Il profilo MANDATORY

Nel lontanissimo 1998 insieme ad un gruppo super selezionato di docenti partecipai al teacher.training@microsoft.  In  tre giornate di formazione full time il  preparatissimo tutor ci spiegava i segreti di Windows server anticipandoci, con gli occhi che brillavano, le meraviglie del futuro Windows 2000 server.

In quel tempo la gestione utenti con un server, anche a scuola, pareva davvero l’ultima frontiera della modernità. Laboratori metafora dell’ufficio e una gestione aziendale dei permessi utente ci hanno dato da fare per anni. Ora, dopo più di 20 anni, è cambiato tutto e le utenze -perfino troppe-  sono quasi tutte on line!

Nonostante tutti gli utenti siano ormai registrati su piattaforme online come Google e Microsoft,  il Dominio Active directory di Windows Server continua però ad essere un must-have per molte scuole superiori. Nei casi migliori le utenze del Dominio Locale sono perfino sincronizzate con i Server Google o Microsoft; mentre alcune scuole usano astutamente i server online di Azure AD https://azure.microsoft.com/it-it/services/active-directory/ per gestire utenti e piattaforme tutto online (e anche gratuito). Insomma un vero centro di super-poteri informatici.

Ma a cosa serve il Dominio Active Directory?

  • Gestisce tutti gli utenti dei PC di una rete locale da un unico server, nelle migliori best practices la gestione utenti è unificata con le piattaforme online o con moodle;
  • impedisce agli utenti non registrati di usare i PC (con il GDPR questa funzione è però obbligatoria solo in segreteria);
  • impedisce agli utenti registrati di installare, eseguire e perfino compilare programmi obbligando quindi i docenti a chiedere continui aggiustamenti e interventi ai tecnici;
  • salva ogni volta il desktop, le preferenze e i documenti dell’utente con tutti i suoi file, i cookies, le password nell’hard disk. Comodo per ritrovare i file la volta successiva -ammesso di usare ogni volta lo stesso PC- ma devastante per i dischi e le prestazioni dei PC di un laboratorio scolastico, dove si alternano centinaia di utenti che generano altrettanti profili traboccanti di file inutili e informazioni potenzialmente riservate.

E cosa non fa il Dominio Active Directory?

  • non protegge da virus, malware e da download pericolosi
  • non protegge la navigazione
  • non traccia gli utenti su internet
  • non funziona su tablet e altri dispositivi che non usano Windows
  • non installa completamente i programmi lasciando all’utente la configurazione finale, così ad ogni nuovo utente il PC completa l’installazione chiedendo anche alcune impostazioni. Ottimo in ufficio dove i dipendente si configura correttamente l’ambiente di lavoro, devastante a scuola, dove i ragazzi rispondono a caso e talvolta interrompono il processo di installazione, disallineando, in poco tempo, tutti i PC!!!

In conclusione, oggi, a cosa serve una gestione utenti sui PC dei laboratori? Ha ancora senso caricare centinaia di utenti su un server concettualmente antico di 20 anni quando le utenze per noi strategiche sono quelle online e i dispositivi mobili si stanno diffondendo ovunque?

E poi quanto lavoro chiede la gestione del Dominio? Un server di Dominio va protetto, curato, coccolato, aggiornato e perfino sbaciucchiato quotidianamente altrimenti si ingelosisce, si infetta e si vendica.

A differenza degli uffici -15 utenti su 15 PC- dove tutto funziona a meraviglia, nei laboratori delle scuole la gestione dei profili utente è devastante: profili salvati sul disco locale o ancora peggio sul server rallentano inesorabilmente la rete e tutti i computer, non c’è scampo. Active Directory non è infatti pensato per gestire migliaia di persone sullo stesso PC. La lentezza snervante dei PC scolastici dipende quasi sempre dai giga e giga di profili utente che i PC devono gestire anno dopo anno e che nessuno cancella mai. Con i dischi SSD ovviamente si velocizzano i tempi di caricamento ma lo spazio a disposizione è sensibilmente minore e, se non gestito, si riempie in fretta.

