分配的访问权限建议
本文包含有关配置了分配访问权限和 Shell 启动器的设备的建议。 大多数建议包括组策略 (GPO) 和配置服务提供程序 (CSP) 设置,以帮助你配置展台设备。
展台用户帐户
对于位于面向公众的环境中的展台设备,请将具有最低特权的用户帐户配置为展台帐户,例如本地标准用户帐户。 使用 Active Directory 用户或 Microsoft Entra 用户可能允许攻击者访问任何域帐户可访问的域资源。 使用具有已分配访问权限的域帐户时,请谨慎继续操作。 请考虑使用域帐户可能公开的域资源。
自动登录
请考虑为展台设备启用 自动登录 。 当设备重新启动时,由于更新或停电,你可以将设备配置为使用“分配的访问权限”帐户自动登录。 确保应用于设备的策略设置不会阻止自动登录按预期工作。 例如, 策略设置 PreferredAadTenantDomainName 会阻止自动登录正常工作。
可以使用帐户配置分配的访问权限和 Shell 启动器 XML 文件,以便自动登录。 有关详细信息,请查看以下文章:
或者,可以编辑注册表以让帐户自动登录:
路径 | 名称 | 类型 | 值 |
---|---|---|---|
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
AutoAdminLogon |
REG_DWORD | 1 |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultUserName |
字符串 | 将值设置为要登录的帐户。 |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultPassword |
字符串 | 将值设置为帐户的密码。 |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultDomainName |
字符串 | 为域设置值,仅适用于域帐户。 对于本地帐户,请勿添加此密钥。 |
配置自动登录后,重启设备。 帐户将自动登录。
注意
如果使用已启用的自定义登录HideAutoLogonUI
,则用户帐户密码过期时可能会遇到黑屏。 请考虑 将密码设置为永不过期。
Windows 更新
配置展台设备,使其始终处于最新状态,而不会中断用户体验。 下面是为展台设备配置 Windows 更新时要考虑的一些策略设置:
类型 | 路径 | 名称/说明 |
---|---|---|
CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
ActiveHoursEnd |
表示活动小时数结束的整数值。 例如, 22 表示晚上 10 点 |
CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
ActiveHoursStart |
表示活动时段开始的整数值。 例如, 7 表示 7AM |
CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
AllowAutoUpdate |
整数值。 设置为 3 - 自动下载并计划安装 |
CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
ScheduledInstallTime |
整数值。 指定设备安装更新的时间。 例如, 23 表示晚上 11 点 |
CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
UpdateNotificationLevel |
整数值。 设置为 2 :关闭所有通知,包括重启警告 |
GPO | 计算机配置\管理模板\Windows 组件\Windows 更新\管理最终用户体验 | 更新通知的 > 显示选项 将值设置为 2 - 关闭所有通知,包括重启警告 |
GPO | 计算机配置\管理模板\Windows 组件\Windows 更新\管理最终用户体验\配置自动更新 | 4 - 自动下载并计划安装> 指定超出活动时段的安装时间 |
GPO | 计算机配置\管理模板\Windows 组件\Windows 更新\管理最终用户体验\在活动时段关闭自动重启更新 | 配置开始和结束活动时间,在此期间,展台设备因 Windows 更新而无法重启 |
电源设置
你可能想要阻止展台设备进入睡眠状态,或者阻止用户关闭或重启展台。 下面是一些需要考虑的选项:
类型 | 路径 | 名称/说明 |
---|---|---|
CSP |
./Device/Vendor/MSFT/Policy/Config/ADMX_StartMenu/
HidePowerOptions |
字符串。 设置为 <Enabled/> |
CSP | ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/ Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn |
整数值。 设置为 0 |
CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
DisplayOffTimeoutPluggedIn |
字符串。 设置为 <Enabled/><Data ID="EnterVideoACPowerDownTimeOut" value="0"/> |
CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
SelectPowerButtonActionPluggedIn |
整数。 设置为 0 |
CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
SelectSleepButtonActionPluggedIn |
整数。 设置为 0 |
CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
StandbyTimeoutPluggedIn |
字符串。 设置为 <Enabled/><Data ID="EnterACStandbyTimeOut" value="0"/> |
GPO | 计算机配置\管理模板\“开始”菜单和任务栏\删除并阻止访问“关机”、“重启”、“睡眠”和“休眠”命令 | Enable |
GPO | 计算机配置\管理模板\System\电源管理\按钮设置\选择电源按钮操作 | 选择操作: 不执行任何操作 |
