Microsoft Office | Windows 10

Kompletní inovace školní sítě: Windows 10, Office 2016 a pět šikovných studentů

  • Dva studenti před třemi roky přepracovali školní síťovou infrastrukturu svého gymnázia
  • Nyní zajistili přechod na Windows 10 a Office 2016
  • Založili firmu a pomáhají dalším školám
Kompletní inovace školní sítě: Windows 10, Office 2016 a pět šikovných studentů
Kapitoly článku

Nasazení Windows 10

Operační systém Windows 10 je k dispozici více jak rok, a proto bylo na čase školní počítače posunout na novou verzi. Původně jsme chtěli Windows 10 nasadit již v létě, ale v průběhu testování jsme narazili na několik problémů. Chtěli jsme nadále využívat cestovní profily, ale z důvodu problémů s univerzálními aplikacemi, nabídkou Start a dalšími komponentami systému, které byly způsobeny cestovními profily, jsme se rozhodli od cestovních profilů ustoupit.

Pro školní prostředí bylo velmi zásadní vydání verze 1607 "Anniversary Update", která přinesla tzv. Shared PC mód, určený právě pro počítače, které využívá více uživatelů.

Klepněte pro větší obrázek

Shared PC mód umožňuje rychlejší přihlášení do sytému novým uživatelům (nečeká se na obrazovce Už to skoro bude), dále pak nastavit, kdy se profily mají ze systému odmazat (například v situaci, kdy je disk z více jak 50% zaplněn apod.) a také velmi jednoduše zakázat uživatelům zápis do jednotlivých míst systému. Problém však byl, že jsme se dokumentace k Shared PC módu dopátrali až ke konci letních prázdnin a tudíž jsme nestihli vše nachystat a otestovat k naší spokojenosti.

Další příležitost pro nasazení Windows 10 přišla v průběhu vánočních prázdnin, kdy jsme měli dostatek času na to, abychom vše nasadili. Implementační tým jsme rozšířili o další tři spolupracovníky - Jakuba Bartoše a Jindřicha Richtera ze Střední průmyslové školy v Chomutově, kteří jsou zároveň členy programu Studentské trenérské centrum, a Matěje Borského z pardubického gymnázia Dašická. O vánočních prázdninách jsme se společně sešli na půdě Gymnázia ve Žďáře nad Sázavou.

Rychlejší nasazení systému

Jednou z velkých novinek, kterou jsme v průběhu této implementace zavedli, bylo využití Microsoft Deployment Toolkitu pro nasazení nových imagí. Vytvořili jsme dva typy instalace, které je možné provést pomocí bootu ze sítě (PXE skrze Windows Deployment Services) – klasické nasazení a Shared PC – klasické nasazení je určené do kabinetů, Shared PC se instaluje na učebnové, veřejné a katedrové počítače.

Samotná instalace na nový počítač obnáší asi 4 kliknutí, vložení názvu stanice a výběru software, který se má na stanici při přeinstalaci nainstalovat (aktuálně tam máme Office 2016, driver pro aktivní tabule a další software, který je pro některé stanice specifický a nemusí být rozinstalovaný po celé škole) a následně se vše udělá naprosto samo. Velkou výhodou je i to, že po instalaci systému dojde k vyhledání a instalaci všech dostupných aktualizací.

Klepněte pro větší obrázekKlepněte pro větší obrázekKlepněte pro větší obrázek

Shared PC mód

V jednom z předchozích odstavců jsme zmínili tzv. Shared PC mód. Ten je možné na stanici povolit třemi způsoby - aplikací tzv. Provisioning Package balíčku při instalaci systému (přes DISM skrze Windows PE), což umožňuje automaticky balíček naaplikovat při instalaci systému například pomocí již výše zmíněného nástroje MDT.

Druhou možností je aplikace balíčku uživatelem - při tzv. Out-Of-Box-Experience (OOBE) nebo pak v již nainstalovaném systému - velkou nevýhodou v našem prostředí je to, že tato metoda vyžaduje manuální interakci uživatele. Třetí variantou je pak aplikace tohoto nastavení přes Mobile Device Management nástroj (např. Microsoft Intune), který využívá OMA-URI stringů.

Klepněte pro větší obrázek

Kromě již zmíněného rychlejšího přihlašování a odmazávání profilů, pokud na disku zabírají hodně místa, Shared PC mód také umožňuje omezit místa, kam uživatel může zapisovat – například nemůže vytvářet nové soubory na ploše nebo ve svém profilu (kromě složky Stažené soubory) nebo procházet disk C. Zatím je blokování pouze na úrovni procesu explorer.exe, takže pokud je na stanici např. povolená příkazová řádka, je možné tato pravidla obejít. Pro nás se však nejednalo o nasazení tohoto omezení z důvodu bezpečnosti, ale proto, aby uživatelé ukládali data na síťové disky, popř. OneDrive v budoucnu.

Klepněte pro větší obrázek

Výše zmíněné blokování složek mělo však lehce negativní efekt na fungování např. Microsoft Office – pokud například chcete otevřít dialog Uložit jako a vybrat síťovou jednotku, vyskočí na vás hláška, že škola/organizace toto zablokovala. Jde o to, že Office má nastavené výchozí cesty pro otevření dialogu do složky Documents, nicméně toto se dá velmi jednoduše změnit právě pomocí Group Policy.

Jednou z velmi zajímavých funkcionalit Shared PC módu (pro kterou však nemáme využití na naší škole) je také možnost povolení anonymních Guest účtů a následně velmi jednoduché přihlášení přímo z přihlašovací obrazovky.

Klepněte pro větší obrázek

Jedna z věcí, která nám však děla u Shared PC módu vrásky je to, že aktualizace nastavení pro Shared PC mód je možné dělat buď aplikací nového Provisioning Package (manuálně) nebo zásahem do registrů a přepsání hodnot, které Provisioning Package nastavuje. V budoucnu bychom rádi viděli možnost konfigurace Shared PC módu přímo skrze Group Policy bez nutnosti používání systému pro MDM nebo Provisioning Package.

Skupinové politiky

Oproti předchozím verzím systému Windows přináší Windows 10 podporu pro distribuci aktualizací skrze P2P protokol, díky kterému dokážeme šetřit i datové přenosy ve vnitřní síti bez nutnosti využití lehce stárnoucího Windows Server Update Services serveru.

Velkou výhodou je také možnost využití Windows Update for Business namísto klasického schvalování a testování aktualizací přes WSUS. Počítače jsme rozdělili do dvou skupin - produkční, které dostávají tzv. quality updates (bezpečnostní záplaty, drivery, …) okamžitě, ale feature updates (např. Creators Update v budoucnu) o 4 měsíce později než několik málo počítačů a uživatelů, které jsme vybrali pro testování (primárně naše testovací stanice a několik technicky zdatnějších kantorů).

Pro lepší zabezpečení lokálních stanic používáme Local Administrator Password Solution (LAPS) od Microsoftu. Tento nástroj jednoduše umožňuje automatickou rotaci hesel na lokální účet správce na stanici a zároveň vždy heslo uloží k objektu počítače v Active Directory, takže jsou hesla pro všechny počítače centrálně dostupnéá pro správce.

Klepněte pro větší obrázekKlepněte pro větší obrázek

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Témata článku: Microsoft Office, Microsoft, Windows 10, OneDrive, Office 365, Anniversary Update, Rychlé přihlašování, Sdílený počítač, Office 2013, Demand, Žďár nad Sázavou, 10, Negativní efekt, Další komponent, Letní prázdniny, Podobný problém, Příkazová řádka, Imagine, Office + N, Dobrá volba, Stud, Block, WSUS, Původní článek, Package, Počítač na Mall.cz


Určitě si přečtěte

Nové iPhony, hodinky a další novinky Applu: Zase bude za co utrácet

Nové iPhony, hodinky a další novinky Applu: Zase bude za co utrácet

Dnes proběhla další velká prezentační akce Applu, na které došlo k odhalení nových iPhonů a dalších novinek. Událost jsme sledovali online, a tak se můžete podívat na chronologický zápis těch nejdůležitějších informací.

David Polesný | 136

Vyzkoušeli jsme chytrou čínskou zásuvku Sonoff S26 za tři stovky. Nevyhořeli jsme

Vyzkoušeli jsme chytrou čínskou zásuvku Sonoff S26 za tři stovky. Nevyhořeli jsme

** Je sice z Aliexpressu, ale funguje ** Můžete ji ovládat hlasem přes Amazon Echo nebo Google Home ** Za tři stovky zautomatizuje menší 230V spotřebič

Jakub Čížek | 101

HTTPS byl pouze první krok. Chrome zavádí DoH, tedy šifrované DNS. Dopady mohou být obrovské

HTTPS byl pouze první krok. Chrome zavádí DoH, tedy šifrované DNS. Dopady mohou být obrovské

** Šifrovaný web je dnes už samozřejmost ** Jeden díl skládačky ale ještě chybí – DNS ** Firefox už začal a teď se na šifrované DNS chystá i Chrome

Jakub Čížek | 94


Aktuální číslo časopisu Computer

Megatest 20 procesorů

Srovnání 15 True Wireless sluchátek

Vyplatí se tisknout fotografie doma?

Vybíráme nejlepší základní desky