需要帮助锁定许多联网的公共计算机

Question 1

我已成功将 pfSense 与 Dansguardian 结合使用，用于互联网过滤。设置过程非常简单，而且这是一个免费选项。我没有设置白名单，但听起来这就是你想要的，而且这是 Dansguardian 提供的一个选项。

或者，您应该已经安装某种防火墙，如果是这样，您可能能够使用特定于您的防火墙的过滤产品。

您有权访问这些机器的默认网关吗？如果可以，您可以在 pfsense 中设置透明代理。如果没有，您可以使用组策略将 pfsense 框设置为代理服务器。

您应该安装防病毒软件。这将是设置应用程序限制的好地方。如果没有，您也可以使用组策略来设置这些限制。组策略不是尝试配置允许网站列表的最佳位置。您确实希望将代理和应用程序限制分开。

Answer

我已成功将 pfSense 与 Dansguardian 结合使用，用于互联网过滤。设置过程非常简单，而且这是一个免费选项。我没有设置白名单，但听起来这就是你想要的，而且这是 Dansguardian 提供的一个选项。

或者，您应该已经安装某种防火墙，如果是这样，您可能能够使用特定于您的防火墙的过滤产品。

您有权访问这些机器的默认网关吗？如果可以，您可以在 pfsense 中设置透明代理。如果没有，您可以使用组策略将 pfsense 框设置为代理服务器。

您应该安装防病毒软件。这将是设置应用程序限制的好地方。如果没有，您也可以使用组策略来设置这些限制。组策略不是尝试配置允许网站列表的最佳位置。您确实希望将代理和应用程序限制分开。

Question 2

微软提供了使用 GPMC 的组策略常见场景。这有一些模板策略，您可以在 Active Directory 域中使用这些策略作为锁定机器的起点。从您的描述来看，您似乎想要这个Multi-User模板。

场景概述

以下是场景列表以及典型使用示例。

轻度管理

此方案适用于需要对其计算机进行大量控制的高级用户或开发人员。您还可以在用户不接受严格管理的桌面或高度委托桌面管理的组织中使用此方案。与其他方案一样，“轻度管理”方案支持增强安全性并促进用户体验的一致性，这两者都是有益的，即使在严格管理的桌面不合适的情况下也是如此。

轻度管理场景具有以下特点：

是所有场景中管理最差的。

允许用户自定义影响他们的大多数设置，但阻止他们进行有害的系统更改。
包括减少帮助台成本和用户停机时间的设置。
支持自由就座，这意味着用户可以坐在任何计算机前，访问所有资源、应用程序和数据，就像坐在自己的计算机前一样。这也简化了文件备份场景，因为用户的文件都存储在指定的文件服务器上。
通常有一组核心应用程序分配给用户或计算机，这些应用程序始终可用。用户还可以安装已为他们发布的应用程序，他们可以选择安装这些应用程序。

移动的

移动场景与移动/笔记本电脑及其用户相关。此场景特别关注经常需要离线工作并偶尔与公司网络“重新同步”的断网用户。

移动场景有以下特点：

可供大部分时间不在办公室、使用低速拨号链路登录但偶尔也使用高速网络链路登录的用户使用。
偶尔离开办公室并使用远程访问或远程网络链接登录的用户也可以使用。
无论计算机是否连接到网络，都允许用户持续访问他们的数据和配置设置。
部分支持自由坐席（可以选择支持完全自由坐席），以方便集中数据备份，并允许用户从其他计算机访问重要数据和设置。
允许用户无需注销或关机即可断开网络。

多用户

在大学计算机实验室或图书馆中使用此场景，用户可以保存一些自定义设置，例如桌面墙纸和配色方案首选项，但不允许更改硬件或连接设置。

多用户场景有以下特点：

允许对桌面环境进行基本自定义。用户可以保存桌面配置，但无法自定义网络、硬件和系统设置。
支持自由使用；用户可以登录任何计算机并获取其数据和设置。当他们离开时，计算机上不会保留任何缓存状态。
用户对本地计算机的写访问权限受到限制，并且只能将数据写入其用户配置文件和重定向文件夹。
拥有一组始终可用的应用程序（已分配），以及可以根据需要安装和删除的应用程序（已发布）。
高度安全。

应用站

当您需要高度受限的配置且仅包含少量应用程序时，可以使用 AppStation 方案。此方案适用于“垂直”应用程序，例如营销、索赔和贷款处理以及客户服务方案。

AppStation 场景有以下特点：

允许用户进行最低限度的定制。
允许用户访问适合其工作角色的少量应用程序。
不允许用户添加或删除应用程序。
支持自由就座。

提供简化的桌面和开始菜单。
用户对本地计算机的写访问权限受到限制，并且只能将数据写入其用户配置文件和重定向文件夹。
高度安全。

任务站

当您需要专用于运行单个应用程序的计算机时，请使用 TaskStation 场景，例如在制造车间、作为订单的输入终端或在呼叫中心。

TaskStation 场景与 AppStation 场景类似，但有以下变化：

它只安装了一个应用程序，当用户登录时自动启动。
没有桌面或“开始”菜单。

亭

在公共区域使用此方案，例如机场，乘客可在此办理登机手续并查看航班信息。由于计算机通常无人值守，因此需要高度安全。

Kiosk 场景有以下特点：

是一个公共工作站。
仅运行一个应用程序。
仅使用一个用户帐户并自动登录。系统在每次会话开始时自动重置为默认状态。
无人值守运行。
高度安全。
操作简单，无需登录程序。
不允许用户更改默认用户或系统设置。
不将数据保存到磁盘。
始终处于开启状态（用户无法注销或关闭计算机）。

使用 Kiosk 方案的工作站类似于 TaskStation，但用户是匿名的，因为他们都共享一个用户帐户，该帐户在计算机启动时自动登录。这是通过按照本文档后面描述的方式修改 Kiosk 计算机来实现的。无法进行任何自定义，也不会保留任何用户状态。

尽管用户会话通常是匿名的，但用户可以登录到特定于应用程序的帐户，例如通过 Internet Explorer 登录到基于 Web 的应用程序（假设 Internet Explorer 是启动时启动的“信息亭应用程序”）。

专用应用程序可以是业务线 (LOB) 应用程序、Internet Explorer 中托管的应用程序或其他应用程序，例如 Microsoft Office 中提供的应用程序。默认应用程序不应是 Windows Explorer 或任何其他类似 shell 的应用程序。Windows Explorer 允许对计算机的访问权限比 Kiosk 计算机的访问权限要多。请确保命令提示符已禁用，并且您用于此目的的任何应用程序都无法访问 Windows Explorer。

应仔细检查用于信息亭场景的应用程序，以确保它们不包含允许用户绕过系统策略的“后门”。例如，它们不应允许用户访问访问文件系统的应用程序。理想情况下，您应仅使用符合“Windows 2000 应用程序规范”、经过 Windows 认证且在允许用户访问禁止功能之前检查组策略设置的应用程序。较旧的应用程序通常不会感知组策略，因此请尝试禁用允许用户绕过管理策略的任何功能。

注册表项跑步和运行一次通过相关策略设置在 Kiosk 场景中禁用。

Answer

微软提供了使用 GPMC 的组策略常见场景。这有一些模板策略，您可以在 Active Directory 域中使用这些策略作为锁定机器的起点。从您的描述来看，您似乎想要这个Multi-User模板。

场景概述

以下是场景列表以及典型使用示例。

轻度管理

此方案适用于需要对其计算机进行大量控制的高级用户或开发人员。您还可以在用户不接受严格管理的桌面或高度委托桌面管理的组织中使用此方案。与其他方案一样，“轻度管理”方案支持增强安全性并促进用户体验的一致性，这两者都是有益的，即使在严格管理的桌面不合适的情况下也是如此。

轻度管理场景具有以下特点：

是所有场景中管理最差的。

允许用户自定义影响他们的大多数设置，但阻止他们进行有害的系统更改。
包括减少帮助台成本和用户停机时间的设置。
支持自由就座，这意味着用户可以坐在任何计算机前，访问所有资源、应用程序和数据，就像坐在自己的计算机前一样。这也简化了文件备份场景，因为用户的文件都存储在指定的文件服务器上。
通常有一组核心应用程序分配给用户或计算机，这些应用程序始终可用。用户还可以安装已为他们发布的应用程序，他们可以选择安装这些应用程序。

