Empfehlungen für zugewiesenen Zugriff
Dieser Artikel enthält Empfehlungen für Geräte, die mit zugewiesenem Zugriff und Shell-Startprogramm konfiguriert sind. Die meisten Empfehlungen umfassen sowohl Einstellungen für Gruppenrichtlinien (GPO) als auch Konfigurationsdienstanbieter (Configuration Service Provider, CSP), um Sie bei der Konfiguration Ihrer Kioskgeräte zu unterstützen.
Kioskbenutzerkonto
Konfigurieren Sie für Kioskgeräte, die sich in öffentlich zugänglichen Umgebungen befinden, als Kioskkonto ein Benutzerkonto mit den geringsten Berechtigungen, z. B. ein lokales Standardbenutzerkonto. Die Verwendung eines Active Directory-Benutzers oder Eines Microsoft Entra-Benutzers könnte es einem Angreifer ermöglichen, Zugriff auf Domänenressourcen zu erhalten, auf die alle Domänenkonten zugreifen können. Wenn Sie Domänenkonten mit zugewiesenem Zugriff verwenden, gehen Sie mit Vorsicht vor. Betrachten Sie die Domänenressourcen, die möglicherweise mithilfe eines Domänenkontos verfügbar gemacht werden.
Automatische Anmeldung
Erwägen Sie die Aktivierung der automatischen Anmeldung für Ihr Kioskgerät. Wenn das Gerät neu gestartet wird, können Sie nach einem Update- oder Stromausfall das Gerät so konfigurieren, dass es sich automatisch mit dem Konto für den zugewiesenen Zugriff anmeldet. Stellen Sie sicher, dass die auf das Gerät angewendeten Richtlinieneinstellungen nicht verhindern, dass die automatische Anmeldung wie erwartet funktioniert. Die Richtlinieneinstellungen PreferredAadTenantDomainName verhindern beispielsweise, dass die automatische Anmeldung funktioniert.
Sie können die XML-Dateien für den zugewiesenen Zugriff und das Shell-Startprogramm mit einem Konto konfigurieren, um sich automatisch anzumelden. Weitere Informationen finden Sie in den Artikeln:
- Erstellen einer XML-Konfigurationsdatei für den zugewiesenen Zugriff
- Erstellen einer Shell-Startprogrammkonfigurationsdatei
Alternativ können Sie die Registrierung so bearbeiten, dass sich automatisch ein Konto anmeldet:
| Pfad | Name | Typ | Wert |
|---|---|---|---|
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
AutoAdminLogon |
REG_DWORD | 1 |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultUserName |
Zeichenfolge | Legen Sie den Wert auf das Konto fest, bei dem Sie sich anmelden möchten. |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultPassword |
Zeichenfolge | Legen Sie den Wert als Kennwort für das Konto fest. |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultDomainName |
Zeichenfolge | Legen Sie den Wert für Domäne fest, nur für Domänenkonten. Fügen Sie für lokale Konten diesen Schlüssel nicht hinzu. |
Nachdem die automatische Anmeldung konfiguriert wurde, starten Sie das Gerät neu. Das Konto wird automatisch angemeldet.
Hinweis
Wenn Sie die benutzerdefinierte Anmeldung mit HideAutoLogonUI aktivierter Option verwenden, tritt möglicherweise ein schwarzer Bildschirm auf, wenn das Benutzerkontokennwort abläuft. Erwägen Sie , das Kennwort so festzulegen, dass es nie abläuft.
Windows Update
Konfigurieren Sie Ihre Kioskgeräte so, dass sie immer auf dem neuesten Stand sind, ohne die Benutzererfahrung zu beeinträchtigen. Hier sind einige Richtlinieneinstellungen, die Sie berücksichtigen sollten, um Windows Update für Ihre Kioskgeräte zu konfigurieren:
| Typ | Pfad | Name/Beschreibung |
|---|---|---|
| CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
ActiveHoursEnd |
Ganzzahliger Wert, der das Ende der aktiven Stunden darstellt. Beispiel: 22 steht für 22.000 Uhr |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
ActiveHoursStart |
Ganzzahliger Wert, der den Beginn der aktiven Stunden darstellt. Stellt z. B 7 . 7AM dar |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
AllowAutoUpdate |
Ganzzahliger Wert. Auf festlegen: 3 Automatisches Herunterladen und Planen der Installation |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
ScheduledInstallTime |
Ganzzahliger Wert. Geben Sie die Zeit für die Installation von Updates für das Gerät an. Beispiel: 23 steht für 23:00 Uhr |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
UpdateNotificationLevel |
Ganzzahliger Wert.
