0 为禁用(重启失效),1 为默认启用
0 为默认启用(可直接删除),1 为禁用
登录背景毛玻璃特效(1903之后)
0 为默认启用(可直接删除),1 为禁用
0 为默认显示(可直接删除),1 为隐藏
0 为隐藏,1 为默认显示
0 为默认显示(可直接删除),1 为隐藏
消息标题(默认为空),如“Tips”
消息内容(默认为空),如“Hello,World!”
标题与内容可空其一,同时为空则为默认无提示
为默认显示(可直接删除),1 为隐藏
必须启用 才能启用展台模式。
不支持通过远程桌面连接使用展台模式。 展台用户必须在设置为展台的物理设备上登录。
对于启用了自动登录的面向公众的环境中的展台,应使用具有最低特权的用户帐户,例如本地标准用户帐户。
可以使用 Windows Management Instrumentation (WMI) 或配置服务提供程序 (CSP) 配置分配的访问权限。 分配的访问权限使用域用户或服务帐户(而不是本地帐户)运行应用程序。 使用域用户或服务帐户存在风险,攻击者可能会获得对任何域帐户可访问的域资源的访问权限。 使用具有已分配访问权限的域帐户时,请谨慎继续操作。 请考虑使用域帐户可能公开的域资源。
MDM 提供程序(例如)使用配置服务提供程序 (由 Windows OS 公开的 CSP) 来管理设备上的设置。 在本文中,我们将介绍这些服务。 如果不使用 MDM 提供程序管理设备,以下资源可以帮助你入门:
为增强展台体验的安全,建议你在将设备配置为展台之前,先对其进行如下配置更改:
隐藏更新通知。 从 Windows 10 版本 1809 开始,可以隐藏通知,防止在设备上显示。 若要启用此功能,可以使用以下选项:
使用 MDM 提供程序:此功能使用 。 在Intune中,可以使用 来管理此功能。
1
:隐藏除重启警告之外的所有通知。
2
:隐藏所有通知,包括重启警告。
启用和计划自动更新。 若要启用此功能,可以使用以下选项:
还可以计划自动更新,包括计划安装日、计划安装时间和****计划安装周。 安装可能需要 30 分钟到 2 小时,具体取决于设备。 计划在 3-4 小时的块可用时进行更新。
在计划的时间启用自动重启。 若要启用此功能,可以使用以下选项:
使用 MDM 提供程序:此功能使用 和 CSP。 在Intune中,可以使用 来管理此功能。
将“蓝屏”替换为 OS 错误的空白屏幕。 若要启用此功能,请使用注册表编辑器:
将设备置于“平板电脑模式”。 如果希望用户在不使用键盘或鼠标的情况下使用触摸屏,请使用“设置”应用打开平板电脑模式。 如果用户不会与展台交互(例如数字签名),请不要打开此设置。
使用 “设置” 应用:
隐藏登录屏幕上的“轻松访问”功能:若要启用此功能,可以使用以下选项:
禁用硬件电源按钮:若要启用此功能,可以使用以下选项:
使用 MDM 提供程序:在 Intune 中,有一些选项:
:此选项列出了可以配置的所有设置,包括本地组策略中使用的管理模板。 配置以下设置:
:这些模板是本地组策略中使用的管理模板。 配置以下设置:
查看设置时,请检查每个设置的受支持 OS,确保它适用。
:此选项显示此设置,以及可以管理的所有“开始”菜单设置。
从登录屏幕中删除电源按钮。 若要启用此功能,可以使用以下选项:
on。 选择 “已禁用”。
:此选项列出了可以配置的所有设置,包括本地组策略中使用的管理模板。 配置以下设置:
禁用相机:若要启用此功能,可以使用以下选项:
使用 MDM 提供程序:此功能使用 。 在 Intune 中,具有以下选项:
:此选项显示此设置,以及你可以管理的更多设置。
:此选项列出了可以配置的所有设置,包括本地组策略中使用的管理模板。 配置以下设置:
在锁屏界面上关闭应用通知:若要启用此功能,可以使用以下选项:
使用 MDM 提供程序:此功能使用 。 在 Intune 中,具有以下选项:
:请参阅此设置,以及可以管理的更多设置。
:这些模板是本地组策略中使用的管理模板。 配置以下设置:
查看设置时,请检查每个设置的受支持 OS,确保它适用。
:此选项列出了可以配置的所有设置,包括本地组策略中使用的管理模板。 配置以下设置:
禁用可移动媒体:若要启用此功能,可以使用以下选项:
使用 MDM 提供程序:在 Intune 中,具有以下选项:
:请参阅 可移动存储 设置,以及可以管理的更多设置。
:这些模板是本地组策略中使用的管理模板。 配置以下设置:
查看设置时,请检查每个设置的受支持 OS,确保它适用。
:此选项列出了可以配置的所有设置,包括本地组策略中使用的管理模板。 配置以下设置:
日志有助于 。 可以通过启用
可能还需要为展台设备设置 自动登录 。 当展台设备重新启动时,如果发生更新或断电,你可以手动登录分配的访问权限帐户。 或者,可以将设备配置为自动登录到分配的访问权限帐户。 确保应用于设备的组策略设置不会阻止自动登录。
如果使用 Windows 客户端设备限制 CSP 设置“首选 Azure AD 租户域”,这将中断展台配置文件的“用户登录类型”自动登录功能。
如何编辑注册表以让帐户自动登录
DefaultDomainName:为域设置值,仅适用于域帐户。 对于本地帐户,请勿添加此密钥。
打开注册表编辑器。 下次重启计算机时,帐户将自动登录。
下表描述了一些具有互操作性问题的功能,建议你在运行分配的访问权限时考虑这些功能。
辅助功能:分配的访问权限不会更改“轻松访问”设置。 建议使用 来阻止以下显示辅助功能的组合键:
打开“高对比度”对话框。 |
“打开鼠标键”对话框。 |
打开“轻松访问中心”。 |
分配的访问权限阻止的键序列:在分配的访问权限中,分配的访问权限用户会阻止某些组合键。
Ctrl + Alt + Delete 是中断已分配访问权限的关键。 如果需要,可以使用键盘筛选器配置不同的键组合,以通过设置 BreakoutKeyScanCode 来中断分配的访问权限 中所述。
已分配访问权限用户的阻止行为 |
---|
按打开项的相反顺序循环浏览项。 |
按打开项的相反顺序循环浏览项。 |
在当前打开的应用程序内切换窗口。 |
打开分配给此密钥的应用。 |
打开分配给此密钥的应用。 在许多 Microsoft 键盘上,应用为“计算器”。 |
键盘筛选器设置适用于其他标准帐户。
阻止的键序列:如果键盘筛选器已打开,则会自动阻止某些组合键,而无需显式阻止它们。 有关详细信息,请参阅
仅适用于 Windows 客户端企业版或教育版。
电源按钮:“电源”按钮的自定义项是对分配的访问权限的补充,使你可以实现从“欢迎”屏幕中删除电源按钮等功能。 删除电源按钮可确保用户在设备处于分配的访问权限时无法将其关闭。
有关删除电源按钮或禁用物理电源按钮的详细信息,请参阅 。
**统一写入筛选器 (UWF) **:UWFsettings 应用于所有用户,包括具有分配访问权限的用户。
有关详细信息,请参阅 。
如果需要使用分配的访问 API,请参阅 。
欢迎屏幕:“欢迎”屏幕的自定义项使你不仅可以个性化“欢迎”屏幕的外观,还可以个性化显示其功能。 可以禁用电源或语言按钮,或删除所有用户界面元素。 有许多选项可用于使欢迎屏幕成为你自己的屏幕。
有关详细信息,请参阅 。
客户有时会使用虚拟机 (VM) 测试配置,然后再将这些配置部署到物理设备。 如果使用 VM 测试单应用展台配置,则需要了解如何正确连接到 VM。
单应用展台配置在锁屏界面上方运行应用。 远程访问时,它不起作用,其中包括 Hyper-V 中的 增强 会话。
连接到配置为单应用展台的 VM 时,需要 一个基本 会话,而不是增强会话。 在下图中,请注意,“视图”菜单中未选择 “增强会话”;这意味着它是一个基本会话。
若要在基本会话中连接到 VM,请不要在连接对话框中选择“ 连接 ”,如下图所示,而是选择右上角的 “X ”按钮来取消对话框: