario definire gli standard di sicurezza. La sicurezza è uno degli aspetti più importanti di una rete, ma paradossalmente, potrebbe essere ignorata. Le reti a dominio Windows 2000/2003, infatti, partono dal concetto che tutto è permesso e che solo restringendo questi permessi è possibile alzare il livello di sicurezza. Se il dominio è creato, se sono definiti un certo numero di utenti, ma non è applicata alcuna politica di sicurezza, ognuno potrà fare quello che vuole a livello dei client, al limite demolirne le impostazioni. Un'altra considerazione preliminare è che un modello di sicurezza valido può essere implementato solo se i client sono con sistema operativo Windows 2000 professional, Windows XP professional, entrambi con file system NTFS. Un livello minore, anche se già accettabile può essere attivato per client Windows NT4 workstation. Client Windows 95, 98 e Me non soddisfano i requisiti minimi di sicurezza, per cui è possibile solo attivare alcune impostazioni di base, utili ma, comunque, facilmente superabili da un pur modesto smanettone. Non ho citato Windows XP Home edition in quanto questa versione del sistema operativo non può essere client di un dominio Windows 2000/2003. Purtroppo capita anche che qualche scuola, magari per risparmiare poche decine di euro, acquisti computer con preinstallato Windows XP home per metterli in rete. Lo schema di come costruire uno o più modelli di sicurezza, ovvero quali siano i tools da utilizzare, è questo:
Poledit è un tools che si trova nei CD di Windows 98 o in quello di Windows NT4 e consente la definizione di una policy semplice ma pur sempre utile. La creazione di policy per client Windows 9x è trattata in altro documento presente inq uesto sito. Criteri di gruppo o group policy è uno strumento di Windows 2000/2003 server estremamente robusto che consente di definire, per i client Windows 2000 professional o Windows XP professional o per server membri delle policy estremamente granulari e robuste. Di questo tratterò nelle pagine seguenti.
|