GPO | 计算机配置\管理模板\System\电源管理\按钮设置\选择睡眠按钮操作 | 选择操作: 不执行任何操作 |
GPO | 计算机配置\管理模板\系统\电源管理\指定系统睡眠超时 | 将值设置为 0 秒。 |
GPO | 计算机配置\管理模板\System\电源管理\视频和显示设置\关闭显示器 | 将值设置为 0 秒。 |
GPO | 计算机配置\Windows 设置\安全设置\本地策略\安全选项\关闭:允许系统关闭而无需登录 | 禁用 |
GPO | 计算机配置\Windows 设置\安全设置\本地策略\用户权限分配\关闭系统 | 从此策略中删除用户或组。 若要防止此策略影响 Administrators 组的成员,请务必保留 Administrators 组。 |
注意
还可以使用名为 “自定义登录”的功能从安全选项屏幕禁用电源按钮。 有关删除电源按钮或禁用物理电源按钮的详细信息,请参阅 自定义登录。
键盘快捷方式
对于配置了受限用户体验的任何用户帐户,不会阻止以下键盘快捷方式:
- Alt + F4
- Alt + 标签
- Alt + 转变 + 标签
- Ctrl + Alt + 删除
可以使用 键盘筛选器 来阻止组合键。 键盘筛选器设置适用于其他标准帐户。
辅助功能快捷方式
分配的访问权限不会更改辅助功能设置。 使用 键盘筛选器 阻止以下打开辅助功能的组合键:
组合键 | 阻止的行为 |
---|---|
左 Alt + 左移 + 打印屏幕 | 打开“高对比度”对话框 |
左 Alt + 左移 + Num Lock | “打开鼠标键”对话框 |
赢 + U | 打开“设置”应用辅助功能面板 |
注意
如果键盘筛选器已打开,则某些组合键将自动被阻止,而无需显式阻止它们。 有关详细信息,请参阅 键盘筛选器。
还可以使用 自定义登录在锁屏界面上禁用辅助功能和其他选项。 例如,若要删除辅助功能选项,请使用以下注册表项:
路径 | 名称 | 类型 | 值 |
---|---|---|---|
HKLM\Software\Microsoft\Windows Embedded\EmbeddedLogon\BrandingNeutral |
BrandingNeutral |
REG_DWORD | 8 |
Microsoft Edge 快捷方式
若要禁用某些 Microsoft Edge 默认快捷方式,可以使用 ConfigureKeyboardShortcuts 策略。
为展台体验选择应用
若要使用分配的访问权限创建展台体验,可以选择 UWP 应用或Microsoft Edge。 但是,当用作展台时,某些应用程序可能无法提供良好的用户体验。
以下指南可帮助你为展台体验选择合适的 Windows 应用:
- 必须先为“分配的访问权限”帐户预配或安装 Windows 应用,然后才能将其选为“分配的访问权限”应用。 了解如何预配和安装应用
- UWP 应用更新有时可以更改应用) 的 AUMID (应用程序用户模型 ID。 在这种情况下,必须更新分配的访问权限设置才能执行更新的应用,因为分配的访问权限使用 AUMID 来确定要启动的应用
- 应用必须能够在锁屏界面上方运行。 如果应用无法在锁屏界面上运行,则它不能用作展台应用
- 某些应用可以启动其他应用。 在展台模式下分配的访问权限会阻止 Windows 应用启动其他应用。 避免选择旨在启动其他应用作为其核心功能的一部分的 Windows 应用
- Microsoft Edge 包括对展台模式的支持。 若要了解详细信息,请参阅 Microsoft Edge 展台模式
- 不要选择可能公开你不希望在展台中显示的信息的 Windows 应用,因为展台通常意味着匿名访问,并在公共设置中定位。 例如,具有文件选取器的应用允许用户访问用户系统上的文件和文件夹,如果应用提供不必要的数据访问,则避免选择这些类型的应用
- 某些应用可能需要更多配置才能在分配的访问权限中正确使用它们。 例如,Microsoft OneNote 要求在 OneNote 打开之前为分配的访问权限用户帐户设置Microsoft帐户
- 展台配置文件专为面向公众的展台设备而设计。 使用本地非管理员帐户。 如果设备已连接到组织网络,则使用域或Microsoft Entra 帐户可能会泄露机密信息
计划部署展台或受限用户体验时,请考虑以下建议:
- 评估用户应使用的所有应用程序。 如果应用程序需要用户身份验证,请不要使用本地或通用用户帐户。 而是面向“分配的访问权限”配置文件中的用户组
- 多应用展台适用于多人共享的设备。 配置多应用展台时,某些策略设置会影响设备上的所有非管理员用户。 有关这些策略的列表,请参阅 分配的访问权限策略设置
开发网亭应用
分配的访问权限使用 Lock 框架。 当分配的访问权限用户登录时,所选展台应用将在锁屏界面上方启动。 展台应用作为 上面的锁 屏应用运行。 若要了解详细信息,请参阅 开发用于分配访问权限的展台应用的最佳做法指南。
停止错误和恢复选项
发生停止错误时,Windows 将显示一个蓝屏,其中包含停止错误代码。 对于 OS 错误,可以将标准屏幕替换为空白屏幕。 有关详细信息,请参阅 配置系统故障和恢复选项。
锁屏界面通知
请考虑从锁屏界面中删除通知,以防止用户在设备锁定时看到通知。 下面是一些需要考虑的选项:
类型 | 路径 | 名称/说明 |
---|---|---|
CSP |
./Device/Vendor/MSFT/Policy/Config/AboveLock/
AllowToasts |
整数。 设置为 0 |
GPO | 计算机配置\管理模板\System\Logon\关闭锁屏界面上的应用通知 | Enabled |
故障排除和日志
测试分配的访问权限时,启用日志记录来帮助解决问题可能很有用。 日志有助于确定配置和运行时问题。 可以启用以下日志: 应用程序和服务日志>Microsoft>Windows>AssignedAccess>Operational。
以下注册表项包含“分配的访问权限”配置:
HKLM\Software\Microsoft\Windows\AssignedAccessConfiguration
HKLM\Software\Microsoft\Windows\AssignedAccessCsp
以下注册表项包含具有分配访问权限策略的每个用户的配置:
HKCU\SOFTWARE\Microsoft\Windows\AssignedAccessConfiguration
有关排查展台问题的详细信息,请参阅 排查展台模式问题。
后续步骤
了解如何创建 XML 文件来配置分配的访问权限: