准备用于展台配置的设备

  • 项目

适用范围

  • Windows 10 专业版、企业版和教育版
  • Windows 11

在开始之前

  • 必须启用用户帐户控制 (UAC) 才能启用展台模式。

  • 不支持通过远程桌面连接使用展台模式。 展台用户必须在设置为展台的物理设备上登录。

  • 对于启用了自动登录的面向公众的环境中的展台,应使用具有最低特权的用户帐户,例如本地标准用户帐户。

    可以使用 Windows Management Instrumentation (WMI) 或配置服务提供程序 (CSP) 配置分配的访问权限。 分配的访问权限使用域用户或服务帐户(而不是本地帐户)运行应用程序。 使用域用户或服务帐户存在风险,攻击者可能会获得对任何域帐户可访问的域资源的访问权限。 使用具有已分配访问权限的域帐户时,请谨慎继续操作。 请考虑使用域帐户可能公开的域资源。

  • MDM 提供程序(例如Microsoft Intune)使用配置服务提供程序 (由 Windows OS 公开的 CSP) 来管理设备上的设置。 在本文中,我们将介绍这些服务。 如果不使用 MDM 提供程序管理设备,以下资源可以帮助你入门:

配置建议

为增强展台体验的安全,建议你在将设备配置为展台之前,先对其进行如下配置更改:

  • 隐藏更新通知。 从 Windows 10 版本 1809 开始,可以隐藏通知,防止在设备上显示。 若要启用此功能,可以使用以下选项:

    • 使用组策略Computer Configuration\Administrative Templates\Windows Components\Windows Update\Display options for update notifications

    • 使用 MDM 提供程序:此功能使用 Update/UpdateNotificationLevel CSP。 在Intune中,可以使用 Windows 更新设置来管理此功能。

    • 使用注册表

      1. 打开注册表编辑器 (regedit) 。

      2. 转到 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

      3. 创建新的>DWORD (32 位) 值。 输入 SetUpdateNotificationLevel,并将其值设置为 1

      4. 创建新的>DWORD (32 位) 值。 输入 UpdateNotificationLevel。 对于 value,可以输入:

        • 1:隐藏除重启警告之外的所有通知。
        • 2:隐藏所有通知,包括重启警告。

  • 启用和计划自动更新。 若要启用此功能,可以使用以下选项:

    • 使用组策略Computer Configuration\Administrative Templates\Windows Components\Windows Update\Configure Automatic Updates。 选择 4 - Auto download and schedule the install
    • 使用 MDM 提供程序:此功能使用 Update/AllowAutoUpdate CSP。 选择 3 - Auto install and restart at a specified time。 在Intune中,可以使用 Windows 更新设置来管理此功能。

    还可以计划自动更新,包括计划安装日计划安装时间和计划安装周。 安装可能需要 30 分钟到 2 小时,具体取决于设备。 计划在 3-4 小时的块可用时进行更新。

  • 在计划的时间启用自动重启。 若要启用此功能,可以使用以下选项:

    • 使用组策略Computer Configuration\Administrative Templates\Windows Components\Windows Update\Always automatically restart at the scheduled time。 选择 4 - Auto download and schedule the install

    • 使用 MDM 提供程序:此功能使用 Update/ActiveHoursStartUpdate/ActiveHoursEnd CSP。 在Intune中,可以使用 Windows 更新设置来管理此功能。

  • 将“蓝屏”替换为 OS 错误的空白屏幕。 若要启用此功能,请使用注册表编辑器:

    1. 打开注册表编辑器 (regedit) 。
    2. 转到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
    3. 创建新的>DWORD (32 位) 值。 输入 DisplayDisabled,并将其值设置为 1

  • 将设备置于“平板电脑模式”。 如果希望用户在不使用键盘或鼠标的情况下使用触摸屏,请使用“设置”应用打开平板电脑模式。 如果用户不会与展台交互(例如数字签名),请不要打开此设置。

    仅适用于Windows 10。 目前,Windows 11不支持平板电脑模式。

    选项:

    • 使用 “设置” 应用:

