Настройка общего или гостевого компьютера с Windows 10/11

Windows клиент имеет общий режим ПК, который оптимизирует Windows для общих сценариев использования, таких как пространства для прикосновения в корпоративном предприятии и временное использование клиента в розничной торговле. Вы можете применить общий режим ПК для Windows клиентских Pro, Pro образования, образования и Enterprise.

Если вы заинтересованы в использовании Windows для общих компьютеров в школе, см. в приложении Use Настройка учебных компьютеров, которое предоставляет простой способ настройки компьютеров с общим режимом ПК плюс дополнительные параметры, определенные для образования.

Суть режима общего ПК

Клиентский Windows в совместном режиме ПК разработан таким образом, чтобы он был без управления и обслуживания с высокой надежностью. В режиме общего ПК одновременно вход может выполнить только один пользователь. Если компьютер заблокирован, текущий пользователь в любой момент может выйти из учетной записи на экране блокировки.

Предполагается, что общие компьютеры присоединяются к домену Active Directory или Azure Active Directory пользователем, обладающим правами для присоединения к домену, в рамках процесса установки. Таким образом, любой пользователь из каталога может выполнить вход на компьютере. Если используется Azure Active Directory Premium, вы можете настроить вход с правами администратора для любого пользователя домена. Кроме того, в режиме общего компьютера можно активировать на экране входа в систему вариант Гость. В этом случае не требуются ни учетные данные пользователя, ни проверка подлинности, а при каждом использовании создается новая локальная учетная запись. Windows клиент имеет учетную запись режима киоска. Вы можете настроить режим общего компьютера, чтобы включить команду Терминал на экране входа. Для ее использования не требуются ни учетные данные, ни проверка подлинности, При этом каждый раз создается новая локальная учетная запись для запуска указанного приложения в режиме назначенного доступа (терминала).

Если в режиме общего компьютера включена служба управления учетными записями, учетные записи будут автоматически удаляться. Удаляются учетные записи Active Directory, Azure Active Directory и локальные учетные записи, созданные с помощью команд Гость и Терминал. Управление учетными записями осуществляется при выходе из системы (чтобы обеспечить достаточное свободное пространство на диске для следующего пользователя), а также в период обслуживания системы. Режим общего компьютера можно настроить так, чтобы учетные записи удалялись сразу при выходе из системы или когда на диске недостаточно свободного места. В Windows клиент добавляется неактивный параметр, который удаляет учетные записи, если они не вписались после указанного количества дней.

Режим общего ПК можно настроить так, чтобы использовать периоды обслуживания, которое проводится, пока компьютер не используется. Поэтому рекомендуется спать, чтобы компьютер мог проснуться, если он не используется для выполнения обслуживания, очистки учетных записей и выполнения Windows update. Рекомендуемые параметры можно задать, выбрав Настройка политик электропитания в списке настроек режима общего ПК. Кроме того, на устройствах без сигналов пробуждения ACPI в режиме общего ПК всегда переопределяются сигналы пробуждения часов реального времени (RTC), чтобы разрешить выход компьютера из спящего режима (по умолчанию сигналы пробуждения RTC отключены). Это обеспечивает использование периодов обслуживания максимальным спектром оборудования.

Несмотря на то, что режим общего ПК не предусматривает непосредственную настройку Центра обновления Windows, настоятельно рекомендуется настроить его для автоматической установки обновлений и, при необходимости, перезагрузки в часы обслуживания. В этом случае операционная система на компьютере всегда будет в актуальном состоянии, и пользователям не потребуется прерывать работу для установки обновлений.

Настроить Центр обновления Windows можно одним из следующих способов:

• Групповая политика: в Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Центр обновления Windows > Настройка автоматического обновления выберите значение 4 и установите флажок Установить во время автоматического обслуживания.
• MDM: в Обновление/AllowAutoUpdate установите значение 4 .
• Подготовка: в конструкторе образов и конфигураций Windows (ICD) в меню Политики/Обновление/AllowAutoUpdate установите значение 4 .

Приложения могут использовать режим общего компьютера с помощью следующих трех API:

. Сообщает приложениям, что компьютер настроен для совместного использования. Например, приложение может скачивать содержимое на устройство в режиме общего компьютера только по требованию или пропускать первый запуск. . Сообщает приложениям, что пользователям запрещено сохранять файлы в локальном хранилище компьютера. Вместо этого приложение должно предлагать только облачные расположения или сохранять файлы автоматически. . Сообщает приложениям, что компьютер используется в среде образовательного учреждения. Приложения могут обрабатывать диагностические данные по-разному или скрывать функции рекламы.

Режим общего ПК предоставляет набор настроек для адаптации поведения к имеющимся требованиям. Эти настройки — это параметры, которые вы задате с помощью MDM или пакета предварительного обеспечения, как это объясняется в настройке режима общего ПК для Windows. Соответствующие параметры представлены в следующей таблице.

