Làm cách nào để khóa người dùng bình thường (không phải quản trị viên) trong quá trình cài đặt phần mềm?

Chúng tôi có rất nhiều máy khách mỏng chạy Windows Embedded Standard 7 và máy chủ SCCM 2012 R2 để quản lý chúng. Các máy khách mỏng có bật bộ lọc ghi (FBWF) để thay đổi máy không còn tồn tại. Trong trường hợp hiếm hoi chúng tôi phải cập nhật một cái gì đó trên chúng, chúng tôi chỉ triển khai nó thông qua SCCM và nó tự động chăm sóc tắt bộ lọc ghi và bật lại để cam kết thay đổi.

Đây là những gì sẽ xảy ra: Máy
khách SCCM đưa ra thông báo cho người dùng và đếm ngược 30 phút để lưu công việc của họ và thoát khỏi hệ thống. Máy khách mỏng sau đó khởi động lại và vô hiệu hóa bộ lọc ghi. Màn hình đăng nhập hiển thị ổ khóa và thông báo rằng thiết bị đang được bảo trì và sẽ không cho phép người dùng bình thường (không phải quản trị viên) đăng nhập trong khi SCCM đang làm việc đó. Khi SCCM hoàn thành, nó kích hoạt lại bộ lọc ghi, khởi động lại và sau đó người dùng có thể đăng nhập lại.

Vấn đề tôi gặp phải là chúng tôi sử dụng đầu đọc thẻ gần để đăng nhập vào hệ thống. Nhân viên không gõ mật khẩu. Họ chỉ cần chạm vào huy hiệu của họ. Hệ thống này là tốt, nhưng phần mềm chạy nó phá vỡ tự động bộ lọc ghi với Windows Embedded.

Đây là những gì thực sự xảy ra: Máy
khách SCCM đưa ra thông báo 15 phút thông thường trước khi khởi động lại với bộ lọc ghi. Khi nó khởi động lại, màn hình đăng nhập bình thường được hiển thị. Người dùng có thể đăng nhập vào hệ thống và sử dụng nó trong khi SCCM đang cài đặt phần mềm. Và vì một phiên người dùng đang hoạt động, nó lại đưa ra thông báo 30 phút nữa trước khi khởi động lại với bộ lọc ghi lại.

Trong kịch bản này, nó không chỉ tăng thêm 30 phút cho thời gian triển khai mà còn cung cấp cho người dùng thông thường 30-60 phút thời gian không được bảo vệ trên các máy khách mỏng với bất kỳ thay đổi nào họ thực hiện được đưa vào hình ảnh vĩnh viễn khi bộ lọc ghi được bật trở lại.

Vấn đề bắt nguồn từ việc Windows Embedded 7 sử dụng một nhà cung cấp thông tin xác thực khác (còn gọi là GINA) so với Windows 7 thông thường, nhưng sản phẩm SSO phải thay thế nhà cung cấp thông tin Windows để hoạt động. Tôi đã liên hệ với nhà cung cấp về vấn đề này, nhưng họ chỉ nói đó là một vấn đề đã biết và không có cách khắc phục hay giải pháp nào cho nó.

Vì vậy, đây là câu hỏi của tôi:
Làm thế nào tôi có thể mô phỏng hành vi mong muốn theo cách khác? Tôi biết rằng có một cài đặt chính sách nhóm nơi bạn có thể từ chối đăng nhập cục bộ vào các nhóm người dùng cụ thể. Tôi đã nghĩ rằng tôi có thể lật cài đặt đăng ký tương ứng trước và sau khi cài đặt, nhưng tôi mở cho các ý tưởng khác.

Tôi không cài đặt kịch bản trên nếu tôi phải. Tôi thành thạo với kịch bản, PowerShell, VBScript, v.v. Tôi chỉ tự hỏi liệu có ai có bất kỳ ý tưởng sáng sủa nào về cách giải quyết vấn đề này không.

Cập nhật:
Tôi đã bỏ qua việc đề cập rằng các thiết bị này đang được sử dụng trong môi trường bệnh viện để nhân viên lập biểu đồ cho bệnh nhân của họ. Chúng phải có sẵn 24 giờ một ngày, vì vậy chúng tôi không thể hạn chế giờ đăng nhập hoặc định cấu hình các cửa sổ bảo trì. Chúng tôi quản lý thời gian chết bằng cách thông báo trước cho người giám sát ca, nhưng bất cứ điều gì mất hơn một giờ đều trở thành vấn đề tuân thủ pháp luật và yêu cầu các thủ tục ngừng hoạt động chính thức có hiệu lực.

Trước khi chúng tôi bắt đầu, tôi muốn đưa ra một quan điểm mang tính mô phạm, vì lợi ích của độc giả nói chung hơn là chính bạn.

chúng tôi chỉ cần đẩy nó qua SCCM

SCCM là một công nghệ dựa trên kéo. Tôi biết ý của bạn là gì nhưng tôi thấy rằng với những người cấp 1 của tôi, mọi cơ hội tôi có thể nhấn mạnh rằng SCCM không phải là một công nghệ dựa trên lực đẩy giúp họ hiểu nó nhanh hơn.