      1. 打开“设置”应用。
      2. 转到 “系统>平板电脑模式”。
      3. 配置所需的设置。

    • 使用 操作中心

      1. 在设备上,从左侧向内轻扫。
      2. 选择“ 平板电脑模式”。

  • 隐藏登录屏幕上的“轻松访问”功能:若要启用此功能,可以使用以下选项:

  • 禁用硬件电源按钮:若要启用此功能,可以使用以下选项:

    • 使用“设置”应用

      1. 打开“设置”应用。
      2. 转到 “系统>电源 & 睡眠>”“其他电源设置>”,选择电源按钮的作用
      3. 选择“ 不执行任何操作”。
      4. 保存更改

    • 使用组策略:选项:

      • Computer Configuration\Administrative Templates\System\Power Management\Button Settings:将 和 Select Power Button Action on Plugged In 设置为Select Power Button Action on Battery不执行任何操作

      • User Configuration\Administrative Templates\Start Menu and Taskbar\Remove and prevent access to the Shut Down, Restart, Sleep, and Hibernate commands:此策略隐藏按钮,但不禁用它们。

      • Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Shut down the system:从此策略中删除用户或组。

        若要防止此策略影响 Administrators 组的成员,请务必保留 Administrators 组。

    • 使用 MDM 提供程序:在 Intune 中,有一些选项:

      • 设置目录:此选项列出了可以配置的所有设置,包括本地组策略中使用的管理模板。 配置以下设置:

        • Power\Select Power Button Action on Battery:设置为 不执行任何操作
        • Power\Select Power Button Action on Plugged In:设置为 不执行任何操作
        • Start\Hide Power Button:设置为 Enabled。 此策略隐藏按钮,但不禁用它。

      • 管理模板:这些模板是本地组策略中使用的管理模板。 配置以下设置:

        • \Start menu and Taskbar\Remove and prevent access to the Shut Down, Restart, Sleep, and Hibernate commands:此策略隐藏按钮,但不禁用它们。

        查看设置时,请检查每个设置的受支持 OS,确保它适用。

      • 设备配置文件中的启动设置:此选项显示此设置,以及可以管理的所有“开始”菜单设置。

  • 从登录屏幕中删除电源按钮。 若要启用此功能,可以使用以下选项:

    • 使用 组策略Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Shutdown: Allow system to be shut down without having to log on。 选择 “已禁用”。

    • 使用 MDM:在 Intune 中,有以下选项:

      • 设置目录:此选项列出了可以配置的所有设置,包括本地组策略中使用的管理模板。 配置以下设置:

        • Local Policies Security Options\Shutdown Allow System To Be Shut Down Without Having To Log On:设置为 Disabled

  • 禁用相机:若要启用此功能,可以使用以下选项:

    • 使用“设置”应用

      1. 打开“设置”应用。
      2. 转到 “隐私>相机”。
      3. 选择 “允许应用使用我的相机>关闭”。

    • 使用组策略Computer Configuration\Administrative Templates\Windows Components\Camera: Allow use of camera:选择“已禁用”。

    • 使用 MDM 提供程序:此功能使用 策略 CSP - 相机。 在 Intune 中,具有以下选项:

      • 设备配置文件中的常规设置:此选项显示此设置,以及你可以管理的更多设置。

      • 设置目录:此选项列出了可以配置的所有设置,包括本地组策略中使用的管理模板。 配置以下设置:

        • Camera\Allow camera:设置为 “不允许”。

  • 在锁屏界面上关闭应用通知:若要启用此功能,可以使用以下选项:

    • 使用“设置”应用

      1. 打开“设置”应用。
      2. 转到 “系统>通知 & ”操作
      3. “在锁屏界面上显示通知”中,选择“ 关闭”。

    • 使用组策略

      • Computer Configuration\Administrative Templates\System\Logon\Turn off app notifications on the lock screen:选择“ 已启用”。
      • User Configuration\Administrative Templates\Start Menu and Taskbar\Notifications\Turn off toast notifications on the lock screen:选择“ 已启用”。

    • 使用 MDM 提供程序:此功能使用 AboveLock/AllowToasts CSP。 在 Intune 中,具有以下选项:

      • 锁定的屏幕体验设备配置文件:请参阅此设置,以及可以管理的更多设置。

      • 管理模板:这些模板是本地组策略中使用的管理模板。 配置以下设置:

        • \Start Menu and Taskbar\Notifications\Turn off toast notifications on the lock screen:选择“ 已启用”。
        • \System\Logon\Turn off app notifications on the lock screen:选择“ 已启用”。

        查看设置时,请检查每个设置的受支持 OS,确保它适用。

      • 设置目录:此选项列出了可以配置的所有设置,包括本地组策略中使用的管理模板。 配置以下设置:

        • \Start Menu and Taskbar\Notifications\Turn off toast notifications on the lock screen:选择“ 已启用”。
        • \System\Logon\Turn off app notifications on the lock screen:选择“ 已启用”。

  • 禁用可移动媒体:若要启用此功能,可以使用以下选项:

    • 使用组策略Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions。 查看适用于你的情况的可用设置。

      若要防止此策略影响管理员组的成员,请选择“ Allow administrators to override Device Installation Restriction policies>已启用”。

    • 使用 MDM 提供程序:在 Intune 中,具有以下选项:

      • 设备配置文件中的常规设置:请参阅 可移动存储 设置,以及可以管理的更多设置。

      • 管理模板:这些模板是本地组策略中使用的管理模板。 配置以下设置:

        • \System\Device Installation:可以管理多个策略,包括 中的 \System\Device Installation\Device Installation Restrictions限制。

          若要防止此策略影响管理员组的成员,请选择“ Allow administrators to override Device Installation Restriction policies>已启用”。

        查看设置时,请检查每个设置的受支持 OS,确保它适用。

      • 设置目录:此选项列出了可以配置的所有设置,包括本地组策略中使用的管理模板。 配置以下设置:

        • \Administrative Templates\System\Device Installation:可以管理多个策略,包括 中的 \System\Device Installation\Device Installation Restrictions限制。

          若要防止此策略影响管理员组的成员,请选择“ Allow administrators to override Device Installation Restriction policies>已启用”。

启用日志记录

日志有助于 排查展台问题 。 可以通过启用应用程序和服务日志\Microsoft\Windows\AssignedAccess\Operational 通道来获取有关配置和运行时问题的日志,该通道在默认情况下处于禁用状态。

在 Windows 客户端上,打开事件查看器,右键单击“操作”,选择“启用日志”以打开日志记录以帮助进行故障排除。

自动登录

可能还需要为展台设备设置 自动登录 。 当展台设备重新启动时,如果发生更新或断电,你可以手动登录分配的访问权限帐户。 或者,可以将设备配置为自动登录到分配的访问权限帐户。 确保应用于设备的组策略设置不会阻止自动登录。

注意

如果使用 Windows 客户端设备限制 CSP 设置“首选 Azure AD 租户域”,这将中断展台配置文件的“用户登录类型”自动登录功能。

提示

如果使用 Windows 配置设计器中的展台向导预配包中的 XML 来配置展台,则可以将帐户设置为在向导或 XML 中自动登录。

如何编辑注册表以让帐户自动登录

  1. 打开注册表编辑器(regedit.exe)。

    注意

    如果你不熟悉注册表编辑器,请了解如何修改 Windows 注册表

  2. 转到

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  3. 设置以下项的值。

    • AutoAdminLogon:将值设置为 1

    • DefaultUserName:将值设置为要登录的帐户。

    • DefaultPassword:将值设置为帐户的密码。

      注意

      如果 DefaultUserNameDefaultPassword 不存在,请将它们添加为 “新建>字符串值”。

    • DefaultDomainName:为域设置值,仅适用于域帐户。 对于本地帐户,请勿添加此密钥。

  4. 打开注册表编辑器。 下次重启计算机时,帐户将自动登录。

提示

还可以 使用 Sysinternals 中的 Autologon 工具配置自动登录。

注意

如果还使用启用了 HideAutoLogonUI自定义登录,则密码过期后可能会遇到黑屏。 建议考虑 将密码设置为永不过期

交互和互操作性

下表描述了一些具有互操作性问题的功能,建议你在运行分配的访问权限时考虑这些功能。

  • 辅助功能:分配的访问权限不会更改“轻松访问”设置。 建议使用 键盘筛选器 来阻止以下显示辅助功能的组合键:

