Kioskimikro
Windows pohjainen kioskimikro on hyvin helppo toteuttaa Windows SteadyState 2.5 tuotteella. Tässä wikissä käsitellään vaiheet jolla luodaan pääosin group policyillä kioskimikro. Tärkeimmät tavoitteet oli luoda mikro jolla voi selaimella käyttää vain tiettyä sivustoa ja kaikkien muitten toimintojen pitää olla estetty. Ylläpidon näkökulmasta itse työasemaan tehtävät toimenpiteet pitää minimoida. Näin vähenee työ esimerkiksi uusien kioskimikrojen käyttöönotossa ja asetusten hallinta on keskitetty, eikä näin vaadi konekohtaista virittelyä.
Active directoryyn tehtävät muutokset
1. Luo AD:hen uusi OU ja tuohon OU:hun käyttäjä.
2. Lataa SteadyState 2.5 ja asenna se mihin tahansa koneeseen. Hae kansiosta <Program Files>\Windows SteadyState\ADM tiedosto nimeltään SCTSettings.adm.
3. Tee luomaasi OU:hun GPO ja lisää SCTSettings.adm kohtaan user configuration -> administrative templates.
4. Muokkaa asetuksesi haluamaksesi. Ideana on kohdentaa säännöt luomaasi käyttäjään. Tee siis säännöt user configurationiin.
Esimerkki asetuksista:
kioski.pdf
Nyt voit käyttää kioskimikro tilaa millä tahansa domainisi koneella kirjautumalla luomallasi käyttäjätunnuksella.
Työaseman asetukset
Kioskimikron pitää toimia niin että kioski tila aukeaa automaattisesti käynnistyksessä. Tämä ratkeaa asettamalla luotu käyttäjätunnus kirjautumaan automaattisesti työasemaan. Domainiin liitetyissä koneissa tämä onnistuu rekisteriä muokkaamalla. Ongelmaksi muotoutuu tällöin että salasanan joutuu tallentamaan selkokielisenä rekisteriin. Tämä ongelma ratkeaa ja muutenkin koko operaatio helpottuu Sysinternalssin Autologon for Windows työkalulla.
Mene osoitteeseen http://technet.microsoft.com/en-us/sysinternals/bb963905.aspx lataa paketti tai klikkaa "run autologon"
Hyväksy lisenssiehdot.
Syötä haluttu käyttäjä, domain ja salasana.
Kuittaa OK:lla ilmoitus. Jatkossa kone kirjautuu automaattisesti määritellyllä tunnuksella. Jos haluat poistaa autologinin käynnistä autologon uudestaan ja valitse disable.
Lopuksi hienosäätönä disabloidaan windows näppäimet. Kopioi seuraava koodi notepadiin ja tallenna se .reg päätteisenä.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
"Scancode Map"=hex:00,00,00,00,00,00,00,00,03,00,00,00,00,00,5B,E0,00,00,5C,E0,00,00,00,00
Tuplaklikkaamalla luotua .reg tiedostoa windows näppäimet lakkaavat toimimasta.
Mallikone on valmis. Ota siitä image ja käytä imagea kioskimikrojen asennukseen.
Muokkausta
Hetken käytössä olon jälkeen selvisi että selainpohjainen tietojärjestelmä jota mikroissa käytetään ei osannut tyhjentää käyttäjien tietoja. Eli käyttäjät näkivät mitä aiemmat käyttäjät olivat tehneet. Järjestelmä vaatii selaimen sammuttamisen jotta tiedot häviäisivät.
Ratkaisuksi tein automaattisen 5 minuutin käyttämättömyyden jälkeen tapahtuvan logoff > logon toiminnon. Tällöinhän myös selain luonnollisesti sammuu, joten ongelma ratkeaa. Toteutuksessa tärkeintä oli että virityksen sai hoidettua AD:n kautta kun muutenkin kaikki säädöt tulevat AD:sta niin turha keksiä paikallisesti tehtäviä virityksiä.
Ensimmäisenä luo pari vbs scriptiä jotka ajetaan koneen käynnistyksessä.
Ensimmäinen scripti määrittää käyttäjän, domainin ja ottaa pakotetun kirjautumisen käyttöön (jos käyttäjä kirjautuu ulos kirjautuu hän automaattisesti takaisin). Huom! Scripti tekee aiemmin käytetyn autologonin turhaksi.
Set ws = WScript.CreateObject("WScript.Shell")
registrykey = "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"
user = "Käyttäjän tunnus"
password = "käyttäjän salasana"
domain = "Käytettävä domaini"
ws.RegWrite registrykey & "DefaultUserName", user
ws.RegWrite registrykey & "DefaultPassword", password
ws.RegWrite registrykey & "DefaultDomainName", domain
ws.RegWrite registrykey & "AutoAdminLogon", 1
ws.RegWrite registrykey & "DontDisplayLastUserName", 0
ws.RegWrite registrykey & "ForceAutologon", 1
Uloskirjautumiseen käytetään winexit nimistä näytönsäästäjää (näytönsäästäjä uloskirjaa käyttäjän). Jotta näytönsäästäjä toimii user oikeuksilla pitää rekisteri haaraan HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\control.ini antaa käyttäjille kirjoitus oikeus. Seuraava vbs hoitaa tämän ongelman.
