셸 시작 관리자
셸 시작 관리자를 사용하여 거의 모든 애플리케이션 또는 실행 파일을 사용자 지정 셸로 사용하도록 키오스크 디바이스를 구성할 수 있습니다. 지정한 애플리케이션은 사용자가 로그온할 때 일반적으로 실행되는 기본 셸(explorer.exe)을 대체합니다.
사용자 또는 사용자 그룹마다 서로 다른 셸 애플리케이션을 시작하도록 셸 시작 관리자를 구성할 수도 있습니다.
사용자 지정 셸로 사용할 수 있는 애플리케이션 및 실행 파일에는 몇 가지 예외 사항이 있습니다.
- 다음 실행 파일을 사용자 지정 셸
C:\\Windows\\System32\\Eshell.exe
로 사용할 수 없습니다. Eshell.exe를 기본 셸로 사용하면 사용자가 로그인한 후 빈 화면이 나타납니다. - 유니버설 Windows 앱을 사용자 지정 셸로 사용할 수 없습니다.
- 사용자 지정 셸을 사용하여 유니버설 Windows 앱(예: 설정 앱)을 시작할 수 없습니다.
- 다른 프로세스를 시작하고 사용자 지정 셸로 종료하는 애플리케이션을 사용할 수 없습니다. 예를 들어 셸 시작 관리자에서는 write.exe 지정할 수 없습니다. 셸 시작 관리자는 사용자 지정 셸을 시작하고 프로세스를 모니터링하여 사용자 정의 셸이 언제 종료되는지 파악합니다. Write.exe는 32비트 wordpad.exe 프로세스를 만들고 종료합니다. 셸 시작 관리자가 새로 만든 wordpad.exe 프로세스를 인식하지 못하므로 셸 시작 관리자가 Write.exe종료 코드를 기반으로 작업을 수행하고 사용자 지정 셸을 다시 시작합니다.
- 시스템이 종료되는 것을 막을 수는 없습니다. 셸 시작 관리자 V1 및 V2의 경우 그래픽 애플리케이션에서 WM_QUERYENDSESSION 메시지를 수신할 때 FALSE를 반환하거나 콘솔 애플리케이션의 SetConsoleCtrlHandler 함수를 통해 추가된 처리기 루틴에서 FALSE를 반환하여 세션 종료를 차단할 수 없습니다.
참고
동일한 시스템에서는 셸 시작 관리자 및 할당된 액세스를 모두 구성할 수 없습니다.
셸 시작 관리자 V2를 사용하여 유니버설 Windows 앱을 사용자 지정 셸로 지정할 수 있습니다. Shell 시작 관리자 v1과 Shell 시작 관리자 V2 간의 차이점을 알아보려면 셸 시작 관리자를 사용하여 Windows 10 키오스크 만들기를 확인합니다.
셸 시작 관리자는 사용자 지정 셸을 시작하기 전에 Run 및 RunOnce 레지스트리 키를 처리하기 때문에 사용자 지정 셸이 다른 애플리케이션 및 서비스의 자동 시작을 처리할 필요가 없습니다.
또한 셸 시작 관리자는 사용자 지정 셸이 종료될 때 시스템의 동작을 처리합니다. 기본 동작이 요구 사항을 충족하지 않는 경우 셸 종료 동작을 구성할 수 있습니다.
다른 데스크톱 애플리케이션 및 시스템 구성 요소에 대한 액세스를 제어하는 방법은 그룹 정책, AppLocker 및 Mobile장치 관리 같은 셸 시작 관리자를 사용하는 것 외에도 사용할 수 있습니다.
참고
Windows 10 사용할 수 있는 셸 시작 관리자 v1에서는 Windows 데스크톱 애플리케이션을 대체 셸로만 지정할 수 있습니다. Windows 10, 버전 1809 이상에서 사용할 수 있는 셸 시작 관리자 v2에서 UWP 앱을 대체 셸로 지정할 수도 있습니다.
버전 1809에서 셸 시작 관리자 v2를 사용하려면 KB4551853 업데이트를 설치해야 합니다.
Shell Launcher v1과 Shell Launcher v2의 차이점
셸 시작 관리자 v1은 Windows 데스크톱 애플리케이션을 explorer.exe
시작할 수 있는 기본 셸인 를 로 eshell.exe
바꿉니다.
