소프트웨어 설치 중 일반 (비 관리자) 사용자를 잠그는 방법은 무엇입니까?


12

Windows Embedded Standard 7과 SCCM 2012 R2 서버를 실행하는 씬 클라이언트가 많이 있습니다. 씬 클라이언트에는 쓰기 필터 활성화 (FBWF) 기능이 있으므로 시스템 변경이 영구적이지 않습니다. 드물게 SCCM을 통해 배포해야하며 변경 사항을 커밋하기 위해 쓰기 필터를 껐다가 자동으로 관리합니다.

여기에 무엇을 해야 일 :
SCCM 클라이언트는 사용자가 작업을 저장하고 시스템을 얻을 수있는 30 분 카운트 다운에 통지를 제공합니다. 그런 다음 씬 클라이언트가 재부팅되고 쓰기 필터가 비활성화됩니다. 로그온 화면에 자물쇠가 표시되고 장치가 서비스되고 있음을 알 수 있으며 SCCM이 수행하는 동안 일반 (관리자가 아닌) 사용자가 로그온 할 수 없습니다. SCCM이 완료되면 쓰기 필터를 다시 활성화하고 재부팅 한 다음 사용자가 다시 로그인 할 수 있습니다.

내가 겪고있는 문제는 근접 카드 판독기를 사용하여 시스템에 로그인한다는 것입니다. 직원은 암호를 입력하지 않습니다. 배지를 탭하기 만하면됩니다. 이 시스템은 훌륭하지만이를 실행하는 소프트웨어는 Windows Embedded에서 쓰기 필터 자동화를 중단시킵니다.

실제로 발생하는 상황은 다음과 같습니다 .
SCCM 클라이언트는 쓰기 필터를 끈 상태에서 재부팅하기 전에 일반적인 15 분 전에 통지합니다. 재부팅하면 일반 로그인 화면이 표시됩니다. SCCM이 소프트웨어를 설치하는 동안 사용자는 시스템에 로그인하여 사용할 수 있습니다. 또한 사용자 세션이 활성화되어 있기 때문에 다시 쓰기 필터를 사용하여 재부팅하기 전에 30 분 동안 다시 통지합니다.

이 시나리오에서는 배포 시간에 30 분을 더 추가 할뿐 아니라 일반 사용자에게 변경 사항이있을 때 이미지에 영구적으로 구워지는 변경 사항이있는 씬 클라이언트에서 30 ~ 60 분 동안 보호되지 않은 견고한 시간을 제공합니다. 쓰기 필터가 다시 켜집니다.

이 문제는 Windows Embedded 7이 일반 Windows 7과 다른 자격 증명 공급자 (일명 GINA)를 사용하지만 SSO 제품이 작동하려면 Windows 자격 증명 공급자를 교체해야한다는 사실에서 비롯됩니다. 나는 그것에 대해 공급 업체에 연락했지만 알려진 문제라고 말하고 해결 방법이 없습니다.

내 질문은 다음과 같습니다.
원하는 동작을 다른 방법으로 시뮬레이션하려면 어떻게해야합니까? 특정 사용자 그룹에 대한 로컬 로그온을 거부 할 수있는 그룹 정책 설정이 있습니다. 설치 전후에 해당 레지스트리 설정을 뒤집을 수 있다고 생각했지만 다른 아이디어가 열려 있습니다.

필요하다면 스크립팅 설치 위에 있지 않습니다. 스크립팅, PowerShell, VBScript 등에 능숙합니다.이 문제를 해결하는 방법에 대한 아이디어가 있는지 궁금합니다.


업데이트 :
나는이 장치가 병원 환경에서 직원이 환자를 도표로 나타 내기 위해 사용되고 있다고 언급하지 않았습니다. 하루 24 시간 사용할 수 있어야하므로 로그온 시간을 제한하거나 유지 관리 기간을 구성 할 수 없습니다. 우리는 감독관에게 근무 시간을 변경하라는 사전 통지를하여 가동 중지 시간을 관리하지만 한 시간 이상 걸리는 모든 것은 법규 준수 문제가되며 공식적인 가동 중지 절차가 적용되어야합니다.


좋은 질문입니다. 나는 더 나은 대답을 원했다.

좋은 의문-희망적으로 당신의 비애는 다른 사람들이 씬 클라이언트를 사지 못하게합니다-나는이 "유지 보수가 적은"장치가 가져 오는 모든 수하물을 싫어합니다
Jim B

답변:


4

우리가 가기 전에 일반적인 독자층의 이익을 위해 자신보다 더 현명한 요점을 만들고 싶습니다.

