(Como el lector podrá adivinar, estoy más familiarizado y cómodo en el mundo Linux/POSIX, así que téngalo en cuenta)
Estoy en el proceso de reconstruir n+20 computadoras portátiles, destinadas a uso semipúblico (MakerSpace: piense en aula o biblioteca) y quiero configurarlas de manera inmutable/efímera.
Quiero que se "enjuaguen" periódicamente, para que todos sean similares/estándar y estén limpios para el uso de las siguientes personas.
Los usuarios/invitados inician sesión constantemente en los escritorios y/o navegadores con sus cuentas personales de Gmail/o365, lo que nos hace a nosotros/mi entorno representar un riesgo de privacidad y seguridad.
El plan de juego se ve así:
- configurar un escritorio de referencia o de línea base (W10) con
- Sistema operativo simplificado, con actualizaciones, parches y ajustes a nivel del sistema aplicados
- cuentas relevantes cargadas: inicios de sesión y navegadores conectados a aplicaciones web relevantes (cookies cargadas), etc.
- usando los me gusta winget, choco/vagrant/ansible/puppet/chef/whatever/etc para instalar nuestro conjunto de aplicaciones estándar
- configurar el servidor local/back-end 'nube' para Docker/VM's/etc. para probar rápidamente las opciones
- Herramienta de implementación e imágenes PXE: Foreman, FOG, etc.
- Los invitados/usuarios almacenan configuraciones y datos personales en LAN NAS (como NextCloud)
- Imagen o creación de instantáneas de referencia periódicas de las máquinas de referencia (incluidas las actualizaciones) que se implementan a través de PXE.
Esencialmente lo que busco es algo parecido aFedora Azul Plata, es un escritorio inmutable/efímero, donde nada se "pega" durante los reinicios y lo subyacente permanece sin cambios. Pensándolo de manera similar, las imágenes de Docker tienen cambios "superpuestos" uno encima del otro o en ZFS o Git, donde los cambios se toman como instantáneas incrementales que se pueden confirmar o revertir con gracia.
Todavía no nos hemos comprometido con AD (el entorno no ha sido lo suficientemente grande o complejo como para justificarlo todavía), pero sé que la respuesta corta es usar GPO; Planeo quemar ese puente eventualmente.
¿Existe alguna manera o algún otro medio de mejores prácticas para lograr este objetivo? ¿Cómo puedo crear un sistema operativo o una imagen que se destruya, desde cero, al reiniciar, hasta el punto en que los discos duros sean intercambiables y nunca se solicite ninguna actualización?
Respuesta1
Lo que buscas es unquioscoestación.
Microsoft tiene laMódulo de filtro de escritura unificadopara eso.
Los clientes ligeros HP, por ejemplo, vienen con esto instalado y una pequeña interfaz de usuario para administrarlo.
Respuesta2
En el pasado, utilicé un programa llamado DeepFreeze para bloquear el estado de la computadora. Soluciona muchos de los problemas que preguntaste, pero pueden surgir otros problemas. Puede deshabilitar a través de la política de grupo la configuración que permite cuentas personales, pero creo que deben estar en win pro. Si no se ha decidido por AD, también puede utilizar las cuentas gratuitas de un dominio MS O365 para administrar usuarios. Puede crear un inquilino de prueba aquí, pero tenga en cuenta que, como mínimo, necesitaría 1 cuenta O365 Business Basic ~$7 CAD por mes. Solo es necesario registrar un usuario para crear otros usuarios para el inicio de sesión basado en el dominio. https://signup.microsoft.com/create-account/signup?OfferId=B07A1127-DE83-4a6d-9F85-2C104BDAE8B4&dl=ENTERPRISEPACK&ali=1&products=cfq7ttc0k59j:0009