Làm cách nào để khóa người dùng bình thường (không phải quản trị viên) trong quá trình cài đặt phần mềm?


12

Chúng tôi có rất nhiều máy khách mỏng chạy Windows Embedded Standard 7 và máy chủ SCCM 2012 R2 để quản lý chúng. Các máy khách mỏng có bật bộ lọc ghi (FBWF) để thay đổi máy không còn tồn tại. Trong trường hợp hiếm hoi chúng tôi phải cập nhật một cái gì đó trên chúng, chúng tôi chỉ triển khai nó thông qua SCCM và nó tự động chăm sóc tắt bộ lọc ghi và bật lại để cam kết thay đổi.

Đây là những gì sẽ xảy ra: Máy
khách SCCM đưa ra thông báo cho người dùng và đếm ngược 30 phút để lưu công việc của họ và thoát khỏi hệ thống. Máy khách mỏng sau đó khởi động lại và vô hiệu hóa bộ lọc ghi. Màn hình đăng nhập hiển thị ổ khóa và thông báo rằng thiết bị đang được bảo trì và sẽ không cho phép người dùng bình thường (không phải quản trị viên) đăng nhập trong khi SCCM đang làm việc đó. Khi SCCM hoàn thành, nó kích hoạt lại bộ lọc ghi, khởi động lại và sau đó người dùng có thể đăng nhập lại.

Vấn đề tôi gặp phải là chúng tôi sử dụng đầu đọc thẻ gần để đăng nhập vào hệ thống. Nhân viên không gõ mật khẩu. Họ chỉ cần chạm vào huy hiệu của họ. Hệ thống này là tốt, nhưng phần mềm chạy nó phá vỡ tự động bộ lọc ghi với Windows Embedded.

Đây là những gì thực sự xảy ra: Máy
khách SCCM đưa ra thông báo 15 phút thông thường trước khi khởi động lại với bộ lọc ghi. Khi nó khởi động lại, màn hình đăng nhập bình thường được hiển thị. Người dùng có thể đăng nhập vào hệ thống và sử dụng nó trong khi SCCM đang cài đặt phần mềm. Và vì một phiên người dùng đang hoạt động, nó lại đưa ra thông báo 30 phút nữa trước khi khởi động lại với bộ lọc ghi lại.

Trong kịch bản này, nó không chỉ tăng thêm 30 phút cho thời gian triển khai mà còn cung cấp cho người dùng thông thường 30-60 phút thời gian không được bảo vệ trên các máy khách mỏng với bất kỳ thay đổi nào họ thực hiện được đưa vào hình ảnh vĩnh viễn khi bộ lọc ghi được bật trở lại.

Vấn đề bắt nguồn từ việc Windows Embedded 7 sử dụng một nhà cung cấp thông tin xác thực khác (còn gọi là GINA) so với Windows 7 thông thường, nhưng sản phẩm SSO phải thay thế nhà cung cấp thông tin Windows để hoạt động. Tôi đã liên hệ với nhà cung cấp về vấn đề này, nhưng họ chỉ nói đó là một vấn đề đã biết và không có cách khắc phục hay giải pháp nào cho nó.

Vì vậy, đây là câu hỏi của tôi:
Làm thế nào tôi có thể mô phỏng hành vi mong muốn theo cách khác? Tôi biết rằng có một cài đặt chính sách nhóm nơi bạn có thể từ chối đăng nhập cục bộ vào các nhóm người dùng cụ thể. Tôi đã nghĩ rằng tôi có thể lật cài đặt đăng ký tương ứng trước và sau khi cài đặt, nhưng tôi mở cho các ý tưởng khác.

Tôi không cài đặt kịch bản trên nếu tôi phải. Tôi thành thạo với kịch bản, PowerShell, VBScript, v.v. Tôi chỉ tự hỏi liệu có ai có bất kỳ ý tưởng sáng sủa nào về cách giải quyết vấn đề này không.


Cập nhật:
Tôi đã bỏ qua việc đề cập rằng các thiết bị này đang được sử dụng trong môi trường bệnh viện để nhân viên lập biểu đồ cho bệnh nhân của họ. Chúng phải có sẵn 24 giờ một ngày, vì vậy chúng tôi không thể hạn chế giờ đăng nhập hoặc định cấu hình các cửa sổ bảo trì. Chúng tôi quản lý thời gian chết bằng cách thông báo trước cho người giám sát ca, nhưng bất cứ điều gì mất hơn một giờ đều trở thành vấn đề tuân thủ pháp luật và yêu cầu các thủ tục ngừng hoạt động chính thức có hiệu lực.


Câu hỏi tuyệt vời. Tôi ước tôi có một câu trả lời tốt hơn.

câu hỏi hay - hy vọng câu chuyện về sự đau khổ của bạn không khuyến khích người khác mua những khách hàng mỏng manh - Tôi ghét tất cả hành lý mà các thiết bị "bảo trì thấp" này mang lại
Jim B

Câu trả lời:


4

Trước khi chúng tôi bắt đầu, tôi muốn đưa ra một quan điểm mang tính mô phạm, vì lợi ích của độc giả nói chung hơn là chính bạn.

chúng tôi chỉ cần đẩy nó qua SCCM

SCCM là một công nghệ dựa trên kéo. Tôi biết ý của bạn là gì nhưng tôi thấy rằng với những người cấp 1 của tôi, mọi cơ hội tôi có thể nhấn mạnh rằng SCCM không phải là một công nghệ dựa trên lực đẩy giúp họ hiểu nó nhanh hơn.


Tôi đã liên hệ với nhà cung cấp về vấn đề này, nhưng họ chỉ nói đó là một vấn đề đã biết và không có cách khắc phục hay khắc phục nào cho nó

Điều đó là quá tệ vì có vẻ như nguyên nhân của vấn đề này là chương trình xác thực thẻ nhúng. Tiếp tục với nhà cung cấp, có thể họ sẽ thực sự sửa phần mềm của họ.



Về một câu trả lời thực sự - tôi thấy một vài giải pháp khả thi cho bạn, không có giải pháp nào đặc biệt tốt cả.

  • Định cấu hình Cửa sổ bảo trì cho các máy khách này để khởi động lại ban đầu của bạn để xóa các máy khách khỏi bộ lọc ghi của chúng, tải trọng thực tế của bạn và kết quả khởi động lại tất cả xảy ra ngoài giờ khi nhân viên không có mặt tại các thiết bị đầu cuối. Đây dường như là lựa chọn ít đau đớn nhất. Không cần phải làm cho SCCM phức tạp hơn nó đã có.
  • Tạo mẫu Chính sách nhóm cục bộ có thêm nhóm bảo mật vào Quyền người dùng đăng nhập từ chối và sau đó gán / hủy gán nó như là một phần của việc triển khai ứng dụng của bạn.
  • Sử dụng PowerShell để đặt Quyền người dùng đăng nhập từ chối. Tôi tin rằng Tiện ích mở rộng cộng đồng PowerShell (PSCX) có các Set/Get-Privilegeslệnh ghép ngắn sẽ cho phép bạn thao tác các Nhiệm vụ quyền người dùng
  • Bạn có thể sử dụng API nếu bạn muốn. Đây là một ví dụ .

Cảm ơn vì sự trả lời. Tôi cập nhật câu hỏi của tôi để phản ánh môi trường. Đây là một hoạt động 24x7 vì vậy tùy chọn 1 không khả thi. Lựa chọn 2 là những gì tôi đã nghĩ, nhưng tôi không biết cách gán / hủy gán GPO theo yêu cầu. Điều đó để lại các tùy chọn 3 và 4 mà tôi sẽ xem xét. Tôi hình dung có lẽ tôi phải viết kịch bản theo cách này. Oh và tôi đã sửa chữa thuật ngữ :-)
Wes Sayeed

@WesSayeed Về lý thuyết, bạn sẽ có thể tạo Mẫu chính sách nhóm cục bộ với SecPol.msc, lưu chúng dưới dạng mẫu và áp dụng / không áp dụng secedit.exethông qua tập lệnh. Tôi không nói về việc sử dụng Chính sách nhóm Active Directory vì thời gian bỏ phiếu ngẫu nhiên sẽ không hoạt động cho cửa sổ bảo trì chặt chẽ của bạn.

+1, tôi thích câu trả lời này và không biết về PSCX.
MDMoore313

4

Dường như không ai chạm vào khả năng sử dụng chuỗi nhiệm vụ để xử lý việc này, vì vậy hãy cho phép tôi liệt kê các lợi ích (giả sử bạn không thực sự quen thuộc với chúng nói chung, nhưng vui lòng đọc ngay cả khi bạn đang):

Nếu mọi thứ bạn cài đặt và định cấu hình được xử lý w / SCCM, bạn sẽ có thể sử dụng chuỗi nhiệm vụ để thực hiện việc này. Chủ yếu cho OSD, sử dụng TS không chỉ dành cho OSD và có thể cung cấp các lợi ích sau:

Không đăng nhập vào máy trạm

Một TS thực thi trước khi winlogon.exe chạy, do đó không có khả năng người dùng vô tình đăng nhập, vì không có nhật ký trên cửa sổ. Điều này đưa tôi đến điểm thứ hai:

Màn hình nền tùy chỉnh

Bạn có thể cung cấp một màn hình giật gân cho biết việc bảo trì đang được thực hiện hoặc bất cứ điều gì bạn muốn nó thực sự nói.

Một TS thực sự chỉ là một tập lệnh được tôn vinh, nhưng nó có rất nhiều chức năng và được kết hợp với nhau để giảm thời gian phát triển và tôi đã tìm thấy các trường hợp sử dụng ngoài OSD.

Có vẻ như bạn đã có một kịch bản để làm những gì bạn cần làm, vì vậy bạn sẽ có thể đưa nó vào một TS với việc gỡ lỗi tối thiểu và bắt đầu thực hiện.


