Desktop-uri W10 imuabile/efemere

(După cum poate ghici cititorul, sunt mai familiar și mai confortabil în lumea Linux/POSIX, așa că vă rog să rețineți asta)

Sunt în proces de reconstruire a n+20 de laptop-uri, destinate utilizării semi-publice (MakerSpace: gândiți sala de clasă sau bibliotecă) și vreau să le configurez într-o manieră imuabilă/efemeră.

Vreau să fie „spălate” periodic, astfel încât să fie toate similare/standard și să fie curate pentru uzul următoarelor persoane.

Utilizatorii/oaspeții se conectează în mod constant la desktop-uri și/sau browsere cu conturile lor personale gmail/o365, ceea ce înseamnă că noi/mediul meu reprezintă un risc pentru confidențialitate și securitate.

Planul de joc arată astfel:

• configurați un desktop de bază sau de referință (W10) cu
  • OS redus, cu actualizări, patch-uri și ajustări la nivel de sistem aplicate
  • conturi relevante încărcate - conectări și browsere conectate la aplicațiile web relevante (cookie-uri încărcate), etc.
  • folosind like-urile winget, choco/vagrant/ansible/puppet/chef/whatever/etc pentru a instala setul nostru standard de aplicații
• configurarea serverului local/back-end-ului „cloud” pentru docker/VM-uri/etc pentru a încerca rapid opțiuni
  • Instrument de imagine și implementare PXE - Foreman, FOG etc
  • Oaspeții/utilizatorii stochează configurațiile și datele personale pe LAN NAS (ala NextCloud)
• imagine sau construiți un instantaneu de referință periodic al mașinilor de referință (inclusiv actualizări) care sunt deplyed prin PXE

În esență, ceea ce urmăresc este ceva asemănător Fedora Silverblue, acesta este un desktop imuabil/efemer, în care nimic nu „se lipește” la reporniri și subiacentul rămâne neschimbat. Gândiți-vă la asta într-un mod similar imaginile Docker au modificări „stratificate” una peste alta sau un ZFS sau Git, unde modificările sunt luate ca instantanee incrementale care pot fi comise sau derulate înapoi cu grație.

Eu/nu ne-am angajat încă în AD - mediul nu a fost încă suficient de mare sau complex pentru a justifica acest lucru - dar știu că răspunsul scurt este să folosiți GPO; Plănuiesc să ard acel pod până la urmă.

Există vreo modalitate sau alte mijloace de cea mai bună practică pentru ca eu să ating acest obiectiv? Cum pot construi un sistem de operare sau o imagine care se distruge - de la zero - prin reporniri, până la punctul în care HDD-urile sunt interschimbabile și nicio actualizare nu este solicitată vreodată?

Ceea ce cauți este a chioşc statie.

Microsoft are Modul Unified Write Filter pentru asta.

Clienții subțiri HP, de exemplu, vin cu acest instalat și o mică interfață de utilizator pentru a-l gestiona.

În trecut, am folosit un program numit DeepFreeze pentru a bloca starea computerului. Rezolvă multe dintre problemele despre care ați întrebat, dar există și alte probleme care pot apărea. Puteți dezactiva prin politica de grup setarea care permite conturile personale, dar cred că trebuie să fie pe win pro. Dacă nu v-ați stabilit pe AD, puteți utiliza și conturile gratuite ale unui domeniu MS O365 pentru a gestiona utilizatorii. Puteți crea un chiriaș de test aici, dar rețineți că cel puțin veți avea nevoie de 1 cont O365 Business Basic ~ $7 CAD pe lună. Un singur utilizator trebuie să fie înregistrat pentru a crea alți utilizatori pentru autentificare pe domeniu. https://signup.microsoft.com/create-account/signup?OfferId=B07A1127-DE83-4a6d-9F85-2C104BDAE8B4&dl=ENTERPRISEPACK&ali=1&products=cfq7ttc0k59j:0009