移动的

移动场景与移动/笔记本电脑及其用户相关。此场景特别关注经常需要离线工作并偶尔与公司网络“重新同步”的断网用户。

移动场景有以下特点：

可供大部分时间不在办公室、使用低速拨号链路登录但偶尔也使用高速网络链路登录的用户使用。
偶尔离开办公室并使用远程访问或远程网络链接登录的用户也可以使用。
无论计算机是否连接到网络，都允许用户持续访问他们的数据和配置设置。
部分支持自由坐席（可以选择支持完全自由坐席），以方便集中数据备份，并允许用户从其他计算机访问重要数据和设置。
允许用户无需注销或关机即可断开网络。

多用户

在大学计算机实验室或图书馆中使用此场景，用户可以保存一些自定义设置，例如桌面墙纸和配色方案首选项，但不允许更改硬件或连接设置。

多用户场景有以下特点：

允许对桌面环境进行基本自定义。用户可以保存桌面配置，但无法自定义网络、硬件和系统设置。
支持自由使用；用户可以登录任何计算机并获取其数据和设置。当他们离开时，计算机上不会保留任何缓存状态。
用户对本地计算机的写访问权限受到限制，并且只能将数据写入其用户配置文件和重定向文件夹。
拥有一组始终可用的应用程序（已分配），以及可以根据需要安装和删除的应用程序（已发布）。
高度安全。

应用站

当您需要高度受限的配置且仅包含少量应用程序时，可以使用 AppStation 方案。此方案适用于“垂直”应用程序，例如营销、索赔和贷款处理以及客户服务方案。

AppStation 场景有以下特点：

允许用户进行最低限度的定制。
允许用户访问适合其工作角色的少量应用程序。
不允许用户添加或删除应用程序。
支持自由就座。

提供简化的桌面和开始菜单。
用户对本地计算机的写访问权限受到限制，并且只能将数据写入其用户配置文件和重定向文件夹。
高度安全。

任务站

当您需要专用于运行单个应用程序的计算机时，请使用 TaskStation 场景，例如在制造车间、作为订单的输入终端或在呼叫中心。

TaskStation 场景与 AppStation 场景类似，但有以下变化：

它只安装了一个应用程序，当用户登录时自动启动。
没有桌面或“开始”菜单。

亭

在公共区域使用此方案，例如机场，乘客可在此办理登机手续并查看航班信息。由于计算机通常无人值守，因此需要高度安全。

Kiosk 场景有以下特点：

是一个公共工作站。
仅运行一个应用程序。
仅使用一个用户帐户并自动登录。系统在每次会话开始时自动重置为默认状态。
无人值守运行。
高度安全。
操作简单，无需登录程序。
不允许用户更改默认用户或系统设置。
不将数据保存到磁盘。
始终处于开启状态（用户无法注销或关闭计算机）。

使用 Kiosk 方案的工作站类似于 TaskStation，但用户是匿名的，因为他们都共享一个用户帐户，该帐户在计算机启动时自动登录。这是通过按照本文档后面描述的方式修改 Kiosk 计算机来实现的。无法进行任何自定义，也不会保留任何用户状态。

尽管用户会话通常是匿名的，但用户可以登录到特定于应用程序的帐户，例如通过 Internet Explorer 登录到基于 Web 的应用程序（假设 Internet Explorer 是启动时启动的“信息亭应用程序”）。

专用应用程序可以是业务线 (LOB) 应用程序、Internet Explorer 中托管的应用程序或其他应用程序，例如 Microsoft Office 中提供的应用程序。默认应用程序不应是 Windows Explorer 或任何其他类似 shell 的应用程序。Windows Explorer 允许对计算机的访问权限比 Kiosk 计算机的访问权限要多。请确保命令提示符已禁用，并且您用于此目的的任何应用程序都无法访问 Windows Explorer。

应仔细检查用于信息亭场景的应用程序，以确保它们不包含允许用户绕过系统策略的“后门”。例如，它们不应允许用户访问访问文件系统的应用程序。理想情况下，您应仅使用符合“Windows 2000 应用程序规范”、经过 Windows 认证且在允许用户访问禁止功能之前检查组策略设置的应用程序。较旧的应用程序通常不会感知组策略，因此请尝试禁用允许用户绕过管理策略的任何功能。

注册表项跑步和运行一次通过相关策略设置在 Kiosk 场景中禁用。

需要帮助锁定许多联网的公共计算机

答案1

答案2

场景概述

轻度管理

移动的

多用户

应用站

任务站

亭

相关内容