셸 시작 관리자 v2는 으로 customshellhost.exe
바뀝니다explorer.exe
. 이 새 실행 파일은 Windows 데스크톱 애플리케이션 또는 UWP 앱을 시작할 수 있습니다.
셸 시작 관리자 v2는 대체 셸에 UWP 앱을 사용할 수 있는 것 외에도 다음과 같은 향상된 기능을 제공합니다.
- 그런 다음 설정 및 터치 키보드와 같은 UWP 앱을 시작할 수 있는 사용자 지정 Windows 데스크톱 애플리케이션을 사용할 수 있습니다.
- 사용자 지정 UWP 셸에서 보조 보기를 시작하고 여러 모니터에서 실행할 수 있습니다.
- 사용자 지정 셸 앱은 전체 화면에서 실행되며 사용자의 요구에 따라 다른 앱을 전체 화면으로 실행할 수 있습니다. 다양한 앱 조합에 대한 샘플 XML 구성은 셸 시작 관리자 v2에 대한 샘플을 참조하세요.
요구 사항
Windows 10 Enterprise 또는 Windows 10 Education.
용어
- 켜기, 사용하도록 설정: 디바이스에서 설정을 사용할 수 있도록 하고 선택적으로 디바이스에 설정을 적용합니다.
- 구성: 설정 또는 하위 설정을 사용자 지정합니다.
- 포함된 셸 시작 관리자: 이 기능은 Windows 10 버전 1511에서 포함된 셸 시작 관리자라고 합니다.
- 사용자 지정 셸 시작 관리자: 이 기능을 Windows 10 버전 1607 이상에서 셸 시작 관리자라고 합니다.
셸 시작 관리자 켜기
셸 시작 관리자는 선택적 구성 요소이며 Windows 10 기본적으로 켜져 있지 않습니다. 구성하기 전에 켜야 합니다. Microsoft Windows가 설치되지 않은 경우 사용자 지정된 Windows 10 이미지(.wim)에서 셸 시작 관리자를 켜고 구성할 수 있습니다. Windows가 이미 설치된 경우 셸 시작 관리자를 구성하기 위해 프로비저닝 패키지를 적용하기 전에 셸 시작 관리자를 켜야 합니다.
제어판을 사용하여 셸 시작 관리자 사용
- 웹 및 Windows 검색 필드에 프로그램 및 기능을 입력하고Enter 키를 누르거나 프로그램 및 기능을 탭하거나 선택하여 엽니다.
- 프로그램 및 기능 창에서 Windows 기능 켜기 또는 끄기를 선택합니다.
- Windows 기능 창에서 디바이스 잠금 노드를 확장하고 셸 시작 관리자에 대한 확인란을 선택하거나 선택 취소한 다음 확인을 선택합니다.
- Windows 기능 창은 Windows가 필수 파일을 검색하고 있음을 나타내며 진행률 표시줄을 표시합니다. 발견되면 창에 Windows가 변경 내용을 적용하고 있는 것이 나타납니다. 완료되면 창에 요청된 변경이 완료되었다는 것이 나타납니다.
- 닫기를 선택하여 Windows 기능 창을 닫습니다.
참고
셸 시작 관리자를 켜면 디바이스를 다시 시작할 필요가 없습니다.
WESL_UserSetting을 호출하여 셸 시작 관리자를 사용하도록 설정
- WMI(Windows Management Instrumentation) 클래스 WESL_UserSetting의 WESL_UserSetting.SetEnabled 함수를 호출하여 셸 시작 관리자를 사용하거나 사용하지 않도록 설정합니다.
- WESL_UserSetting 사용하여 Shell Launcher를 사용하거나 사용하지 않도록 설정하는 경우 변경 내용은 현재 로그인된 세션에 영향을 주지 않습니다. 로그아웃하고 다시 로그인해야 합니다.
이 예제에서는 install.wim이라는 Windows 이미지를 사용하지만 프로비저닝 패키지를 적용하는 데도 동일한 절차를 사용할 수 있습니다(DISM에 대한 자세한 내용은 배포 이미지 서비스 및 관리를 참조하세요.)
DISM을 사용하여 셸 시작 관리자를 사용하도록 설정
관리자 권한으로 명령 프롬프트를 엽니다.
install.wim을 하드 드라이브의 임시 폴더에 복사합니다(다음 단계에서는 C:\wim이라고 가정).
새 디렉터리를 만듭니다.
md c:\wim
이미지를 탑재합니다.
dism /mount-wim /wimfile:c:\bootmedia\sources\install.wim /index:1 /MountDir:c:\wim
기능을 활성화합니다.
dism /image:c:\wim /enable-feature /all /featureName:Client-EmbeddedShellLauncher
변경 내용을 커밋합니다.
dism /unmount-wim /MountDir:c:\wim /Commit
Windows 구성 디자이너를 사용하여 셸 시작 관리자를 사용하도록 설정
셸 시작 관리자 설정은 Windows 프로비저닝 설정으로도 사용할 수 있으므로 이미지 런타임 중에 적용되도록 이러한 설정을 구성할 수 있습니다. Windows 구성 디자이너를 사용하여 프로비저닝 패키지를 만든 다음 이미지 배포 시간 또는 런타임 중에 프로비저닝 패키지를 적용하여 하나 또는 모든 키보드 필터 설정을 지정할 수 있습니다. Windows가 설치되지 않았고 Windows 구성 Designer 사용하여 이미지에 포함된 Shell Launcher에 대한 설정을 사용하여 설치 미디어를 만들거나 설치 중에 프로비저닝 패키지를 적용하는 경우 프로비저닝 패키지가 성공적으로 적용되도록 DISM을 사용하여 설치 미디어에서 셸 시작 관리자를 사용하도록 설정해야 합니다.
다음 단계를 사용하여 ShellLauncher 설정을 포함하는 프로비저닝 패키지를 만듭니다.
- Windows 10용 프로비저닝 패키지 만들기의 지침에 따라 Windows 구성 디자이너에서 프로비저닝 패키지를 빌드합니다.
- 사용 가능한 사용자 지정 페이지에서 런타임 설정>SMISettings>ShellLauncher를 선택합니다.
- Enable의 값을 ENABLE로 설정합니다. 셸 시작 관리자를 구성하는 추가 옵션이 나타나고 원하는 대로 값을 설정할 수 있습니다.
- 설정 구성 및 프로비저닝 패키지 빌드를 완료하면 패키지를 이미지 배포 시간 또는 런타임에 적용할 수 있습니다. 자세한 내용은 프로비저닝 패키지 적용을 참조하세요. Windows 10 Enterprise 이미지에 패키지를 적용하는 프로세스는 동일합니다.
셸 시작 관리자 구성
셸 시작 관리자를 구성하는 방법에는 두 가지가 있습니다.
- Windows 10 버전 1803에서는 CSP(할당된 액세스 구성 서비스 공급자)의 ShellLauncher 노드를 사용하여 셸 시작 관리자를 구성할 수 있습니다. 자세한 내용은 AssignedAccess CSP를 참조하세요. 이 메서드를 사용하여 셸 시작 관리자를 구성하면 디바이스에서 셸 시작 관리자가 자동으로 활성화됩니다(디바이스에서 지원하는 경우).
- PowerShell 스크립트 또는 애플리케이션에서 직접 셸 시작 관리자 WMI 공급자를 사용합니다.
키보드 필터에 대해 다음 옵션을 구성할 수 있습니다.
- 셸 시작 관리자를 사용하거나 사용하지 않도록 설정합니다.
- 특정 사용자 또는 그룹에 대한 셸 구성을 지정합니다.
- 특정 사용자 또는 그룹에 대한 셸 구성을 제거합니다.
- 기본 셸 구성을 변경합니다.
- 특정 사용자 또는 그룹의 셸 구성에 대한 정보를 가져옵니다.
변경 내용은 사용자가 로그인할 때까지 적용되지 않습니다.
다른 사용자 계정에 대해 다른 셸 시작
기본적으로 셸 시작 관리자는 디자인 시 OS 이미지를 만들 때 지정된 기본 셸을 실행합니다. 기본 셸은 Cmd.exe 설정되지만 모든 실행 파일을 기본 셸로 지정할 수 있습니다.
기본 셸을 실행하지 않으려는 경우 특정 사용자 또는 그룹에 대해 다른 셸을 시작하도록 셸 시작 관리자를 구성할 수 있습니다. 예를 들어 게스트 계정에 대한 사용자 지정 애플리케이션 셸을 실행하도록 디바이스를 구성할 수 있지만 디바이스를 서비스하기 위해 관리자 계정에 대한 표준 Windows Explorer 셸을 실행할 수 있습니다.
