Департамент ИТ

Продолжаем рассказывать о ноу-хау, которые мы используем в своей работе. Напомню, что мы в «Депарамент ИТ» строим и обслуживаем корпоративные ИТ-инфраструктуры так, что наши клиенты работают, а не звонят в техподдержку.

Сегодня поговорим об использовании тонких клиентов с операционной системой Windows Embedded. Для тех, кто не в курсе: тонкие клиенты – это компьютеры, единственная задача которых – подключать пользователя к серверу для работы. В случае тонких клиентов все вычисления выполняются не на локальном компьютере пользователя, а на сервере. Выглядят тонкие клиенты как небольшие компьютеры:

Рис. 1. Шесть поколений тонких клиентов в полном составе. Справа – «прадедушка» (HP t5550) с WinCE, слева – «правнук» тонкого клиента (t530) c Windows 10 IOT, все исправно работают.

Из-за того, что основная задача тонких клиентов – дать доступ пользователю к серверу для работы, к тонким клиентам предъявляется меньше требований по производительности, и они слабее традиционных стационарных компьютеров. Именно небольшая мощность тонких клиентов и формирует их преимущества – они дешевле стационарных компьютеров, потребляют меньше электроэнергии, занимают меньше пространства, не шумят (им хватает пассивного охлаждения), благодаря своей простоте реже ломаются. Если разобрать прадедушку и правнука тонкого клиента, то внутри у них принципиально ничего не меняется с годами, разве что для разборки прадедушки требуется открутить пять винтов, а правнук разбирается голыми руками:

Рис. 2. Тонкий клиент HP t530 (слева) и его предок HP t5550 (справа). Во всех тонких клиентах используется пассивное охлаждение и в качестве радиатора задействован в том числе и корпус тонкого клиента.

Главное преимущество тонких клиентов – это возможность безболезненно использовать их до наработки на отказ. В случае тонких клиентов все данные пользователей хранятся и обрабатываются на сервере, поэтому при отказе тонкого клиента его достаточно заменить на новый и пользователь продолжит свою работу с того места, где он остановился.

Единственное, что может омрачить работу с тонкими клиентами – это вирусы и шаловливые руки пользователей, чье влияние если не убивает, то как минимум ухудшает работу операционной системы. Если же принять во внимание, что программное обеспечение на тонких клиентах должно работать годами (если не десятилетиями) до их (тонких клиентов) фактической смерти, то проблема снижения качества их работы со временем из-за нежелательных модификаций становится очень актуальной.

Для защиты тонких клиентов от внесения нежелательных модификаций в их настройки в операционной системе Windows Embedded вшит функционал защиты от записи на диск, который блокирует попытки сохранения любых настроек и данных на диске тонкого клиента. В Windows Embedded 10 данный фильтр называется Unified Write Filter (UWF), в предыдущих версиях Windows Embedded он именуется как Enhanced Write Filter (EWF).

Принцип работы фильтра записи по-своему прост – он сохраняет изменения, которые пытаются сделать пользователи или программы в операционной системе, не на диске, а в оперативной памяти. Для работающих под Windows Embedded приложений кажется, что они работают с диском в привычном им режиме и могут сохранять на нем свои параметры и данные, но после перезагрузки тонкого клиента все сделанные изменения обнуляются и возвращается в свое исходное состояние.

Непосредственно фильтр защиты от записи на тонких клиентах представляет из себя замочек в трее, который горит зеленым, когда он включен (Рис. 3), и красным, когда отключен (Рис. 4). Выключить и включить его может только пользователь с правами администратора через этот же значок в трее (Рис. 5):

Рис. 3. Фильтр защиты от записи включен.

Рис. 4. Фильтр защиты от записи отключен.

Рис. 5. Меню управления фильтром защиты от записи.

С фильтром защиты от записи в Windows Embedded есть одна особенность, связанная с включением тонких клиентов в домен Active Directory. По умолчанию все компьютеры в домене Active Directory раз в 30 дней меняют пароли на свои учетные записи (по сути, это такой же процесс, который проходится проходить пользователям). И если вы введете тонкий клиент в домен и включите на нем фильтр записи, то пароль он автоматически понять сможет, а вот запомнить – нет. Как следствие, при следующей перезагрузке тонкий клиент вывалится из домена, и пользователи не смогут на него зайти. Решается данная проблема отключением в групповых политиках смены паролей на учетных записях тонких клиентов. Естественно, данную политику стоит применять только на тонкие клиенты (Рис. 6):

Рис. 6. Параметры настройки групповой политики для отключения смены пароля операционной системы на тонких клиентах.

Ну и напоследок о практических недостатках фильтра защиты на запись в Windows Embedded. Их два:

Первый недостаток – тонкие клиенты с включенным фильтром защиты от записи нужно периодически перезагружать (раз в неделю-две), потому что в противном случае фильтр записи занимает всю оперативную память, и тонкий клиент начинает тормозить.

Второй недостаток – фильтр записи иногда сам становится причиной сбоя в случае Windows 8.1 Embedded. Судя по всему, в Windows 8.1 Embedded система иногда стартует раньше фильтра и успевает записать какие-то данные на диск до того, как фильтр эту запись оборвет. Когда такое происходит (а может это накопительный эффект – я не исследовал) файловая система на тонком клиенте становится нечитаемой, и операционную систему на тонком клиенте приходится «перезаливать». Данная проблема отсутствует в тонких клиентах под управлением Windows 7 Embedded и Windows 10 Embedded, поэтому мы рекомендуем использовать тонкие клиенты под этими версиями операционной системы.

Помогите выбрать ОС для тонкого клиента.

Этот топик–вопрос является логическим продолжением предыдущих:

У меня появился некоторый опыт работы с тонкими клиентами. Я перепробовал несколько различных вариаций, однако оптимальный вариант так и не был найден.

Под катом описание опробованных тонких и полутолстых клиентов, а также сам вопрос.

Урезанный Windows XP — полутолстенький клиент

Это самый простой вариант. Здесь нам нужна минимальная сборка Windows Xp. Убиваем на ней explorer.exe и на автозапуск пишем програмулинку на Delphi, которая высвечивается в виде трёх кнопок в центре экрана: «Начать работу», «Перезагрузить», «Выключить». При нажатии на первую кнопку запускается *.rdp файл в котором прописано куда подключатся и какие устройства пробрасывать в терминальную сессию.

Все это реализовано, если кому-нибудь подойдёт такой вариант, я могу поделиться.

Самый главный минус: Лицензирование(Каждая терминальная сессия к серверу терминалов Windows 700 рублей, а еще и за установленную урезанную версию Windows Xp платить — слишком дорого.)

LTSP. Ubuntu. Настоящий тонкий клиент

С этим монстром более–менее разобрались в предыдущих топиках. Но всё же использовать это я не стал, так как администрировать можно сразу все клиенты, настроить отдельные машины у меня не получилось.

Thinstation, itadwisor и подобные. Вполне такие тонкие.

Достаточно просто настроить, из функционала все устраивает, так как нужно только rdp и прокинуть локальные устройства в сессию терминала.

Единственное почему не использую, половина железа, стоящего у нас не поддерживается этими проектами, просто нет драйвера и всё.

Ubuntu – полутолстенький друг

Ставим обычный Ubuntu, делаем скрипт на запуск rdp в цикле и скрипт на пинг сервера терминалов, чтобы при выключении сервера клиенты также отключались. Если общественность потребует, скрипты в топик добавлю.

Все работает именно так как мне нужно, однако это очень такой толстенький клиент, который требует 3–4 Гб места на жестком диске. И на оборудовании из прошлого века, которое стоит у нас работает не везде корректно, где-то даже виснет при загрузке.

Посему этот вариант также не для меня.

Внимание вопрос ?

