windows – 如何在软件安装期间锁定普通(非管理员)用户?

前端之家收集整理的这篇文章主要介绍了windows – 如何在软件安装期间锁定普通(非管理员)用户?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我们有很多瘦客户端运行 Windows Embedded Standard 7和SCCM 2012 R2服务器来管理它们.瘦客户端启用了写过滤器(FBWF),因此机器更改不会持久.在极少数情况下,我们必须更新它们,我们只需通过SCCM进行部署,它会自动关闭写入过滤器并重新启动以提交更改.

这是应该发生的事情:
SCCM客户端向用户发出通知并进行30分钟倒计时以保存他们的工作并离开系统.瘦客户端然后重新启动并禁用写过滤器.登录屏幕显示一个挂锁,并注意到该设备正在服务,并且不允许普通(非管理员)用户在SCCM执行操作时登录.完成SCCM后,它会重新启用写过滤器,重新启动,然后用户可以再次登录.

我遇到的问题是我们使用感应卡读卡器登录系统.员工不输入密码.他们只是点击他们的徽章.这个系统很不错,但运行它的软件破坏了Windows Embedded的写过滤器自动化.

这是实际发生的事情:
SCCM客户端在重新启动之前提供通常的15分钟通知,并关闭写入过滤器.重新启动时,将显示正常登录屏幕.用户可以在SCCM安装软件时登录系统并使用它.并且由于用户会话处于活动状态,因此在重新启动写入过滤器之前,它会再次发出30分钟通知.

在这种情况下,它不仅可以为部署时间增加额外的30分钟,而且还可以为普通用户提供30-60分钟无法保护的瘦客户端时间,无论他们做出什么样的更改,都会在写过滤器重新开启.

问题源于Windows Embedded 7使用与常规Windows 7不同的凭据提供程序(a.k.a GINA),但SSO产品必须替换Windows凭据提供程序才能运行.我已经联系了供应商,但他们只是说这是一个已知问题,并且没有针对它的修复或解决方法.

所以这是我的问题:
我怎样才能以另一种方式模拟所需的行为?我知道有一个组策略设置,您可以拒绝本地登录特定用户组.我以为我可以在安装之前和之后翻转相应的注册表设置,但我对其他想法持开放态度.

如果必须,我不会在脚本安装之上.我能熟练使用脚本,PowerShell,VBScript等.我只是想知道是否有人对如何解决这个问题有任何好主意.

更新:
我没有提到这些设备正在医院环境中使用,以便员工为患者绘制图表.它们必须全天24小时可用,因此我们无法限制登录时间或配置维护时段.我们通过提前通知轮班主管来管理停机时间,但任何需要一个多小时的事情都会成为法律合规问题,需要正式的停工程序才能生效.

在我们开始之前,我想提出一个迂腐的观点,更多的是为了普通读者的利益而不是你自己.

we just push it via SCCM

SCCM是一种基于拉动的技术.我知道你的意思,但我发现,与我的一线人一样,我得到的每一个机会都强调SCCM不是基于推送的技术,这有助于他们更快地理解它.

I’ve contacted the vendor about it,but they just say it’s a known issue and there is no fix or workaround for it

这太糟糕了,因为听起来这个问题的原因是嵌入式卡身份验证程序.继续供应商,也许他们会实际修复他们的软件.

一个真正的答案 – 我看到了一些可能的解决方案,其中没有一个特别好.

>为这些客户端配置维护窗口,以便初始重新启动以从其写入过滤器中删除客户端,实际有效负载以及由此产生的重新启动都发生在员工不在终端时的非工作时间.这似乎是最不痛苦的选择.没有必要让SCCM比现在更复杂.
>创建一个Local Group Policy模板,将安全组添加到拒绝登录用户权限,然后在应用程序部署中分配/取消分配它.
>使用PowerShell设置拒绝登录用户权限.我相信PowerShell Community Extensions (PSCX)具有Set / Get-Privileges cmdlet,可让您操作用户权限分配
>如果需要,您可以使用API​​.这是example.

原文链接:https://www.f2er.com/windows/369872.html

猜你在找的Windows相关文章