Chúng tôi có rất nhiều máy khách mỏng chạy Windows Embedded Standard 7 và máy chủ SCCM 2012 R2 để quản lý chúng. Các máy khách mỏng có bật bộ lọc ghi (FBWF) để thay đổi máy không còn tồn tại. Trong trường hợp hiếm hoi chúng tôi phải cập nhật một cái gì đó trên chúng, chúng tôi chỉ triển khai nó thông qua SCCM và nó tự động chăm sóc tắt bộ lọc ghi và bật lại để cam kết thay đổi.
Đây là những gì sẽ xảy ra: Máy
khách SCCM đưa ra thông báo cho người dùng và đếm ngược 30 phút để lưu công việc của họ và thoát khỏi hệ thống. Máy khách mỏng sau đó khởi động lại và vô hiệu hóa bộ lọc ghi. Màn hình đăng nhập hiển thị ổ khóa và thông báo rằng thiết bị đang được bảo trì và sẽ không cho phép người dùng bình thường (không phải quản trị viên) đăng nhập trong khi SCCM đang làm việc đó. Khi SCCM hoàn thành, nó kích hoạt lại bộ lọc ghi, khởi động lại và sau đó người dùng có thể đăng nhập lại.
Vấn đề tôi gặp phải là chúng tôi sử dụng đầu đọc thẻ gần để đăng nhập vào hệ thống. Nhân viên không gõ mật khẩu. Họ chỉ cần chạm vào huy hiệu của họ. Hệ thống này là tốt, nhưng phần mềm chạy nó phá vỡ tự động bộ lọc ghi với Windows Embedded.
Đây là những gì thực sự xảy ra: Máy
khách SCCM đưa ra thông báo 15 phút thông thường trước khi khởi động lại với bộ lọc ghi. Khi nó khởi động lại, màn hình đăng nhập bình thường được hiển thị. Người dùng có thể đăng nhập vào hệ thống và sử dụng nó trong khi SCCM đang cài đặt phần mềm. Và vì một phiên người dùng đang hoạt động, nó lại đưa ra thông báo 30 phút nữa trước khi khởi động lại với bộ lọc ghi lại.
Trong kịch bản này, nó không chỉ tăng thêm 30 phút cho thời gian triển khai mà còn cung cấp cho người dùng thông thường 30-60 phút thời gian không được bảo vệ trên các máy khách mỏng với bất kỳ thay đổi nào họ thực hiện được đưa vào hình ảnh vĩnh viễn khi bộ lọc ghi được bật trở lại.
Vấn đề bắt nguồn từ việc Windows Embedded 7 sử dụng một nhà cung cấp thông tin xác thực khác (còn gọi là GINA) so với Windows 7 thông thường, nhưng sản phẩm SSO phải thay thế nhà cung cấp thông tin Windows để hoạt động. Tôi đã liên hệ với nhà cung cấp về vấn đề này, nhưng họ chỉ nói đó là một vấn đề đã biết và không có cách khắc phục hay giải pháp nào cho nó.
Vì vậy, đây là câu hỏi của tôi:
Làm thế nào tôi có thể mô phỏng hành vi mong muốn theo cách khác? Tôi biết rằng có một cài đặt chính sách nhóm nơi bạn có thể từ chối đăng nhập cục bộ vào các nhóm người dùng cụ thể. Tôi đã nghĩ rằng tôi có thể lật cài đặt đăng ký tương ứng trước và sau khi cài đặt, nhưng tôi mở cho các ý tưởng khác.
Tôi không cài đặt kịch bản trên nếu tôi phải. Tôi thành thạo với kịch bản, PowerShell, VBScript, v.v. Tôi chỉ tự hỏi liệu có ai có bất kỳ ý tưởng sáng sủa nào về cách giải quyết vấn đề này không.
Cập nhật:
Tôi đã bỏ qua việc đề cập rằng các thiết bị này đang được sử dụng trong môi trường bệnh viện để nhân viên lập biểu đồ cho bệnh nhân của họ. Chúng phải có sẵn 24 giờ một ngày, vì vậy chúng tôi không thể hạn chế giờ đăng nhập hoặc định cấu hình các cửa sổ bảo trì. Chúng tôi quản lý thời gian chết bằng cách thông báo trước cho người giám sát ca, nhưng bất cứ điều gì mất hơn một giờ đều trở thành vấn đề tuân thủ pháp luật và yêu cầu các thủ tục ngừng hoạt động chính thức có hiệu lực.