Kami memiliki banyak klien tipis yang menjalankan Windows Embedded Standard 7 dan server SCCM 2012 R2 untuk mengelolanya. Thin client mengaktifkan filter tulisnya (FBWF) sehingga perubahan mesin tidak persisten. Terkadang kami harus memperbarui sesuatu pada mereka, kami hanya menyebarkannya melalui SCCM dan secara otomatis menangani mematikan filter tulis dan kembali untuk melakukan perubahan.
Inilah yang harus terjadi:
klien SCCM memberi pemberitahuan kepada pengguna dan hitungan mundur 30 menit untuk menyelamatkan pekerjaan mereka dan keluar dari sistem. Thin client kemudian reboot dan menonaktifkan filter tulis. Layar log-on menampilkan gembok dan perhatikan bahwa unit sedang diservis, dan tidak akan mengizinkan pengguna normal (non-admin) untuk masuk sementara SCCM melakukan hal itu. Ketika SCCM selesai, itu mengaktifkan kembali filter tulis, reboot, dan kemudian pengguna dapat login lagi.
Masalah yang saya alami adalah bahwa kami menggunakan pembaca kartu proximity untuk masuk ke sistem. Karyawan tidak mengetik kata sandi. Mereka hanya mengetuk lencana mereka. Sistem ini bagus, tetapi perangkat lunak yang menjalankannya merusak otomatisasi filter tulis dengan Windows Embedded.
Inilah yang sebenarnya terjadi:
klien SCCM memberikan pemberitahuan 15 menit seperti biasa sebelum reboot dengan filter tulis mati. Ketika reboot, itu layar login normal ditampilkan. Pengguna dapat masuk ke sistem dan menggunakannya saat SCCM menginstal perangkat lunak. Dan karena sesi pengguna aktif, sekali lagi memberikan pemberitahuan 30 menit sebelum memulai kembali dengan filter tulis kembali.
Dalam skenario ini, tidak hanya menambah 30 menit tambahan untuk waktu penerapan, tetapi juga memberikan pengguna biasa waktu 30-60 menit tanpa perlindungan pada klien tipis dengan perubahan apa pun yang mereka buat secara permanen dimasukkan ke dalam gambar ketika filter tulis dihidupkan kembali.
Masalahnya berasal dari fakta bahwa Windows Embedded 7 menggunakan penyedia kredensial yang berbeda (alias GINA) daripada Windows 7 biasa, tetapi produk SSO harus mengganti penyedia kredensial Windows untuk berfungsi. Saya sudah menghubungi vendor tentang hal itu, tetapi mereka hanya mengatakan itu masalah yang diketahui dan tidak ada perbaikan atau penyelesaian untuk itu.
Jadi inilah pertanyaan saya:
Bagaimana saya bisa mensimulasikan perilaku yang diinginkan dengan cara lain? Saya tahu bahwa ada pengaturan kebijakan grup tempat Anda bisa menolak masuk lokal ke grup pengguna tertentu. Saya berpikir saya bisa membalik pengaturan registri yang sesuai sebelum dan setelah menginstal, tetapi saya terbuka untuk ide-ide lain.
Saya tidak menginstal skrip di atas jika saya harus. Saya fasih dengan scripting, PowerShell, VBScript, dll. Saya hanya ingin tahu apakah ada yang punya ide cemerlang tentang bagaimana menyelesaikan ini.
Pembaruan:
Saya lalai menyebutkan bahwa perangkat ini digunakan di lingkungan rumah sakit agar staf memetakan pasien mereka. Mereka harus tersedia 24 jam sehari, jadi kami tidak dapat membatasi jam masuk atau mengonfigurasi jendela perawatan. Kami mengelola waktu henti dengan memberikan pemberitahuan terlebih dahulu kepada pengawas shift, tetapi apa pun yang membutuhkan waktu lebih dari satu jam menjadi masalah kepatuhan hukum dan mengharuskan prosedur waktu henti resmi diberlakukan.
Jawaban:
Sebelum kita mulai, saya ingin membuat poin pedantic, lebih untuk kepentingan pembaca umum daripada Anda sendiri.
