Yazılım yüklemeleri sırasında normal (yönetici olmayan) kullanıcıları nasıl kilitleyebilirim?

Bunları yönetmek için Windows Embedded Standard 7 ve SCCM 2012 R2 sunucusunu çalıştıran birçok ince istemcimiz var. İnce istemciler yazma filtrelerini etkinleştirir (FBWF), böylece makine değişiklikleri kalıcı olmaz. Nadiren, üzerlerinde bir şey güncellememiz gerekiyor, sadece SCCM aracılığıyla dağıtıyoruz ve değişiklikleri uygulamak için otomatik olarak yazma filtrelerini kapatıp tekrar açmaya özen gösteriyor.

İşte olması gerekenler :
SCCM istemcisi kullanıcıya bildirimde bulunur ve çalışmalarını kaydetmek ve sistemden çıkmak için 30 dakikalık geri sayım sağlar. Daha sonra ince istemci yazma filtresini yeniden başlatır ve devre dışı bırakır. Oturum açma ekranı bir asma kilit görüntüler ve üniteye hizmet verildiğini fark eder ve SCCM bu işi yaparken normal (yönetici olmayan) kullanıcıların oturum açmasına izin vermez. SCCM tamamlandığında, yazma filtresini yeniden etkinleştirir, yeniden başlatır ve ardından kullanıcılar tekrar oturum açabilir.

Yaşadığım sorun, sisteme giriş yapmak için yakınlık kartı okuyucuları kullanmamız. Çalışanlar parola yazmaz. Sadece rozetlerine dokunuyorlar. Bu sistem güzel, ancak çalıştıran yazılım Windows Embedded ile yazma filtresi otomasyonunu bozuyor.

İşte ne aslında olur:
SCCM istemci yazma filtre off ile yeniden başlatmadan önce zamanki 15 dakikalık haber verir. Yeniden başlatıldığında, normal giriş ekranı görüntülenir. Kullanıcılar sisteme giriş yapabilir ve SCCM yazılımı yüklerken kullanabilir. Ve bir kullanıcı oturumu aktif olduğu için, tekrar yazma filtresiyle yeniden başlatmadan önce 30 dakikalık bir uyarı daha verir.

Bu senaryoda, yalnızca dağıtım süresine fazladan 30 dakika eklemekle kalmaz, aynı zamanda sıradan kullanıcılara ince istemcilerde 30-60 dakika korumasız bir süre verir. yazma filtresi tekrar açılır.

Sorun, Windows Embedded 7'nin normal Windows 7'den farklı bir kimlik bilgisi sağlayıcısı (aka GINA) kullanması gerçeğinden kaynaklanıyor, ancak SSO ürününün çalışması için Windows kimlik bilgisi sağlayıcısının yerini alması gerekiyor. Bu konuda satıcıyla iletişime geçtim, ancak sadece bilinen bir sorun olduğunu ve bunun için herhangi bir düzeltme veya geçici çözüm olmadığını söylüyorlar.

İşte sorum:
İstediğim davranışı başka bir şekilde nasıl simüle edebilirim? Belirli kullanıcı gruplarına yerel oturum açmayı reddedebileceğiniz bir grup ilkesi ayarı olduğunu biliyorum. Yüklemeden önce ve sonra ilgili kayıt defteri ayarını çevirebileceğimi düşünüyordum, ancak diğer fikirlere açıkım.

Gerekirse komut dosyası yüklemelerinin üstünde değilim. Ben komut dosyası, PowerShell, VBScript, vb akıcı. Sadece kimse bunu çözmek için herhangi bir parlak fikirleri olup olmadığını merak ediyorum.

Güncelleme:
Bu cihazların bir hastane ortamında personelin hastalarını haritalamak için kullanıldığını belirtmeyi ihmal ettim. Günün 24 saati hazır olmaları gerekir, bu nedenle oturum açma saatlerini kısıtlayamayız veya bakım pencerelerini yapılandıramayız. Duruş sürelerini vardiya amirlerine önceden bildirimde bulunarak yönetiyoruz, ancak bir saatten uzun süren her şey yasal bir uyum sorunu haline geliyor ve resmi kesinti prosedürlerinin uygulanmasını gerektiriyor.

Başlamadan önce, genel okuyucunun yararına kendinizden daha çok bilgiç bir noktaya değinmek istiyorum.

sadece SCCM ile itiyoruz

SCCM çekme tabanlı bir teknolojidir. Ne demek istediğini biliyorum ama birinci kademe arkadaşlarımla SCCM'nin itme tabanlı bir teknoloji olmadığını vurgulamak için her fırsatımın daha hızlı anlamalarına yardımcı oluyor.

Bu konuda satıcıyla iletişim kurdum, ancak sadece bilinen bir sorun olduğunu ve bunun için herhangi bir düzeltme veya geçici çözüm olmadığını söylüyorlar

Bu sorunun nedeni gömülü kart kimlik doğrulama programı gibi göründüğü için çok kötü. Satıcıya devam edin, belki de yazılımlarını düzeltirler.

Gerçek bir cevap - Sizin için birkaç olası çözüm görüyorum, hiçbiri özellikle iyi değil.