Если указать параметр гостя, на экране входа также появится вариант Гость, предоставляющий возможность анонимного гостевого входа на компьютере.

- Удалить при достижении порогового значения дискового пространства — удаление учетных записей начнется, когда объем доступного дискового пространства станет меньше порогового значения, заданного с помощью параметра DiskLevelDeletion, и завершится, когда этот объем достигнет значения, заданного с помощью параметра DiskLevelCaching. В первую очередь удаляются учетные записи, которые не использовались дольше всего.

Настройка режима общего ПК для Windows

Windows можно настроить для работы в режиме общего ПК несколькими способами:

Управление мобильными устройствами (MDM): режим общего ПК активируется через Поставщика служб конфигурации (CSP) SharedPC. Чтобы настроить политику общих устройств для Windows клиента в Intune, выполните следующие действия:

Выберите профиль Devices > > Windows Configuration > .

Введите следующие свойства:

• Платформа. Выберите Windows 10 и более поздней.
• Профиль. Выберите устройство TemplatesShared > с несколькими пользователями.

Щелкните Создать.

В Basics введите следующие свойства:

• Имя. Введите описательное имя для нового профиля.
• Описание. Введите описание профиля. Этот параметр необязателен, но рекомендуется.

Выберите Далее.

В настройках конфигурации в зависимости от выбранной платформы параметры, которые можно настроить, отличаются. Выберите платформу для подробных параметров:

На странице Параметры конфигурации установите значение "Общий режим ПК" включено.

С этого момента вы можете настроить любые дополнительные параметры, которые вы хотите быть частью этой политики, а затем следовать остальному потоку настройки до ее завершения, выбрав Create after Step 6.

Пакет подготовка, созданный с конструктором конфигурации Windows: вы можете применить пакет подготовка при первоначальной настройке компьютера (также известного как out-of-box-experience или OOBE), или вы можете применить пакет подготовка к клиенту Windows, который уже используется. Пакет подготовки создается в конструкторе конфигураций Windows. Режим общего компьютера активируется поставщиком служб конфигурации (CSP) SharedPC. В конструкторе конфигураций Windows он отображается как SharedPC.

Мост WMI: в средах, где используется групповая политика, можно использовать поставщика MDM Bridge WMI, чтобы настроить класс MDM_SharedPC. Для всех параметров устройства клиент моста WMI должен выполняться при локальном пользователе системы; Дополнительные сведения см. в тексте Использование сценариев PowerShell с поставщиком мостов WMI. Например, откройте PowerShell от имени администратора и введите следующее:

Откройте конструктор конфигураций Windows.

На начальной страницевыберите Расширенная подготовка.

Введите имя и (при необходимости) описание проекта, а затем нажмите кнопку Далее.

Выберите Все выпуски Windows для настольных ПК и нажмите кнопку Далее.

Нажмите кнопку Готово. Проект откроется в конструкторе конфигураций Windows.

Выберите Параметры среды выполнения > SharedPC. Выберите нужные параметры для режима общего ПК.

В меню Файл выберите команду Сохранить.

В меню Экспорт выберите пункт Пакет подготовки.

Измените значение параметра Владелец на ИТ-администратор. Это позволит установить для данного пакета подготовки более высокий приоритет, чем приоритет пакетов подготовки из других источников, примененных к данному устройству. Нажмите Далее.

Задайте значение параметра Версия пакета.

Можно внести изменения в существующие пакеты и изменить номер версии для обновления ранее примененных пакетов.

(Необязательно) В окне Безопасность пакета подготовки можно включить шифрование и подписывание пакета.

Включить шифрование пакета— при выборе этого пункта на экране отобразится автоматически созданный пароль.

Включить подписывание пакета — при выборе этого пункта необходимо выбрать действительный сертификат, который будет использоваться для подписывания пакета. Вы можете указать сертификат, щелкнув Выбрать. , а затем выбрав сертификат, который будет использоваться для подписывания пакета.

Рекомендуется включить в пакет доверенный сертификат подготовки. Когда пакет применяется к устройству, сертификат добавляется в хранилище системы и впоследствии любой пакет, подписанный с использованием этого сертификата, будет применен автоматически.

Нажмите кнопку Далее, чтобы указать конечное расположение, в которое нужно поместить пакет подготовки после сборки. По умолчанию конструктор конфигураций Windows использует в качестве расположения выходных данных папку проекта. Вы также можете нажать Обзор, чтобы изменить расположение выходных данных по умолчанию.

Нажмите кнопку Далее.

Щелкните Выполнить сборку , чтобы начать сборку пакета. Сведения о проекте отображаются на странице сборки, а индикатор выполнения указывает состояние сборки. Чтобы отменить построение, нажмите кнопку Отмена. Текущий процесс построения будет отменен, мастер закроется и вы вернетесь в раздел Страница настроек.

