小编Wes*_*eed的帖子

我们的网络管理员最近在我们的防火墙/路由器上启用了 HTTPS 检查。对于 IE 用户来说，这很好，因为证书都是通过 Active Directory 为加入域的机器分发的。但是，我们有许多 Firefox 用户现在几乎在每个 HTTPS 站点上都抛出证书错误。

Firefox 使用他们自己的 CA 存储，他们也为此感到非常自豪。有没有办法让 Firefox 默认信任系统证书存储？我看到很多关于如何在 Linux 中执行此操作的帖子，但在 Windows 中没有。

我从这篇文章怀疑这是不可能的，但那个帖子已经快 4 年了。

我们有很多运行 Windows Embedded Standard 7 的瘦客户端和一个 SCCM 2012 R2 服务器来管理它们。瘦客户端启用了它们的写入过滤器 (FBWF)，因此机器更改不是持久的。在极少数情况下，我们必须更新它们的某些内容，我们只需通过 SCCM 部署它，它就会自动关闭并重新打开写入过滤器以提交更改。

以下是应该发生的情况：
SCCM 客户端向用户发出通知并进行 30 分钟的倒计时以保存他们的工作并退出系统。然后瘦客户端重新启动并禁用写入过滤器。登录屏幕会显示一个挂锁并通知设备正在维修，并且在 SCCM 执行此操作时不允许普通（非管理员）用户登录。SCCM 完成后，它会重新启用写入过滤器、重新启动，然后用户可以再次登录。

我遇到的问题是我们使用感应读卡器登录系统。员工不输入密码。他们只需点击他们的徽章。这个系统很好，但运行它的软件打破了 Windows Embedded 的写入过滤器自动化。

以下是实际发生的情况：
SCCM 客户端在关闭写过滤器的情况下重新启动之前通常会发出 15 分钟的通知。当它重新启动时，会显示正常的登录屏幕。用户可以在 SCCM 安装软件时登录系统并使用它。并且由于用户会话处于活动状态，它会再次发出另外 30 分钟的通知，然后重新启动写入过滤器。

在这种情况下，它不仅增加了 30 分钟的部署时间，而且还为普通用户提供了 30 到 60 分钟在瘦客户端上不受保护的可靠时间，他们所做的任何更改都会永久地融入到映像中。写过滤器重新打开。

该问题源于这样一个事实，即 Windows Embedded 7 使用与常规 Windows 7 不同的凭据提供程序（又名 GINA），但 SSO 产品必须替换 Windows 凭据提供程序才能正常运行。我已经就此事联系了供应商，但他们只是说这是一个已知问题，并且没有修复或解决方法。

所以这是我的问题：
如何以另一种方式模拟所需的行为？我知道有一个组策略设置，您可以在其中拒绝特定用户组的本地登录。我想我可以在安装前后翻转相应的注册表设置，但我对其他想法持开放态度。

如果必须的话，我不会超过脚本安装。我精通脚本、PowerShell、VBScript 等。我只是想知道是否有人对如何解决这个问题有任何聪明的想法。

更新：
我没有提到这些设备正在医院环境中用于工作人员为他们的患者绘制图表。它们必须全天 24 小时可用，因此我们无法限制登录时间或配置维护时段。我们通过提前通知轮班主管来管理停机时间，但任何超过一个小时的事情都会成为法律合规问题，需要正式的停机程序才能生效。

我在组策略中配置了 BitLocker 和 TPM 设置，以便设置所有选项并将恢复密钥存储在 Active Directory 中。我们所有的机器都运行带有标准企业形象的 Windows 7，并在 BIOS 中启用并激活了它们的 TPM 芯片。

我的目标是让所有用户必须做的就是单击启用 BitLocker 并让它消失。微软甚至提供了可以通过脚本部署的自动化示例。但要使这一过程顺利进行，有一个小问题。

在 GUI 中，当用户启用 BitLocker 时，它必须使用自动生成的所有者密码初始化 TPM。但是，恢复密码会显示给用户，并提示他们将其保存到文本文件中。我似乎无法抑制此对话框，并且无法跳过该步骤。这是一个不需要的（也是不必要的）提示，因为密钥已成功备份到 AD。

如果我编写部署脚本，我必须在初始化 TPM 时在脚本中提供所有者密码，并且我希望它像 GUI 那样随机生成。

有什么方法可以让 BitLocker 部署真正按照我想要的方式实现零接触？

我们正在部署连接到终端服务器群的瘦客户端。这些计算机对公众具有很高的知名度，我希望它们至少看起来像样，而不是 1995 年的东西。所以我安装了桌面体验功能并启用了主题服务。

服务器将不支持 Aero，因为它没有 3D 图形，但我们可以启用 Windows 7 Basic 主题，它具有没有 3D 效果的 Aero 外观。该主题的问题在于您可以选择您想要的任何窗口颜色，只要它是男婴蓝色即可。

有没有办法让这些窗户变成另一种颜色？窗口颜色控件什么也不做。

当您单击 WSUS 中已被取代的更新时，您会收到一条警告，提示您在拒绝更新之前应确认不再需要该更新。根据 Microsoft 的说法，您应该首先批准取代更新，等待计算机接受它们，确认客户不再需要旧的更新，然后您可以安全地拒绝被取代的更新。是的，嗯……这不太实用，微软。

多年来，我一直拒绝被取代的更新，但我最近看到一篇文章说你不应该这样做。

所以我的问题是：为什么不呢？

是否存在特定更新不适用于客户端但它取代的更新适用的情况？谁能给我一个令人信服的理由，为什么盲目拒绝被取代的更新不是一个好主意？

我正在与一个非营利组织合作，该组织刚刚向他们捐赠了一批计算机。计算机已擦除硬盘驱动器，因此未安装操作系统。他们是一家小型机构，没有 IT 部门，因此我自愿将它们全部设置好。由于新计算机将替换其现有设备，因此我的计划是在我的实验室中预先安排它们，然后在部署它们后转移激活密钥（顺便说一下，这是完全合法的）。

所有旧电脑都安装了 Windows 7 Pro。问题是他们不知道他们是如何获得许可证的。Windows 7 Pro 同时具有零售渠道（仅接受零售密钥）和批量许可渠道（仅接受 KMS/MAK 密钥）。我可以访问两者的安装媒体，但是如果我将这些计算机安装到错误的计算机上，那么当我去转移许可证并且密钥不起作用时，我将陷入困境

有没有办法知道使用哪种密钥来激活 Windows 7 许可证？

注意：这通常不是关于适当许可或产品许可的问题。这是与产品激活相关的技术问题。

App-V 是拥有少量但非常热情的粉丝群的技术之一。考虑到它可能对我的公司有用，我决定试一试。在对它进行了 2 周的深入研究并排序/发布了一些应用程序（Java、Reader、Citrix、Chrome 等）之后，我认为我对它的全部内容和功能有了很好的了解。

不幸的是，我很快得出结论，App-V 造成的问题多于它解决的问题，我发布这个问题是希望有人能帮助我理解我是否遗漏了产品的某些基本要点，或者App-V 不太适合我的环境。

所以这里是我理解的 App-V 承诺列表，以及我观察到的现实：

承诺：应用共存。App-V 允许您一起打包和运行通常不能很好相处的应用程序。我们有两个业务线应用程序，它们分别依赖于专业版 Acrobat 9 和 Excel 2010。当安装现代版本的 Adob​​e Reader 或 MS Office 时，两者都会严重损坏，并且在 RDS 环境中都不能正常工作。由于 Office 和 Reader 是核心应用，我必须单独管理这些 PC，这很麻烦。App-V 应该允许我将这些应用程序连同它们的依赖项一起打包在 App-V 气泡中，这样它们就不会被它们本机安装的兄弟打扰。

现实： 它不是那样工作的。为了让共存正常运行，依赖应用程序（Acrobat Pro/Reader 和 Office 2010/2016）的两个实例都必须是虚拟的。这意味着我要么必须为整个组织将它们虚拟化，要么我仍然坚持单独管理这些 PC。App-V 没有给我任何东西。

Promise： App-V 允许您使用自己的自定义来打包应用程序，这样用户就不会看到诸如首次运行的对话框、无用的图标或他们不知道的信息提示（如服务器名称）等通常会生成帮助台的内容调用。

现实： 多年来，我在使用脚本、组策略等抑制所有垃圾方面做得非常好，所以我们已经在使用本机安装的应用程序来做到这一点。使用脚本和注册表黑客关闭这些程序所需的时间与在参考 PC 上对程序进行排序和自定义所需的时间大致相同。那里没有时间节省。此外，一些应用程序根本无法与 App-V 一起使用，因此您无论如何都必须编写脚本并破解它们。

承诺：虚拟应用程序完全沙盒化，提供更好的安全性和应用程序弹性。App-V 包不能相互交互，除非通过您控制的连接组。虽然微软明确警告这不是安全边界，但它确实减少了恶意软件的攻击面。此外，本机应用程序经常会在您的文件系统和注册表中留下垃圾，卸载时不会清除这些垃圾，从而使故障排除更加困难。但虚拟应用程序是独立的气泡，使它们很容易干净地删除或恢复到已知的良好状态。

现实： App-V 包不是 Docker 容器。它们对操作系统隐藏，但操作系统并未对它们隐藏。他们仍然在你的文件系统和注册表中留下垃圾。而且由于大多数应用程序都必须向操作系统公开 COM 接口，因此虚拟应用程序大多对操作系统隐藏，但并非完全隐藏。这使得故障排除更难，而不是更容易。此外，我们使用配置文件漫游、文件夹重定向，并拥有同质的桌面图像。任何需要一个多小时才能修复的计算机都会被破坏并重新加载。

承诺：流媒体内容。虚拟应用程序仅按需交付，并且仅占用人们实际使用的功能所需的磁盘空间。这很好，因为我们这里确实存在磁盘空间问题。此外，流内容可用于锁定的静态桌面，例如具有写入过滤器的瘦客户端或 VDI 方案。

现实：内容流传输太慢而无用。即使在具有 LAN 连接的标准工作站上，在获取和缓存包的关键位时首次启动也会有初始延迟。然后，随着新功能的使用，这些功能还有另一个延迟位。没有给出用户反馈，延迟时间长到让人们认为他们的电脑坏了。这会带来真正糟糕的用户体验。然后是笔记本电脑的问题。如果您在校外使用一个，那么如果您尝试使用尚未缓存的内容，那么您将陷入困境。您只能针对每个包缓解此问题，而不能针对每个设备缓解此问题。除非您使用的是 SCCM（我们使用的），在这种情况下，包从本地 SCCM 缓存“流”到本地 …