• Bu istemciler için bir Bakım Penceresi yapılandırın, böylece istemcileri yazma filtrelerinden kaldırmak için ilk yeniden başlatmanız, gerçek yükünüz ve sonuç olarak yeniden başlatmanız, çalışanlar terminallerde bulunmadığında mesai saatleri dışında gerçekleşir. Bu en az acı verici seçenek gibi görünüyor. SCCM'yi zaten olduğundan daha karmaşık hale getirmeye gerek yok.
• Oturum Açmayı Reddet Kullanıcı Haklarına bir güvenlik grubu ekleyen bir Yerel Grup İlkesi şablonu oluşturun ve ardından uygulama dağıtımınızın bir parçası olarak atayın / atamasını kaldırın.
• Oturum Açmayı Reddet Kullanıcı Hakkı'nı ayarlamak için PowerShell'i kullanın. PowerShell Topluluk Uzantıları'nın (PSCX) , Set/Get-PrivilegesKullanıcı Hakları Atamalarını değiştirmenize izin verecek cmdlet'lere sahip olduğuna inanıyorum
• İsterseniz API'yi kullanabilirsiniz. İşte bir örnek .

Hiç kimse bunun üstesinden gelmek için bir görev dizisi kullanma olasılığına dokunmadı gibi görünüyor, bu yüzden faydaları listelememe izin verin (genel olarak bunlara gerçekten aşina olmadığınız varsayılarak, lütfen olsa bile okuyun):

Yüklediğiniz ve yapılandırdığınız her şey SCCM ile işleniyorsa, bunu gerçekleştirmek için bir görev dizisi kullanabilmeniz gerekir. Öncelikle OSD için, bir TS kullanmak sadece OSD için değildir ve aşağıdaki faydaları sağlayabilir:

İş istasyonuna giriş yok

Winlogon.exe çalıştırılmadan önce bir TS yürütülür, bu nedenle kullanıcının oturum açma penceresi olmadığı için yanlışlıkla oturum açma olasılığı yoktur. Bu da beni ikinci noktama getiriyor:

Özel arka plan ekranı

Bakımın yapıldığını veya gerçekten söylemek istediklerinizi söyleyen bir açılış ekranı sağlayabilirsiniz.

Bir TS gerçekten sadece yüceltilmiş bir senaryodur, ancak çok fazla işlevselliğe sahiptir ve geliştirme süresini azaltacak şekilde bir araya getirilmiştir ve OSD'nin ötesinde kullanım örnekleri buldum.

İhtiyacınız olanı yapmak için zaten bir komut dosyanız var gibi görünüyor, bu yüzden bunu minimum hata ayıklama ile bir TS'ye koyabilmeniz ve devam edebilmeniz gerekir.

TOA yazılımının Active Directory kimlik bilgilerini kullanıp kullanmadığını belirtmediniz, bu nedenle bir çözüm, Active Director'ın "Oturum Açma Saatleri" işlevini kullanmak olacaktır. Kullanıcı başına düzeydedir, ancak Powershell'de kolayca yazılabilir ( bu bir örnektir). Temel olarak, oturum açma saatlerini SCCM güncelleme pencerenizde oturum açmayı "reddet" olarak ayarlayın; SCCM işini yaparken kullanıcılar istemcilere giriş yapamaz. Onları oturumdan çıkaracak ilk zorunlu yeniden başlatmaya sahip olmanız gerekir (oturum açma saatleri işlevi oturum açmış kullanıcılarda çalışmaz), ancak aksi takdirde uygulamak ağrısız olur.

Bunu test etmek ve çalışıp çalışmadığını görmek isteyebilirsiniz:

SCCM etkinliğinin başlangıcında aşağıdakileri yapmak için bir komut dosyası:

• Yerel Kullanıcılar grubundan NT AUTHORITY \ Authenticated Users kimliğini kaldır
• Yerel Kullanıcılar grubundan NT AUTHORITY \ Interactive identity öğesini kaldırın
• Etki Alanı Kullanıcıları grubunu yerel Kullanıcılar grubundan kaldırma

Sonunda:

Kaldırdığınız güvenlik ilkelerini yerel Kullanıcılar grubuna ekleyin

Eklediğiniz / kaldırdığınız gerçek gruplar, bilgisayarlarınızın şu anda nasıl yapılandırıldığına bağlı olabilir.

Biraz daha park halinde olan bir şey, SCCM etkinliğinin başlangıcı logoff.exe'ye bir kısayolu Tüm Kullanıcılar Başlat Menüsü \ Başlangıç ​​klasörüne kopyalayabilir (genellikle C: \ ProgramData \ Microsoft \ Windows \ Başlat Menüsü \ Programlar \ StartUp). Bu, oturum açtığında oturumdan çıkış yapma etkisi olacaktır. Güvende olmak için, bu kısayolu silmek için bir başlatma / kapatma komut dosyasına sahip olmak isteyebilirsiniz. (Oturum açma sırasında shift tuşunu basılı tutarak Başlangıç ​​kısayollarının atlanabileceğine inanıyorum).