КАТАЛОГ ТОВАРОВ

Срок доставки товара в течении 1-3 дней !!!

 

ПОЛЬЗОВАТЕЛЬ
КОРЗИНА

Настройка общего ПК или ПК для гостей с Windows 10. Параметры windows 10


Параметры профиля VPN (Windows 10)

  • 05/17/2018
  • Время чтения: 4 мин
  • Соавторы

В этой статье

Относится к:

  • Windows 10
  • Windows10 Mobile

Большую часть параметров VPN в Windows 10 можно настроить в профилях VPN с помощью Microsoft Intune или System Center Configuration Manager. Все параметры VPN в Windows 10 можно настроить с помощью узла ProfileXML в разделе Поставщик служб конфигурации (CSP) VPNv2.

В следующей таблице параметры VPN и указано, можно ли его настроить в Intune и Configuration Manager или только с помощью ProfileXML.

Параметр профиля Можно настроить в Intune и Configuration Manager
Тип подключения да
Маршрутизации: маршруты с разделением тоннеля да, кроме маршрутов исключения
Маршрутизация: принудительное туннелирование да
Проверка подлинности (EAP) да, если тип подключения встроенный
Условный доступ да
Параметры прокси-сервера да, по файлу или серверу PAC/WPAD и порту
Разрешение имен: NRPT да
Разрешение имен: DNS-суффикс нет
Разрешение имен: постоянное нет
Автоматический триггер: триггер приложений да
Автоматический триггер: триггер на основе имен да
Автоматический триггер: режим "Всегда включен" да
Автоматический триггер: обнаружение доверенной сети нет
Блокировка нет
Windows Information Protection (WIP) да
Фильтры трафика да

Узел ProfileXML был добавлен в VPNv2 CSP, чтобы пользователи могли развернуть VPN-профиль как один большой двоичный объект. Это особенно полезно для развертывания профилей с функциями, которые еще не поддерживаются MDM. Дополнительные примеры см. в разделе ProfileXML XSD.

Пример собственного VPN-профиля

Ниже приведен пример собственного VPN-профиля. Этот большой двоичный объект относится к узлу ProfileXML.

<VPNProfile> <ProfileName>TestVpnProfile</ProfileName> <NativeProfile> <Servers>testServer.VPN.com</Servers> <NativeProtocolType>IKEv2</NativeProtocolType> <!--Sample EAP profile (PEAP)--> <Authentication> <UserMethod>Eap</UserMethod> <MachineMethod>Eap</MachineMethod> <Eap> <Configuration> <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"> <EapMethod> <Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type> <VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId> <VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType> <AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId> </EapMethod> <Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"> <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"> <Type>25</Type> <EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"> <ServerValidation> <DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation> <ServerNames></ServerNames> <TrustedRootCA>d2 d3 8e ba 60 ca a1 c1 20 55 a2 e1 c8 3b 15 ad 45 01 10 c2 </TrustedRootCA> <TrustedRootCA>d1 76 97 cc 20 6e d2 6e 1a 51 f5 bb 96 e9 35 6d 6d 61 0b 74 </TrustedRootCA> </ServerValidation> <FastReconnect>true</FastReconnect> <InnerEapOptional>false</InnerEapOptional> <Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"> <Type>13</Type> <EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"> <CredentialsSource> <CertificateStore> <SimpleCertSelection>true</SimpleCertSelection> </CertificateStore> </CredentialsSource> <ServerValidation> <DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation> <ServerNames></ServerNames> <TrustedRootCA>d2 d3 8e ba 60 ca a1 c1 20 55 a2 e1 c8 3b 15 ad 45 01 10 c2 </TrustedRootCA> <TrustedRootCA>d1 76 97 cc 20 6e d2 6e 1a 51 f5 bb 96 e9 35 6d 6d 61 0b 74 </TrustedRootCA> </ServerValidation> <DifferentUsername>false</DifferentUsername> <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation> <AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName> <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"> <FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"> <EKUMapping> <EKUMap> <EKUName>AAD Conditional Access</EKUName> <EKUOID>1.3.6.1.4.1.311.87</EKUOID> </EKUMap> </EKUMapping> <ClientAuthEKUList Enabled="true"> <EKUMapInList> <EKUName>AAD Conditional Access</EKUName> </EKUMapInList> </ClientAuthEKUList> </FilteringInfo> </TLSExtensions> </EapType> </Eap> <EnableQuarantineChecks>false</EnableQuarantineChecks> <RequireCryptoBinding>true</RequireCryptoBinding> <PeapExtensions> <PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation> <AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">false</AcceptServerName> </PeapExtensions> </EapType> </Eap> </Config> </EapHostConfig> </Configuration> </Eap> </Authentication> <!--Sample routing policy: in this case, this is a split tunnel configuration with two routes configured--> <RoutingPolicyType>SplitTunnel</RoutingPolicyType> <DisableClassBasedDefaultRoute>true</DisableClassBasedDefaultRoute> </NativeProfile> <Route> <Address>192.168.0.0</Address> <PrefixSize>24</PrefixSize> </Route> <Route> <Address>10.10.0.0</Address> <PrefixSize>16</PrefixSize> </Route> <!--VPN will be triggered for the two apps specified here--> <AppTrigger> <App> <Id>Microsoft.MicrosoftEdge_8wekyb3d8bbwe</Id> </App> </AppTrigger> <AppTrigger> <App> <Id>C:\windows\system32\ping.exe</Id> </App> </AppTrigger> <!--Example of per-app VPN. This configures traffic filtering rules for two apps. Internet Explorer is configured for force tunnel, meaning that all traffic allowed through this app must go over VPN. Microsoft Edge is configured as split tunnel, so whether data goes over VPN or the physical interface is dictated by the routing configuration.--> <TrafficFilter> <App> <Id>%ProgramFiles%\Internet Explorer\iexplore.exe</Id> </App> <Protocol>6</Protocol> <LocalPortRanges>10,20-50,100-200</LocalPortRanges> <RemotePortRanges>20-50,100-200,300</RemotePortRanges> <RemoteAddressRanges>30.30.0.0/16,10.10.10.10-20.20.20.20</RemoteAddressRanges> <RoutingPolicyType>ForceTunnel</RoutingPolicyType> </TrafficFilter> <TrafficFilter> <App> <Id>Microsoft.MicrosoftEdge_8wekyb3d8bbwe</Id> </App> <LocalAddressRanges>3.3.3.3/32,1.1.1.1-2.2.2.2</LocalAddressRanges> </TrafficFilter> <!--Name resolution configuration. The AutoTrigger node configures name-based triggering. In this profile, the domain "hrsite.corporate.contoso.com" triggers VPN.--> <DomainNameInformation> <DomainName>hrsite.corporate.contoso.com</DomainName> <DnsServers>1.2.3.4,5.6.7.8</DnsServers> <WebProxyServers>5.5.5.5</WebProxyServers> <AutoTrigger>true</AutoTrigger> </DomainNameInformation> <DomainNameInformation> <DomainName>.corp.contoso.com</DomainName> <DnsServers>10.10.10.10,20.20.20.20</DnsServers> <WebProxyServers>100.100.100.100</WebProxyServers> </DomainNameInformation> <!--EDPMode is turned on for the enterprise ID "corp.contoso.com". When a user accesses an app with that ID, VPN will be triggered.--> <EdpModeId>corp.contoso.com</EdpModeId> <RememberCredentials>true</RememberCredentials> <!--Always On is turned off, and triggering VPN for the apps and domain name specified earlier in the profile will not occur if the user is connected to the trusted network "contoso.com".--> <AlwaysOn>false</AlwaysOn> <DnsSuffix>corp.contoso.com</DnsSuffix> <TrustedNetworkDetection>contoso.com</TrustedNetworkDetection> <Proxy> <Manual> <Server>HelloServer</Server> </Manual> <AutoConfigUrl>Helloworld.Com</AutoConfigUrl> </Proxy> <!--Device compliance is enabled and an alternate certificate is specified for domain resource authentication.--> <DeviceCompliance> <Enabled>true</Enabled> <Sso> <Enabled>true</Enabled> <Eku>This is my Eku</Eku> <IssuerHash>This is my issuer hash</IssuerHash> </Sso> </DeviceCompliance> </VPNProfile>

Пример VPN-профиля подключаемого модуля

Ниже приведен пример VPN-профиля подключаемого модуля. Этот большой двоичный объект относится к узлу ProfileXML.

<VPNProfile> <ProfileName>TestVpnProfile</ProfileName> <PluginProfile> <ServerUrlList>testserver1.contoso.com;testserver2.contoso..com</ServerUrlList> <PluginPackageFamilyName>JuniperNetworks.JunosPulseVpn_cw5n1h3txyewy</PluginPackageFamilyName> <CustomConfiguration>&lt;pulse-schema&gt;&lt;isSingleSignOnCredential&gt;true&lt;/isSingleSignOnCredential&gt;&lt;/pulse-schema&gt;</CustomConfiguration> </PluginProfile> <Route> <Address>192.168.0.0</Address> <PrefixSize>24</PrefixSize> </Route> <Route> <Address>10.10.0.0</Address> <PrefixSize>16</PrefixSize> </Route> <AppTrigger> <App> <Id>Microsoft.MicrosoftEdge_8wekyb3d8bbwe</Id> </App> </AppTrigger> <AppTrigger> <App> <Id>%ProgramFiles%\Internet Explorer\iexplore.exe</Id> </App> </AppTrigger> <TrafficFilter> <App> <Id>%ProgramFiles%\Internet Explorer\iexplore.exe</Id> </App> <Protocol>6</Protocol> <LocalPortRanges>10,20-50,100-200</LocalPortRanges> <RemotePortRanges>20-50,100-200,300</RemotePortRanges> <RemoteAddressRanges>30.30.0.0/16,10.10.10.10-20.20.20.20</RemoteAddressRanges> <!--<RoutingPolicyType>ForceTunnel</RoutingPolicyType>--> </TrafficFilter> <TrafficFilter> <App> <Id>Microsoft.MicrosoftEdge_8wekyb3d8bbwe</Id> </App> <LocalAddressRanges>3.3.3.3/32,1.1.1.1-2.2.2.2</LocalAddressRanges> </TrafficFilter> <TrafficFilter> <App> <Id>Microsoft.MicrosoftEdge_8wekyb3d8bbwe</Id> </App> <Claims>O:SYG:SYD:(A;;CC;;;AU)</Claims> <!--<RoutingPolicyType>SplitTunnel</RoutingPolicyType>--> </TrafficFilter> <DomainNameInformation> <DomainName>corp.contoso.com</DomainName> <DnsServers>1.2.3.4,5.6.7.8</DnsServers> <WebProxyServers>5.5.5.5</WebProxyServers> <AutoTrigger>false</AutoTrigger> </DomainNameInformation> <DomainNameInformation> <DomainName>corp.contoso.com</DomainName> <DnsServers>10.10.10.10,20.20.20.20</DnsServers> <WebProxyServers>100.100.100.100</WebProxyServers> </DomainNameInformation> <!--<EdpModeId>corp.contoso.com</EdpModeId>--> <RememberCredentials>true</RememberCredentials> <AlwaysOn>false</AlwaysOn> <DnsSuffix>corp.contoso.com</DnsSuffix> <TrustedNetworkDetection>contoso.com,test.corp.contoso.com</TrustedNetworkDetection> <Proxy> <Manual> <Server>HelloServer</Server> </Manual> <AutoConfigUrl>Helloworld.Com</AutoConfigUrl> </Proxy> </VPNProfile>

Применение ProfileXML с помощью Intune

После настройки нужных параметров с помощью ProfileXML их можно применить, используя Intune и политику Настраиваемая конфигурация (Windows 10 Desktop и Mobile, а также более поздние версии).

  1. Войдите в портал Azure.
  2. Последовательно выберите пункты Intune > Конфигурация устройств > Свойства.
  3. Нажмите кнопку Создать профиль.
  4. Введите имя и (при необходимости) описание.
  5. Выберите 10 и более поздних версий Windows в качестве платформы.
  6. Выберите Настраиваемый тип профиля и нажмите кнопку Добавить.
  7. Введите имя и (при необходимости) описание.
  8. Введите OMA URI ./user/vendor/MSFT/ /ProfileXML_имя профиля через VPN_.
  9. Значение типа данных String (XML-файл).
  10. Отправка файла XML профилей.
  11. Нажмите ОК.
  12. Нажмите кнопку ОК, затем Создать.
  13. Назначьте профиль.

Подробнее

Связанные статьи

docs.microsoft.com

Настройка общего ПК или ПК для гостей с Windows 10 (Windows 10)

  • 07/27/2017
  • Время чтения: 16 мин
  • Соавторы

В этой статье

Относится к

В Windows 10 версии 1607 представлен режим общего компьютера, в котором Windows 10 оптимизирована для сценариев совместного использования, например на временных рабочих местах на предприятии или для предоставления во временное пользование клиенту организации розничной торговли. Режим общего ПК может быть применен к Windows 10 Pro, Windows 10 Pro для образовательных учреждений, Windows 10 для образовательных учреждений и Windows 10 Корпоративная.

Примечание

Если вас интересует использование Windows 10 на общих ПК в образовательном учреждении, см. страницу Использование приложения для настройки учебных компьютеров, где описываются простой способ настройки компьютеров с режимом общего ПК, а также дополнительные параметры, специфичные для образовательных учреждений.

Суть режима общего ПК

Компьютер с Windows 10 в режиме общего ПК не требует управления и обслуживания и отличается высокой надежностью. В режиме общего ПК одновременно вход может выполнить только один пользователь. Если компьютер заблокирован, текущий пользователь в любой момент может выйти из учетной записи на экране блокировки.

Модели учетных записей

Предполагается, что общие компьютеры присоединяются к домену Active Directory или Azure Active Directory пользователем, обладающим правами для присоединения к домену, в рамках процесса установки. Таким образом, любой пользователь из каталога может выполнить вход на компьютере. Если используется Azure Active Directory Premium, вы можете настроить вход с правами администратора для любого пользователя домена. Кроме того, в режиме общего компьютера можно активировать на экране входа в систему вариант Гость. В этом случае не требуются ни учетные данные пользователя, ни проверка подлинности, а при каждом использовании создается новая локальная учетная запись. В Windows 10 версии 1703 появилась учетная запись режима терминала. Вы можете настроить режим общего компьютера, чтобы включить команду Терминал на экране входа. Для ее использования не требуются ни учетные данные, ни проверка подлинности, При этом каждый раз создается новая локальная учетная запись для запуска указанного приложения в режиме назначенного доступа (терминала).

Управление учетными записями

Если в режиме общего компьютера включена служба управления учетными записями, учетные записи будут автоматически удаляться. Удаляются учетные записи Active Directory, Azure Active Directory и локальные учетные записи, созданные с помощью команд Гость и Терминал. Управление учетными записями осуществляется при выходе из системы (чтобы обеспечить достаточное свободное пространство на диске для следующего пользователя), а также в период обслуживания системы. Режим общего компьютера можно настроить так, чтобы учетные записи удалялись сразу при выходе из системы или когда на диске недостаточно свободного места. В Windows 10 версии 1703 добавлен неактивный параметр, который удаляет учетные записи, если они не входили в систему в течение указанного количества дней.

Обслуживание и спящий режим

Режим общего ПК можно настроить так, чтобы использовать периоды обслуживания, которое проводится, пока компьютер не используется. Таким образом, настоятельно рекомендуется использовать спящий режим, из которого компьютер может выйти для выполнения обслуживания, удаления учетных записей и запуска Центра обновления Windows. Рекомендуемые параметры можно задать, выбрав Настройка политик электропитания в списке настроек режима общего ПК. Кроме того, на устройствах без сигналов пробуждения ACPI в режиме общего ПК всегда переопределяются сигналы пробуждения часов реального времени (RTC), чтобы разрешить выход компьютера из спящего режима (по умолчанию сигналы пробуждения RTC отключены). Это обеспечивает использование периодов обслуживания максимальным спектром оборудования.

Несмотря на то, что режим общего ПК не предусматривает непосредственную настройку Центра обновления Windows, настоятельно рекомендуется настроить его для автоматической установки обновлений и, при необходимости, перезагрузки в часы обслуживания. В этом случае операционная система на компьютере всегда будет в актуальном состоянии, и пользователям не потребуется прерывать работу для установки обновлений.

Настроить Центр обновления Windows можно одним из следующих способов:

  • Групповая политика: в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Настройка автоматического обновления выберите значение 4 и установите флажок Установить во время автоматического обслуживания.
  • MDM: в Обновление/AllowAutoUpdate установите значение 4.
  • Подготовка: в конструкторе образов и конфигураций Windows (ICD) в меню Политики/Обновление/AllowAutoUpdate установите значение 4.

Подробнее о параметрах AllowAutoUpdate

Поведение приложений

Приложения могут использовать режим общего компьютера с помощью следующих трех API:

  • IsEnabled. Сообщает приложениям, что компьютер настроен для совместного использования. Например, приложение может скачивать содержимое на устройство в режиме общего компьютера только по требованию или пропускать первый запуск.
  • ShouldAvoidLocalStorage. Сообщает приложениям, что пользователям запрещено сохранять файлы в локальном хранилище компьютера. Вместо этого приложение должно предлагать только облачные расположения или сохранять файлы автоматически.
  • IsEducationEnvironment. Сообщает приложениям, что компьютер используется в среде образовательного учреждения. Приложения могут обрабатывать диагностические данные по-разному или скрывать функции рекламы.

Настройка

Режим общего ПК предоставляет набор настроек для адаптации поведения к имеющимся требованиям. Эти настройки представляют собой параметры, которые можно задать с помощью MDM или пакета подготовки, как описано в статье Настройка режима общего ПК в Windows. Соответствующие параметры представлены в следующей таблице.

Параметр Значение
EnableSharedPCMode Задайте значение True. Если значение True не задано, режим общего компьютера не включается и никакие другие параметры не применяются. Этот параметр управляет API IsEnabled Некоторые из остальных параметров SharedPC являются необязательными, но мы настоятельно рекомендуем также задать для параметра EnableAccountManager значение True.
AccountManagement: AccountModel Этот параметр определяет, сколько пользователей может выполнять вход в компьютер. Если выбрать подключение к домену, вход может выполнить любой пользователь домена. Если указать параметр гостя, на экране входа также появится вариант Гость, предоставляющий возможность анонимного гостевого входа на компьютере. - Только гость — любой пользователь может работать на компьютере через локальную стандартную учетную запись (без прав администратора).- Только с подключением к домену — вход возможен только с учетной записью Active Directory или Azure AD.- Подключение к домену и гость — пользователи могут выполнять вход с использованием учетной записи Active Directory, Azure AD или локальной стандартной учетной записи.
AccountManagement: DeletionPolicy - Удалить немедленно — учетная запись удаляется при входе из системы. - Удалить при достижении порогового значения дискового пространства — удаление учетных записей начнется, когда объем доступного дискового пространства станет меньше порогового значения, заданного с помощью параметра DiskLevelDeletion, и завершится, когда этот объем достигнет значения, заданного с помощью параметра DiskLevelCaching. В первую очередь удаляются учетные записи, которые не использовались дольше всего.

Пример: уровень кэширования — 50, уровень удаления — 25. Учетные записи будут помещаться в кэш, если объем свободного места на диске будет превышать 25%. Если в период обслуживания это значение будет составлять менее 25% (уровень удаления), учетные записи удаляются (первыми будут удалены учетные записи, которые не использовались дольше всего). Удаление продолжится до тех пор, пока объем свободного дискового пространства не превысит 50% (уровень кэширования). Учетные записи немедленно удаляются при выходе из системы, если объем свободного места на диске ниже уровня удаления, то есть очень низкий, вне зависимости от того, насколько активно используется компьютер. - Удалить при достижении пороговых значений дискового пространства и неактивности — применяются указанные выше проверки дискового пространства, но также удаляются учетные записи, вход в которые не выполнялся в течение определенного количества дней, указанного с помощью параметра InactiveThreshold.

AccountManagement: DiskLevelCaching При выборе для параметра DeletionPolicy значения Удалить при достижении порогового значения дискового пространства необходимо задать процент от общего дискового пространства в качестве порога для кэширования учетных записей.
AccountManagement: DiskLevelDeletion При выборе для параметра DeletionPolicy значения Удалить при достижении порогового значения дискового пространства необходимо задать процент от общего дискового пространства в качестве порога для удаления учетных записей.
AccountManagement: InactiveThreshold Если для параметра DeletionPolicy задано значение Удалить при достижении пороговых значений дискового пространства и неактивности, укажите количество дней, в течение которого нужно не входить в учетную запись, чтобы она была удалена.
AccountManagement: EnableAccountManager Для активации автоматического управления учетными записями установите значение True. В противном случае автоматическое управление учетными записями не будет выполняться.
AccountManagement: KioskModeAUMID Укажите идентификатор модели пользователя приложения (AUMID), чтобы разрешить использование учетной записи терминала на экране входа. Будет создана новая учетная запись, использующая назначенный доступ только для запуска приложения, указанного по AUMID. Обратите внимание, что приложение должно быть установлено на компьютере. Укажите имя учетной записи с помощью параметра KioskModeUserTileDisplayText. В противном случае будет использоваться имя по умолчанию. Узнайте, как определить идентификатор модели пользователя установленного приложения
AccountManagement: KioskModeUserTileDisplayText Задает отображаемый текст для учетной записи терминала, если задан параметр KioskModeAUMID.
Customization: MaintenanceStartTime По умолчанию в качестве начального времени периода обслуживания (т. е. периода выполнения задач автоматического обслуживания, например запуска Центра обновления Windows) задана полночь. Начальное время периода обслуживания можно изменить, указав новое время в минутах после полуночи. Например, если требуется начать обслуживание в 2:00, необходимо задать значение 120.
Customization: MaxPageFileSizeMB Задает максимальный размер файла подкачки (в МБ). С помощью этого параметра можно настраивать поведение файла подкачки, особенно на устаревших компьютерах.
Customization: RestrictLocalStorage Задайте значение True, чтобы запретить пользователям сохранять и просматривать локальное хранилище с помощью проводника. Этот параметр управляет API ShouldAvoidLocalStorage
Customization: SetEduPolicies Задайте значение True на компьютерах, которые будут использоваться в образовательном учреждении. Дополнительные сведения: Рекомендации по настройке Windows 10 для образовательных учреждений. Этот параметр управляет API IsEducationEnvironment
Customization: SetPowerPolicies При выборе значения True:- Пользователи не могут изменять параметры питания.- Режим гибернации отключается.- Все переходы состояния питания меняются на переход в спящий режим (например, закрытие крышки).
Настройки: SignInOnResume Этот параметр определяет, требуется ли пользователю при выходе компьютера из спящего режима выполнять вход с помощью пароля.
Настройки: SleepTimeout Этот параметр определяет время ожидания для периода нахождения компьютера в спящем режиме. Укажите время бездействия в секундах. Если время ожидания для спящего режима не задано, для этого параметра по умолчанию задается значение в 1 час.

Настройка режима общего ПК в Windows

Windows можно настроить для работы в режиме общего ПК несколькими способами:

  • Пакет подготовки, созданный с помощью конструктора конфигураций Windows: пакет подготовки можно применить при первоначальной настройке ПК (также называется первым включением компьютера или OOBE) или к уже используемому ПК с Windows 10. Пакет подготовки создается в конструкторе конфигураций Windows. Режим общего компьютера активируется поставщиком служб конфигурации (CSP) SharedPC. В конструкторе конфигураций Windows он отображается как SharedPC.

  • Мост WMI: в средах, где используется групповая политика, можно использовать поставщика MDM Bridge WMI, чтобы настроить класс MDM_SharedPC. Например, откройте PowerShell от имени администратора и введите следующее:
$sharedPC = Get-CimInstance -Namespace "root\cimv2\mdm\dmmap" -ClassName "MDM_SharedPC" $sharedPC.EnableSharedPCMode = $True $sharedPC.SetEduPolicies = $True $sharedPC.SetPowerPolicies = $True $sharedPC.MaintenanceStartTime = 0 $sharedPC.SignInOnResume = $True $sharedPC.SleepTimeout = 0 $sharedPC.EnableAccountManager = $True $sharedPC.AccountModel = 2 $sharedPC.DeletionPolicy = 1 $sharedPC.DiskLevelDeletion = 25 $sharedPC.DiskLevelCaching = 50 $sharedPC.RestrictLocalStorage = $False $sharedPC.KioskModeAUMID = "" $sharedPC.KioskModeUserTileDisplayText = "" $sharedPC.InactiveThreshold = 0 Set-CimInstance -CimInstance $sharedPC Get-CimInstance -Namespace $namespaceName -ClassName $MDM_SharedPCClass

Создание пакета подготовки для совместного использования

  1. Установка конструктора конфигураций Windows

  2. Откройте конструктор конфигураций Windows.

  3. На начальной страницевыберите Расширенная подготовка.
  4. Введите имя и (при необходимости) описание проекта, а затем нажмите кнопку Далее.
  5. Выберите Все выпуски Windows для настольных ПК и нажмите кнопку Далее.
  6. Нажмите кнопку Готово. Проект откроется в конструкторе конфигураций Windows.
  7. Выберите Параметры среды выполнения > SharedPC. Выберите нужные параметры для режима общего ПК.
  8. В меню Файл выберите команду Сохранить.
  9. В меню Экспорт выберите пункт Пакет подготовки.
  10. Измените значение параметра Владелец на ИТ-администратор. Это позволит установить для данного пакета подготовки более высокий приоритет, чем приоритет пакетов подготовки из других источников, примененных к данному устройству. Нажмите Далее.
  11. Задайте значение параметра Версия пакета.

    Совет

    Можно внести изменения в существующие пакеты и изменить номер версии для обновления ранее примененных пакетов.

  12. (Необязательно) В окне Безопасность пакета подготовки можно включить шифрование и подписывание пакета.

    • Включить шифрование пакета— при выборе этого пункта на экране отобразится автоматически созданный пароль.
    • Включить подписывание пакета — при выборе этого пункта необходимо выбрать действительный сертификат, который будет использоваться для подписывания пакета. Вы можете указать сертификат, щелкнув Выбрать... , а затем выбрав сертификат, который будет использоваться для подписывания пакета.

      Важно!

      Рекомендуется включить в пакет доверенный сертификат подготовки. Когда пакет применяется к устройству, сертификат добавляется в хранилище системы и впоследствии любой пакет, подписанный с использованием этого сертификата, будет применен автоматически.

  13. Нажмите кнопку Далее, чтобы указать конечное расположение, в которое нужно поместить пакет подготовки после сборки. По умолчанию конструктор конфигураций Windows использует в качестве расположения выходных данных папку проекта. Вы также можете нажать Обзор, чтобы изменить расположение выходных данных по умолчанию.

  14. Нажмите кнопку Далее.
  15. Щелкните Выполнить сборку , чтобы начать сборку пакета. Сведения о проекте отображаются на странице сборки, а индикатор выполнения указывает состояние сборки. Чтобы отменить построение, нажмите кнопку Отмена. Текущий процесс построения будет отменен, мастер закроется и вы вернетесь в раздел Страница настроек.
  16. В случае сбоя построения отобразится сообщение об ошибке со ссылкой на папку проекта. Вы можете просмотреть журналы, чтобы определить, что вызвало ошибку. После устранения проблемы попробуйте выполнить построение пакета еще раз. В случае успешного построения отобразятся пакет подготовки, выходной каталог и каталог проекта.
    • При желании вы можете выполнить построение пакета подготовки снова и выбрать другой путь для выходного пакета. Для этого щелкните Назад , чтобы изменить имя и путь выходного пакета, и нажмите кнопку Далее , чтобы начать другое построение.
    • Если вы закончили, нажмите кнопку Готово , чтобы закрыть мастер и вернуться в раздел Страница настроек.
  17. Выберите ссылку Размещение вывода , чтобы перейти в расположение пакета. Этот PPKG-файл можно предоставить другим пользователям одним из следующих способов:

    • Через общую сетевую папку

    • Через сайт SharePoint

    • Съемный носитель (USB/SD-карта) (выберите этот вариант, чтобы применить к компьютеру во время начальной настройки)

Применение пакета подготовки

Пакет подготовки можно применить к ПК во время начальной настройки или к уже настроенному ПК.

Во время начальной настройки

  1. Начните с компьютера на экране настройки.

  2. Вставьте USB-накопитель. Если при этом ничего не происходит, нажмите клавишу Windows пять раз.

    • Если на USB-накопителе есть только один пакет подготовки, то этот пакет применяется.

    • Если же на USB-накопителе несколько пакетов подготовки, появляется сообщение Настроить устройство?. Нажмите Настроить и выберите нужный пакет подготовки.

  3. Завершите процесс настройки.

После настройки

На настольном компьютере перейдите в раздел Параметры > Учетные записи > Рабочий доступ > Добавление или удаление пакета управления > Добавить пакет и выберите пакет для установки.

Примечание

В случае использования файла установки на уже настроенном компьютере существующие учетные записи и данные могут быть потеряны.

Рекомендации для учетных записей на компьютерах, работающих в режиме общего ПК

  • Для повышения надежности и безопасности компьютера не рекомендуется создавать на нем учетные записи локальных администраторов.
  • Если компьютер настроен в режиме общего ПК с политикой удаления по умолчанию, учетные записи автоматически кэшируются до тех пор, пока места на диске не станет недостаточно. Затем учетные записи будут удалены для освобождения места на диске. Эта операция управления учетной записью происходит автоматически. Таким образом осуществляется управление учетными записями доменов Azure AD и Active Directory. Все учетные записи, созданные с помощью параметров Гость и Терминал, также будут автоматически удалены при выходе из системы.
  • На компьютере с Windows, присоединенном к Azure Active Directory:
    • На ПК с учетной записью, присоединенном к Azure AD, будет настроена учетная запись администратора. Глобальные администраторы домена Azure AD также будут иметь учетные записи администратора на ПК.
    • В Azure AD Premium можно определить, какие учетные записи будут иметь соответствующие учетные записи администратора на ПК, с помощью параметра Дополнительные администраторы на устройствах, присоединенных к Azure AD, доступного на портале Azure.
  • Локальные учетные записи, уже существующие на компьютере, при включении режима общего ПК не будут удалены. Новые локальные учетные записи, созданные путем выбора Параметры > Учетные записи > Другие пользователи > Добавить пользователя для этого компьютера, после включения режима общего ПК не удаляются. Однако все новые локальные учетные записи, созданные с помощью параметров Гость и Терминал на экране входа (если эти параметры включены), будут автоматически удалены при выходе из системы.
  • При необходимости учетных записей администратора на ПК
    • Убедитесь, что компьютер присоединен к домену с возможностью входа в учетные записи в качестве администратора, или
    • Создайте учетные записи администратора до настройки режима общего ПК, или
    • Создайте учетные записи-исключения перед выходом из системы, при включении режима общего ПК.
  • Служба управления учетными записями поддерживает учетные записи, на которые не распространяется удаление.
    • Учетную запись можно пометить как исключенную из удаления путем добавления ее SID в раздел реестра HKEY_LOCAL_MACHINE\SOFTARE\Microsoft\Windows\CurrentVersion\SharedPC\Exemptions\.
    • Добавление SID учетной записи в раздел реестра с помощью PowerShell:$adminName = "LocalAdmin" $adminPass = 'Pa$$word123' iex "net user /add $adminName $adminPass" $user = New-Object System.Security.Principal.NTAccount($adminName) $sid = $user.Translate([System.Security.Principal.SecurityIdentifier]) $sid = $sid.Value; New-Item -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\SharedPC\Exemptions\$sid" -Force

Политики, заданные для режима общего ПК

Режим общего ПК предполагает настройку локальных групповых политик для настройки устройства. Некоторые из них можно изменять с помощью параметров режима общего ПК.

Важно!

Задавать дополнительные политики для компьютеров, настроенных для режима общего ПК, не рекомендуется. Режим общего ПК был оптимизирован и обеспечивает скорость и надежность в течение длительного времени с минимальной потребностью в обслуживании вручную или без такой потребности.

Имя политики

Значение

Когда задается?

Административные шаблоны > Панель управления > Персонализация

Запретить включение слайд-шоу с экрана блокировки

Enabled

Всегда

Запрет изменения изображения на экране блокировки и при входе в систему

Enabled

Всегда

Административные шаблоны > Система > Управление электропитанием > Параметры кнопок

Выбрать действие кнопки питания (питание от сети)

Спящий режим

SetPowerPolicies=True

Выбор действия кнопки выключения (питание от батареи)

Спящий режим

SetPowerPolicies=True

Выбор действия кнопки спящего режима (питание от сети)

Спящий режим

SetPowerPolicies=True

Выбор действия переключателя на крышке (питание от сети)

Спящий режим

SetPowerPolicies=True

Выбор действия переключателя на крышке (питание от батареи)

Спящий режим

SetPowerPolicies=True

Административные шаблоны > Система > Управление питанием > Параметры режимов сна

Требовать пароль при выходе из спящего режима (питание от сети)

Enabled

SignInOnResume=True

Запрос пароля при выходе из спящего режима (питание от батареи)

Enabled

SignInOnResume=True

Определение времени ожидания перехода системы в спящий режим (питание от сети)

SleepTimeout

SetPowerPolicies=True

Определение времени ожидания перехода системы в спящий режим (питание от батареи)

SleepTimeout

SetPowerPolicies=True

Отключение гибридного спящего режима (питание от сети)

Enabled

SetPowerPolicies=True

Отключение гибридного спящего режима (питание от батареи)

Enabled

SetPowerPolicies=True

Определение времени ожидания автоматического перехода системы в спящий режим (питание от сети)

SleepTimeout

SetPowerPolicies=True

Определение времени ожидания автоматического перехода системы в спящий режим (питание от батареи)

SleepTimeout

SetPowerPolicies=True

Разрешение различных режимов сна (S1–S3) при простое компьютера (питание от сети)

Enabled

SetPowerPolicies=True

Разрешение различных режимов сна (S1–S3) при простое компьютера (питание от батареи)

Enabled

SetPowerPolicies=True

Определение времени ожидания перехода системы в режим гибернации (питание от сети)

Enabled, 0

SetPowerPolicies=True

Определение времени ожидания перехода системы в режим гибернации (питание от батареи)

Enabled, 0

SetPowerPolicies=True

Шаблоны администратора>Система>Управление питанием>Параметры видео и отображения

Отключение дисплея (питание от сети)

SleepTimeout

SetPowerPolicies=True

Отключение дисплея (питание от батареи)

SleepTimeout

SetPowerPolicies=True

Административные шаблоны>Система>Управление электропитанием>Параметры режима энергосбережения

Пороговое значение для включения режима энергосбережения батареи (питание от батареи)70SetPowerPolicies=True

Шаблоны администратора>Система>Вход в систему

Демонстрация анимации при первом входе

Отключена

Всегда

Скрытие точек входа для быстрого переключения пользователей

Enabled

Всегда

Включение входа в систему с помощью удобного PIN-кода

Отключена

Всегда

Отключение входа в систему с помощью графического пароля

Enabled

Всегда

Отключение уведомлений приложений на экране блокировки

Enabled

Всегда

Предоставление пользователям возможности установки пароля при возобновлении работы после перехода в режим ожидания с подключением

Disabled

SignInOnResume=True

Запрет отображения сведений об учетной записи при входе

Enabled

Всегда

Шаблоны администратора>Система>Профили пользователей

Отключение идентификатора рекламы

Enabled

SetEduPolicies=True

Шаблоны администратора>Компоненты Windows

Не показывать советы по использованию Windows

Включена

SetEduPolicies=True

Выключить возможности потребителя Майкрософт

Включена

SetEduPolicies=True

Microsoft Passport for Work

Disabled

Всегда

Запрет использования OneDrive для хранения файлов

Enabled

Всегда

Шаблоны администратора>Компоненты Windows>Биометрия

Разрешение использования биометрических данных

Отключена

Всегда

Разрешение входа в систему с помощью биометрических данных

Отключена

Всегда

Разрешение входа в систему с помощью биометрических данных для пользователей домена

Отключена

Всегда

Шаблоны администратора>Компоненты Windows>Сбор данных и предварительные сборки

Переключение пользовательских элементов управления над сборками для предварительной оценки

Отключена

Всегда

Отключение функций или параметров до выпуска

Отключена

Всегда

Запрет отображения уведомлений об отзывах

Enabled

Всегда

Разрешить телеметриюБазовая, 0SetEduPolicies=True

Административные шаблоны>Компоненты Windows>Проводник

Отображение блокировки в меню плиток пользователя

Отключена

Всегда

Шаблоны администратора>Компоненты Windows>Планировщик заданий обслуживания

Границы активации автоматического обслуживания

MaintenanceStartTime

Всегда

Произвольная задержка автоматического обслуживания

Enabled, 2 часа

Всегда

Политика пробуждения автоматического обслуживания

Enabled

Всегда

Административные шаблоны>Компоненты Windows>Windows Hello для бизнеса

Использовать функцию входа на телефоне

Отключена

Всегда

Использовать Windows Hello для бизнеса

Отключена

Всегда

Использование биометрии

Отключена

Всегда

Административные шаблоны>Компоненты Windows>OneDrive

Запретить использование OneDrive для хранения файлов

Enabled

Всегда

Параметры Windows>Параметры безопасности>Локальные политики>Параметры безопасности

Интерактивный вход в систему: не отображать последнее имя пользователя

Enabled, Disabled при использовании только гостевой модели учетной записи

Всегда

Интерактивный вход в систему: автоматический вход последнего текущего пользователя после перезапуска, инициированного системой

Отключена

Всегда

Завершение работы: разрешить завершение работы системы без выполнения входа в систему

Отключена

Всегда

Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей

Автоматическое отклонение

Всегда

docs.microsoft.com

Настройка Windows10 (Windows10) | Microsoft Docs

  • 05/11/2018
  • Время чтения: 2 мин
  • Соавторы

В этой статье

Предприятиям часто требуется применить пользовательские конфигурации к устройствам своих пользователей. Windows 10 предоставляет ряд функций и методов для настройки и блокировки определенных компонентов Windows 10.

В этом разделе

Раздел Описание
Управление функцией Контроля Wi-Fi в организации Контроль Wi-Fi автоматически подключает устройство к сетям Wi-Fi, чтобы упростить доступ в Интернет в разных точках доступа. Эта функция позволяет подключаться к открытым хот-спотам Wi-Fi путем краудсорсинга сетей или к сетям Wi-Fi, к которым вам предоставили доступ ваши контакты с помощью контроля Wi-Fi. Начальные параметры Контроля Wi-Fi определяются параметрами, которые вы выбрали при первой настройке компьютера под управлением Windows 10.
Настройка киоска и общих устройств под управлением выпусков Windows 10 для настольных компьютеров Эти статьи помогают настроить устройства с Windows 10, которые будут совместно использоваться несколькими пользователями или запускаться как устройство киоска, на котором работает одно приложение.
Настройка устройств с Windows 10 Mobile Эти статьи помогают настроить функции, приложения и начальный экран для устройства под управлением Windows 10 Mobile, а также содержат сведения о том, как настроить устройство киоска, на котором работает одно приложение.
Настройка параметров сотовой сети для планшетов и персональных компьютеров Организации могут подготовить параметры сотовой сети для планшетов и ПК с помощью встроенных сотовых модемов или подключаемого USB-модема с аппаратным ключом.
Настройка начального экрана, панели задач и экрана блокировки Стандартный пользовательский начальный экран может быть полезен на устройствах, которыми пользуются несколько человек, а также устройствах, заблокированных с определенной целью. Настройка панели задач позволяет организации закрепить полезные приложения для своих сотрудников и удалить приложения, закрепленные по умолчанию.
Интеграция Кортаны в вашей компании или организации Первый в мире личный цифровой помощник, который помогает пользователям решать их задачи даже на работе. Кортана поддерживает широкие возможности настройки, в частности для оптимизации ее использования в уникальных ИТ-средах компаний малого и среднего бизнеса, а также корпоративных средах.
Настройка доступа к Microsoft Store ИТ-специалисты могут настраивать доступ к Microsoft Store для клиентских компьютеров своей организации. Бизнес-политики некоторых организаций требуют блокировки доступа к Microsoft Store.
Сведения о специальных возможностях для ИТ-профессионалов Windows 10 включает специальные возможности, от которых выигрывают все пользователи. Эти функции облегчают процесс настройки компьютера и предлагают пользователям с различными способностями параметры для улучшения работы с Windows. Этот раздел помогает ИТ-администраторам узнать о встроенных специальных возможностях.
Пакеты подготовки для Windows 10 Узнайте, как использовать конструктор конфигураций Windows и пакеты подготовки, чтобы легко настроить несколько устройств.
Функции блокировки Windows Embedded 8.1 Industry Многие функции блокировки, доступные в Windows Embedded 8.1 Industry, были так или иначе изменены для Windows 10.
Журнал изменений в разделе "Настройка Windows 10" В этой статье перечислены новые и обновленные статьи документации по настройке Windows 10 для Windows 10 и Windows 10 Mobile.

docs.microsoft.com

Параметры групповых политик, которые применяются только к выпускам Windows 10 Корпоративная и Windows 10 для образовательных учреждений (Windows 10)

Настройка "Windows: интересное" на экране блокировки Конфигурация пользователя > Административные шаблоны > Компоненты Windows > Содержимое облака Дополнительные сведения см. в статье "Windows: интересное" на экране блокировки. Обратите внимание, что дополнительная политика содержимого облака Не предлагать содержимое сторонних разработчиков в Windows: интересное не применяется к Windows 10 Pro.
Отключение всех функций "Windows: интересное" Конфигурация пользователя > Административные шаблоны > Компоненты Windows > Содержимое облака Дополнительные сведения см. в статье "Windows: интересное" на экране блокировки.
Выключить возможности потребителя Майкрософт Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Содержимое облака Дополнительные сведения см. в статье "Windows: интересное" на экране блокировки.
Запрет отображения экрана блокировки Конфигурация компьютера > Административные шаблоны > Панель управления > Персонализация Дополнительные сведения см. в статье "Windows: интересное" на экране блокировки.
Не требовать нажатия CTRL+ALT+DEL иОтключить уведомления приложений на экране блокировки Конфигурация компьютера > Административные шаблоны > Система > Вход в систему иКонфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности > Интерактивный вход в систему Если включить оба эти параметра политики, в Windows 10 Корпоративная и Windows 10 для образовательных учреждений также будут отключены приложения на экране блокировки (ограниченный доступ). Эти параметры политики могут применяться к Windows 10 Pro, но в этом выпуске приложения на экране блокировки не будут отключены. Внимание! В описании политики Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DEL в редакторе групповых политик неверно указано, что она применяется только к Windows 10 Корпоративная и Windows 10 для образовательных учреждений. Описание будет исправлено в следующем выпуске.
Не показывать советы по использованию Windows Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Содержимое облака Дополнительные сведения см. в статье "Windows: интересное" на экране блокировки.
Применение специального изображения экрана блокировки Конфигурация компьютера > Административные шаблоны > Панель управления > Персонализация Дополнительные сведения см. в статье "Windows: интересное" на экране блокировки.
Макет начального экрана Конфигурация пользователя\Административные шаблоны\Меню "Пуск" и панель задач В Windows 10 версии 1703 этот параметр политики также можно применять для Windows 10 Pro. Дополнительные сведения см. в статье Управление параметрами и политиками макета начального экрана в Windows 10
Отключить приложение Store Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Store > Отключить приложение Store

Конфигурация пользователя> Административные шаблоны > Компоненты Windows > Store > Отключить приложение Store

Дополнительные сведения см. в статье базы знаний № 3135657.
Показывать только частный магазин в приложении Microsoft Store Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Microsoft Store > Показывать только частный магазин в приложении Microsoft Store

Конфигурация пользователя > Административные шаблоны > Компоненты Windows > Microsoft Store > Показывать только частный магазин в приложении Microsoft Store

Дополнительные сведения см. в статье Управление доступом к частному магазину.
Не выполнять поиск в Интернете или не отображать результаты из Интернета Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Поиск\Не выполнять поиск в Интернете или не отображать результаты из Интернета в поиске Дополнительные сведения см. в статье об интеграции Кортаны в организации

docs.microsoft.com