(Как читатель может догадаться, я более знаком и чувствую себя более комфортно в мире Linux/POSIX, так что, пожалуйста, имейте это в виду)
Я занимаюсь переделкой n+20 ноутбуков, предназначенных для полупубличного использования (MakerSpace: классная комната или библиотека), и хочу настроить их таким образом, чтобы они были неизменяемыми/эфемерными.
Я хочу, чтобы их периодически «промывали», чтобы они все были одинаковыми/стандартными и чистыми для использования следующими людьми.
Пользователи/гости постоянно входят в рабочие столы и/или браузеры, используя свои личные учетные записи gmail/o365, что представляет для нас/моего окружения риск для конфиденциальности и безопасности.
План игры выглядит так:
- настроить базовый или эталонный (W10) рабочий стол с
- урезанная ОС с обновлениями, исправлениями и системными настройками
- загружены соответствующие учетные записи - авторизации и браузеры, вошедшие в соответствующие веб-приложения (загружены файлы cookie) и т. д.
- используя winget, choco/vagrant/ansible/puppet/chef/whatever/etc для установки нашего стандартного набора приложений
- настройка локального сервера/«облачного» бэкэнда для docker/виртуальных машин и т. д. для быстрой проверки вариантов
- Инструмент создания и развертывания изображений PXE — Forman, FOG и т. д.
- Гости/пользователи хранят конфигурации и личные данные на LAN NAS (как NextCloud)
- образ или создание периодического справочного снимка эталонных машин (включая обновления), которые загружаются через PXE
По сути, я ищу что-то похожее наFedora Silverblue, это неизменяемый/эфемерный рабочий стол, где ничего не «прилипает» к перезагрузкам, а базовое остается неизменным. Если подумать, то в образах Docker изменения «накладываются» друг на друга или в ZFS или Git, где изменения берутся как инкрементные снимки, которые можно изящно зафиксировать или откатить.
Я/мы пока не перешли на AD — среда пока не настолько велика и сложна, чтобы это оправдать, — но я знаю, что краткий ответ — использовать GPO; в конечном итоге я планирую сжечь этот мост.
Есть ли способ или другие передовые методы для достижения этой цели? Как мне создать ОС или образ, который будет уничтожен - с нуля - при перезагрузках, до точки, когда жесткие диски будут взаимозаменяемыми и обновления никогда не будут запрашиваться?
решение1
То, что вы ищете, этокиоскстанция.
У Microsoft естьМодуль унифицированного фильтра записидля этого.
Например, тонкие клиенты HP поставляются с установленным ПО и небольшим пользовательским интерфейсом для управления им.
решение2
Раньше я использовал программу DeepFreeze для блокировки состояния компьютера. Она решает множество проблем, о которых вы спрашивали, но могут возникнуть и другие проблемы. Вы можете отключить через групповую политику настройку, которая разрешает личные учетные записи, но я считаю, что они должны быть в Win Pro. Если вы не остановились на AD, вы также можете использовать бесплатные учетные записи домена MS O365 для управления пользователями. Вы можете создать тестовый тенант здесь, но учтите, что вам понадобится как минимум 1 учетная запись O365 Business Basic ~$7 CAD в месяц. Для создания других пользователей для входа на основе домена необходимо зарегистрировать только одного пользователя. https://signup.microsoft.com/create-account/signup?OfferId=B07A1127-DE83-4a6d-9F85-2C104BDAE8B4&dl=ENTERPRISEPACK&ali=1&products=cfq7ttc0k59j:0009