WMI 공급자를 사용하여 런타임에 사용자 또는 그룹에 대한 셸 시작 관리자를 구성하는 경우 해당 사용자 또는 그룹에 대해 SID(보안 식별자)를 사용해야 합니다. 사용자 이름 또는 그룹 이름을 사용할 수 없습니다.
일반적인 보안 식별자에 대한 자세한 내용은 잘 알려진 SID를 참조하세요.
현재 로그인한 계정이 각 그룹에 대해 서로 다른 구성이 정의된 둘 이상의 그룹에 속하는 경우 셸 시작 관리자는 첫 번째로 찾는 구성을 사용합니다. 검색 순서가 정의되지 않았으므로 셸 시작 관리자 구성이 다른 여러 그룹에 사용자를 할당하지 않는 것이 좋습니다.
셸이 종료되면 작업 수행
사용자 지정 셸이 종료되면 셸 시작 관리자는 다음 네 가지 작업 중 하나를 수행할 수 있습니다.
작업 | Description |
---|---|
0 | 셸을 다시 시작합니다. |
1 | 디바이스를 다시 시작합니다. |
2 | 디바이스를 종료합니다. |
3 | 아무 작업도 하지 않습니다. |
중요
반환 코드 동작이 아무 작업도 수행하지 않는 한, 셸 애플리케이션이 자동으로 종료되지 않고 대화 상자 필터와 같은 기능에 의해 자동으로 닫혀 있지 않은지 확인합니다. 이 경우 반환 코드 동작이 아무 작업도 수행하지 않는 한, 종료 및 다시 시작이 무한 반복될 수 있습니다.
기본 반환 코드 작업
DefaultReturnCodeAction 설정을 사용하여 셸 시작 관리자에 대한 기본 반환 코드 동작을 정의할 수 있습니다. 초기 값을 변경하지 않으면 기본 반환 코드 동작이 0으로 설정됩니다. 이는 셸이 종료되면 셸 시작 관리자가 셸을 다시 시작한다는 것을 나타냅니다.
셸 시작 관리자 작업에 종료 코드 매핑
셸 시작 관리자는 셸에서 반환된 종료 코드를 기반으로 특정 작업을 수행할 수 있습니다. 셸에서 반환된 지정된 종료 코드의 경우 종료 코드를 셸 종료 작업 중 하나에 매핑하여 셸 시작 관리자가 수행하는 작업을 구성할 수 있습니다.
종료 코드가 정의된 값과 일치하지 않으면 Shell 시작 관리자가 기본 반환 코드 작업을 수행합니다.
예를 들어 셸이 종료되는 방식에 따라 셸이 -1, 0, 1 또는 255의 종료 코드 값을 반환할 수 있습니다. 다음과 같이 셸 시작 관리자를 구성할 수 있습니다.
- 셸이 -1 값의 종료 코드를 반환할 때 디바이스를 다시 시작합니다(1).
- 셸이 0 값의 종료 코드를 반환할 때 셸을 다시 시작합니다(0).
- 셸에서 값 1의 종료 코드를 반환할 때 아무 작업도 수행하지 않습니다(3).
- 셸이 255 값의 종료 코드를 반환할 때 디바이스를 종료합니다(2).
사용자 지정 반환 코드 작업 매핑은 다음과 같습니다.
종료 코드 | 작업 |
---|---|
-1 | 1(디바이스 다시 시작) |
0 | 0(셸 다시 시작) |
1 | 3(아무것도 하지 않음) |
255 | 2(디바이스 종료) |
사용자 지정 셸 설정
다음 PowerShell 스크립트를 적절히 수정하고 키오스크 디바이스에서 스크립트를 실행합니다.
# Check if shell launcher license is enabled
function Check-ShellLauncherLicenseEnabled
{
[string]$source = @"
using System;
using System.Runtime.InteropServices;
static class CheckShellLauncherLicense
{
const int S_OK = 0;
public static bool IsShellLauncherLicenseEnabled()
{
int enabled = 0;
if (NativeMethods.SLGetWindowsInformationDWORD("EmbeddedFeature-ShellLauncher-Enabled", out enabled) != S_OK) {
enabled = 0;
}
return (enabled != 0);
}
static class NativeMethods
{
[DllImport("Slc.dll")]
internal static extern int SLGetWindowsInformationDWORD([MarshalAs(UnmanagedType.LPWStr)]string valueName, out int value);
}
}
"@
$type = Add-Type -TypeDefinition $source -PassThru
return $type[0]::IsShellLauncherLicenseEnabled()
}
[bool]$result = $false
$result = Check-ShellLauncherLicenseEnabled
"`nShell Launcher license enabled is set to " + $result
if (-not($result))
{
"`nThis device doesn't have required license to use Shell Launcher"
exit
}
$COMPUTER = "localhost"
$NAMESPACE = "root\standardcimv2\embedded"
# Create a handle to the class instance so we can call the static methods.
try {
$ShellLauncherClass = [wmiclass]"\\$COMPUTER\${NAMESPACE}:WESL_UserSetting"
} catch [Exception] {
write-host $_.Exception.Message;
write-host "Make sure Shell Launcher feature is enabled"
exit
}
# This well-known security identifier (SID) corresponds to the BUILTIN\Administrators group.
$Admins_SID = "S-1-5-32-544"
# Create a function to retrieve the SID for a user account on a machine.
function Get-UsernameSID($AccountName) {
$NTUserObject = New-Object System.Security.Principal.NTAccount($AccountName)
$NTUserSID = $NTUserObject.Translate([System.Security.Principal.SecurityIdentifier])
return $NTUserSID.Value
}
# Get the SID for a user account named "Cashier". Rename "Cashier" to an existing account on your system to test this script.
$Cashier_SID = Get-UsernameSID("Cashier")
# Define actions to take when the shell program exits.
$restart_shell = 0
$restart_device = 1
$shutdown_device = 2
$do_nothing = 3
# Examples. You can change these examples to use the program that you want to use as the shell.
# This example sets the command prompt as the default shell, and restarts the device if the command prompt is closed.
$ShellLauncherClass.SetDefaultShell("cmd.exe", $restart_device)
# Display the default shell to verify that it was added correctly.
$DefaultShellObject = $ShellLauncherClass.GetDefaultShell()
"`nDefault Shell is set to " + $DefaultShellObject.Shell + " and the default action is set to " + $DefaultShellObject.defaultaction
# Set Internet Explorer as the shell for "Cashier", and restart the machine if Internet Explorer is closed.
$ShellLauncherClass.SetCustomShell($Cashier_SID, "c:\program files\internet explorer\iexplore.exe www.microsoft.com", ($null), ($null), $restart_shell)
# Set Explorer as the shell for administrators.
$ShellLauncherClass.SetCustomShell($Admins_SID, "explorer.exe")
# View all the custom shells defined.
"`nCurrent settings for custom shells:"
Get-WmiObject -namespace $NAMESPACE -computer $COMPUTER -class WESL_UserSetting | Select Sid, Shell, DefaultAction
# Enable Shell Launcher
$ShellLauncherClass.SetEnabled($TRUE)
$IsShellLauncherEnabled = $ShellLauncherClass.IsEnabled()
"`nEnabled is set to " + $IsShellLauncherEnabled.Enabled
# Remove the new custom shells.
$ShellLauncherClass.RemoveCustomShell($Admins_SID)
$ShellLauncherClass.RemoveCustomShell($Cashier_SID)
# Disable Shell Launcher
$ShellLauncherClass.SetEnabled($FALSE)
$IsShellLauncherEnabled = $ShellLauncherClass.IsEnabled()
"`nEnabled is set to " + $IsShellLauncherEnabled.Enabled
참고
이전 스크립트에는 사용자 지정 셸을 제거하고 셸 시작 관리자를 사용하지 않도록 설정하는 등 여러 구성 옵션의 예가 포함되어 있습니다. 있는 그대로 실행하기 위한 것이 아닙니다.
셸 시작 관리자 사용자 권한
로그인한 계정과 같은 수준의 사용자 권한으로 사용자 지정 셸이 시작됩니다. 즉, 관리자 권한이 있는 사용자는 관리자 권한이 없는 사용자는 관리자 권한으로 다른 애플리케이션을 시작하는 것을 포함하여 관리자 권한이 필요한 시스템 작업을 수행할 수 있습니다.
경고
셸 애플리케이션에 관리자 권한으로의 권한 상승이 필요하고 UAC(사용자 계정 컨트롤)가 디바이스에 존재하는 경우, 셸 시작 관리자가 셸 애플리케이션을 시작할 수 있도록 UAC를 비활성화해야 합니다.