Tôi đã liên hệ với nhà cung cấp về vấn đề này, nhưng họ chỉ nói đó là một vấn đề đã biết và không có cách khắc phục hay khắc phục nào cho nó

Điều đó là quá tệ vì có vẻ như nguyên nhân của vấn đề này là chương trình xác thực thẻ nhúng. Tiếp tục với nhà cung cấp, có thể họ sẽ thực sự sửa phần mềm của họ.

Về một câu trả lời thực sự - tôi thấy một vài giải pháp khả thi cho bạn, không có giải pháp nào đặc biệt tốt cả.

• Định cấu hình Cửa sổ bảo trì cho các máy khách này để khởi động lại ban đầu của bạn để xóa các máy khách khỏi bộ lọc ghi của chúng, tải trọng thực tế của bạn và kết quả khởi động lại tất cả xảy ra ngoài giờ khi nhân viên không có mặt tại các thiết bị đầu cuối. Đây dường như là lựa chọn ít đau đớn nhất. Không cần phải làm cho SCCM phức tạp hơn nó đã có.
• Tạo mẫu Chính sách nhóm cục bộ có thêm nhóm bảo mật vào Quyền người dùng đăng nhập từ chối và sau đó gán / hủy gán nó như là một phần của việc triển khai ứng dụng của bạn.
• Sử dụng PowerShell để đặt Quyền người dùng đăng nhập từ chối. Tôi tin rằng Tiện ích mở rộng cộng đồng PowerShell (PSCX) có các Set/Get-Privilegeslệnh ghép ngắn sẽ cho phép bạn thao tác các Nhiệm vụ quyền người dùng
• Bạn có thể sử dụng API nếu bạn muốn. Đây là một ví dụ .

Dường như không ai chạm vào khả năng sử dụng chuỗi nhiệm vụ để xử lý việc này, vì vậy hãy cho phép tôi liệt kê các lợi ích (giả sử bạn không thực sự quen thuộc với chúng nói chung, nhưng vui lòng đọc ngay cả khi bạn đang):

Nếu mọi thứ bạn cài đặt và định cấu hình được xử lý w / SCCM, bạn sẽ có thể sử dụng chuỗi nhiệm vụ để thực hiện việc này. Chủ yếu cho OSD, sử dụng TS không chỉ dành cho OSD và có thể cung cấp các lợi ích sau:

Không đăng nhập vào máy trạm

Một TS thực thi trước khi winlogon.exe chạy, do đó không có khả năng người dùng vô tình đăng nhập, vì không có nhật ký trên cửa sổ. Điều này đưa tôi đến điểm thứ hai:

Màn hình nền tùy chỉnh

Bạn có thể cung cấp một màn hình giật gân cho biết việc bảo trì đang được thực hiện hoặc bất cứ điều gì bạn muốn nó thực sự nói.

Một TS thực sự chỉ là một tập lệnh được tôn vinh, nhưng nó có rất nhiều chức năng và được kết hợp với nhau để giảm thời gian phát triển và tôi đã tìm thấy các trường hợp sử dụng ngoài OSD.

Có vẻ như bạn đã có một kịch bản để làm những gì bạn cần làm, vì vậy bạn sẽ có thể đưa nó vào một TS với việc gỡ lỗi tối thiểu và bắt đầu thực hiện.

Bạn chưa chỉ định nếu phần mềm SSO sử dụng thông tin đăng nhập Active Directory, vì vậy giải pháp sẽ là sử dụng chức năng "Giờ đăng nhập" của Active Directory. Nó ở cấp độ mỗi người dùng, nhưng có thể dễ dàng được viết theo kịch bản trong Powershell ( đây là một ví dụ). Về cơ bản, hãy đặt giờ đăng nhập thành "từ chối" đăng nhập tại cửa sổ cập nhật SCCM của bạn và người dùng sẽ không thể đăng nhập vào máy khách trong khi SCCM làm việc đó. Bạn sẽ cần phải khởi động lại lần đầu tiên để đăng xuất chúng (chức năng giờ đăng nhập không hoạt động đối với người dùng đã đăng nhập), nhưng nếu không thì sẽ không đau khi thực hiện.

Có thể muốn kiểm tra điều này và xem nếu nó hoạt động:

Một tập lệnh khi bắt đầu hoạt động SCCM để làm như sau:

• Xóa danh tính người dùng NT AUTHORITY \ Authenticated khỏi nhóm người dùng cục bộ
• Xóa NT AUTHORITY \ Tương tác danh tính khỏi nhóm Người dùng cục bộ
• Xóa nhóm người dùng miền khỏi nhóm người dùng cục bộ

Cuối cùng:

Thêm các nguyên tắc bảo mật mà bạn đã xóa trở lại vào nhóm Người dùng cục bộ

Các nhóm thực tế bạn thêm / xóa có thể phụ thuộc vào cách máy tính của bạn hiện được cấu hình.

Thêm một chút gì đó về trailer-parky, bắt đầu hoạt động SCCM có thể sao chép lối tắt vào logoff.exe vào thư mục Tất cả người dùng Bắt đầu \ Khởi động (thường là C: \ ProgramData \ Microsoft \ Windows \ Start Menu \ Programs \ StartUp). Điều này sẽ có tác dụng đăng xuất một phiên ngay khi họ đăng nhập. Để an toàn, bạn có thể muốn có một kịch bản khởi động / tắt máy để xóa lối tắt đó. (Tôi tin rằng các phím tắt Khởi động có thể được bỏ qua bằng cách giữ phím shift trong quá trình đăng nhập).