1
+1 Tôi luôn tự hỏi liệu có sử dụng trong thế giới thực cho các chuỗi nhiệm vụ không phải OSD không.
alx9r

@BigHomie; Tôi vừa thử thực hiện triển khai bằng Chuỗi nhiệm vụ thay vì ứng dụng thông thường và nó không ngăn được đăng nhập của người dùng. Bước đầu tiên trong chuỗi nhiệm vụ là khởi động lại máy tính. Khi máy tính hoạt động trở lại, nó hiển thị màn hình đăng nhập bình thường. Chuỗi nhiệm vụ không tiếp tục cho đến khoảng một phút sau (vì dịch vụ được đặt thành khởi động chậm). Tôi có thể đặt dịch vụ bắt đầu ngay lập tức với Chính sách nhóm để người dùng sẽ thấy thanh tiến trình, nhưng điều đó chỉ làm nản lòng đăng nhập, không ngăn chặn chúng. Tui bỏ lỡ điều gì vậy?
Wes Sayeed

@WesSayeed !! Là TS được quảng cáo cho người dùng hoặc máy tính?
MDMoore313

@BigHomie; AFAIK, Chuỗi nhiệm vụ chỉ có thể được quảng cáo vào bộ sưu tập máy tính.
Wes Sayeed

Đúng vậy, tôi quên mất điều đó. Thật không may, tôi đã nhận một công việc mới vào năm ngoái và đã rời khỏi trò chơi sccm khá lâu. Tôi sẽ tiếp tục tìm kiếm câu trả lời nhưng tôi nghĩ rằng cơ chế tương tự cho phép phần mềm cài đặt trong OSD trước khi màn hình đăng nhập xuất hiện cũng có thể được sử dụng bên ngoài OSD. Tôi cho rằng việc triển khai của bạn không thể thực hiện được nếu máy khởi động WinPE, đúng không?
MDMoore313

2

Bạn chưa chỉ định nếu phần mềm SSO sử dụng thông tin đăng nhập Active Directory, vì vậy giải pháp sẽ là sử dụng chức năng "Giờ đăng nhập" của Active Directory. Nó ở cấp độ mỗi người dùng, nhưng có thể dễ dàng được viết theo kịch bản trong Powershell ( đây là một ví dụ). Về cơ bản, hãy đặt giờ đăng nhập thành "từ chối" đăng nhập tại cửa sổ cập nhật SCCM của bạn và người dùng sẽ không thể đăng nhập vào máy khách trong khi SCCM làm việc đó. Bạn sẽ cần phải khởi động lại lần đầu tiên để đăng xuất chúng (chức năng giờ đăng nhập không hoạt động đối với người dùng đã đăng nhập), nhưng nếu không thì sẽ không đau khi thực hiện.


Phần mềm SSO không sử dụng AD. Tất cả những gì nó khớp với thẻ RFID với tài khoản AD và chuyển thông tin đăng nhập qua Windows để thực hiện đăng nhập. Tôi đã cập nhật câu trả lời của mình để giải thích lý do tại sao tôi không thể sử dụng giờ đăng nhập (tôi đã bỏ qua việc đề cập đến môi trường), nhưng tôi sẽ xem xét kịch bản mà bạn tham chiếu. Tôi có thể làm một cái gì đó như thế ở địa phương.
Wes Sayeed

-1

Có thể muốn kiểm tra điều này và xem nếu nó hoạt động:

Một tập lệnh khi bắt đầu hoạt động SCCM để làm như sau:

  • Xóa danh tính người dùng NT AUTHORITY \ Authenticated khỏi nhóm người dùng cục bộ
  • Xóa NT AUTHORITY \ Tương tác danh tính khỏi nhóm Người dùng cục bộ
  • Xóa nhóm người dùng miền khỏi nhóm người dùng cục bộ

Cuối cùng:

Thêm các nguyên tắc bảo mật mà bạn đã xóa trở lại vào nhóm Người dùng cục bộ

Các nhóm thực tế bạn thêm / xóa có thể phụ thuộc vào cách máy tính của bạn hiện được cấu hình.

Thêm một chút gì đó về trailer-parky, bắt đầu hoạt động SCCM có thể sao chép lối tắt vào logoff.exe vào thư mục Tất cả người dùng Bắt đầu \ Khởi động (thường là C: \ ProgramData \ Microsoft \ Windows \ Start Menu \ Programs \ StartUp). Điều này sẽ có tác dụng đăng xuất một phiên ngay khi họ đăng nhập. Để an toàn, bạn có thể muốn có một kịch bản khởi động / tắt máy để xóa lối tắt đó. (Tôi tin rằng các phím tắt Khởi động có thể được bỏ qua bằng cách giữ phím shift trong quá trình đăng nhập).


Tôi phải -1 cái này, nó sẽ hoạt động, nhưng nếu đoạn script bị chết ở giữa, do một số lỗi ngẫu nhiên hoặc Luật Murphy, thì người dùng không thể đăng nhập và họ đã chết trong nước cho đến khi IT có thể phản hồi.
MDMoore313
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.