2Auf festgelegt: Alle Benachrichtigungen deaktivieren, einschließlich Neustartwarnungen |
| GPO | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Update\Endbenutzererfahrung verwalten | Anzeigeoptionen für Updatebenachrichtigungen > Legen Sie den Wert auf 2 fest: Alle Benachrichtigungen deaktivieren, einschließlich Neustartwarnungen |
| GPO | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Update\Endbenutzererfahrung verwalten\Automatische Updates konfigurieren | 4. Automatisches Herunterladen und Planen der Installation> Angeben einer Installationszeit außerhalb der Nutzungszeit |
| GPO | Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Update\Endbenutzererfahrung verwalten\Autostart für Updates während der Geschäftszeiten deaktivieren | Konfigurieren der Start- und Endzeiten der Aktiven, in denen das Kioskgerät aufgrund von Windows Update nicht neu gestartet werden kann |
Energieeinstellungen
Möglicherweise möchten Sie verhindern, dass das Kioskgerät in den Ruhezustand wechselt, oder Benutzer daran hindern, den Kiosk herunterzufahren oder neu zu starten. Hier sind einige Optionen, die Sie berücksichtigen sollten:
| Typ | Pfad | Name/Beschreibung |
|---|---|---|
| CSP |
./Device/Vendor/MSFT/Policy/Config/ADMX_StartMenu/
HidePowerOptions |
Schnur. Legen Sie auf fest. <Enabled/> |
| CSP | ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn |
Ganzzahliger Wert. Legen Sie auf fest. 0 |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
DisplayOffTimeoutPluggedIn |
Schnur. Legen Sie auf fest. <Enabled/><Data ID="EnterVideoACPowerDownTimeOut" value="0"/> |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
SelectPowerButtonActionPluggedIn |
Ganze Zahl. Legen Sie auf fest. 0 |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
SelectSleepButtonActionPluggedIn |
Ganze Zahl. Legen Sie auf fest. 0 |
| CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
StandbyTimeoutPluggedIn |
Schnur. Legen Sie auf fest. <Enabled/><Data ID="EnterACStandbyTimeOut" value="0"/> |
| GPO | Computerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste\Entfernen und Verhindern des Zugriffs auf die Befehle "Herunterfahren", "Neustart", "Ruhezustand" und "Ruhezustand" | Aktivieren |
| GPO | Computerkonfiguration\Administrative Vorlagen\System\Energieverwaltung\Schaltflächeneinstellungen\Wählen Sie die Aktion Ein/Aus aus | Wählen Sie die Aktion aus: Keine Aktion ausführen |
| GPO | Computerkonfiguration\Administrative Vorlagen\System\Energieverwaltung\Schaltflächeneinstellungen\Auswählen der Aktion "Standbyschaltfläche" | Wählen Sie die Aktion aus: Keine Aktion ausführen |
| GPO | Computerkonfiguration\Administrative Vorlagen\System\Energieverwaltung\Angeben des Systemmodustimeouts | Legen Sie den Wert auf 0 Sekunden fest. |
| GPO | Computerkonfiguration\Administrative Vorlagen\System\Energieverwaltung\Video- und Anzeigeeinstellungen\Anzeigeeinstellungen deaktivieren | Legen Sie den Wert auf 0 Sekunden fest. |
| GPO | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Herunterfahren: System wird heruntergefahren, ohne sich anmelden zu müssen | Deaktiviert |
| GPO | Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisung von Benutzerrechten\System herunterfahren | Entfernen Sie die Benutzer oder Gruppen aus dieser Richtlinie. Um zu verhindern, dass sich diese Richtlinie auf ein Mitglied der Gruppe Administratoren auswirkt, achten Sie darauf, die Gruppe Administratoren beizubehalten. |
Hinweis
Sie können den Netzschalter auch über den Bildschirm mit den Sicherheitsoptionen deaktivieren, indem Sie ein Feature namens Benutzerdefinierte Anmeldung verwenden. Weitere Informationen zum Entfernen des Netzschalters oder zum Deaktivieren des physischen Netzschalters finden Sie unter Benutzerdefinierte Anmeldung.
Tastenkombinationen
Die folgenden Tastenkombinationen werden nicht für Benutzerkonten blockiert, die mit eingeschränkter Benutzeroberfläche konfiguriert sind:
- ALT + F4
- ALT + Registerkarte
- ALT + Umschalten + Registerkarte
- Strg + ALT + Löschen
Sie können den Tastaturfilter verwenden, um die Tastenkombinationen zu blockieren. Tastaturfiltereinstellungen gelten für andere Standardkonten.
