Как создать гостевой компьютер в домене
Иногда необходимо, чтобы где-нибудь в организации был компьютер, которым может пользоваться любой желающий, в том числе и не сотрудник организации (не имеющий аккаунта). Например, это компьютер в конференц-зале. Желательно, чтобы он всегда был чистенький и голенький, а следующий пользователь не видел того, что на компьютере оставил предыдущий. Также, желательно, чтобы компьютер находился в домене, чтобы к нему применялись групповые политики, в том числе автоматически обновлялся софт и так далее.
В Windows Vista и Windows 7 есть прекрасная вещь под названием Guest Mode, которая позволяет организовать гостевой доступ так, что после перезагрузки все изменения откатываются к определённому сохранённому состоянию. К сожалению, это не работает в компьютерах, входящих в состав домена. Потому будем обходиться отдельным доменным пользователем, обязательным переносимым профилем и автовходом.
Если выгнать его из Domain Users и добавить в Domain Guests (ну или хотя бы сделать Domain Guests основной группой), то при входе каждый раз будет создаваться временный профиль, данные из которого будут удаляться впоследствии. Можно было так сделать, но тогда не получится кастомизировать профиль пользователя заранее. Т.е., наверное, можно, подправив профиль Defaultна этом компьютере, но в моём случае это мешало другим пользователям.
Далее, мы входим в компьютер один раз созданным нами пользователем. Настраиваем там всё то, что не можем настроить групповыми политиками (почему-то). Ну, обои рабочего стола выставляем нужные или что душе угодно. Затем, выходим. Под другим пользователем (можно удалённо) находим директорию с профилем пользователя. В ней переименовываем
NTUSER.DAT в NTUSER.MAN
Всю директорию профиля копируем куда-нибудь, где это будет доступно нашему пользователю (только для чтения, кстати). Т.е это может быть кое-нибудьc:\profiles\mandatory_guest, если мы будем использовать это только локально, а может быть какой-нибудь \\domain\dfs\profiles\mandatory_guest. Главное, чтобы у пользователя хватало прав это прочитать, но не было прав на запись. Записываем пользователю в AD этот путь в Profile Path (Путь к профилю).
Теперь, если пользователь войдёт в этот компьютер, то будет скопирован его обязательный переносимый профиль, который мы настраивали выше. Все изменения, которые он сделает в своём профиле, будут утеряны после выхода. Т.е. все порнофильмы, которые накачал в ночи охранник и оставил на рабочем столе, будут утеряны, а пришедший на совещание совет директоров их не увидит. Ура, мы спасли охранника от увольнения!
Основной цели мы добились, теперь вспомогательные фишки.
Например, было бы неплохо, чтобы пользователю не приходилось бы вводить логин-пароль для входа в компьютер (его же ещё откуда-то узнавать же надо). Тогда делаем автовход. Жаль только, что при вводе в домен такая возможность отключается. Но не совсем. Нам надо отредактировать реестр, можно при помощи групповых политик-настроек. Нас интересует раздел HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и такие его ключи:
- AutoAdminLogon (REG_SZ) и ForceAutoLogon (REG_SZ)
Включает автоматический принудительный вход. Выставляем в 1. - DefaultDomainName (REG_SZ)
Имя домена. Для локального пользователя — имя компьютера. - DefaultUserName (REG_SZ)
Имя пользователя, которым будет осуществлён вход. - DefaultPassword (REG_SZ)
Пароль пользователя открытым текстом. Небезопасность хранения пароля открытым текстом на клиентской машине можно слегка компенсировать ограничением на вход пользователя на конкретные компьютеры и на ограничением прав на чтение этого ключа реестра.
Ещё можно выставить DisableCAD (DWORD) в 1, необходимое для отключения блокирования компьютера и необходимости нажимать CTRL+ALT+DELETE. А можно задать это групповой политикой (см. ниже): Конфигурация компьютера - Параметры безопасности - Локальные политики - Параметры безопасности - Интерактивный вход - Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DELETE поставить в «Включено».
Также, неплохо было бы предупреждать пользователя о том, что все его данные потеряются, если он не сохранит их на съёмный носитель информации или в сеть. В групповой политике указываем там же (Конфигурация компьютера - Параметры безопасности - Локальные политики - Параметры безопасности - Интерактивный вход) наше объявление вИнтерактивный вход в систему: заголовок сообщения для пользователей при входе в систему и Интерактивный вход в систему: текст сообщения для пользователей при входе в систему.
Остальное добавить по вкусу.
Что получается в итоге:
Компьютер, находящийся в домене. Групповыми политиками на нём устанавливается-обновляется и настраивается софт соответственно обычным рабочим компьютерам сотрудников. После включения компьютера высвечивается сообщение об особенностях использования компьютера. После нажатия ОК происходит автовход в настроенный заранее профиль (всегда одинаковый и чистый). Уже подключены какие-то принтеры, уже есть доступ к каким-то общим папкам (в которые, собственно, и нужно сохранить нужное, либо из которых достать материалы презентации), уже есть нужные программы, уже есть доступ в интернет (ограниченный ровно на столько, на сколько нужно).
Материал сайта pyatilistnik.org
Вот за такой полезный контент, спасибо, жму руку!