Есть ли у кого–нибудь на вооружении дистрибутив линукса, который будет включать в себя достаточный набор драйверов, с лёгкой графической оболочкой, занимающий мало места на жёстком диске, а также возможностью запуска rdesktop? также приветствуется автологон, и автозапуск скриптов.

Уважаемые ХабраЛюди, помогите кто чем может 🙂

Какую версию Windows 10 IoT выбрать: советы и рекомендации экспертов

Экосистема Windows 10 охватывает не только персональные компьютеры, мобильные гаджеты, игровые приставки, телевизоры и серверы, но и многочисленные специализированные устройства, для управления которыми компанией Microsoft разработано семейство встраиваемых операционных систем Windows 10 IoT, пришедшее на смену Windows Embedded и развивающее популярную нынче концепцию «Интернета вещей» (Internet of Things, IoT). Терминалы самообслуживания и оплаты, информационные киоски, POS-оборудование, кассовые аппараты, цифровые рекламные вывески, терминалы сбора данных, промышленные контроллеры и датчики, медицинские планшеты — вот лишь небольшой перечень подобных устройств, объединить которые в единую инфраструктуру можно с помощью новой программной платформы, доступной для приобретения на сайте авторизованного дистрибьютора встраиваемых ОС Microsoft компании «Компонента» — komponenta.ru.

Для управления перечисленными выше устройствами предусмотрено три редакции Windows 10 IoT:

• Enterprise — полностью совместима с ОС для декстопов и предназначена для широкого круга аппаратных решений, таких как банкоматы, тонкие клиенты, POS-устройства, медицинские и промышленные устройства;
• Mobile — ориентирована на производителей мобильных устройств, таких как переносные портативные терминалы;
• Core — может применяться на устройствах, которые вообще не имеют дисплея, будь то различные робототехнические изделия, системы домашней автоматизации, приборы с датчиками того или иного типа и пр.

Наиболее востребованная Windows 10 IoT Enterprise в свою очередь представлена в четырёх версиях:

• Windows 10 IoT Enterprise 2015 LTSB — является самой полной лицензией без каких-либо ограничений по сфере применения (главное условие — устройство должно быть узкоспециализированным);
• Windows 10 IoT Enterprise 2015 LTSB for Retail or Thin Clients — предназначена для использования в POS-терминалах, информационных киосках, рекламных табло или тонких клиентах;
• Windows 10 IoT Enterprise LTSB for Tablets — специальная лицензия для использования в производстве узкоспециализированных планшетных компьютеров с диагональю экрана до 10,1 дюймов (кроме ограничения по размеру дисплея существуют ограничения по поддерживаемым процессорам);
• Windows 10 IoT Enterprise LTSB for Small Tablets — предназначена для использования в производстве узкоспециализированных планшетных ПК с диагональю экрана от 7 до 9 дюймов (помимо ограничения по размеру дисплея имеются ограничения по поддерживаемым процессорам).

Конечно, производителей интересует какую версию Windows 10 IoT Enterprise выбрать для своих решений сейчас, если ранее использовались другие редакции Windows Embedded. На что перейти? Что использовать? Ответ на эти вопросы даёт нижеследующая таблица, демонстрирующая преемственность встраиваемых операционных систем Microsoft.

Отдельного внимания в приведённой таблице заслуживает Windows 10 IoT Enterprise 2015 LTSB for Retail or Thin Clients, главными преимуществами которой являются не только развитые функциональные возможности (в ОС уже включена поддержка принтеров чеков, сканеров BAR-кодов, считывателей магнитных карт и прочего специализированного POS-оборудования), но и цена, которая выгодно отличает эту операционную систему от всех предыдущих версий платформы! Иными словами, приобрести «десятку» для кассового оборудования намного дешевле, чем старый продукт Windows Embedded POSReady 7.

Немаловажным преимуществом новой программной платформы Microsoft для разработчиков является универсальность. Поскольку в основе всех операционных систем лежит одно и то же ядро, разработчик может быть уверен, что единожды написанное им приложение (Universal App) будет одинаково функционировать на любых устройствах с операционными системами семейства Windows 10. Технология Universal Driver позволяет точно так же быстро создавать единые универсальные драйверы, подходящие для любых устройств с любой версией Windows 10.