    组合键 阻止的行为
    左 Alt + 左移 + 打印屏幕 打开“高对比度”对话框。
    左 Alt + 左 Shift + Num Lock “打开鼠标键”对话框。
    Windows 徽标键 + U 打开“轻松访问中心”。

  • 分配的访问权限Windows PowerShell cmdlet:除了使用 Windows UI 外,还可以使用 Windows PowerShell cmdlet 来设置或清除分配的访问权限。 有关详细信息,请参阅分配的访问权限Windows PowerShell参考

  • 分配的访问权限阻止的键序列:在分配的访问权限中,分配的访问权限用户会阻止某些组合键。

    Alt + F4、Alt + Shift + Tab、Alt + Tab 不会被分配的访问权限阻止,建议使用 键盘筛选器 来阻止这些组合键。

    Ctrl + Alt + Delete 是中断已分配访问权限的关键。 如果需要,可以使用键盘筛选器配置不同的键组合,以通过设置 BreakoutKeyScanCode 来中断分配的访问权限 ,如WEKF_Settings中所述。

    组合键 已分配访问权限用户的阻止行为
    Alt + Esc 按打开项的相反顺序循环浏览项。
    Ctrl + Alt + Esc 按打开项的相反顺序循环浏览项。
    Ctrl + Esc 打开“开始”屏幕。
    Ctrl + F4 关闭窗口。
    “Ctrl + Shift + Esc” 打开“任务管理器”。
    Ctrl + Tab 在当前打开的应用程序内切换窗口。
    LaunchApp1 打开分配给此密钥的应用。
    LaunchApp2 打开分配给此密钥的应用。 在许多Microsoft键盘上,应用为“计算器”。
    LaunchMail 打开默认邮件客户端。
    Windows 徽标键 打开“开始”屏幕。

    键盘筛选器设置适用于其他标准帐户。

  • 键盘筛选器阻止的键序列:如果键盘筛选器已打开,则会自动阻止某些组合键,而无需显式阻止它们。 有关详细信息,请参阅 键盘筛选器

    键盘筛选器 仅适用于 Windows 客户端企业版或教育版。

  • 电源按钮:“电源”按钮的自定义项是对分配的访问权限的补充,使你可以实现从“欢迎”屏幕中删除电源按钮等功能。 删除电源按钮可确保用户在设备处于分配的访问权限时无法将其关闭。

    有关删除电源按钮或禁用物理电源按钮的详细信息,请参阅 自定义登录

  • 统一写入筛选器 (UWF) :UWFsettings 应用于所有用户,包括具有分配访问权限的用户。

    有关详细信息,请参阅 统一写入筛选器

  • WEDL_AssignedAccess类:可以使用此类配置和管理分配访问权限的基本锁定功能。 建议改用 Windows PowerShell cmdlet。

    如果需要使用分配的访问 API,请参阅 WEDL_AssignedAccess

  • 欢迎屏幕:“欢迎”屏幕的自定义项使你不仅可以个性化“欢迎”屏幕的外观,还可以个性化显示其功能。 可以禁用电源或语言按钮,或删除所有用户界面元素。 有许多选项可用于使欢迎屏幕成为你自己的屏幕。

    有关详细信息,请参阅 自定义登录

在虚拟机 (VM) 中测试展台

客户有时会使用虚拟机 (VM) 测试配置,然后再将这些配置部署到物理设备。 如果使用 VM 测试单应用展台配置,则需要了解如何正确连接到 VM。

单应用展台配置在锁屏界面上方运行应用。 远程访问时,它不起作用,其中包括 Hyper-V 中的 增强 会话。

连接到配置为单应用展台的 VM 时,需要 一个基本 会话,而不是增强会话。 在下图中,请注意,“视图”菜单中未选择“增强会话”;这意味着它是一个基本会话。

使用基本会话连接虚拟机。在“视图”菜单中,未选择“扩展会话”,这意味着使用基本会话。

若要在基本会话中连接到 VM,请不要在连接对话框中选择“ 连接 ”,如下图所示,而是选择右上角的 “X ”按钮来取消对话框:

不要选择“连接”按钮。使用顶部角的关闭 X 连接到基本会话中的 VM。