none
Policy per bloccare l'utilizzo di un pc RRS feed

  • Domanda

  • Buongiorno, avrei l'esigenza di far funzionare su un pc win7 agganciato ad un dominio un gestionale facendo in modo

    che al logon dell'utente il sw parta in automatico oppure da un collegamento dal desktop.. ma che poi tutto il resto del

    pc sia bloccato o meglio non si possa aprire niente che non sia il gestionale. Si puo' creare una policy per questo?


    martedì 22 maggio 2012 14:37

Risposte

  • Come punto di partenza potresti usare il link seguente:
    http://www.windowsecurity.com/articles/windows-terminal-services-run-single-application.html

    troverai un elenco dettagliato delle GPO utili per creare un ambiente "single application" (si parla di terminal server ma i concetti sono applicabili per analogia) 

    ne riporto un estratto:

    Control Panel


    Policy
    Setting
    Prohibit access to the Control Panel Enabled
    Desktop
    Policy
    Setting
    Do not add shares of recently opened documents to My Network Places Enabled
    Don't save settings at exit Enabled
    Hide My Network Places icon on desktop Enabled
    Prohibit user from changing My Documents path Enabled
    Remove My Computer icon on the desktop Enabled

     

    Start Menu and Taskbar


    Policy
    Setting
    Add Logoff to the Start Menu Enabled
    Do not display any custom toolbars in the taskbar Disabled
    Force classic Start Menu Disabled
    Hide the notification area Enabled
    Prevent changes to Taskbar and Start Menu Settings

    ....

    Aggiungo un semplice script di logon che esegue un applicativo e alla chiusura dello stesso forza un logoff (con questo scrip avrai due finestre una il cmd e l'altra il gestionale, ma volendo s con qualche altro post aggiuntivo si può fare meglio)

    @echo off
    cls
    start /w c:\programmi\miogestionale\gestionale.exe
    shutdown -L -F


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE!

    martedì 22 maggio 2012 19:42
    Moderatore

Tutte le risposte

  • Si, puoi fare tutto (o quasi) attraverso un oggetto GPO collegato all'utente in questione.

    Per l'avvio del gestionale è sufficiente utilizzare uno script di logon, ad esempio un file batch, da inserire in "Configurazione utente > Impostazioni di Windows > Script (Accesso/fine sessione) > accesso".

    Per impedire l'avvio di altre applicazioni basta inserire il percorso del gestionale nel criterio "Configurazione utente > Modelli amministrativi > Sistema > Esegui solo applicazioni Windows specificate". Per impedire anche l'apertura delle altre finestre del sistema operativo puoi agire sulle altre policy, ad esempio per il pannello di controllo puoi abilitare il criterio "Configurazione utente > Modelli amministrativi > Pannello di controllo > Proibisci l'accesso al pannello di controllo".

    Addirittura potresti anche pensare di terminare il processo explorer.exe sempre tramite script di logon in modo da impedire proprio la visualizzazione del desktop, ma poi dovresti inventarti qualcosa per rendere semplici le disconnessioni e i riavvi senza menu start....

    martedì 22 maggio 2012 15:02
    Moderatore
  • Grazie mille gentilissimo
    martedì 22 maggio 2012 15:27
  • Come punto di partenza potresti usare il link seguente:
    http://www.windowsecurity.com/articles/windows-terminal-services-run-single-application.html

    troverai un elenco dettagliato delle GPO utili per creare un ambiente "single application" (si parla di terminal server ma i concetti sono applicabili per analogia) 

    ne riporto un estratto:

    Control Panel


    Policy
    Setting
    Prohibit access to the Control Panel Enabled
    Desktop
    Policy
    Setting
    Do not add shares of recently opened documents to My Network Places Enabled
    Don't save settings at exit Enabled
    Hide My Network Places icon on desktop Enabled
    Prohibit user from changing My Documents path Enabled
    Remove My Computer icon on the desktop Enabled

     

    Start Menu and Taskbar


    Policy
    Setting
    Add Logoff to the Start Menu Enabled
    Do not display any custom toolbars in the taskbar Disabled
    Force classic Start Menu Disabled
    Hide the notification area Enabled
    Prevent changes to Taskbar and Start Menu Settings

    ....

    Aggiungo un semplice script di logon che esegue un applicativo e alla chiusura dello stesso forza un logoff (con questo scrip avrai due finestre una il cmd e l'altra il gestionale, ma volendo s con qualche altro post aggiuntivo si può fare meglio)

    @echo off
    cls
    start /w c:\programmi\miogestionale\gestionale.exe
    shutdown -L -F


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE!

    martedì 22 maggio 2012 19:42
    Moderatore