Для получения консультаций, более полной информации, а также загрузки пробных версий продуктов Windows 10 IoT Enterprise всегда можно обратиться к официальному дистрибьютору встраиваемых систем Microsoft на территории России и в странах СНГ — компании «Компонента».

Специалисты компании «Компонента» всегда готовы оказать квалифицированную помощь в подборе операционной системы, наилучшим образом подходящей под требования производителя.

Как из старого Windows ПК сделать тонкий клиент?

Рано или поздно возникает вопрос о необходимости заменить один или несколько ПК по причине медленной работы.

Самый простой способ, нечего не выдумывать и просто заменить ПК.

Не самый простой способ, это начать внедрять «удаленные рабочие столы» в варианте терминальный сервер или виртуальные десктопы.

Стоимость тонкого клиента HP, DELL или других брендов может сравнится с стоимостью полноценного ПК, а использование старого ПК в качестве тонкого клиента позволит продлить срок эксплуатации на достаточно долгий срок.

Как поступить с морально устаревшими ПК:
— оставить на ПК Windows, пользователь будет подключатся к удаленному рабочему столу.
— загружать ПК по сети, один из linux вариантов thinstation.
— установить на ПК локальную версию linux, вариантов море.

Далее буду описывать вариант с Windows, такой тонкий клиент обладает некоторыми преимуществами при сравнении с linux вариантами.

Зачем я все это делал:

— У меня есть удаленные офисы с пользователями которых нужно было перевести работать на терминальные сервера, применение групповых политик в домене позволяют получить необходимый результат без присутствия в офисе и без замены ПК.
— И Windows и linux варианты пользовательских интерфейсов тонких клиентов HP, Wyse/DELL меня не устраивают по разным причинам.

Преимущества Windows варианта:
— Полная поддержка RDP/RemoteFX.
— Полная поддержка сменных носителей.
— Возможность использовать локальный принтер.
— Возможность использовать смарт карты для клиент банка.
— Редирект воспроизведения видео/аудио на тонкий клиент при использовании Windows Media Player, без тормозов и без нагрузки на сервер можно смотреть видео 1080р, но это отдельная история =).

Если начать с результата:

Так будет выглядеть загрузка рабочего стола пользователя, если на ПК установлен Windows XP:

Так будет выглядеть загрузка рабочего стола пользователя, если на ПК установлен Windows 7:

Чтобы получить результат который вы можете видеть на слайдах, необходим домен AD и несколько групповых политик для ПК и пользователей.

На ПК с XP SP3 необходимо установить обновления для rdp клиента KB969084 и Fixit50588, для расширенных групповых политик необходимо установить обновление KB943729.

№1 — Пользователям необходимо разрешить Single sign-on, я распространяю эту политику на весь домен.

№2 — Для ПК делаем отдельный OU и замыкаем групповые политики в этом OU.

№3 — В новом OU создаем политику где меняем шел пользователя на «wscript c:\thinPC\thinPC.vbs /nologo /b».

На целевой ПК необходимо скопировать 3 файла, я использую для этого расширенные групповые политики.
Рекомендую фалы разместить в центральном хранилище групповых политик \\имя домена\SYSVOL\имя домена\Policies\, это позволит обеспечить отказоустойчивость в случаи недоступности одного из домен контроллеров.
На домен контроллерах этому сетевому ресурсу соответствует папка C:\Windows\SYSVOL\sysvol\имя домена\Policies

Содержимое файла thinPC.cmd

C:\BGInfo\Bginfo.exe «C:\BGInfo\config.bgi» /NOLICPROMPT /timer:0
mstsc «c:\thinPC\thinPC.rdp»
shutdown -l

BGInfo добавляет на рабочий стол пользователя надпись с необходимыми данными, результаты работы BGInfo видны на слайдах.
mstsc запускает rdp клиент, после завершения удаленного сеанса выполняется команда shutdown -l для завершения сеанса пользователя на тонком клиенте.