Tastenkombinationen für Barrierefreiheit
Der zugewiesene Zugriff ändert die Einstellungen für die Barrierefreiheit nicht. Verwenden Sie den Tastaturfilter , um die folgenden Tastenkombinationen zu blockieren, die Barrierefreiheitsfeatures öffnen:
| Tastenkombination | Blockiertes Verhalten |
|---|---|
| Linkes Alt + Linke Verschiebung + Druckbildschirm | Dialogfeld "Hoher Kontrast öffnen" |
| Linkes Alt + Linke Verschiebung + NUM-Sperre | Dialogfeld "Maustasten öffnen" |
| GEWINNEN + U | Öffnen des Barrierefreiheitsbereichs "Einstellungen"-App |
Hinweis
Wenn Tastaturfilter aktiviert ist, werden einige Tastenkombinationen automatisch blockiert, ohne dass Sie sie explizit blockieren müssen. Weitere Informationen finden Sie unter Tastaturfilter.
Sie können auch die Barrierefreiheitsfeatures und andere Optionen auf dem Sperrbildschirm mit benutzerdefinierter Anmeldung deaktivieren. Verwenden Sie beispielsweise den folgenden Registrierungsschlüssel, um die Option Barrierefreiheit zu entfernen:
| Pfad | Name | Typ | Wert |
|---|---|---|---|
HKLM\Software\Microsoft\Windows Embedded\EmbeddedLogon\BrandingNeutral |
BrandingNeutral |
REG_DWORD | 8 |
Microsoft Edge-Tastenkombinationen
Um bestimmte Microsoft Edge-Standardverknüpfungen zu deaktivieren, können Sie die Richtlinie ConfigureKeyboardShortcuts verwenden.
Auswählen einer App für eine Kioskumgebung
Um eine Kioskumgebung mit zugewiesenem Zugriff zu erstellen, können Sie UWP-Apps oder Microsoft Edge auswählen. Einige Anwendungen bieten jedoch möglicherweise keine gute Benutzererfahrung, wenn sie als Kiosk verwendet werden.
Die folgenden Richtlinien helfen Ihnen bei der Auswahl einer geeigneten Windows-App für eine Kioskumgebung:
- Windows-Apps müssen für das Konto mit zugewiesenem Zugriff bereitgestellt oder installiert werden, bevor sie als App für zugewiesenen Zugriff ausgewählt werden können. Erfahren Sie, wie Sie Apps bereitstellen und installieren.
- UWP-App-Updates können manchmal die Anwendungsbenutzermodell-ID (Application User Model ID, AUMID) der App ändern. In einem solchen Szenario müssen Sie die Einstellungen für den zugewiesenen Zugriff aktualisieren, um die aktualisierte App auszuführen, da der zugewiesene Zugriff die AUMID verwendet, um zu bestimmen, welche App gestartet werden soll.
- Die App muss über dem Sperrbildschirm ausgeführt werden können. Wenn die App nicht über dem Sperrbildschirm ausgeführt werden kann, kann sie nicht als Kiosk-App verwendet werden.
- Einige Apps können andere Apps starten. Der zugewiesene Zugriff im Kioskmodus verhindert, dass Windows-Apps andere Apps starten. Vermeiden Sie die Auswahl von Windows-Apps, die zum Starten anderer Apps als Teil ihrer Kernfunktionen entwickelt wurden.
- Microsoft Edge bietet Unterstützung für den Kioskmodus. Weitere Informationen finden Sie unter Microsoft Edge-Kioskmodus.
- Wählen Sie keine Windows-Apps aus, die möglicherweise Informationen verfügbar machen, die Sie nicht in Ihrem Kiosk anzeigen möchten, da Kiosk normalerweise anonymen Zugriff bedeutet und in einer öffentlichen Einstellung sucht. Beispielsweise ermöglicht eine App mit einer Dateiauswahl dem Benutzer den Zugriff auf Dateien und Ordner auf dem System des Benutzers. Vermeiden Sie die Auswahl dieser Arten von Apps, wenn sie unnötigen Datenzugriff ermöglichen.
- Einige Apps erfordern möglicherweise mehr Konfigurationen, bevor sie in zugewiesenem Zugriff ordnungsgemäß verwendet werden können. Microsoft OneNote erfordert beispielsweise, dass Sie ein Microsoft-Konto für das Benutzerkonto mit zugewiesenem Zugriff einrichten, bevor OneNote geöffnet wird.
- Das Kioskprofil ist für öffentlich zugängliche Kioskgeräte konzipiert. Verwenden Sie ein lokales Konto ohne Administrator. Wenn das Gerät mit Ihrem Organisationsnetzwerk verbunden ist, kann die Verwendung einer Domäne oder eines Microsoft Entra-Kontos vertrauliche Informationen kompromittieren.
Berücksichtigen Sie bei der Planung der Bereitstellung eines Kiosks oder einer eingeschränkten Benutzeroberfläche die folgenden Empfehlungen:
- Evaluieren Sie alle Anwendungen, die Benutzer verwenden sollten. Wenn Anwendungen eine Benutzerauthentifizierung erfordern, verwenden Sie kein lokales oder generisches Benutzerkonto. Verwenden Sie stattdessen die Benutzergruppe in der Konfigurationsdatei für zugewiesenen Zugriff.
- Ein Kiosk mit mehreren Apps eignet sich für Geräte, die von mehreren Personen gemeinsam genutzt werden. Wenn Sie einen Kiosk mit mehreren Apps konfigurieren, gelten bestimmte Richtlinieneinstellungen, die sich auf alle Benutzer ohne Administratorrechte auf dem Gerät auswirken. Eine Liste dieser Richtlinien finden Sie unter Richtlinieneinstellungen für zugewiesenen Zugriff.
Entwickeln von Kiosk-Apps
Der zugewiesene Zugriff verwendet das Lock-Framework. Wenn sich ein Benutzer mit zugewiesenem Zugriff anmeldet, wird die ausgewählte Kiosk-App oberhalb des Sperrbildschirms gestartet. Die Kiosk-App wird als app über dem Sperrbildschirm ausgeführt. Weitere Informationen finden Sie im Leitfaden zu bewährten Methoden für die Entwicklung einer Kiosk-App für den zugewiesenen Zugriff.
Stoppfehler und Wiederherstellungsoptionen
Wenn ein Abbruchfehler auftritt, zeigt Windows einen blauen Bildschirm mit einem Stoppfehlercode an. Sie können den Standardbildschirm durch einen leeren Bildschirm für Betriebssystemfehler ersetzen. Weitere Informationen finden Sie unter Konfigurieren von Systemfehler- und Wiederherstellungsoptionen.
Sperrbildschirmbenachrichtigungen
Ziehen Sie in Betracht, Benachrichtigungen vom Sperrbildschirm zu entfernen, um zu verhindern, dass Benutzer Benachrichtigungen anzeigen, wenn das Gerät gesperrt ist. Hier sind einige Optionen, die Sie berücksichtigen sollten:
| Typ | Pfad | Name/Beschreibung |
|---|---|---|
| CSP |
./Device/Vendor/MSFT/Policy/Config/AboveLock/
AllowToasts |
Ganze Zahl. Legen Sie auf fest. 0 |
| GPO | Computerkonfiguration\Administrative Vorlagen\System\Anmeldung\App-Benachrichtigungen auf dem Sperrbildschirm deaktivieren | Aktiviert |
Problembehandlung und Protokolle
Beim Testen des zugewiesenen Zugriffs kann es hilfreich sein, die Protokollierung zu aktivieren, um Probleme zu beheben. Protokolle können Ihnen helfen, Konfigurations- und Laufzeitprobleme zu identifizieren. Sie können das folgende Protokoll aktivieren: Anwendungs- und Dienstprotokolle>Microsoft>Windows>AssignedAccess>Operational.
Die folgenden Registrierungsschlüssel enthalten die Konfigurationen für zugewiesenen Zugriff:
HKLM\Software\Microsoft\Windows\AssignedAccessConfigurationHKLM\Software\Microsoft\Windows\AssignedAccessCsp
Der folgende Registrierungsschlüssel enthält die Konfiguration für jeden Benutzer mit einer Richtlinie für den zugewiesenen Zugriff:
HKCU\SOFTWARE\Microsoft\Windows\AssignedAccessConfiguration
Weitere Informationen zur Behandlung von Kioskproblemen finden Sie unter Behandeln von Problemen mit dem Kioskmodus.
Nächste Schritte
Erfahren Sie, wie Sie eine XML-Datei zum Konfigurieren des zugewiesenen Zugriffs erstellen:
Erstellen einer Konfigurationsdatei für zugewiesenen Zugriff