Johnurod - що я робив тонкий клієнт з windows 7 (embedded)
Ліричний відступ: "У своєму блозі я постараюся писати тільки практично застосовні речі, але з деякими теоретичними відступами для розуміння суті. Загалом кому не сподобається -" ідітенахуй ", я це всерівно для себе пишу, що б не забути і не нишпорити по всьому інету статті, що б згадати якусь дрібницю. "
Дані маніпуляції я виробляв над тонким клієнтом FoxConn NT410. Замовнику потрібен був WiFi, і ця залізяка задовольняла всім вимогам. У клієнт був вставлений SSD HDD об'ємом на 4 Гб і доданий 1Гб оператіви. В принципі вийшов досить інетесний компьютерчік, який в загальному то був набагато могутніше мого першого комп'ютера;)
Почалося все з того, що я почав установку Windows безпосередньо на клієнта з компакт диска. До речі я попоробовал встановити Windows 7 Professional x32 на клієнта з флешки (заради експіремента), і він послав мене лісом видавши помилку. Розбиратися мені було колись і ліниво, тому я почав ставити Windows Embedded Standard 7 Trial з компакт диска (підключив до клієнта через USB CD / DVD Drive).
Вобщем на етапах установки я вибрав пункт Build Image і тип шаблону Thin Client. Хочу зазначити, що ставив я Руську локаль, але розкладку по-замовчуванню вибрав US (США). (Возвожно саме в зв'язку з тим що я ставив російську локаль, мені не допомогла програма Nircmd. Я намагався приховати з її допомогою панель задач і меню пуск. Хоча програма хороша, все ж вона не змогла повністю приховати меню пуск, кнопка "Пуск" наполегливо не хотіла зникати). Отже, після установки Осі я приступив до відключення всякої непотрібної хренотені, а також всіляких приблуд які можуть вилазити користувачеві з тими чи повідомленнями.
Уточню: всі дії я виконую від користувача User з правами адміністратора, якого згодом я перетворю на звичайного користувача, включивши вбудовану учетку Адміністратор і виконуючи остаточні дії з-під неї. Не турбуйтеся, я все опишу докладно.
Насамперед я поставив все драйвера (всі дрова підійшли від Windows 7 x32 з сайту foxconn) і останні оновлення на машинку з сайту дрібном'який, після чого відключив нафіг автоматичні оновлення Панель керування \ Всі елементи панелі керування \ служби Windows Update \ Налаштування параметрів і на вський випадок ще прибрав галочку Дозволити всім користувачам встановлювати оновлення на цей комп'ютер. Потім в Панель керування \ Всі елементи панелі керування \ Система \ Додаткові параметри системи вкладка Додатково \ кнопка "Завантаження та відновлення" відповідні галки:
Записати подія в системний журнал - прибрати
Виконати авто перезавантаження - поставити
Після цього я пішов в Панель керування \ Всі елементи панелі управління \ Електроживлення і виставив план електроживлення Висока продуктивність і в додаткових настройках налаштував все таким чином, що б комп'ютер ні за яких умов не відключався і не вимикав дисплей, харчування USB і т.п.
У Панель керування \ Всі елементи панелі керування \ Персоналізація відключив до чортової матері заставки і виставив суцільний чорний фон робочого столу (ну подобається він мені, очам найприємніше).
Далі Панель керування \ Всі елементи панелі керування \ Автозапуск я відключив автозапуск нахрен, щоб користувач не зміг виконати будь-які виебонов з автозавантаженням підключаються флешок і т.п. Додатково можна в локальних політиках (gpedit.msc) ще зробити наступне:
політика «Локальний комп'ютер» -> «Конфігурація комп'ютера» -> «Адміністративні шаблони» - «Компоненти Windows» - «Політики автозапуску» і справа пункт "Вимкнути автозапуск». Відкрити властивості цього пункту і поставити Включений. А в менюшке «Відключити автозапуск» вибрати на всіх дисководах.
Далі в локальних політиках Політика «Локальний комп'ютер» -> «Конфігурація користувача» -> «Адміністративні шаблони» - «Система» - «Варіанти дій після натискання CTRL + ALT + DELETE» і там я думаю має сенс включити всі чотири політики: Заборонити зміну пароля. Заборонити блокування комп'ютера. Видалити диспетчер задач. Заборонити завершення сеансу.
До того ж, якщо цей термінал є громадським то я б радив скористатися наступною політикою: «Локальний комп'ютер» -> «Конфігурація користувача» -> «Адміністративні шаблони» - «Компоненти Windows» - «Служби віддалених робочих столів» - «Клієнт підключення до віддаленого робочого столу »включити політику Заборонити збереження паролів.
До всього іншого я повідключали нахрен все занчкі з робочого столу, і створив в Директорії C: \ Users \ User \ Documents - 3 файлик командних сценаріїв:
1. reset.cmd
2. shutdowncomp.cmd
3. rdp.cmd
Плюс в тому ж каталозі я зберіг файлик connection.rdp, в якому прописав підключення до свого віддаленого сервера термінологію, і в його ж параметрах, для більшої реалістичності, прибрав галочку Екран -> Відображати панель підключень при роботі на повному екрані
Нижче наводжу відповідні листинги командних сценаріїв:
reset.cmd - перезавантажує комп
shutdowncomp.cmd - вимикає комп
rdp.cmd - запускає віддалений сеанс connetion.rdp
Тепер починається найцікавіше.