В процессе работа описанного скрипта пользователь будет наблюдать выполнение команд в окне, и для скрытия окна скрипт запускается средствами VBS.

Содержимое файла thinPC.vbs

Dim oShell
Set oShell = WScript.CreateObject («WSCript.shell»)
oShell.run «C:\thinPC\thinPC.cmd»,0
Set oShell = Nothing

— Необходимо отключить отображение панели подключения при работе на полном экране.
— Я отключаю проброс локальных дисков, но разрешаю проброс дисков подключенных позже, это позволит пользователям работать с сменными носителями которые подключат после начала удаленного сеанса.
— В случаи ОС windows 7 для использования протокола RemoteFX необходимо установить глубину цвета 32 бита и указать скорость соединения 10 мегабит/локальная сеть.
— В случаи если сертификат сервера самоподписанный необходимо отключить предупреждение в разделе «Проверка подлинности сервера».

Вот и все, замена шела у пользователя позволит сделать процесс загрузки тонкого клиента максимально приближенным на процесс загрузки обычного ПК.

Основным минусом предложенного скрипта является невозможность пользователю самостоятельно выбрать разрешение экрана, но я честно говоря не понимаю когда выпрашивают монитор 22-24 дюйма, а затем просят увеличить на нем буковки.
В таких случаях я устанавливаю на целевой ПК VNC сервер и меняю разрешение с его помощью.

№4 — Для того чтобы отключить данное сообщение, пользователю достаточно поставить галочку больше не уведомлять.

Для автоматизации процесса административными средствами нужно добавить ключ в реестр.

[HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\LocalDevices]
«адрес сервера»=dword:0000000d

[HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client]
«BitmapCacheSize»=dword:0000ffff

№8 — Interactive logon: Message text for users attempting to log on и Interactive logon: Message title for users attempting to log on
Заполняем заголовок и текст который предназначен для пользователей, в самом простом случаи тут нужно указать контакты центра поддержки.

№9 — Для отключения визуальных эффектов на тонком клиенте, необходимо добавить ключ в реестр.

№10 — Power options
Средствами расширенных групповых политик необходимо создать план питания в котором при нажатии на кнопку питания тонкий клиент будет выключатся.

№11 — Software Restriction Policies
Рекомендую настроить контроль запуска ПО, данный механизм работает на WindowsXP и Windows 7 PRO.
AppLocker более гибки но работает только на Windows 7 enterprise и выше.
Считаю что в случаи тонкого клиента гибкость не нужна, преследуется цель исключить возможность запуска вредоносного ПО.

№12 — Turn off Autoplay
Для отключения автоматического запуска сменных носителей необходимо установить параметр Enabled for All drives.

№13 — Allow RDP redirection of other supported RemoteFX USB devices from this computer
Если вы планируете пробрасывать USB устройства, разрешите политику для Adminstrators and Users.

№14 — Delete user profiles older than a specified number of days on system restart
Я устанавливаю параметр в 180 дней, политика работает только на Windows 7.

№15 — User Account Control
UAC мне мешает и по этому отключаю.

№16 — Замена фона рабочего стола, красота требует жертв.

Для Windows XP, этот ключ в реестре отвечает за обои на экране ввода логина и пароля.
Файл с фоном может находится в любом месте, но это должен быть bmp файл.

[HKEY_USERS\.DEFAULT\Control Panel\Desktop]
«Wallpaper»=«C:\\thinPC\\rd.bmp»
«WallpaperStyle»=«2»

[HKEY_CURRENT_USER\Control Panel\Desktop]
«Wallpaper»=«C:\\thinPC\\rd.bmp»
«WallpaperStyle»=«2»

— Подобные тонкие клиенты работают уже больше года
— На нескольких старых ПК успели посыпаться диски, в замен выслали тонкие клиенты HP, ну а все данные пользователей были на серверах 😉
— Несколько бухгалтеров успешно работают с USB токенами BIFIT