우리는 단지 SCCM을 통해 그것을 밀어

SCCM은 풀 기반 기술입니다. 나는 당신이 의미하는 바를 알고 있지만, Tier-1 직원들과 함께 SCCM이 푸시 기반 기술이 아니라는 점을 강조 할 수있는 모든 기회는 그들이 더 빨리 그것을 이해하도록 도와줍니다.


나는 그것에 대해 공급 업체에 연락했지만 알려진 문제라고 말하고 해결 방법이 없습니다.

이 문제의 원인이 임베디드 카드 인증 프로그램 인 것처럼 들리므로 너무 나쁩니다. 공급 업체에 문의하십시오. 실제로 소프트웨어를 수정했을 수도 있습니다.



진정한 대답으로-나는 당신을위한 몇 가지 가능한 해결책을 보았습니다.

  • 직원이 터미널에 없을 때 근무 시간 외 근무 시간 동안 클라이언트가 쓰기 필터, 실제 페이로드 및 결과 재부팅에서 클라이언트를 제거 할 수 있도록 초기 재부팅시 이러한 클라이언트에 대한 유지 관리 기간을 구성하십시오. 이것은 가장 고통스러운 옵션처럼 보입니다. SCCM을 기존보다 더 복잡하게 만들 필요가 없습니다.
  • 보안 그룹을 로그온 거부 사용자 권한에 추가 하는 로컬 그룹 정책 템플릿을 만든 다음 응용 프로그램 배포의 일부로 할당 / 할당 해제하십시오.
  • PowerShell을 사용하여 로그온 거부 사용자 권한을 설정하십시오. PSCX (PowerShell Community Extensions) 에는 Set/Get-Privileges사용자 권한 할당을 조작 할 수 있는 cmdlet이 있다고 생각합니다.
  • 원하는 경우 API를 사용할 수 있습니다. 다음은 입니다.

답변 주셔서 감사합니다. 환경을 반영하기 위해 질문을 업데이트했습니다. 24x7 작업이므로 옵션 1을 사용할 수 없습니다. 옵션 2는 제가 생각한 것이었지만 요청시 GPO를 할당 / 할당 해제하는 방법을 모릅니다. 옵션 3과 4를 남겨 두겠습니다. 나는 아마 이것에서 내 길을 스크립트해야 할 것이라고 생각했다. 아, 그리고 나는 용어 :-) 수정
웨스 Sayeed

@WesSayeed 이론적으로 SecPol.msc를 사용하여 로컬 그룹 정책 템플릿 을 만들고 템플릿으로 저장하고 secedit.exe스크립트 를 통해 적용 / 적용 해제 할 수 있어야합니다 . 무작위 폴링 시간이 엄격한 유지 관리 기간 동안 작동하지 않기 때문에 Active Directory 그룹 정책 사용에 대해서는 이야기하지 않습니다.

+1, 나는이 답변을 좋아하고 PSCX를 알지 못했습니다.
MDMoore313

4

작업 순서를 사용하여이를 처리 할 수있는 가능성에 대해서는 아무도 언급하지 않았으므로 이점을 나열 할 수 있습니다 (일반적으로 익숙하지 않다고 가정하더라도 읽고 읽으십시오).

설치하고 구성한 모든 것이 SCCM으로 처리되는 경우 작업 순서를 사용하여이를 수행 할 수 있어야합니다. 주로 OSD의 경우 TS를 사용하는 것은 OSD 뿐 아니라 다음과 같은 이점을 제공 할 수 있습니다.

워크 스테이션에 로그온하지 않음

winlogon.exe가 실행되기 전에 TS가 실행되므로 로그온 창이 없으므로 사용자가 실수로 로그온 할 가능성이 없습니다. 두 번째 요점은 다음과 같습니다.

맞춤 배경 화면

유지 보수가 수행 중이거나 실제로 원하는대로 시작하는 스플래시 화면을 제공 할 수 있습니다.

TS는 실제로 영광스러운 스크립트이지만 많은 기능을 가지고 있으며 개발 시간을 단축시키는 방식으로 결합되어 있으며 OSD를 넘어 사용 사례를 발견했습니다.

필요한 작업을 수행하는 스크립트가 이미있는 것처럼 들리므로 최소한의 디버깅으로 TS에 넣을 수 있습니다.