Увага. на даному етапі обов'язково включите вбудовану учетку адміністратора і задайте їй пароль, який потім не забудете.
Виконайте команду control userpasswords2 і зніміть там галочку Вимагати введення імені користувача і пароль. Після натискання кнопки "ОК", в запиті системи Автентифікувати користувача User (логін і пароль) для того що б комп'ютер завжди запускався під його учеткой.
З приводу створених нами cmd сценаріїв. Створіть на робочому столі користувача ярлики на них, дайте їм відповідні імена і застосуєте до них (ярликів) які небудь красиві іконки, цілком підійдуть з набору стандартних.
Починаємо тюнінгувати реєстр користувача. Для цього я створив REG файлик Disable.reg такого змісту:
Зауважте, що в кінці файлу обов'язково повинна бути порожній рядок, це пов'язано з правилами складання REG файлів, які ви можете почитати тут.
Що робить цей рег файл? Та власне наступне:
1. Вимикає win logo key (Кнопку зі значком Windows на клавіатурі), тобто тепер не деюствуют комбінації Win + R (виконати) або Win + E (провідник)
2. Вимкнення контекстного меню правої кнопки миші і ховає диски від A до J
3. Запобігає спробу користувача вийти з запущеного сеансу
4. Прибирає значок стрілочки з ярликів (це просто прикрашення)
В кінці цього файлу також обов'язково повинна бути порожня рядок.
Отже, для чого ж я створив ці REG файли. Ну що ж, зараз стане зрозуміло. Після того як ви виконали всі дії описані до REG файлів у вас повинно вийти наступне:
після запуску користувач бачить абсолютно голий робочий стіл і в нього відсутній панель задач і меню пуск. А на робочому столі красуються 3 ярлика. Але він як і раніше може скористатися комбінацією клавишь Win + R для запуску будь-якої програми, або Win + E для запуску експлорера, наприклад.
Таким чином нам потрібно відключити ці комбінації. Ось тут нам і потрібен наш REG файл Disable.reg. Але врахуйте, що запускати даний рег файл необхідно тільки після того, як ви виконали все вищеописане, так як всі його пункти крім 2-го діють для всього комп'ютера, а не для окремо взятого Користувача.
Нагадаю вам пункти:
1. Вимикає win logo key (Кнопку зі значком Windows на клавіатурі), тобто тепер не деюствуют комбінації Win + R (виконати) або Win + E (провідник)
2. Вимкнення контекстне меню правої кнопки миші і ховає диски від A до J
3. Запобігає спробу користувача вийти з запущеного сеансу
4. Прибирає значок стрілочки з ярликів (це просто прикрашення)
Після запуску файлик Disable.reg під користувачем User нам необхідно буде завантажити під учеткой Адміністратор (яку ви звичайно ж до цього часу вже включили). Для того що б зайти під учеткой адміністратора (пам'ятаєте, адже система завжди вантажиться під учеткой User, а вийти нам не дозволяє настройка реєстру) необхідно під час завантаження комп'ютера тримати затиснутою Shift, поки не з'явиться вікно вибору користувача. Отже, заходите під адміністратором і продовжуєте настройку, так як на рег файлі ми не зупинимося :)
Тепер змініть обліковий запис користувача User таким чином, що б знизити привілеї користувача з адмінських до звичайних користувальницьких.
Ви можете створити завдання в Панель керування \ Всі елементи панелі керування \ Адміністрування \ Планувальник завдань, котое наприклад буде запускати сценарій rdp.cmd від імені користувача User, наприклад, через 10 секунд після того як користувач User зайде під своєю учеткой. Тобто практично відразу після завантаження комп'ютера користувач побачить запрошення ввести свій логін і пароль для підключення до віддаленого робочого місця. Краса :)
Ще я б рекомендував тепер змінити власника папки C: \ Users \ User \ Desktop на Адміністратора комп'ютера, а на файли reset.cmd, shutdowncomp.cmd, rdp.cmd, connection.rdp, ItsShowTimw.exe і ярлики робочого столу за допомогою NTFS Permissions зробіть дозвіл тільки на читання і виконання для користувача User.
Пункт mmc.exe потрібен для того, щоб ви надалі могли знову запустити оснастку gpedit.msc і відключити всі обмеження в разі необхідності донастройки.
А ще для більшої надійності раджу включити наступний пункт локальних політик: політика «Локальний комп'ютер» -> «Конфігурація користувача» -> «Адміністративні шаблони» - «Компоненти Windows» - «Провідник Windows».
І там пункт Заборонити доступ до дисків через "Мій комп'ютер" включите і виставте параметр Обмежити доступ до дисків A, B і C.
Ну ось власне начебто і все. Не зважаючи на всі заборони даний термінал працює з мапінг включених флешок на віддалений робочий стіл, що може виявитися необхідним. А також Ви в будь-який момент можете зайти під адміністратором і внести корективи в налаштування системи наприклад змінити налаштування мережі, або взагалі підключити комп до WiFi-ю / Зрозуміло даний пост не претендує на звання "Повне докладний посібник як залочити комп користувача", це всього лише мій особистий досвід. Кому не подобається - йдіть нахуй. Я писав це взагалі для себе.
Ах так, мало не забув. Не забудьте і ви - поставте пароль на BIOS, що б ніякої розумник не завантажився з флешки або USB сідіроми.