SCCM adalah teknologi berbasis tarikan. Saya tahu apa yang Anda maksud, tetapi saya menemukan bahwa dengan orang-orang penting saya, setiap kesempatan yang saya tekankan bahwa SCCM bukan teknologi berbasis push membantu mereka memahaminya lebih cepat.
Itu terlalu buruk karena kedengarannya seperti penyebab masalah ini adalah program otentikasi kartu tertanam. Tetap pada vendor, mungkin mereka benar-benar akan memperbaiki perangkat lunak mereka.
Ke jawaban nyata - Saya melihat beberapa solusi yang mungkin untuk Anda, tidak satupun dari mereka yang sangat baik.
Set/Get-Privileges
cmdlet yang memungkinkan Anda memanipulasi Penetapan Hak Penggunasumber
secedit.exe
melalui skrip. Saya tidak berbicara tentang menggunakan Kebijakan Grup Direktori Aktif karena waktu pemungutan suara acak tidak akan berfungsi untuk jendela perawatan ketat Anda.Sepertinya tidak ada yang menyinggung kemungkinan menggunakan urutan tugas untuk menangani ini, jadi izinkan saya untuk membuat daftar manfaat (dengan asumsi Anda tidak benar-benar mengenal mereka secara umum, tapi tolong baca bahkan jika Anda):
Jika semua yang Anda instal dan konfigurasikan ditangani dengan SCCM, Anda harus dapat menggunakan urutan tugas untuk melakukannya. Terutama untuk OSD, menggunakan TS tidak hanya untuk OSD dan dapat memberikan manfaat berikut:
TS dijalankan sebelum winlogon.exe berjalan, jadi tidak ada kemungkinan pengguna masuk secara tidak sengaja, karena tidak ada log di jendela. Yang membawa saya ke poin kedua:
Anda dapat memberikan layar splash yang mengatakan pemeliharaan sedang dilakukan, atau apa pun yang ingin Anda katakan sebenarnya.
TS sebenarnya hanya sebuah skrip yang dimuliakan, tetapi memiliki banyak fungsi dan disatukan dengan cara untuk mengurangi waktu pengembangan, dan saya telah menemukan kasus penggunaan di luar OSD.
Sepertinya Anda sudah memiliki skrip untuk melakukan apa yang perlu Anda lakukan, jadi Anda harus dapat memasukkannya ke dalam TS dengan debugging minimal dan mulai bekerja.
sumber
Anda belum menentukan apakah perangkat lunak SSO menggunakan kredensial Active Directory, jadi solusinya adalah dengan menggunakan fungsi "Logon Hours" dari Active Directory. Ini pada tingkat per pengguna, tetapi dapat dengan mudah ditulis dalam Powershell ( ini menjadi contoh). Pada dasarnya, atur jam masuk untuk "menolak" masuk di jendela pembaruan SCCM Anda dan pengguna tidak akan dapat masuk ke klien sementara SCCM melakukan hal tersebut. Anda harus memiliki reboot yang dipaksakan pertama yang akan mengeluarkannya (fungsi jam logon tidak berfungsi pada pengguna yang masuk), tetapi jika tidak maka akan sulit untuk diterapkan.
sumber
Mungkin ingin menguji ini dan melihat apakah itu berfungsi:
Sebuah skrip di awal aktivitas SCCM untuk melakukan hal berikut:
Pada akhirnya:
Tambahkan prinsip keamanan yang Anda hapus kembali ke grup Pengguna lokal
Grup aktual yang Anda tambahkan / hapus mungkin bergantung pada bagaimana komputer Anda saat ini dikonfigurasi.
Sesuatu yang sedikit lebih trailer-parky, awal aktivitas SCCM dapat menyalin pintasan ke logoff.exe ke Menu Mulai Semua Pengguna \ folder Startup (biasanya C: \ ProgramData \ Microsoft \ Windows \ Start Menu \ Program \ StartUp). Ini akan memiliki efek keluar dari sesi segera setelah mereka masuk. Agar aman, Anda mungkin ingin memiliki skrip startup / shutdown untuk menghapus pintasan itu. (Saya percaya bahwa pintasan Startup dapat dilewati dengan menahan tombol shift selama logon).
sumber