• Control Panel: permette restrizioni all'uso dell'etichetta Display nel Pannello di Controllo e, quindi, alla possibilità di modificare le impostazioni dello schermo.
• Desktop: permette di configurare sfondi o colori di sfondo del desktop di un utente. L'utente troverà quel desktop in ogni macchina nella quale farà logon.
• Shell: consente di configurare permessi d'uso di alcuni comandi (Find, Run, Shut Down e altri).
• System: permette di disabilitare l'editor di registro (Regedit), di stabilire quali programmi si possono usare e di impostare altre restrizioni al sistema.
• WindowNT Shell: consente di creare un'interfaccia diversa da Explorer e di definire quali icone visualizzare sul desktop e quali voci avere nel menu Start. Prevale sull'eventuale simile voce della policy per il singolo computer.
• WindowsNT System: consente, tra l'altro, di mostrare messaggi di benvenuto o di disabilitare il task manager.

Esempio di Policy

La configurazione di un computer attraverso una System Policy serve a prevenire modifiche al sistema operativo da parte di utenti non autorizzati e a far sì che il sistema parta in una determinata configurazione.

Ecco le più importanti policies per computer:

• Network: determina come i computer remoti devono aggiornare la loro policy prelevandola da NTConfig.pol del server PDC (Primary Domain Controller).
• System: specifica quali applicazioni il computer deve eseguire all'avvio.
• WindowsNT Network: modifica alcune impostazioni di rete, ad es. il fatto di nascondere drives.
• WindowsNT printers: configurazioni relative allo spooler di stampa.
• WindowsNT Access remote: configurazioni relative all'accesso (ad es. numero massimo di autenticazioni fallite).
• WindowsNT Shell: permette di definire quali icone visualizzare sul desktop e quali voci avere nel menu Start. In caso esistano simili policies per user o group, prevarranno quest'ultime.
• WindowsNT System: permette di configurare la policy relativa al logon utente, ad esempio consentendo o negando l'accesso automatico, oppure visualizzando messaggi di avvertimento. Permette, poi, di rendere inattivo il pulsante di shutdown.
• WindowsNT User profiles: consente di cancellare i profili comuni temporaneamente copiati nella cache di ciascuna macchina di rete e di impostare alcune configurazioni relative all'accesso.

Menu delle policy per computer

Installazione di Poledit per Windows 95-98

• Common.adm: contiene informazioni sulle configurazioni del registro comuni a Windows NT e a Windows 95-98.
• Winnt.adm: contiene informazioni sulle configurazioni del registro proprie di Windows NT.
• Windows.adm: contiene informazioni sulle configurazioni del registro proprie di Windows 95-98.

1. Creare una policy di default che sarà assegnata, al momento del logon, a tutti gli utenti e a tutti i computer.
2. Creare policies particolari per singoli utenti, gruppi di utenti o singoli computer. Queste configurazioni conterranno anche quelle stabilite per Default User e Default Computer e, solo se diverse, le prime prevarranno su queste ultime.
3. Specificare se, per quali utenti e in quale modo le policies debbano essere caricate dal PDC o da qualsiasi altro computer della rete.

1. In modo Registry: è possibile modificare il registro di un computer locale o remoto. Le modifiche sono immediatamente attive.
2. In modo Policy: si crea e si modifica il file NTConfig.pol (o Config.pol per le macchine Windows 95-98). Le modifiche dei registri delle singole macchine non sono immediate, ma avvengono solo a un nuovo logon. Questo metodo è molto più funzionale del precedente, in quanto consente di modificare i registri di più computer e utenti contemporaneamente.

Il modo Registry

Per entrare in modo Registry è sufficiente in Poledit richiamare la voce <Open registry> dal menu <File>. Apparirà la seguente finestra:

Modo Registry per il computer locale

• Local Computer: alla sezione del registro del computer locale che contiene le configurazioni proprie del computer e del suo rapporto con la rete.
• Local User: alla sezione del registro del computer locale che contiene le configurazioni proprie dell'utente in quel momento attivo su quel computer.

Poledit in modo Policy (nuova policy)

• Default User: contiene le configurazioni relative all'utente di default (qualsiasi utente che fa logon nella rete e per il quale non siano definite una policy utente, né una di gruppo).
• Default Computer: contiene le configurazioni relative al computer di default (qualsiasi computer della rete per il quale non siano previste policies particolari).

Configurazione delle policies

Quando Poledit lavora in modo Policy, tutte le configurazioni relative a utenti, gruppi e computer vengono inserite nel file NTConfig.pol (Config.pol per i computer Windows 95-98).

Quando un utente fa logon su una macchina della rete, questa va a leggere il file di configurazione (NTConfig.pol o Config.pol) e aggiorna il proprio registro secondo quanto stabilito nelle policies.

La configurazione di una policy attraverso Poledit è un procedimento abbastanza intuitivo, ma è necessario che il System Administrator sappia bene quali modifiche apportare e a chi assegnarle.

Le voci del registro modificabili hanno una casella che ne identifica lo stato. Le possibilità sono tre:

• Spuntata: quanto previsto dalla voce è stato implementato e, quindi, è attivo.
• Bianca: quanto previsto dalla voce è stato cancellato e, quindi, è inattivo.
• Grigia: quanto previsto dalla voce non viene modificato e, quindi, conserva l'impostazione dell'ultimo accesso da parte dell'utente. Non vengono effettuate modifiche al registro e quindi è più veloce il processo di startup.

Modifiche di alcune voci

1. Le prime quattro voci hanno il flag attivo. Questo significa che per quell'utente o gruppo è rimosso il comando <Run> dal menu <Start> (voce n.1), è rimossa la cartella <Settings> o <Impostazioni> dal menu <Start> (voce n.2) e cosi' via.
2. Le voci "Hide drives in My Computer" ("Nascondi le icone dei drives nel mio computer") e "Remove Shut Down command from Start menu" sono grigie, per cui è attivo quanto stabilito precedentemente.
3. Altre icone, ad es. "Hide all items on desktop" ("Nascondi tutti gli oggetti sul desktop"), sono bianche; ciò significa che la voce è inattiva, per cui si vedranno tutti gli oggetti del desktop.

Creazione di una nuova policy per utenti o gruppi

La prima cosa che un Amministratore di rete scolastica deve imparare è che:

"Se non sono attive policies per utenti, gruppi o computer, vale quanto previsto per Default User e Default Computer".

Uno degli impegni prioritari è quindi quello di definire le policies per utenti e gruppi e, nel caso sia necessario, anche per singoli computer.

Partendo da una nuova policy, è ovvio che nessuna restrizione è attiva. Altrettanto ovvio è che tale situazione è la meno indicata per una rete, tantomeno per una rete scolastica, in quanto a ogni utente sarebbe consentito utilizzare programmi che modificano le configurazioni delle macchine. Ad esempio, se agli studenti non viene inibita la modifica della configurazione del desktop, dopo poco tempo saranno probabilmente cambiati colori, sfondi, caratteri, risoluzioni. Il System Administrator dovrebbe così riportare alla situazione originaria più computer.

Per evitare questi inconvenienti, basta intervenire sulle policies. Il primo passo è la definizione delle policies per utenti e gruppi.

Dato per scontato che tutti gli utenti del dominio siano stati inseriti in Gruppi Globali corrispondenti al tipo di account (se non è così, e' meglio farlo adesso!) - ad esempio gli studenti nel Gruppo Studenti, i docenti nel Gruppo Docenti, gli Amministratori in Domain Admins etc. - è preferibile operare sui gruppi piuttosto che sui singoli utenti.

Per creare una policy per un gruppo, è necessario selezionare la voce <Add Group> del menu <Edit> di Poledit o cliccare sull'icona relativa; apparirà una finestra ove verrà chiesto il nome del gruppo con la possibilità di visualizzare tutti quelli esistenti, in modo da selezionare quello voluto.

A questo punto, nella finestra di Poledit apparirà l'icona del gruppo scelto.

Per implementare una policy relativa a un utente, il procedimento è analogo, con la differenza che occorre scegliere <Add User> o l'icona relativa.

La finestra di Poledit sarà più o meno così:

Sezione e sottosezione	Voce	Note	Gruppo Studenti	Gruppo Docenti
Control Panel Display	Restrict Display	Impedisce di modificare le impostazioni del desktop e dello screensaver, e nasconde il tag <Settings>. Conviene bloccarlo anche per i docenti (al massimo consentendo di modificare il colore o lo sfondo del desktop).
Desktop	Wallpaper Color Scheme	Serve a indicare un particolare schema di colore o uno sfondo per il gruppo. In pratica non serve a nulla.
Shell Restriction	Remove Run Coomand from Start Menu.	Attivare la voce.
	Remove folders from settings on Start Menu.	Attivare la voce.
	Remove Taskbar from Settings on Start Menu.	Attivare la voce.
	Remove Find command from Start menu.	Attivare la voce per gli studenti, disattivarla per i docenti.
	Hide drives in my computer.	Nasconde le icone dei drives. Disattivarla per i docenti; attivarla per gli studenti nel caso di una politica molto restrittiva.
	Hide Network Neighborhood.	Nasconde l'icona <Risorse di rete>. Disattivarla per i docenti; attivarla per gli studenti nel caso di una politica molto restrittiva.
	No Entire Network in Network Neighborhood.	Impedisce di visualizzare l'intera rete in <Risorse di rete>. Disattivarla per i docenti; attivarla per gli studenti nel caso di una politica molto restrittiva.
	No Workgroups Contents in Network Neighborhood.	Impedisce di visualizzare i Gruppi di Lavoro in <Risorse di rete>. Disattivarla per i docenti; attivarla per gli studenti nel caso di una politica molto restrittiva.
	Hide all items on desktop	Nasconde tutti gli oggetti del desktop. Disattivarla a meno di esigenze particolari.
	Disable Shutdown Command.	Nasconde il comando di Shutdown. Attivarla se si vuol impedire l'uscita dal sistema operativo.
	Don't save setting on Exit.	Importante attivarla per entrambi i gruppi.
	Disable Registry editing tools.	Importante attivarla per entrambi i gruppi.
	Run only allowed Windows applications.	Se attiva, consente di usare solo le applicazioni Windows qui indicate. E' un grado di restrizione elevato.

Sezione e sottosezione	Voce	Note	Gruppo Studenti	Gruppo Docenti
Shell Custom Folders	Custom Program Folder	Indica la posizione della cartella Programmi. Il percorso deve essere di tipo UNC, ad es. \\server\profili\ %USERPROFILE% \Programmi. Conviene attivarlo se i gruppi sono indirizzati verso un unico profilo e, quindi, verso un'unica cartella.
	Custom Desktop icons	Indica la posizione della cartella Desktop. Il percorso deve essere di tipo UNC, ad es. \\server\profili\ %USERPROFILE%\ Desktop. Conviene attivarlo se i gruppi sono indirizzati verso un unico profilo e, quindi, verso un'unica cartella.
	Hide Start menu Subfolders	Nasconde le sottocartelle del menu Start, ad.es. la cartella Programmi, se questa esiste.
	Custom Startup Folder	Indica la posizione della cartella Startup o Esecuzione Automatica. Il percorso deve essere di tipo UNC, ad es \\server\profili\ %USERPROFILE%\ Startup. Conviene attivarlo se i gruppi sono indirizzati verso un unico profilo e, quindi, verso un'unica cartella.
	Custom Network Neighborhood	Indica la posizione della cartella Network Neighborhood o Risorse di rete. Il percorso deve essere di tipo UNC, ad es. \\server\profili\ %USERPROFILE%\ NetHood. Conviene attivarlo se i gruppi sono indirizzati verso un unico profilo e, quindi, verso un'unica cartella.
	Custom Start Menu	Indica la posizione della cartella Start Menu o Menu Avvio. Il percorso deve essere di tipo UNC, ad es. \\server\profili\ %USERPROFILE%\ Start Menu. Conviene attivarlo se i gruppi sono indirizzati verso un unico profilo e, quindi, verso un'unica cartella.
	Only Use approved Shell Extension	Disattivare.
	Remove File menu from Explorer	Rimuove il menu File dalla toolbar di Explorer. Disattivarla per i docenti; attivarla per gli studenti nel caso di una politica molto restrittiva.
	Remove common programs groups from Start Menu	Importante attivarla per entrambi i gruppi. In questo modo si nascondono i menu dei programmi di amministrazione
	Disable context menus from the Taskbar	Rimuove il menu contestuale (tasto dx) dalla Tray (es. bottone Start, Tab Control, Orologio). Attivarlo.
	Disable Explorer's default context menu	Attivare per gli studenti. Disattivare per i docenti.
	Remove the map Network Drive ed Disconnect Network Drive Option	Attivato, evita che l'utente disconnetta drive di rete o attivi nuove connessioni di rete.
	Disable File link tracking	Attivato, evita che sia visualizzato il percorso assoluto di un'applicazione.

Sezione e sottosezione	Voce	Note	Gruppo Studenti	Gruppo Docenti
System	Parse Autoexec.bat	Se attivo, le variabili d'ambiente presenti in Autoexec.bat sono incluse nell'ambiente utente.
	Run Logon scripts synchronously	Determina se e quanto la shell debba aspettare il completamento dello script di logon.
	Disable Task Manager	Se attivo, disabilita Task Manager.
	Show welcome tips at logon	Se attivo, abilita la visualizzazione di una schermata di benvenuto al primo e secondo accesso.

Sezione e sottosezione		Voce	Note	Gruppo Studenti	Gruppo Docenti
Network System Policy Update		Remote update	Se attiva, consente alle macchine remote di aggiornare la propria policy. E' possibile selezionare il modo Automatico, che punterà alla share Netlogon, o indicare un UNC differente. Si consiglia di attivare sempre il modo Automatico.
System	SNMP	Commutities Permitted Managers Public Communities Traps	Le voci di questa sezione non hanno utilità in una rete scolastica. Si consiglia di disattivarle.
	Run	Run	Permette a una o più applicazioni di essere lanciate quando un utente fa il logon interattivo.
Network Sharing		Create hidden drives shares (workstation) Create hidden drives shares (server)	Se abilitata, crea shares amministrative per drive fisici. La prima voce permette di creare in macchine NT workstation delle share<drive letter>$ e admin$. La seconda voce consente la stessa cosa per NT server. Il simbolo $ rende nascosto (hidden) la share.
Printers Sharing		Disable browse thread on this computer	Se attiva, lo spooler di stampa non invia informazioni sulla stampante condivisa agli altri printer server.
		Scheduler priority	Configura la priorità della tabella di stampa.
		Beep for error enabled	Abilita un suono ogni 10 secondi in caso di errore in un lavoro di stampa su un printer server.
Remote Access		Max number of unsuccessful authentication retries	Determina il numero (1-10) di logon senza successo prima di disconnettere l'utente. Importante indicare non più di 5 tentativi.
		Max time limit for authentication	Determina il tempo (20-600 sec.) di durata dell'autenticazione prima di teminare la connessione. Indicare 60 sec.
		Wait interval for callback	Determina il tempo di attesa prima di connettersi con un client RAS in callback.
		Auto Disconnect	Configura il tempo massimo in minuti prima di disconnettere un client RAS.
Shell		Custom shared desktop icons	Le voci di questa sezione specificano il percorso UNC della cartella ove sono collocate icone, cartelle e file comuni, attribuite ad All User e che andranno a unirsi con quelle proprie dell'utente.
		Custom shared Start menu	Attivare le voci e indicare il percorso appropriato tenendo conto della nota "Conflitti tra NT server e NT Workstation italiano".
		Custom Shared Startup folder	Tenere presente che le policies per Windows NT Shell possono anche essere configurate per utenti e gruppi (vedi sopra).
System		Logon Banner	Permette di creare un messaggio di avviso o benvenuto che apparirà a ogni logon. Nella rete dell'ITSCG di Chiavari è attivo questo banner: "Benvenuti nel sistema informatico dell'ITSCG di Chiavari; siete pregati di non creare problemi al System Administrator prof. Bisceglia".
		Logon dialog shutdown Button	Abilita il bottone di shutdown nella finestra di dialogo del logon. Meglio disabilitare il bottone.

Sezione e sottosezione	Voce	Note	Gruppo Studenti	Gruppo Docenti
System	Do not display last logged on user name	Se attiva, non fa apparire il nome dell'utente che si è collegato per ultimo nella finestra di logon. Conviene attivarlo.
	Run logon scripts synchronously	Se attiva, fa in modo che l'interfaccia utente parta dopo che tutti gli scripts sono stati completati.
File System	Do not create 8.3 file names for long file names	Se attiva, non crea nomi file nel modo 8.3 per i nomi lunghi. Meglio disattivarla se si pensa di usare programmi MSDOS.
	Allow estended characters in 8.3 file names	Disattivare.
	Do not update last access time	Fa sì che non si aggiorni l'ora di accesso ai file Read Only. Attivarlo, in quanto rende più veloce il sistema.
User Profiles	Delete cached copies of roaming profiles.	Cancella le copie locali dei profili comuni. Quando un utente con profilo comune fa logon in una macchina, il suo profilo viene copiato in questa. Se si attiva l'opzione, il profilo al logoff verrà cancellato.
	Automatic detect slow network connections	Serve a riconoscere eventuali connessioni lente. Attivare, ma informare gli utenti della necessità di scaricare sempre il profilo dal server, oppure disattivare.
	Slow network connection timeout	Se attivo, indica il tempo di timeout per connessioni lente espresso in millisecondi. Lasciare il valore di default 2000.
	Timeout for dialog boxes	Lasciare il valore di default 30 sec.