Il profilo MANDATORY

Nel lontanissimo 1998 insieme ad un gruppo super selezionato di docenti partecipai al teacher.training@microsoft.  In  tre giornate di formazione full time il  preparatissimo tutor ci spiegava i segreti di Windows server anticipandoci, con gli occhi che brillavano, le meraviglie del futuro Windows 2000 server.

In quel tempo la gestione utenti con un server, anche a scuola, pareva davvero l’ultima frontiera della modernità. Laboratori metafora dell’ufficio e una gestione aziendale dei permessi utente ci hanno dato da fare per anni. Ora, dopo più di 20 anni, è cambiato tutto e le utenze -perfino troppe-  sono quasi tutte on line!

Nonostante tutti gli utenti siano ormai registrati su piattaforme online come Google e Microsoft,  il Dominio Active directory di Windows Server continua però ad essere un must-have per molte scuole superiori. Nei casi migliori le utenze del Dominio Locale sono perfino sincronizzate con i Server Google o Microsoft; mentre alcune scuole usano astutamente i server online di Azure AD https://azure.microsoft.com/it-it/services/active-directory/ per gestire utenti e piattaforme tutto online (e anche gratuito). Insomma un vero centro di super-poteri informatici.

Ma a cosa serve il Dominio Active Directory?

  • Gestisce tutti gli utenti dei PC di una rete locale da un unico server, nelle migliori best practices la gestione utenti è unificata con le piattaforme online o con moodle;
  • impedisce agli utenti non registrati di usare i PC (con il GDPR questa funzione è però obbligatoria solo in segreteria);
  • impedisce agli utenti registrati di installare, eseguire e perfino compilare programmi obbligando quindi i docenti a chiedere continui aggiustamenti e interventi ai tecnici;
  • salva ogni volta il desktop, le preferenze e i documenti dell’utente con tutti i suoi file, i cookies, le password nell’hard disk. Comodo per ritrovare i file la volta successiva -ammesso di usare ogni volta lo stesso PC- ma devastante per i dischi e le prestazioni dei PC di un laboratorio scolastico, dove si alternano centinaia di utenti che generano altrettanti profili traboccanti di file inutili e informazioni potenzialmente riservate.

E cosa non fa il Dominio Active Directory?

  • non protegge da virus, malware e da download pericolosi
  • non protegge la navigazione
  • non traccia gli utenti su internet
  • non funziona su tablet e altri dispositivi che non usano Windows
  • non installa completamente i programmi lasciando all’utente la configurazione finale, così ad ogni nuovo utente il PC completa l’installazione chiedendo anche alcune impostazioni. Ottimo in ufficio dove i dipendente si configura correttamente l’ambiente di lavoro, devastante a scuola, dove i ragazzi rispondono a caso e talvolta interrompono il processo di installazione, disallineando, in poco tempo, tutti i PC!!!

In conclusione, oggi, a cosa serve una gestione utenti sui PC dei laboratori? Ha ancora senso caricare centinaia di utenti su un server concettualmente antico di 20 anni quando le utenze per noi strategiche sono quelle online e i dispositivi mobili si stanno diffondendo ovunque?

E poi quanto lavoro chiede la gestione del Dominio? Un server di Dominio va protetto, curato, coccolato, aggiornato e perfino sbaciucchiato quotidianamente altrimenti si ingelosisce, si infetta e si vendica.

A differenza degli uffici -15 utenti su 15 PC- dove tutto funziona a meraviglia, nei laboratori delle scuole la gestione dei profili utente è devastante: profili salvati sul disco locale o ancora peggio sul server rallentano inesorabilmente la rete e tutti i computer, non c’è scampo. Active Directory non è infatti pensato per gestire migliaia di persone sullo stesso PC. La lentezza snervante dei PC scolastici dipende quasi sempre dai giga e giga di profili utente che i PC devono gestire anno dopo anno e che nessuno cancella mai. Con i dischi SSD ovviamente si velocizzano i tempi di caricamento ma lo spazio a disposizione è sensibilmente minore e, se non gestito, si riempie in fretta.

Esiste una soluzione? Si almeno due:

  1. FREEZE: dismettiamo il dominio e congeliamo i PC con un unico profilo utente amministratore locale e dimentichiamoci per sempre la manutenzione dei PC;
  2. MANDATORY: conserviamo il dominio – che ci piace tanto – ma usiamo il profilo obbligatorio mandatory .man

FREEZE

L’opzione 1 è un tormentone che proponiamo da anni con Dschola per avere la manutenzione Zero. www.associazionedschola.it/zero. Prestazioni incredibili e costanti nel tempo, nessun virus, no aggiornamenti inutili nel bel mezzo di una lezione, niente limiti alla didattica e niente password per accedere al PC. E i ragazzi dove salvano? In rete ovviamente, che ci piaccia o no ora abbiamo registrato tutti online ed è ora di usare a nostro vantaggio queste piattaforme e non soltanto di esserne usati.

Uso il PC, ci faccio di tutto e al riavvio si cancella tutto quello che ho fatto, posso perfino scaricare e installare qualunque software al volo senza scomodare tecnici e responsabili. Password, dati riservati e cookie traccianti sono spacciati con buona pace di Google, GDPR e DPO.

MANDATORY

L’opzione 2 prevede invece la realizzazione di un profilo obbligatorio uguale per tutti (perfino con tutte le icone al loro posto) che non effettua il salvataggio dei dati dell’utente. Il tutto gestito però dal mitico dominio Active Directory che ci piace tanto.

Così ad ogni ora il PC ripartirà quasi come nuovo, senza occupare inutile spazio sul disco e senza rallentamenti. Anche le eventuali password memorizzate verranno rigorosamente cancellate mettendoci in regola con il più severo DPO. Come già detto il dominio non protegge da eventuali virus e malware, per questo mestiere serve l’antivirus e quello integrato in win 10 è probabilmente il migliore. Avendo un profilo blindato sarà possibile, dalle policy, consentire a docenti e studenti l’esecuzione al volo di programmi e utility, anche scaricati sul momento, in modo da dare più libertà alla didattica, che nella metafora dell’ufficio oggi ci sta davvero stretta. E i ragazzi dove salvano? In rete ovviamente, sulle nostre mitiche piattaforme online: Google, Moodle, 365, WeSchool, così a casa avranno accesso agli stessi file per completare i compiti e le esercitazioni. Anche in un ottica di didattica a distanza o di classi rovesciate la gestione dei file online è oramai indispensabile, nessuno salva più sul dischetto…

Ma come si fa? Chi è questo mandatory? Perché nessuno ne parla?

In rete è documentato abbastanza bene, è di facile realizzazione ed è specifico per i PC pubblici e condivisi; ma a scuola non se ne parla, forse perché l’unica volta che un tutor Microsoft ci ha parlato del mandatory era proprio al teacher.training@microsoft. Da allora solo pochi eletti lo possono usare. È quanto di più simile si possa avere rispetto alla soluzione FREEZE ed è perfetto per le nostre scuole dominate dal dominio.

Nei prossimi giorni pubblicherò ulteriori istruzioni su: www.associazionedschola.it/zero, nell’immediato potete guardare la documentazione online che è abbastanza easy: https://docs.microsoft.com/it-it/windows/client-management/mandatory-user-profile

Attenzione: così come per il Freeze, il successo dell’operazione, dipende totalmente dal profilo di partenza, troppo spesso trascurato da tecnici e responsabili di laboratorio, che dovrà essere completo di tutto quello che serve: le icone giuste sul desktop e i programmi già avviati e correttamente installati, le risposte giuste alle domande che fanno i programmi durante la prima esecuzione, niente ricerca aggiornamenti e registrazioni dei software ai quali gli utenti non sapranno rispondere o risponderanno a caso, aggiungiamo anche uno sfondo del desktop personalizzato e tutto sarà pronto e ordinato. Fate tutto su un PC dedicato, quando vedrete che la configurazione è finalmente stabile, anche dopo alcuni riavvii e alcuni giorni di test potrete copiare quel profilo utente e metterlo come mandatory per tutti i PC in rete o come predefinito su ogni singolo PC. Troppo spesso, infatti ci si preoccupa sotanto della gestione utenti e delle policy e si dimentica che il profilo utente è certamente più importante: dal profilo utente dipende il comportamento dei PC e di tutti i software installati.

Rimanete in contatto www.associazionedschola.it/zero e partecipate con i vostri contributi e le vostre esperienze sull’argomento!

3 risposte a “Il profilo MANDATORY”

  1. salve. trovo molto interessante l’idea l’uso del profilo mandatory in un laboratorio scolastico, anche perchè toolwiz timefreeze (che sembra un progetto abbandonato) spesso mi ha dato problemi sulle macchine windows10 (che vanno in blue screen all’avvio, nonostante il superfix10 e aggiornamenti disattivati). tuttavia ho un dubbio: questa tecnica del profilo mandatory si può usare in assenza di una macchina con windows server (quindi niente dominio ed active directory)?
    nel laboratorio ho solo macchine con windows10 home, nessun server, ho provato a fare alcuni tentativi per creare un profilo mandatory, ma mi funziona solo se lo creo localmente su ogni macchina (locale & mandatory).
    invece tentando di creare un profilo roaming & mandatory per uno studente comune, da distribuire all’accensione tramite la postazione “docente” (da una cartella condivisa in rete) ho il problema che le macchine studente partono con un profilo temporaneo standard, il problema è dovuto all’assenza di active directory?
    cordiali saluti

    1. Per usare il profilo mandatory serve obbligatoriamente un server Active Directory e un client con windows Professional.
      Quindi con Windows Hone bisogna arrangiarsi con Time Freeze o Deep Freeze. Le schermate blu però non sono normali, probabilmente derivano da una installazione non pulita o da aggiornamenti fatti male. Meglio formattare da zero, fare una sola partizione, e ricongelare.

      1. quindi i miei dubbi erano fondati… però in base alle prove che ho fatto, anche su windows 10 Home è possibile rendere il profilo mandatory, ma solo se salvato in locale e se l’accesso è autenticato (ossia lo studente deve digitare una pwd per accedere a windows), solo che così il processo va ripetuto per N macchine. grazie.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.