В случае сбоя построения отобразится сообщение об ошибке со ссылкой на папку проекта. Вы можете просмотреть журналы, чтобы определить, что вызвало ошибку. После устранения проблемы попробуйте выполнить построение пакета еще раз. В случае успешного построения отобразятся пакет подготовки, выходной каталог и каталог проекта.

• При желании вы можете выполнить построение пакета подготовки снова и выбрать другой путь для выходного пакета. Для этого щелкните Назад , чтобы изменить имя и путь выходного пакета, и нажмите кнопку Далее , чтобы начать другое построение.
• Если вы закончили, нажмите кнопку Готово , чтобы закрыть мастер и вернуться в раздел Страница настроек.

Выберите ссылку Размещение вывода , чтобы перейти в расположение пакета. Этот PPKG-файл можно предоставить другим пользователям одним из следующих способов:

Через общую сетевую папку

Через сайт SharePoint

Съемный носитель (USB/SD-карта) (выберите этот вариант, чтобы применить к компьютеру во время начальной настройки)

Пакет подготовки можно применить к ПК во время начальной настройки или к уже настроенному ПК.

Во время начальной настройки

Начните с компьютера на экране настройки.

Вставьте USB-накопитель. Если при этом ничего не происходит, нажмите клавишу Windows пять раз.

Если на USB-накопителе есть только один пакет подготовки, то этот пакет применяется.

Если же на USB-накопителе несколько пакетов подготовки, появляется сообщение Настроить устройство?. Нажмите Настроить и выберите нужный пакет подготовки.

Завершите процесс настройки.

После настройки

На настольном компьютере перейдите в раздел Параметры > Учетные записи > Рабочий доступ > Добавление или удаление пакета управления > Добавить пакет и выберите пакет для установки.

В случае использования файла установки на уже настроенном компьютере существующие учетные записи и данные могут быть потеряны.

Рекомендации для учетных записей на компьютерах, работающих в режиме общего ПК

Для повышения надежности и безопасности компьютера не рекомендуется создавать на нем учетные записи локальных администраторов.

Если компьютер настроен в режиме общего ПК с политикой удаления по умолчанию, учетные записи автоматически кэшируются до тех пор, пока места на диске не станет недостаточно. Затем учетные записи удаляются для освобождения места на диске. Эта операция управления учетной записью выполняется автоматически. Таким образом осуществляется управление учетными записями доменов Azure AD и Active Directory. Все учетные записи, созданные через гостевой и киоск , будут удалены автоматически при выходе из нее.

На компьютере с Windows, присоединенном к Azure Active Directory:

• На ПК с учетной записью, присоединенном к Azure AD, будет настроена учетная запись администратора. Глобальные администраторы домена Azure AD также будут иметь учетные записи администратора на ПК.
• В Azure AD Premium можно определить, какие учетные записи будут иметь соответствующие учетные записи администратора на ПК, с помощью параметра Дополнительные администраторы на устройствах, присоединенных к Azure AD, доступного на портале Azure.

Локальные учетные записи, уже существующие на компьютере, при включении режима общего ПК не будут удалены. Новые локальные учетные записи, созданные путем выбора Параметры > Учетные записи > Другие пользователи > Добавить пользователя для этого компьютера, после включения режима общего ПК не удаляются. Однако все новые учетные записи гостей, созданные вариантами Гостевой и Киоск на экране входа (если включено), будут автоматически удалены при входе.**** **** Чтобы установить общую политику для всех локальных учетных записей, можно настроить следующий локальный параметр групповой политики: Профили Computer ConfigurationAdministrative > TemplatesSystemUser > > : Удаление профилей пользователей старше указанного числа дней на перезапуске системы.****

Если на компьютере необходимы учетные записи администраторов

• Убедитесь, что компьютер присоединен к домену с возможностью входа в учетные записи в качестве администратора, или
• Создайте учетные записи администратора до настройки режима общего ПК, или
• Создайте учетные записи-исключения перед выходом из системы, при включении режима общего ПК.

Служба управления учетными записями поддерживает учетные записи, на которые не распространяется удаление.

Учетная запись может быть помечена как удаленная, добавив в ключ реестра sid учетной записи: HKEY_LOCAL_MACHINE\SOFTARE\Microsoft\Windows\CurrentVersion\SharedPC\Exemptions\ .

Добавление SID учетной записи в раздел реестра с помощью PowerShell:

Политики, заданные для режима общего ПК

Режим общего ПК предполагает настройку локальных групповых политик для настройки устройства. Некоторые из них можно изменять с помощью параметров режима общего ПК.

Задавать дополнительные политики для компьютеров, настроенных для режима общего ПК, не рекомендуется. Режим общего ПК был оптимизирован и обеспечивает скорость и надежность в течение длительного времени с минимальной потребностью в обслуживании вручную или без такой потребности.