Nous avons beaucoup de clients légers exécutant Windows Embedded Standard 7 et un serveur SCCM 2012 R2 pour les gérer. Les clients légers ont leurs filtres d'écriture activés (FBWF) afin que les changements de machine ne soient pas persistants. À de rares occasions, nous devons mettre à jour quelque chose sur eux, nous le déployons simplement via SCCM et il se charge automatiquement de désactiver et de réactiver les filtres d'écriture pour valider les modifications.
Voici ce qui devrait arriver: le
client SCCM donne un avis à l'utilisateur et un compte à rebours de 30 minutes pour enregistrer son travail et quitter le système. Le client léger redémarre ensuite et désactive le filtre d'écriture. L'écran de connexion affiche un cadenas et remarque que l'unité est en cours de maintenance, et ne permettra pas aux utilisateurs normaux (non administrateurs) de se connecter pendant que SCCM fait son travail. Lorsque SCCM est terminé, il réactive le filtre d'écriture, redémarre, puis les utilisateurs peuvent se reconnecter.
Le problème que j'ai, c'est que nous utilisons des lecteurs de cartes de proximité pour nous connecter au système. Les employés ne tapent pas de mots de passe. Ils tapent juste leur badge. Ce système est agréable, mais le logiciel qui l'exécute rompt l'automatisation du filtre d'écriture avec Windows Embedded.
Voici ce qui se passe réellement : le
client SCCM donne le préavis habituel de 15 minutes avant de redémarrer avec le filtre d'écriture désactivé. Lorsqu'il redémarre, l' écran de connexion normal s'affiche. Les utilisateurs peuvent se connecter au système et l'utiliser pendant que SCCM installe le logiciel. Et comme une session utilisateur est active, elle donne à nouveau un préavis de 30 minutes avant de redémarrer avec le filtre d'écriture activé.
Dans ce scénario, non seulement cela ajoute 30 minutes supplémentaires au temps de déploiement, mais cela donne également aux utilisateurs ordinaires 30 à 60 minutes de temps non protégé sur les clients légers, quels que soient les changements qu'ils effectuent, ils sont définitivement intégrés dans l'image lorsque le le filtre d'écriture est réactivé.
Le problème provient du fait que Windows Embedded 7 utilise un fournisseur d'informations d'identification (aka GINA) différent de celui de Windows 7 normal, mais le produit SSO doit remplacer le fournisseur d'informations d'identification Windows pour fonctionner. J'ai contacté le fournisseur à ce sujet, mais ils disent simplement que c'est un problème connu et qu'il n'y a pas de solution ni de solution.
Voici donc ma question:
comment puis-je simuler le comportement souhaité d'une autre manière? Je sais qu'il existe un paramètre de stratégie de groupe dans lequel vous pouvez refuser l'ouverture de session locale à des groupes d'utilisateurs spécifiques. Je pensais pouvoir retourner le paramètre de registre correspondant avant et après l'installation, mais je suis ouvert à d'autres idées.
Je ne suis pas au-dessus des installations de script si je le dois. Je parle couramment les scripts, PowerShell, VBScript, etc. Je me demande simplement si quelqu'un a des idées brillantes sur la façon de résoudre ce problème.
Mise à jour:
J'ai négligé de mentionner que ces appareils sont utilisés dans un environnement hospitalier pour que le personnel puisse consulter leurs patients. Ils doivent être disponibles 24h / 24, nous ne pouvons donc pas limiter les heures d'ouverture de session ni configurer les fenêtres de maintenance. Nous gérons les temps d'arrêt en donnant un préavis aux superviseurs de quart, mais tout ce qui prend plus d'une heure devient un problème de conformité juridique et nécessite la mise en vigueur de procédures officielles d'arrêt.