(Wie der Leser vielleicht erraten hat, bin ich in der Linux/POSIX-Welt vertrauter und fühle mich dort wohler, also bedenken Sie das bitte.)
Ich bin dabei, über 20 Laptops für den halböffentlichen Gebrauch (MakerSpace: denken Sie an ein Klassenzimmer oder eine Bibliothek) umzubauen und möchte sie unveränderlich/flüchtig einrichten.
Ich möchte, dass sie regelmäßig „gespült“ werden, damit sie alle ähnlich/standardmäßig und sauber für die Verwendung durch die nächsten Personen sind.
Benutzer/Gäste melden sich ständig mit ihren persönlichen Gmail-/O365-Konten bei den Desktops und/oder Browsern an, was für uns/meine Umgebung ein Datenschutz- und Sicherheitsrisiko darstellt.
Der Spielplan sieht wie folgt aus:
- Richten Sie einen Basis- oder Referenz-Desktop (W10) ein mit
- abgespecktes Betriebssystem mit Updates, Patches und Optimierungen auf Systemebene
- relevante Konten geladen – Anmeldungen und Browser bei relevanten Web-Apps angemeldet (Cookies geladen) usw.
- Verwenden Sie Winget, Choco/Vagrant/Ansible/Puppet/Chef/Whatever/usw., um unseren Standard-App-Satz zu installieren.
- Einrichten eines lokalen Servers/„Cloud“-Backends für Docker/VMs/usw., um Optionen schnell auszuprobieren
- PXE-Imaging- und Bereitstellungstool – Foreman, FOG usw.
- Gäste/Benutzer speichern Konfigurationen und persönliche Daten auf LAN NAS (ala NextCloud)
- Image oder Erstellung von regelmäßigen Referenz-Snapshots von Referenz-Maschinen (inkl. Updates), die über PXE bereitgestellt werden
Im Wesentlichen bin ich auf der Suche nach etwas Ähnlichem wieFedora Silberblau, das ist ein unveränderlicher/flüchtiger Desktop, bei dem nichts nach Neustarts „hängen bleibt“ und das Unterliegende unverändert bleibt. Ähnlich kann man es sich vorstellen: Docker-Images haben Änderungen „übereinander geschichtet“ oder ein ZFS oder Git, wo Änderungen als inkrementelle Snapshots erstellt werden, die problemlos festgeschrieben oder zurückgesetzt werden können.
Ich/wir haben uns noch nicht auf AD festgelegt – die Umgebung war noch nicht groß oder komplex genug, um dies zu rechtfertigen –, aber ich weiß, dass die kurze Antwort die Verwendung von GPO ist; ich habe vor, diese Brücken irgendwann abzubrechen.
Gibt es eine Möglichkeit oder ein anderes bewährtes Mittel, mit dem ich dieses Ziel erreichen kann? Wie kann ich ein Betriebssystem oder Image erstellen, das bei Neustarts von Grund auf zerstört wird, bis zu dem Punkt, an dem die Festplatten austauschbar sind und nie wieder ein Update angefordert wird?
Antwort1
Was Sie suchen, ist einKioskBahnhof.
Microsoft hat dieEinheitliches Schreibfiltermoduldafür.
Auf HP-Thin-Clients ist dies beispielsweise bereits vorinstalliert und verfügt über eine kleine Benutzeroberfläche zur Verwaltung.
Antwort2
In der Vergangenheit habe ich ein Programm namens DeepFreeze verwendet, um den Zustand des Computers zu sperren. Es behebt viele der Probleme, nach denen Sie gefragt haben, aber es können auch andere Probleme auftreten. Sie können über die Gruppenrichtlinie die Einstellung deaktivieren, die persönliche Konten zulässt, aber ich glaube, diese müssen unter Win Pro vorhanden sein. Wenn Sie sich nicht für AD entschieden haben, können Sie auch die kostenlosen Konten einer MS O365-Domäne verwenden, um Benutzer zu verwalten. Sie können hier einen Testmandanten erstellen, aber beachten Sie, dass Sie mindestens 1 O365 Business Basic-Konto (ca. 7 CAD pro Monat) benötigen. Es muss nur ein Benutzer registriert sein, um andere Benutzer für die domänenbasierte Anmeldung zu erstellen. https://signup.microsoft.com/create-account/signup?OfferId=B07A1127-DE83-4a6d-9F85-2C104BDAE8B4&dl=ENTERPRISEPACK&ali=1&products=cfq7ttc0k59j:0009