सॉफ़्टवेयर इंस्टॉल के दौरान सामान्य (गैर-व्यवस्थापक) उपयोगकर्ताओं को कैसे लॉक किया जाए?

हमारे पास विंडोज एंबेडेड स्टैंडर्ड 7 और SCCM 2012 R2 सर्वर को चलाने के लिए बहुत सारे पतले क्लाइंट हैं जिन्हें मैनेज करना है। पतले क्लाइंट के पास अपने लिखने के फिल्टर सक्षम (FBWF) होते हैं, ताकि मशीन में बदलाव लगातार न हो। दुर्लभ अवसर पर हमें उन पर कुछ अपडेट करना होता है, हम बस इसे SCCM के माध्यम से तैनात करते हैं और यह स्वचालित रूप से लेखन फ़िल्टर को बंद करने और बदलाव करने के लिए वापस चालू करने का ख्याल रखता है।

यहां क्या होना चाहिए :
SCCM क्लाइंट अपने काम को बचाने और सिस्टम को बंद करने के लिए उपयोगकर्ता को नोटिस और 30 मिनट की उलटी गिनती देता है। पतले ग्राहक तब रिबूट करता है और लिखने के फिल्टर को निष्क्रिय करता है। लॉग-ऑन स्क्रीन एक पैडलॉक प्रदर्शित करता है और नोटिस करता है कि यूनिट को सेवित किया जा रहा है, और सामान्य (गैर-व्यवस्थापक) उपयोगकर्ताओं को लॉग ऑन करने की अनुमति नहीं देगा जबकि SCCM यह काम कर रहा है। जब SCCM हो जाता है, तो यह फिर से फिल्टर, रिबूट और फिर से उपयोगकर्ताओं को फिर से लॉग इन कर सकता है।

समस्या यह है कि हम सिस्टम में लॉग इन करने के लिए निकटता कार्ड पाठकों का उपयोग करते हैं। कर्मचारी पासवर्ड टाइप नहीं करते हैं। वे सिर्फ अपने बैज पर टैप करते हैं। यह प्रणाली अच्छी है, लेकिन इसे चलाने वाला सॉफ्टवेयर विंडोज एंबेडेड के साथ राइट फिल्टर फिल्टर को तोड़ता है।

यहां वास्तव में क्या होता है:
SCCM क्लाइंट राइट-फिल्टर से रिबूट करने से पहले सामान्य 15 मिनट का नोटिस देता है। जब यह रीबूट होता है, तो सामान्य लॉगिन स्क्रीन प्रदर्शित होती है। उपयोगकर्ता सिस्टम में लॉग इन कर सकते हैं और इसका उपयोग कर सकते हैं जबकि SCCM सॉफ़्टवेयर स्थापित कर रहा है। और क्योंकि एक उपयोगकर्ता सत्र सक्रिय है, यह फिर से लिखने के फ़िल्टर के साथ रिबूट करने से पहले 30 मिनट का एक और नोटिस देता है।

इस परिदृश्य में, यह न केवल परिनियोजन समय के लिए अतिरिक्त 30 मिनट जोड़ता है, बल्कि यह सामान्य उपयोगकर्ताओं को भी पतले क्लाइंट पर असुरक्षित 30-60 मिनट का एक ठोस समय देता है, जो भी परिवर्तन होने पर वे स्थायी रूप से छवि में बेक हो जाते हैं। लिखना फ़िल्टर वापस चालू हो जाता है।

समस्या इस तथ्य से उपजी है कि विंडोज एंबेडेड 7 नियमित विंडोज 7 की तुलना में एक अलग क्रेडेंशियल प्रदाता (उर्फ जीना) का उपयोग करता है, लेकिन एसएसओ उत्पाद को कार्य करने के लिए विंडोज क्रेडेंशियल प्रदाता को बदलना होगा। मैंने इसके बारे में विक्रेता से संपर्क किया है, लेकिन वे कहते हैं कि यह एक ज्ञात मुद्दा है और इसके लिए कोई फिक्स या वर्कअराउंड नहीं है।

तो यहाँ मेरा सवाल है:
मैं वांछित व्यवहार को दूसरे तरीके से कैसे अनुकरण कर सकता हूं? मुझे पता है कि एक समूह नीति सेटिंग है जहां आप विशिष्ट उपयोगकर्ता समूहों के लिए स्थानीय लॉगऑन को अस्वीकार कर सकते हैं। मैं सोच रहा था कि मैं स्थापित करने से पहले और बाद में संबंधित रजिस्ट्री सेटिंग को फ्लिप कर सकता हूं, लेकिन मैं अन्य विचारों के लिए खुला हूं।

अगर मैं करना है तो मैं स्क्रिप्टिंग इंस्टॉल से ऊपर नहीं हूं। मैं स्क्रिप्टिंग, पॉवरशेल, वीबीएसस्क्रिप्ट इत्यादि के साथ धाराप्रवाह हूं, मुझे आश्चर्य है कि किसी को भी इस पर कोई उज्ज्वल विचार है कि इसे कैसे हल किया जाए।

अद्यतन:
मैंने यह उल्लेख करने के लिए उपेक्षा की कि इन उपकरणों का उपयोग अस्पताल के वातावरण में कर्मचारियों के लिए उनके रोगियों पर चार्ट बनाने के लिए किया जा रहा है। वे दिन में 24 घंटे उपलब्ध होने चाहिए, इसलिए हम लॉगऑन घंटे प्रतिबंधित नहीं कर सकते या रखरखाव विंडो कॉन्फ़िगर नहीं कर सकते। हम पर्यवेक्षकों को स्थानांतरित करने के लिए अग्रिम सूचना देकर डाउनटाइम का प्रबंधन करते हैं, लेकिन एक घंटे से अधिक समय तक कुछ भी एक कानूनी अनुपालन मुद्दा बन जाता है और आधिकारिक डाउनटाइम प्रक्रियाओं को लागू करने की आवश्यकता होती है।

इससे पहले कि हम जा रहे हैं मैं एक पांडित्य बिंदु बनाना चाहता हूं, सामान्य पाठक के लाभ के लिए खुद से अधिक।

हम इसे SCCM के माध्यम से आगे बढ़ाते हैं

SCCM एक पुल-आधारित तकनीक है। मुझे पता है कि आपका क्या मतलब है, लेकिन मुझे लगता है कि मेरे टियर -1 दोस्तों के साथ, मुझे एससीसीएम एक पुश-आधारित तकनीक नहीं है, इस पर जोर देने के लिए हर अवसर मिलता है।

मैंने इसके बारे में विक्रेता से संपर्क किया है, लेकिन वे कहते हैं कि यह एक ज्ञात मुद्दा है और इसके लिए कोई फिक्स या वर्कअराउंड नहीं है

यह बहुत बुरा है क्योंकि यह लगता है कि इस मुद्दे का कारण एम्बेडेड कार्ड प्रमाणीकरण कार्यक्रम है। विक्रेता पर रखें, शायद वे वास्तव में अपने सॉफ़्टवेयर को ठीक करेंगे।

एक वास्तविक उत्तर पर - मुझे आपके लिए कुछ संभावित समाधान दिखाई देते हैं, उनमें से कोई भी विशेष रूप से अच्छा नहीं है।

• इन क्लाइंट्स के लिए मेंटेनेंस विंडो को कॉन्फ़िगर करें ताकि क्लाइंट्स को उनके राइट फिल्टर, आपके वास्तविक पेलोड और रिबूट के रिबूट से शुरुआती रिबूट मिल सके, जब कर्मचारी टर्मिनलों पर मौजूद नहीं होते हैं। यह कम से कम दर्दनाक विकल्प की तरह लगता है। SCCM को पहले से अधिक जटिल बनाने की आवश्यकता नहीं है।
• एक स्थानीय समूह नीति टेम्पलेट बनाएँ, जो डेनी लोगन उपयोगकर्ता अधिकार के लिए एक सुरक्षा समूह जोड़ता है और फिर आपके एप्लिकेशन परिनियोजन के भाग के रूप में असाइन / अन-असाइन करता है।
• Deny Logon उपयोगकर्ता अधिकार सेट करने के लिए PowerShell का उपयोग करें। मेरा मानना ​​है कि PowerShell सामुदायिक एक्सटेंशन (PSCX) में Set/Get-Privilegescmdlets हैं जो आपको उपयोगकर्ता अधिकार असाइनमेंट में हेरफेर करने देंगे
• आप चाहें तो एपीआई का उपयोग कर सकते हैं। यहाँ एक उदाहरण है ।

ऐसा लगता है कि किसी ने भी इसे संभालने के लिए किसी कार्य क्रम का उपयोग करने की संभावना को नहीं छुआ है, इसलिए मुझे लाभों को सूचीबद्ध करने की अनुमति दें (यह मानते हुए कि आप वास्तव में सामान्य रूप से उनसे परिचित नहीं हैं, लेकिन कृपया पढ़िए भले ही आप):

यदि आप जो कुछ भी स्थापित और कॉन्फ़िगर करते हैं वह w / SCCM द्वारा संभाला जाता है, तो आपको इसे पूरा करने के लिए एक कार्य क्रम का उपयोग करने में सक्षम होना चाहिए। मुख्य रूप से OSD के लिए, TS का उपयोग करना OSD के लिए ही नहीं है और निम्नलिखित लाभ प्रदान कर सकता है:

वर्कस्टेशन पर कोई लॉगिंग नहीं

एक TS winlogon.exe चलने से पहले निष्पादित करता है, इसलिए उपयोगकर्ता के अनजाने में लॉग ऑन करने की कोई संभावना नहीं है, क्योंकि विंडो पर कोई लॉग नहीं है। जो मुझे मेरे दूसरे बिंदु पर लाता है:

कस्टम पृष्ठभूमि स्क्रीन

आप एक छप स्क्रीन प्रदान कर सकते हैं जो कहता है कि रखरखाव किया जा रहा है, या आप जो भी चाहते हैं वह वास्तव में कहना चाहते हैं।

एक टीएस वास्तव में एक महिमामंडित स्क्रिप्ट है, लेकिन इसमें बहुत अधिक कार्यक्षमता है और इसे विकास के समय को कम करने के लिए एक तरह से एक साथ रखा गया है, और मुझे ओएसडी से परे उपयोग के मामले मिले हैं।

ऐसा लगता है कि आपके पास पहले से ही एक स्क्रिप्ट है जो आपको करने की आवश्यकता है, इसलिए आपको कम से कम टीएस के साथ टीएस में डालने और जाने में सक्षम होना चाहिए।

यदि SSO सॉफ़्टवेयर सक्रिय निर्देशिका क्रेडेंशियल का उपयोग करता है, तो आपने निर्दिष्ट नहीं किया है, इसलिए सक्रिय निर्देशिका के "लॉगऑन ऑवर्स" फ़ंक्शन का उपयोग करने के लिए एक समाधान होगा। यह एक प्रति-उपयोगकर्ता स्तर पर है, लेकिन आसानी से पॉवरशेल में स्क्रिप्ट किया जा सकता है ( यह एक उदाहरण है)। मूल रूप से, अपने SCCM अपडेट विंडो में लॉगऑन को "इनकार" लॉगऑन में सेट करें और उपयोगकर्ता क्लाइंट में लॉग इन करने में असमर्थ होंगे जबकि SCCM अपनी बात करता है। आपको पहले रिबूट के लिए मजबूर होना पड़ेगा जो उन्हें लॉग आउट कर देगा (लॉगऑन घंटे फ़ंक्शन लॉग-इन उपयोगकर्ताओं पर काम नहीं करता है), लेकिन यह अन्यथा लागू करने के लिए दर्द रहित होगा।

यह परीक्षण करना चाहते हैं और देखें कि क्या यह काम करता है:

निम्नलिखित करने के लिए SCCM गतिविधि की शुरुआत में एक स्क्रिप्ट:

• स्थानीय उपयोगकर्ताओं के समूह से NT AUTHORITY \ Authenticated उपयोगकर्ता पहचान निकालें
• स्थानीय उपयोगकर्ताओं के समूह से NT AUTHORITY \ सहभागी पहचान निकालें
• स्थानीय उपयोगकर्ता समूह से डोमेन उपयोगकर्ता समूह निकालें

अतं मै:

सुरक्षा प्रिंसिपलों को जोड़ें जिन्हें आपने स्थानीय उपयोगकर्ता समूह में वापस निकाल दिया है

आपके द्वारा जोड़े गए / हटाए जाने वाले वास्तविक समूह इस बात पर निर्भर हो सकते हैं कि आपके कंप्यूटर वर्तमान में कैसे कॉन्फ़िगर किए गए हैं।

कुछ अधिक ट्रेलर-पार्की, SCCM गतिविधि की शुरुआत सभी उपयोगकर्ताओं को मेनू \ Startup फ़ोल्डर (आमतौर पर C: \ ProgramData \ Microsoft \ Windows \ Start \ मेनू \ Program \ StartUp) के लिए logoff.exe के लिए एक शॉर्टकट कॉपी कर सकता है। जैसे ही वे लॉगऑन करते हैं, तो सत्र बंद करने का प्रभाव पड़ेगा। सुरक्षित होने के लिए, आप उस शॉर्टकट को हटाने के लिए एक स्टार्टअप / शटडाउन स्क्रिप्ट का उपयोग कर सकते हैं। (मेरा मानना ​​है कि लॉगऑन के दौरान शिफ्ट कुंजी पकड़कर स्टार्टअप शॉर्टकट को बायपास किया जा सकता है)।