Неизменяемые/эфемерные рабочие столы W10

(Как читатель может догадаться, я более знаком и чувствую себя комфортно в мире Linux/POSIX, поэтому имейте это в виду)

Я занимаюсь перестройкой ноутбуков n+20, предназначенных для полуобщественного использования (MakerSpace: например, в классе или библиотеке), и хочу настроить их неизменяемым/эфемерным образом.

Я хочу, чтобы их периодически «промывали», чтобы все они были одинаковыми/стандартными и чистыми для использования следующими людьми.

Пользователи/гости постоянно заходят на рабочие столы и/или в браузеры со своими личными учетными записями Gmail/o365, что представляет собой угрозу конфиденциальности и безопасности для нас/моего окружения.

План игры выглядит так:

  • настроить базовый или эталонный (W10) рабочий стол с
    • урезанная ОС с примененными обновлениями, исправлениями и настройками на уровне системы
    • загружены соответствующие учетные записи — входы и браузеры вошли в соответствующие веб-приложения (загружены файлы cookie) и т. д.
    • используя нравится winget, choco/vagrant/ansible/puppet/chef/whatever/etc для установки нашего стандартного набора приложений
  • настройка локального сервера / «облачного» сервера для докеров / виртуальных машин и т. д., чтобы быстро опробовать варианты
    • Инструмент создания изображений и развертывания PXE — Foreman, FOG и т. д.
    • Гости/пользователи хранят конфигурации и личные данные на LAN NAS (например, NextCloud).
  • создавать образы или периодически создавать эталонные снимки эталонных машин (включая обновления), которые развертываются через PXE

По сути, мне нужно что-то вроде Fedora Silverblue, это неизменяемый/эфемерный рабочий стол, в котором ничего не «прилипает» при перезагрузках, а основа остается неизменной. Подумайте об этом аналогичным образом. В образах Docker изменения «накладываются» друг на друга, либо на ZFS или Git, где изменения создаются как инкрементальные снимки, которые можно корректно зафиксировать или откатить.

Я/мы еще не приняли решение использовать AD - среда еще не была достаточно большой или сложной, чтобы гарантировать это - но я знаю, что краткий ответ - использовать GPO; В конце концов я планирую сжечь этот мост.

Есть ли способ или какое-то другое передовое средство для достижения этой цели? Как я могу создать операционную систему или образ, который будет уничтожен - с нуля - при перезагрузках, до такой степени, что жесткие диски станут взаимозаменяемыми и обновления никогда не будут предлагаться?

Источник

2 ответа

То, что вы ищете, — это киоск .

Для этого у Microsoft есть модуль Unified Write Filter .

Например, тонкие клиенты HP поставляются с установленной функцией и небольшим пользовательским интерфейсом для управления ею.

Источник

Раньше я использовал программу DeepFreeze для блокировки состояния компьютера. Устраняет множество проблем, о которых вы спрашивали, но есть и другие проблемы, которые могут возникнуть. Вы можете отключить с помощью групповой политики параметр, разрешающий использование личных учетных записей, но я считаю, что они должны быть на Win Pro. Если вы не остановились на AD, вы также можете использовать бесплатные учетные записи домена MS O365 для управления пользователями. Вы можете создать тестовый клиент здесь, но учтите, что вам понадобится как минимум 1 учетная запись O365 Business Basic ~7 канадских долларов в месяц. Для создания других пользователей для входа на основе домена необходимо зарегистрировать только одного пользователя.https://signup.microsoft.com/create-account/signup?OfferId=B07A1127-DE83-4a6d-9F85-2C104BDAE8B4&dl=ENTERPRISEPACK&ali=1&products=cfq7ttc0k59j:0009

Источник
Другие вопросы по тегам