Неизменяемые/эфемерные рабочие столы W10

(Как может догадаться читатель, я лучше знаком с миром Linux/POSIX, так что имейте это в виду)

Я занимаюсь восстановлением n+20 ноутбуков, предназначенных для полуобщественного использования (MakerSpace: классная комната или библиотека), и хочу настроить их неизменяемым/эфемерным образом.

Я хочу, чтобы они периодически «промывались», чтобы все они были одинаковыми/стандартными и чистыми для использования следующими людьми.

Пользователи/гости постоянно входят в настольные компьютеры и/или браузеры со своими личными учетными записями gmail/o365, из-за чего мы/моя среда представляют угрозу конфиденциальности и безопасности.

План игры выглядит так:

• настроить базовый или эталонный (W10) рабочий стол с
  • урезанная ОС с применением обновлений, исправлений и настроек на уровне системы
  • загружены соответствующие учетные записи - входы в систему и браузеры вошли в соответствующие веб-приложения (загружены файлы cookie) и т. д.
  • используя подобные winget, choco/vagrant/ansible/puppet/chef/whatever/etc для установки нашего стандартного набора приложений
• настройка локального сервера/облака для докеров/виртуальных машин/и т. д., чтобы быстро опробовать варианты
  • Средство создания образов и развертывания PXE — Foreman, FOG и т. д.
  • Гости/пользователи хранят конфиги и личные данные в LAN NAS (аля NextCloud)
• создавать образы или создавать периодические эталонные снимки эталонных машин (включая обновления), которые отправляются через PXE.

По сути, то, что мне нужно, это что-то вроде Федора Сильверблю, это неизменяемый/эфемерный рабочий стол, где ничего не «прилипает» при перезагрузке, а базовая часть остается неизменной. Думайте об этом аналогичным образом, образы Docker имеют «слои» друг над другом, ZFS или Git, где изменения принимаются как инкрементные снимки, которые можно корректно зафиксировать или откатить.

Я/мы еще не перешли на AD - среда еще не была достаточно большой или сложной, чтобы гарантировать это, но я знаю, что короткий ответ - использовать GPO; Со временем я планирую сжечь этот мост.

Есть ли способ или какое-либо другое передовое средство для достижения этой цели? Как я могу создать ОС или образ, который будет сброшен с нуля после перезагрузки, до такой степени, что жесткие диски будут взаимозаменяемыми, а обновление никогда не будет предлагаться?

То, что вы ищете, это киоск станция.

Майкрософт имеет Модуль единого фильтра записи для этого.

Тонкие клиенты HP, например, поставляются с этим установленным и небольшим пользовательским интерфейсом для управления им.

В прошлом я использовал программу DeepFreeze для блокировки состояния компьютера. Устраняет многие проблемы, о которых вы спрашивали, но могут возникнуть и другие проблемы. Вы можете отключить с помощью групповой политики параметр, разрешающий личные учетные записи, но я считаю, что они должны быть на win pro. Если вы не остановились на AD, вы также можете использовать бесплатные учетные записи домена MS O365 для управления пользователями. Вы можете создать тестовый клиент здесь, но обратите внимание, что вам потребуется как минимум 1 аккаунт O365 Business Basic ~ 7 канадских долларов в месяц. Только один пользователь должен быть зарегистрирован, чтобы создать других пользователей для входа на основе домена. https://signup.microsoft.com/create-account/signup?OfferId=B07A1127-DE83-4a6d-9F85-2C104BDAE8B4&dl=ENTERPRISEPACK&ali=1&products=cfq7ttc0k59j:0009