Esiste una soluzione? Si almeno due:

  1. FREEZE: dismettiamo il dominio e congeliamo i PC con un unico profilo utente amministratore locale e dimentichiamoci per sempre la manutenzione dei PC;
  2. MANDATORY: conserviamo il dominio – che ci piace tanto – ma usiamo il profilo obbligatorio mandatory .man

FREEZE

L’opzione 1 è un tormentone che proponiamo da anni con Dschola per avere la manutenzione Zero. www.associazionedschola.it/zero. Prestazioni incredibili e costanti nel tempo, nessun virus, no aggiornamenti inutili nel bel mezzo di una lezione, niente limiti alla didattica e niente password per accedere al PC. E i ragazzi dove salvano? In rete ovviamente, che ci piaccia o no ora abbiamo registrato tutti online ed è ora di usare a nostro vantaggio queste piattaforme e non soltanto di esserne usati.

Uso il PC, ci faccio di tutto e al riavvio si cancella tutto quello che ho fatto, posso perfino scaricare e installare qualunque software al volo senza scomodare tecnici e responsabili. Password, dati riservati e cookie traccianti sono spacciati con buona pace di Google, GDPR e DPO.

MANDATORY

L’opzione 2 prevede invece la realizzazione di un profilo obbligatorio uguale per tutti (perfino con tutte le icone al loro posto) che non effettua il salvataggio dei dati dell’utente. Il tutto gestito però dal mitico dominio Active Directory che ci piace tanto.

Così ad ogni ora il PC ripartirà quasi come nuovo, senza occupare inutile spazio sul disco e senza rallentamenti. Anche le eventuali password memorizzate verranno rigorosamente cancellate mettendoci in regola con il più severo DPO. Come già detto il dominio non protegge da eventuali virus e malware, per questo mestiere serve l’antivirus e quello integrato in win 10 è probabilmente il migliore. Avendo un profilo blindato sarà possibile, dalle policy, consentire a docenti e studenti l’esecuzione al volo di programmi e utility, anche scaricati sul momento, in modo da dare più libertà alla didattica, che nella metafora dell’ufficio oggi ci sta davvero stretta. E i ragazzi dove salvano? In rete ovviamente, sulle nostre mitiche piattaforme online: Google, Moodle, 365, WeSchool, così a casa avranno accesso agli stessi file per completare i compiti e le esercitazioni. Anche in un ottica di didattica a distanza o di classi rovesciate la gestione dei file online è oramai indispensabile, nessuno salva più sul dischetto…

Ma come si fa? Chi è questo mandatory? Perché nessuno ne parla?

In rete è documentato abbastanza bene, è di facile realizzazione ed è specifico per i PC pubblici e condivisi; ma a scuola non se ne parla, forse perché l’unica volta che un tutor Microsoft ci ha parlato del mandatory era proprio al teacher.training@microsoft. Da allora solo pochi eletti lo possono usare. È quanto di più simile si possa avere rispetto alla soluzione FREEZE ed è perfetto per le nostre scuole dominate dal dominio.

Nei prossimi giorni pubblicherò ulteriori istruzioni su: www.associazionedschola.it/zero, nell’immediato potete guardare la documentazione online che è abbastanza easy: https://docs.microsoft.com/it-it/windows/client-management/mandatory-user-profile

Attenzione: così come per il Freeze, il successo dell’operazione, dipende totalmente dal profilo di partenza, troppo spesso trascurato da tecnici e responsabili di laboratorio, che dovrà essere completo di tutto quello che serve: le icone giuste sul desktop e i programmi già avviati e correttamente installati, le risposte giuste alle domande che fanno i programmi durante la prima esecuzione, niente ricerca aggiornamenti e registrazioni dei software ai quali gli utenti non sapranno rispondere o risponderanno a caso, aggiungiamo anche uno sfondo del desktop personalizzato e tutto sarà pronto e ordinato. Fate tutto su un PC dedicato, quando vedrete che la configurazione è finalmente stabile, anche dopo alcuni riavvii e alcuni giorni di test potrete copiare quel profilo utente e metterlo come mandatory per tutti i PC in rete o come predefinito su ogni singolo PC. Troppo spesso, infatti ci si preoccupa sotanto della gestione utenti e delle policy e si dimentica che il profilo utente è certamente più importante: dal profilo utente dipende il comportamento dei PC e di tutti i software installati.

Rimanete in contatto www.associazionedschola.it/zero e partecipate con i vostri contributi e le vostre esperienze sull’argomento!

Stop Updates 10

Chi fa il docente sa quanto sono importanti le ICT nella didattica e sa anche che per poter permettere che il ritmo delle lezioni sia adeguato rispetto a quanto progettato occorre che le tecnologie siano SEMPRE funzionanti. Quante volte accade che, appena entrati in classe, si accenda la LIM e che al posto del desktop compaia la fatidica scritta: “Preparazione degli aggiornamenti di Windows in corso. Attendere prego”. Come si fa a fare lezione? Le ICT devono essere il nostro “tappeto digitale” (cfr MIUR-Bando Atelier Creativi). DEVONO funzionare SEMPRE.

Chi ci segue da tempo sa che dalla ricerca Dschola è nato il progetto Manutenzione Zero, per permettere alle nostre tecnologie un funzionamento continuo senza assistenza tecnica (per approfondire vedere il sito www.associazionedschola.it/zero).

Con Windows 10 abbiamo aggiornato il tutorial e la guida, proposto un nuovo software di congelamento (TimeToolWizFreeze) ma con le ultime versioni ci siamo accorti che gli aggiornamenti di Windows 10 erano veramente difficili da bloccare.

Ora Windows propone aggiornamenti schedulati, distribuiti nel tempo che rimangono latenti e anche se i servizi sono disattivati, si avviano ugualmente dopo un certo lasso di tempo.

La soluzione che abbiamo trovato per ovviare a questa difficoltà è quella di utilizzare un software di terze parti, StopUpdates10, che blocca attraverso le chiavi di registro gli aggiornamenti. Ovviamente dallo stesso programma è possibile riattivarli.

Con questa utility siamo riusciti a bloccare gli aggiornamenti per poter “freezare” davvero il pc e garantire un utilizzo continuo senza sorprese.

ATTENZIONE: ricordatevi in fase di installazione dell’utility di togliere la spunta dal “check for new Version”, altrimenti non si aggiornerà Windows ma la nostra utility 😛

Il software è reperibile facilmente su internet

Sito dell’autore: https://greatis.com/stopupdates10/

Toolwiz Time Freeze

Toolwiz Time Freeze è un software di ripristino automatico del sistema, istantaneo, facile ed efficace che protegge i PC attraverso la creazione di un ambiente virtuale come copia del sistema reale. Insuperabile per difendere i PC scolastici da eventuali modifiche indesiderate e minacce dannose, come spyware, worm non rilevabili, virus Trojan e così via.

Attivando la modalità Time Freeze, l’intero sistema è in esecuzione in una modalità chiamata “sandbox”, tutte le modifiche al disco (ma proprio tutte!) vengono salvate in un area che si pulisce ad ogni riavvio. GENIALE!

Time Freeze è diventata ultimamente l’unica soluzione automatizzata in grado di tutelare la privacy e rispettare il GDPR sui computer condivisi da più utenti! Infatti i sistemi operativi moderni ed i browser fanno di tutto per memorizzare informazioni e dati riservati, credenziali di accesso e preferenze dell’utente! Oggi, su un computer utilizzato ogni ora da una persona diversa, è facilissimo recuperare informazioni e accessi riferiti all’utente precedente! (a chi non è capitato di accedere alla casella email di qualche altro docente? – ebbene sarebbe pure un reato!) L’unica soluzione è ripristinare tutto ad ogni riavvio (anche sulle LIM!)

Con Time Freeze correttamente configurato ad ogni avvio tutte le modifiche, le installazioni e le infezioni da virus e malware della sessione precedente vengono irrimediabilmente perse e il PC riparte sempre come nuovo.

Si tratta di un software gratuito strategico e indispensabile per tutti i PC delle scuole che ci fa risparmiare moltissime ore di manutenzione, elimina per sempre i PC fermi per manutenzione/aggiornamenti e può perfino farci azzerare le spese per i contratti di manutenzione.

A differenza di altri software simili, Toolwiz TimeFreeze, a detta degli sviluppatori, è un programma che è e resterà freeware. E questo lo rende l’utility perfetta per le nostre scuole da sempre senza risorse.

E per installare qualcosa o cambiare la configurazione? una password ci consentirà di sproteggere il sistema e salvare le modifiche!

E se al docente x serve urgentemente un software y? Il docente ed i suoi allievi potranno tranquillamente installare in qualsiasi momento ogni sorta di software e di fetenzia. Il programma e la configurazione voluta dal docente x rimarranno perfettamente operativi fino allo spegnimento del PC, garantendo così anche ai docenti dell’ora successiva di avere un PC pulito e veloce e non pasticciato da quelli dell’ora prima!

