我们有许多运行Windows Embedded Standard 7的瘦客户端和一个SCCM 2012 R2服务器来管理它们。瘦客户端启用了写过滤器(FBWF),因此机器更改不会持久。在极少数情况下,我们必须对它们进行更新,我们只需通过SCCM进行部署,它会自动关闭并重新打开写过滤器以提交更改。
这是应该发生的情况:
SCCM客户端会向用户发出通知,并进行30分钟的倒计时,以保存他们的工作并退出系统。瘦客户端然后重新启动并禁用写过滤器。登录屏幕上显示一个挂锁,并注意该设备正在维修中,并且在SCCM执行此操作时将不允许普通(非管理员)用户登录。SCCM完成后,它将重新启用写筛选器,重新启动,然后用户可以再次登录。
我遇到的问题是,我们使用感应卡读取器登录系统。员工不输入密码。他们只是点击他们的徽章。这个系统很好,但是运行它的软件破坏了Windows Embedded的写过滤器自动化。
下面是实际发生的情况:
SCCM客户提供了通常的15分钟预告与写入过滤掉重新启动之前。重新启动后,将显示正常的登录屏幕。当SCCM正在安装软件时,用户可以登录系统并使用它。而且由于用户会话处于活动状态,因此在重新启动写过滤器重新启动之前,它会再次发出30分钟的通知。
在这种情况下,它不仅增加了30分钟的部署时间,而且还为普通用户在瘦客户机上提供了30-60分钟的无保护时间,而无论他们进行什么更改,瘦客户机上所做的任何更改都会永久地写入映像中。写过滤器重新打开。
问题源于Windows Embedded 7使用与常规Windows 7不同的凭据提供程序(又名GINA)的事实,但是SSO产品必须替换Windows凭据提供程序才能起作用。我已经与供应商联系,但是他们只是说这是一个已知问题,因此没有修复或解决方法。
所以这是我的问题:
如何以其他方式模拟所需的行为?我知道有一个组策略设置,您可以在其中拒绝对特定用户组的本地登录。我当时想我可以在安装之前和之后翻转相应的注册表设置,但是我对其他想法持开放态度。
如果需要的话,我没有安装脚本。我精通脚本,PowerShell,VBScript等。我只是想知道是否有人对如何解决这个问题有任何聪明的主意。
更新:
我忽略了提及这些设备在医院环境中使用,以便工作人员绘制患者病历。它们必须一天24小时可用,因此我们不能限制登录时间或配置维护时段。我们通过提前通知值班主管来管理停机时间,但是任何花费一个多小时的事情都会成为法律合规性问题,并且需要正式的停机程序才能生效。