ソフトウェアのインストール中に通常の(非管理者)ユーザーをロックアウトする方法は?
Windows Embedded Standard 7を実行するシンクライアントと、それらを管理するSCCM 2012 R2サーバーが多数あります。シンクライアントは書き込みフィルターを有効にしているため(FBWF)、マシンの変更は永続的ではありません。まれに、それらの何かを更新する必要がありますが、SCCMを介して展開するだけで、変更をコミットするために書き込みフィルターを自動的にオフ/オンにします。 ここでは何べきで起こる: SCCMクライアントは、ユーザーと自分の仕事を保存し、システムをオフに取得するために30分間のカウントダウンに通知します。次に、シンクライアントが再起動し、書き込みフィルターが無効になります。ログオン画面には南京錠が表示され、ユニットがサービス中であることがわかります。また、SCCMが実行している間、通常の(非管理者)ユーザーはログオンできません。SCCMが完了すると、書き込みフィルターが再び有効になり、再起動して、ユーザーが再度ログインできるようになります。 私が抱えている問題は、近接カードリーダーを使用してシステムにログインすることです。従業員はパスワードを入力しません。バッジをタップするだけです。このシステムは優れていますが、それを実行するソフトウェアはWindows Embeddedの書き込みフィルターの自動化を壊します。 ここで何が実際に起こる: SCCMクライアントは、書き込みフィルタをオフにして再起動する前に、通常の15分の通知を行います。再起動すると、通常のログイン画面が表示されます。ユーザーは、SCCMがソフトウェアをインストールしている間にシステムにログインして使用できます。また、ユーザーセッションがアクティブであるため、書き込みフィルターをオンにして再起動する前に、再度30分間の通知が行われます。 このシナリオでは、展開時間に余分な30分を追加するだけでなく、通常のユーザーは、シンクライアント上で30-60分の無保護時間を確保できます。書き込みフィルターが再びオンになります。 この問題は、Windows Embedded 7が通常のWindows 7とは異なる資格情報プロバイダー(別名GINA)を使用しているが、SSO製品が機能するためにWindows資格情報プロバイダーを置き換える必要があるという事実に起因します。私はそれについてベンダーに連絡しましたが、彼らはそれが既知の問題であり、それに対する修正または回避策がないと言うだけです。 だからここに私の質問があります: どうすれば目的の動作を別の方法でシミュレートできますか?特定のユーザーグループへのローカルログオンを拒否できるグループポリシー設定があることを知っています。私は、インストールの前後に対応するレジストリ設定を反転できると考えていましたが、他のアイデアを受け入れています。 必要に応じて、インストールのスクリプトを記述していません。スクリプティング、PowerShell、VBScriptなどに堪能です。これを解決するための素晴らしいアイデアを誰かが持っているのでしょうか。 更新: これらのデバイスは、スタッフが患者のカルテを作成するために病院環境で使用されていることに言及していませんでした。これらは24時間利用可能でなければならないため、ログオン時間を制限したり、メンテナンスウィンドウを構成したりすることはできません。私たちはシフトの監督者に事前に通知することでダウンタイムを管理しますが、1時間以上かかるものは法的なコンプライアンスの問題になり、公式のダウンタイム手順を有効にする必要があります。