Sistemi operativi di supportati: WinXP / Win2003 / Vista / Win7 / Win8 / Win10 (32 / 64bit)

Link al sito del produttore: www.toolwiz.com/lead/toolwiz_time_freeze

Link al sito ufficiale di download: www.toolwiz.com/lead/products

L’installazione è rapidissima e richiede pochi passaggi:

  • alla richiesta per la dimensione massima del buffer indicare sempre il massimo consentito (dipende dalla dimensione del disco rigido o dell’SSD)
  • nel pannello di configurazione attivare le seguenti impostazioni:
  • Enable time freeze automatically when Windows starts
  • Enable password protection for the control – Modify password (impostare una password che non darete a nessun docente o allievo – è l’unica password che vi serve davvero)
  • Start Time Freeze

Offre anche la possibilità di lasciare una o più cartelle sprotette ma tutti quelli che ci hanno provato dovevano poi controllarsele tutte perché gli utenti le riempivano di ogni sorta di malware e immondizia. I pennini USB ed il Cloud consentono oggi a qualsiasi allievo e docente un sicuro salvataggio.

Per non mandare in loop il computer richiede che vengano disabilitati il defrag, il backup di Windows e tutti gli aggiornamenti.  Nella sezione procedure troverete le istruzioni ottimizzate da Dschola per configurare un PC (fisso, portatile e anche LIM) di una scuola/università/biblioteca.

Procedura per congelare PC con Windows 10

Per poter congelare e rendere affidabile un PC con Windows 10 bisogna eliminare tutte quelle operazioni cicliche che si attivano da sole ad ogni riavvio del computer come, ad esempio, gli aggiornamenti o il defrag. Un computer congelato non ha più bisogno di queste operazioni in quanto riparte tutte le volte come nuovo, se lasciamo queste operazioni attive ad ogni riaccensione ripeterà sempre gli stessi aggiornamenti; mentre, se li disattiviamo, avremo finalmente un PC  affidabile per tutto l’anno che non ci interrompe a metà lezione con fastidiose richieste di riavvio.

Per un funzionamento ottimale occorre quindi fare attenzione ad alcune piccole impostazioni che possono però influire sul corretto funzionamento del sistema.

 

Questo sistema permette anche di evitare l’abuso degli antivirus gratuiti sui pc della scuola, pratica ILLEGALE, in quanto la loro licenza (generalmente)  non include l’uso in ambiente educational.

In sintesi occorre seguire i seguenti passaggi, per velocizzare le operazioni è possibile utilizzare lo script SuperFixW10 presente a fondo pagina. Una lettura comunque è consigliata per comprendere il funzionamento e la complessità dei sistemi che utilizziamo quotidianamente.

  1. INSTALLAZIONE PULITA DI WINDOWS
    1. è la base di tutto – inutile congelare un PC già rallentato e compromesso da malware: O installare da zero o fare il ripristino alle impostazioni di fabbrica senza conservare nessun file
    2. recuperare con l’utility keyfinderinstaller o equivalente  i codici di installazione di Windows e di altri software regolarmente installati (es office)
    3. da impostazioni/ripristino andare su Reimposta PC (senza conservare file e app) oppure installare il sistema in un unica partizione
    4. procedere con il cavo di rete scollegato e senza wifi
    5. unico utente locale amministratore senza password
    6. ricollegare la rete solo dopo aver creato utente locale
    7. impostare al minimo le opzioni di telemetria e privacy di Windows, niente cortana
    8. installare pochi software e solamente dai siti originali (non serve mettere tutto, solo quello che usiamo veramente tutti i giorni)
    9. avviare uno ad uno i software installati per configurare ambiente di lavoro, eliminare le registrazioni utente e disattivare gli aggiornamenti!
    10. non installare software di cui non è possibile disattivare gli aggiornamenti come Adobe Reader – Da anni è possibile aprire i PDF con un normale Browser.
    11. Impostare uno sfondo uguale per tutti i PC del laboratorio, sistemare il desktop e il menu avvio
    12. riavviare più volte e controllare che tutto funzioni correttamente
  2. Disattivare Windows Defender
    • Cliccare su pulsante Start
    • Selezionare Impostazioni
    • Aggiornamento e Sicurezza
    • Windows Defender
      • Disabilitare Protezione in tempo reale
      • Protezione basata sul cloud
      • Invio automatico file di esempio
  1. Disattivare i servizi di aggiornamento
    • Win +x
    • Cliccare su pannello di controllo
    • Strumenti di amministrazione
    • Servizi
    • Arrestare e disabilitare:
      • Windows update
      • Windows Search
      • Windows Firewall
      • Centro sicurezza PC
      • Google Update (ci sono almeno 2 servizi se avete installato earth e chrome)