' Create temp file with the script that regini.exe will use
'
set oFSO = CreateObject("Scripting.FileSystemObject")
strFileName = oFSO.GetTempName
set oFile = oFSO.CreateTextFile(strFileName)
oFile.WriteLine "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\control.ini [1 5 7 11 17]"
oFile.Close
' Change registry permissions with regini.exe
'
set oShell = CreateObject("WScript.Shell")
oShell.Run "regini " & strFileName, 8, true
' Delete temp file
'
oFSO.DeleteFile strFileName
Numerosarja [1 5 7 11 17] määrittää käyttöoikeudet. Jos haluat muokata niitä. Lue allaolevat selitykset:
1 - Administrators Full Access
2 - Administrators Read Access
3 - Administrators Read and Write Access
4 - Administrators Read, Write and Delete Access
5 - Creator Full Access
6 - Creator Read and Write Access
7 - World Full Access
8 - World Read Access
9 - World Read and Write Access
10 - World Read, Write and Delete Access
11 - Power Users Full Access
12 - Power Users Read and Write Access
13 - Power Users Read, Write and Delete Access
14 - System Operators Full Access
15 - System Operators Read and Write Access
16 - System Operators Read, Write and Delete Access
17 - System Full Access
18 - System Read and Write Access
19 - System Read Access
20 - Administrators Read, Write and Execute Access
21 - Interactive User Full Access
22 - Interactive User Read and Write Access
23 - Interactive User Read, Write and Delete Access
Tallenna vbs scriptit sopivaan levyjakoon. Lisäksi lataa Windows Server 2003 Resource Kit Tools ja kopioi sieltä löytyvä winexit.scr vaikka samaan paikkaan.
Luo cmd joka ajaa kummatkin vbs:t ja kopioi winexit.scr tiedoston c:\windows\system32 kansioon. Aseta luotu cmd computer configurationiin startup scriptiksi (tästä eteenpäin myös työaseman pitää sijaita kioskimikrojen OU:ssa).
Sitten pitää winexitin ja windowsin näytönsäästäjän asetuksia muuttaa. Winexitin asetusten muokkaamiseen löytyi adm templeitti.
HUOM! COUNTDOWN_TIMEOUT kohdassa oleva VALUEON "10" kohta pitää muokata halutuksi ennen templaten lisäystä ad:hen. Numero arvo määrittelee sekunteina kuinka kauan koneen ruudulla näytetään varoitus uloskirjautumisesta. Tallenna tiedosto adm päätteisenä ja lisää se user configuration -> administrative templates haaraan.
;; Remember in GPMC to go View->Filtering
;; and uncheck "Only show policy settings that can be fully managed"
;;
;; David Carlin (djc6@case.edu) 2/25/2005
;;
;; WINEXIT.SCR is located in the Windows Server 2003 Resource Kit
CLASS USER
CATEGORY !!Screen_Saver_Policy
POLICY !!TERMINATE_APPS
KEYNAME "Control Panel\Screen Saver.Logoff"
VALUENAME ForceLogoff
VALUEON "1" VALUEOFF "0"
END POLICY
POLICY !!COUNTDOWN_TIMEOUT
KEYNAME "Control Panel\Screen Saver.Logoff"
VALUENAME CountDownTimer
VALUEON "10"
END POLICY
POLICY !!ENTER_DIALOG_MESSAGE
KEYNAME "Control Panel\Screen Saver.Logoff"
PART !!ENTER_DIALOG_MESSAGE
EDITTEXT
DEFAULT !!DEFAULT_MESSAGE
VALUENAME DialogMessage
END PART
END POLICY
END CATEGORY
[strings]
Screen_Saver_Policy="Winexit.scr Policy settings"
TERMINATE_APPS="Terminate running applications"
COUNTDOWN_TIMEOUT="Enable 5 minute warning logoff notice"
ENTER_DIALOG_MESSAGE="Warning message about being logged off"
DEFAULT_MESSAGE="You are about to be logged out. Press the cancel button to stop this process."
Jotta pystyt muokkaamaan policyjä pitää GPMC työkalulla tehdä administrative templates haaraalle View->Filtering -> täppä pois "Only show policy settings that can be fully managed" kohdasta.
Määrittele asetukset allaolevalla tavalla.
Seuraavaksi määrittele winexit oletus näytönsäästäjäksi ja odotus aika koska näytönsäästäjä käynnistyy (asetukset siis user configuration haaraan).
Kaikki toimi tässä vaiheessa mainiosti kunnes tajusin että IE:n kioski moodi ottaa näytönsäästäjän pois käytöstä. No eikun muokkaamaan asetuksia (kioski moodi oli lähinnä ulkonäkö asia niin sen pois kytkeminen ei toiminnan kannalta ollut mitenkään haitallinen).
Poista -k komento niin ie aukeaa normaalisti.
Parannusta aiempaan sen verran että päätteeseen pitää nyt vain asentaa winxp, sen jälkeen liittää kone domainiin ja konetili siirtää oikeaan OU:hun. Eli uusien päätteiden käyttöönotto on entistä helpompaa.