1
+1 항상 비 OSD 작업 순서에 실제로 사용되는지 궁금했습니다.
alx9r

@BigHomie; 방금 일반 응용 프로그램이 아닌 작업 순서를 사용하여 배포를 시도했지만 사용자 로그온을 방해하지 않았습니다. 작업 순서의 첫 번째 단계는 컴퓨터를 재부팅하는 것입니다. 컴퓨터가 다시 시작되면 정상적인 로그온 화면이 나타납니다. 서비스가 시작 지연으로 설정되어 약 1 분 후에 작업 순서가 다시 시작되지 않습니다. 사용자에게 진행률 표시 줄이 표시되도록 그룹 정책을 사용하여 서비스를 즉시 시작하도록 설정할 수 있지만 로그온을 방해하지 않고 차단할 수 있습니다. 뭔가 빠졌습니까?
Wes Sayeed

@WesSayeed !! TS가 사용자 또는 컴퓨터에 광고됩니까?
MDMoore313

@BigHomie; AFAIK, 작업 순서는 컴퓨터 모음에만 광고 할 수 있습니다.
Wes Sayeed

그렇습니다, 나는 그것을 잊었습니다. 불행하게도, 나는 작년에 새로운 일자리를 얻었고 sccm 게임에서 꽤 오랫동안 벗어났습니다. 그래도 대답을 계속 검색하지만 로그인 화면이 나타나기 전에 OSD 중에 소프트웨어를 설치할 수있는 것과 동일한 메커니즘을 OSD 외부에서도 사용할 수 있다고 생각했습니다. 머신이 WinPE로 부팅되면 배포를 수행 할 수 없다고 가정합니다.
MDMoore313

2

SSO 소프트웨어가 Active Directory 자격 증명을 사용하는지 여부를 지정하지 않았으므로 Active Directory의 "로그온 시간"기능을 사용하는 것이 해결책입니다. 사용자 수준이지만 Powershell에서 쉽게 스크립팅 할 수 있습니다 ( 이것은 예입니다). 기본적으로 SCCM 업데이트 창에서 로그온 시간을 "거부"로 설정하면 SCCM이 수행하는 동안 사용자가 클라이언트에 로그인 할 수 없습니다. 로그 아웃 할 최초 강제 재부팅이 필요합니다 (로그온 시간 기능은 로그인 한 사용자에게는 작동하지 않습니다). 그렇지 않으면 구현하기가 쉽지 않습니다.


SSO 소프트웨어는 AD를 사용합니다. RFID 태그를 AD 계정과 일치시키고 로그온을 수행하기 위해 Windows를 통해 자격 증명을 전달합니다. 로그온 시간을 사용할 수없는 이유를 설명하기 위해 답변을 업데이트했지만 (환경에 대해서는 언급하지 않았지만) 참조한 스크립트를 살펴 보겠습니다. 현지에서 그런 일을 할 수 있습니다.
Wes Sayeed

-1

이것을 테스트하고 작동하는지 확인할 수 있습니다.

SCCM 활동 시작시 다음을 수행하는 스크립트 :

  • 로컬 사용자 그룹에서 NT AUTHORITY \ Authenticated Users ID를 제거하십시오.
  • 로컬 사용자 그룹에서 NT AUTHORITY \ Interactive identity를 제거하십시오.
  • 로컬 사용자 그룹에서 도메인 사용자 그룹 제거

결국 :

제거한 보안 사용자를 로컬 사용자 그룹에 다시 추가하십시오.

추가 / 제거하는 실제 그룹은 컴퓨터가 현재 구성된 방식에 따라 달라질 수 있습니다.

좀 더 트레일러가 부족한 SCCM 활동의 시작은 logoff.exe의 바로 가기를 모든 사용자 시작 메뉴 \ 시작 폴더 (일반적으로 C : \ ProgramData \ Microsoft \ Windows \ Start Menu \ Programs \ StartUp)에 복사 할 수 있습니다. 이는 로그온하자마자 세션을 로그 오프하는 효과가 있습니다. 안전을 위해 시작 / 종료 스크립트를 사용하여 해당 바로 가기를 삭제할 수 있습니다. 로그온 중에 Shift 키를 누르면 시작 바로 가기를 무시할 수 있다고 생각합니다.


나는 이것을 -1해야한다. 작동하지만, 임의의 오류 또는 머피의 법칙으로 스크립트가 중간에 죽으면 사용자는 로그인 할 수 없으며 IT가 응답 할 수있을 때까지 물속에서 죽는다.
MDMoore313
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.