Per disabilitarli tasto destro e selezionare proprietà. Prima cliccare su arresta; dal menu a tendina scegliere disabilitato (all’avvio)

  1. Disattivare defrag
    • Win+x
    • Pannello si controllo
    • Strumenti di amministrazione
    • Deframmenta e ottimizza unità
    • Cliccare su Modifica impostazioni
    • Eliminare la spunta a “Esegui in base a una pianificazione (scelta consigliata)”
  2. Disattivare notifiche
    • Cliccare su pulsante Start
    • Impostazioni
    • Sistema
    • Notifiche
    • Attiva o disattiva icone di sistema
    • Disabilita centro notifiche
  3. Disattivare memorizza psw da edge e altri browser
    1. per ogni browser impostare anche una homepage e il motore di ricerca predefinito
    2. per ogni browser disattivare aggiornamenti
    3. avere 3 browser che fanno la stessa cosa non serve a nulla, se accettate il consiglio lasciate solo edge che è già preinstallato!!!
  4. Eliminare e disattivare ripristino automatico di sistema
    • Impostazioni
    • Sistema
    • Impostazioni di sistema avanzate
    • Scheda Protezione sistema
    • Configura
    • Selezionare “Disattiva protezione di sistema”
    • Ridurre lo spazio a 1%
    • Cliccare su ok
    • Riaprire la finestra Configura e cliccare su elimina per cancellare precedenti punti di ripristino
  5. Disattivare avvio veloce
    • Opzioni spegnimento
      • Specifica comportamento pulsante di alimentazione
      • Modifica le impostazioni attualmente non disponibili
      • Selezionare, nel menù Protezione con password alla riattivazione – Non richiedere password
      • Deselezionare in impostazioni di arresto Attiva avvio rapido e sospensione
  1. Disabilitare Servizi all’avvio
    • Win+X > esegui, digitare:
    • Msconfig e dare invio.
    • Cliccare su Servizi.
    • Spuntare la casella “Nascondi tutti i servizi Microsoft (Non vanno toccati). Rimarranno solo i servizi “terzi”. Disabilitarli togliendo la spunta.
    • Cliccare su Ok.
  2. Disabilitare programmi con avvio automatico
    1. esistono software che partono automaticamente all’avvio pensando di essere gli unici software di un PC
    2. nelle impostazioni di questi software eliminare la voce di avvio automatico
  3. Disabilitare aggiornamenti JAVA
    1. Java non è più indispensabile come un tempo, se possibile non installarlo
    2. se installato dal menu di avvio fare clic con il tasto destro su Configura Java e avviare come amministratore
    3. tab aggiorna – disattivare controlla automaticamente aggiornamenti
  4. Eliminare le operazioni pianificate inutili
    1. avviare l’Utilità di Pianificazione
    2. cercare ed eliminare tutte le voci che contengono la parola UPDATE, aggiornamento, defrag, maintenance
    3. eliminare anche le voci aggiunte da Google e da altri software per registrazioni utente, controllo aggiornamenti, ecc…

Riavviare qualche volta per verificare stabilità del sistema. Il risultato sarà un avvio sensibilmente più veloce.

A questo punto installare ToolWiz Time Freeze, impostare una password di sblocco, proteggere il disco e riavviare.

Il PC è DEFINITIVAMENTE protetto e a prova di bomba e la rete è pure più veloce perché libera dagli aggiornamenti!

Per gustare al massimo i vantaggi evitate di sproteggerlo per ameno un intero anno scolastico e vedrete che non tornerete più indietro. Se vi serve qualche software durante l’anno basta scaricarlo e installarlo al volo * qualsiasi software nessun problema * ma senza sproteggere i PC, così al riavvio il PC tornerà come nuovo per la classe dell’ora successiva.

Per eseguire molte di queste ottimizzazioni in maniera automatizzata  potete usare lo script Super Fix W10 che potete scaricare dalla sezione Script:

https://www.associazionedschola.it/zero/download/script/