Kami memiliki banyak klien tipis yang menjalankan Windows Embedded Standard 7 dan server SCCM 2012 R2 untuk mengelolanya. Thin client mengaktifkan filter tulisnya (FBWF) sehingga perubahan mesin tidak persisten. Terkadang kami harus memperbarui sesuatu pada mereka, kami hanya menyebarkannya melalui SCCM dan secara otomatis menangani mematikan filter tulis dan kembali untuk melakukan perubahan.
Inilah yang harus terjadi:
klien SCCM memberi pemberitahuan kepada pengguna dan hitungan mundur 30 menit untuk menyelamatkan pekerjaan mereka dan keluar dari sistem. Thin client kemudian reboot dan menonaktifkan filter tulis. Layar log-on menampilkan gembok dan perhatikan bahwa unit sedang diservis, dan tidak akan mengizinkan pengguna normal (non-admin) untuk masuk sementara SCCM melakukan hal itu. Ketika SCCM selesai, itu mengaktifkan kembali filter tulis, reboot, dan kemudian pengguna dapat login lagi.
Masalah yang saya alami adalah bahwa kami menggunakan pembaca kartu proximity untuk masuk ke sistem. Karyawan tidak mengetik kata sandi. Mereka hanya mengetuk lencana mereka. Sistem ini bagus, tetapi perangkat lunak yang menjalankannya merusak otomatisasi filter tulis dengan Windows Embedded.
Inilah yang sebenarnya terjadi:
klien SCCM memberikan pemberitahuan 15 menit seperti biasa sebelum reboot dengan filter tulis mati. Ketika reboot, itu layar login normal ditampilkan. Pengguna dapat masuk ke sistem dan menggunakannya saat SCCM menginstal perangkat lunak. Dan karena sesi pengguna aktif, sekali lagi memberikan pemberitahuan 30 menit sebelum memulai kembali dengan filter tulis kembali.
Dalam skenario ini, tidak hanya menambah 30 menit tambahan untuk waktu penerapan, tetapi juga memberikan pengguna biasa waktu 30-60 menit tanpa perlindungan pada klien tipis dengan perubahan apa pun yang mereka buat secara permanen dimasukkan ke dalam gambar ketika filter tulis dihidupkan kembali.
Masalahnya berasal dari fakta bahwa Windows Embedded 7 menggunakan penyedia kredensial yang berbeda (alias GINA) daripada Windows 7 biasa, tetapi produk SSO harus mengganti penyedia kredensial Windows untuk berfungsi. Saya sudah menghubungi vendor tentang hal itu, tetapi mereka hanya mengatakan itu masalah yang diketahui dan tidak ada perbaikan atau penyelesaian untuk itu.
Jadi inilah pertanyaan saya:
Bagaimana saya bisa mensimulasikan perilaku yang diinginkan dengan cara lain? Saya tahu bahwa ada pengaturan kebijakan grup tempat Anda bisa menolak masuk lokal ke grup pengguna tertentu. Saya berpikir saya bisa membalik pengaturan registri yang sesuai sebelum dan setelah menginstal, tetapi saya terbuka untuk ide-ide lain.
Saya tidak menginstal skrip di atas jika saya harus. Saya fasih dengan scripting, PowerShell, VBScript, dll. Saya hanya ingin tahu apakah ada yang punya ide cemerlang tentang bagaimana menyelesaikan ini.
Pembaruan:
Saya lalai menyebutkan bahwa perangkat ini digunakan di lingkungan rumah sakit agar staf memetakan pasien mereka. Mereka harus tersedia 24 jam sehari, jadi kami tidak dapat membatasi jam masuk atau mengonfigurasi jendela perawatan. Kami mengelola waktu henti dengan memberikan pemberitahuan terlebih dahulu kepada pengawas shift, tetapi apa pun yang membutuhkan waktu lebih dari satu jam menjadi masalah kepatuhan hukum dan mengharuskan prosedur waktu henti resmi diberlakukan.